View
217
Download
0
Embed Size (px)
Citation preview
Vicente Andreu Navarro
Gabinete de Planificación y Prospectiva TecnológicaUniversitat Jaume I
Cartagena 11 de abril de 2013
Desarrollo del Plan de Adecuación al ENS
Iniciativa Fecha
Creación CTP Junio 2003
Creación CAE (antiguo Consejo Asesor TIC) Diciembre 2004
Análisis diferencial UNE-ISO/IEC 17799 y UNE 71502 Marzo 2005
Catálogo de proyectos de seguridad 2006-2007
Diseño e implantación de un SGSI ISO 27000 2008-2009
Política de seguridad (Resolución del Rector) Diciembre 2009
Certificación ISO/IEC 270001:2007 Marzo 2010
Renovación de la certificación ISO/IEC 270001:2007 Marzo 2013
Plan de adecuación al ENS basado en el SGSI 2011-2014
• Líneas generales nueva Política de Seguridad Sept. 2012, Dic. 2012
• Auditoría de cumplimiento de las medidas del Anexo II Dic. 2012, Marzo 2013
• Declaración de aplicabilidad y Plan de Acciones Marzo 2013
• Desarrollo del Plan de Acciones Abril 2013, Enero 2014
Evolución de la seguridad TI en la UJI
SGSI – UJI (ISO 27000)
Sistemas de información que soportan los servicios de TI de la Universitat Jaume I en los ámbitos:
• Académico: servicios tecnológicos de soporte a la docencia• Investigación: entorno de cálculo científico• Gestión: entorno de gestión administrativa• Comunes: portal universitario y servicio de internet, servicios de conexión y correo
electrónico, recursos de almacenamiento y de gestión de proyectos
ENS
•Sedes electrónicas.•Registros electrónicos. •Sistemas de Información accesibles electrónicamente por los ciudadanos. •Sistemas de Información para el ejercicio de derechos. •Sistemas de Información para el cumplimiento de deberes. •Sistemas de Información para recabar información y estado del procedimiento
administrativo.
ISO27000 vs. ENS: Ámbito de aplicación
SGSI – UJI (ISO 27001, Anexo A)
• Aplicabilidad basada en requisitos normativos, organizativos, contractuales o en riesgo• Grado de aplicación basado en buenas prácticas y “autoimpuesto”
• Ejemplo: A 10.6.1 Control de redes “Manejar y controlar adecuadamente las redes para proteger la información e infraestructura. ”
ENS (Anexo II)
• Aplicabilidad basada en requisitos normativos• Grado de aplicación obligatorio (salvo medidas compensatorias) y específico en función de la
categoría del sistema• Ejemplo: 5.4 Protección de las comunicaciones, 5.4.1. Perímetro seguro. Categoría alta
– Cortafuegos en cascada de distinto fabricante.
ISO27000 vs. ENS: Aplicación de controles
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Incluir en la política de seguridad existente:• Cuestiones relacionadas con la organización de seguridad
• Definición de comités (CTP y CAE)• Responsabilidades (información, seguridad y servicio)• Procedimiento de designación de personas
• Concienciación y formación• Gestión de riesgos• Directrices generales de análisis, evaluación y tratamiento de
riesgos• Proceso de aceptación del riesgos residual
• Proceso de revisión de la política de seguridad
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Incluir en la política de seguridad existente:• Cuestiones relacionadas con la organización de seguridad
• Definición de comités (CTP y CAE)• Responsabilidades (información, seguridad y servicio)• Procedimiento de designación de personas
• Concienciación y formación• Gestión de riesgos• Directrices generales de análisis, evaluación y tratamiento de
riesgos• Proceso de aceptación del riesgos residual
• Proceso de revisión de la política de seguridad
1INTRODUCCIÓ42RESPONSABILITAT53LÍNIES GENERALS DE LA POLÍTICA DE SEGURETAT63.1Antecedents63.2Principis bàsics de la seguretat de la informació63.3Missió de la Universitat73.4Marc normatiu83.5Organització de la seguretat93.5.1Responsable de la Informació i responsable del Fitxer93.5.2Responsable del Servei103.5.3Responsable de Seguretat Corporativa103.5.4Responsable de Seguretat de la Informació113.5.5Responsable de Coordinació dels Sistemes113.5.6Responsable del Sistema123.5.7Administradors de la Seguretat123.5.8Comité de Seguretat Corporativa123.5.9Comité de Seguretat de la Informació-Comissió Tècnica de Projectes143.6Conscienciació del personal i formació163.7Gestió de riscos173.8Procés d’aprovació i revisió174CATEGORIA DEL SISTEMA184.1Actius d’informació204.2Serveis que es presten214.3Dades de caràcter personal235ANÀLISI DE RISCOS246DECLARACIÓ D’APLICABILITAT DE LES MESURES DE L’ANNEX II DE L’ENS257INSUFICIÈNCIES DEL SISTEMA268PLA DE MILLORA DE LA SEGURETAT279TEMPORALITZACIÓ DEL PLA28
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Incluir en la política de seguridad existente:• Cuestiones relacionadas con la organización de seguridad
• Definición de comités (CTP y CAE)• Responsabilidades (información, seguridad y servicio)• Procedimiento de designación de personas
• Concienciación y formación• Gestión de riesgos• Directrices generales de análisis, evaluación y tratamiento de
riesgos• Proceso de aceptación del riesgos residual
• Proceso de revisión de la política de seguridad
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI
• Sistema de gestión• Portal
• ¿Otros?• Aula virtual• Servicio de correo electrónico
• El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI
• Sistema de gestión• Portal
• ¿Otros?• Aula virtual• Servicio de correo electrónico
• El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información
[S] Servicios D I C A T
[S.S_Listas distribución] Servicio de listas de correo [6] N/A N/A [6] [7]
[S.S_CAU] Servicio de atención al usuario [5] N/A N/A [5] [5]
[S.S_Calculo] Servicio de cálculo científico [3] N/A N/A [4] [3]
[S.S_DSpace] Servicio de repositorio documental [3] N/A N/A [6] [7]
[S.S_Multimedia] Servicio de multimedia [1] N/A N/A [5] N/A
[S.S_LDAP] Servicio de directorio [3] N/A N/A [7] N/A
[S.S_miUJI] Servicio de mensajería instantánea [1] N/A [4] [6] N/A
[S.S_Alfresco] Servicio de Gestión documental [5] N/A N/A [5] [7]
[S.S_VPN] Servicio Conexión Remota VPN [6] N/A N/A [6] [7]
[S.S_Disco personal] Espacio de almacenamiento personal [3] N/A N/A [6] [5]
[S.S_Unidad X] Directorios de almacenamiento departamental [5] N/A N/A [6] [7]
[S.S_Espacio_Cedidos] Foros y espacios web cedidos [3] N/A N/A [6] [7]
[S.S_Wifi] Servicio Wifi, Freenet y EduRoam [4] N/A N/A [4] [7]
[S.S_Forja] Gestión de proyecto Forja UJI [1] N/A N/A [4] [7]
[S.S_Correo] Correo Corporativo [7] N/A N/A [7] [7]
[S.S_Portal] Portal UJI [7] N/A N/A [7] N/A
[S.S_AV] Aula virtual [7] N/A N/A [7] [7]
[S.S_NAVOracle] Entorno de aplicaciones de gestión [7] N/A N/A [7] [7]
[S.S_eUJIer] Entorno de gestión administrativa eUJIer [7] N/A N/A [7] [7]
[S.S_Aula Informatica] Servicio de aulas informáticas [7] N/A N/A N/A N/A
[S.S_Mesas Multimedia] Servicio de mesas multimedia [7] N/A N/A N/A N/A
[S.S_Impresion remota] Servicio de impresión remota [3] N/A N/A [7] [5]
[S.S_Auditoría red servidores] Servicio de auditoría previa red académica de servidores [2] N/A N/A N/A N/A
[S.S_Quioscos] Servicio de quioscos biblioteca [3] N/A N/A N/A N/A
[S.S_Biblioteca] Servicio catalogo de biblioteca [3] N/A N/A N/A N/A
[S.S_Agenda] Servicio de agenda Exchange [5] N/A N/A [7] [7]
[S.S_Soporte docencia] Servicio de soporte docencia [5] N/A N/A N/A N/A
[S.S_Tenda] Servicio de tienda virtual [2] N/A N/A [5] [7]
[S.S_Control de accesos y presencia] Servicio de control de accesos y presencia [7] N/A N/A [7] [7]
[S.S_SMS] Servicio SMS [7] N/A N/A N/A [2]
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI
• Sistema de gestión• Portal
• ¿Otros?• Aula virtual• Servicio de correo electrónico
• El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información
[S] Servicios D I C A T
[S.S_Listas distribución] Servicio de listas de correo [6] N/A N/A [6] [7]
[S.S_CAU] Servicio de atención al usuario [5] N/A N/A [5] [5]
[S.S_Calculo] Servicio de cálculo científico [3] N/A N/A [4] [3]
[S.S_DSpace] Servicio de repositorio documental [3] N/A N/A [6] [7]
[S.S_Multimedia] Servicio de multimedia [1] N/A N/A [5] N/A
[S.S_LDAP] Servicio de directorio [3] N/A N/A [7] N/A
[S.S_miUJI] Servicio de mensajería instantánea [1] N/A [4] [6] N/A
[S.S_Alfresco] Servicio de Gestión documental [5] N/A N/A [5] [7]
[S.S_VPN] Servicio Conexión Remota VPN [6] N/A N/A [6] [7]
[S.S_Disco personal] Espacio de almacenamiento personal [3] N/A N/A [6] [5]
[S.S_Unidad X] Directorios de almacenamiento departamental [5] N/A N/A [6] [7]
[S.S_Espacio_Cedidos] Foros y espacios web cedidos [3] N/A N/A [6] [7]
[S.S_Wifi] Servicio Wifi, Freenet y EduRoam [4] N/A N/A [4] [7]
[S.S_Forja] Gestión de proyecto Forja UJI [1] N/A N/A [4] [7]
[S.S_Correo] Correo Corporativo [7] N/A N/A [7] [7]
[S.S_Portal] Portal UJI [7] N/A N/A [7] N/A
[S.S_AV] Aula virtual [7] N/A N/A [7] [7]
[S.S_NAVOracle] Entorno de aplicaciones de gestión [7] N/A N/A [7] [7]
[S.S_eUJIer] Entorno de gestión administrativa eUJIer [7] N/A N/A [7] [7]
[S.S_Aula Informatica] Servicio de aulas informáticas [7] N/A N/A N/A N/A
[S.S_Mesas Multimedia] Servicio de mesas multimedia [7] N/A N/A N/A N/A
[S.S_Impresion remota] Servicio de impresión remota [3] N/A N/A [7] [5]
[S.S_Auditoría red servidores] Servicio de auditoría previa red académica de servidores [2] N/A N/A N/A N/A
[S.S_Quioscos] Servicio de quioscos biblioteca [3] N/A N/A N/A N/A
[S.S_Biblioteca] Servicio catalogo de biblioteca [3] N/A N/A N/A N/A
[S.S_Agenda] Servicio de agenda Exchange [5] N/A N/A [7] [7]
[S.S_Soporte docencia] Servicio de soporte docencia [5] N/A N/A N/A N/A
[S.S_Tenda] Servicio de tienda virtual [2] N/A N/A [5] [7]
[S.S_Control de accesos y presencia] Servicio de control de accesos y presencia [7] N/A N/A [7] [7]
[S.S_SMS] Servicio SMS [7] N/A N/A N/A [2]
[D] Datos D I C A T
[D.D_BBDD Oracle] Datos BBDD institucional + procedimientos internos N/A [8] [8] [7] [7]
[D.D_Listras de distribución] Datos listas de distribución N/A [6] [0] N/A N/A
[D.D_Logs] Datos registro de navegación y acceso N/A [8] [8] [8] [8]
[D.D_Aula virtual] Datos del aula virtual N/A [5] [5] N/A N/A
[D.D_Buzones] Datos de buzones de correo N/A [8] [8] N/A N/A
[D.D_SVN] Datos de repositorio de codigo N/A [4] [0] N/A N/A
[D.D_Cedidos] Datos específicos de espacios cedidos N/A [4] [6] N/A N/A[D.D_Ficheros de unidades] Ficheros de unidades administrativas o departamentos N/A [8] [6] N/A N/A
[D.D_Ficheros usuarios] Ficheros personales de usuario N/A [5] [7] N/A N/A
[D.D_Datos gestión documental] Datos de soporte a la gestión documental N/A [8] [6] N/A N/A
[D.D_Objetos multimedia] Datos objeto multimedia N/A [1] [0] N/A N/A
[D.D_Documentos repositorio] Datos documentos repositorios DSpace N/A [5] [0] N/A N/A
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Identificación de las medidas del Anexo II que son de aplicación en función de la categoría del sistema y sustitución o adición de las mismas en la declaración de aplicabilidad del SGSI-UJI
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
• Incumplimiento formal de las medidas de seguridad exigidas en el Anexo II para la valoración del sistema. •Existencia de riesgos no asumibles por la Universidad desde la perspectiva del ENS.
Las insuficiencias detectadas se incluirán en el plan de mejora de la seguridad.
Plan de adecuación al ENS
1. Revisión de la política de seguridad existente
2. Revisión del inventario de activos (información y servicios) y categorización
3. Declaración de aplicabilidad adaptada al ENS
4. Auditoría ENS: insuficiencias del sistema
5. Plan de mejora de la seguridad
Para cada insuficiencia detectada en relación con el ENS se han propuesto iniciativas individuales en las que se incluye:
1. Insuficiencia que subsana.
2. Plazo previsto de ejecución, indicando fecha de inicio y fecha de terminación y, en su caso, hitos intermedios.
3. Estimación del coste.
Marco Organizativo
Procedimientos
• Difusión de la política
• Notificación de cambios
• Aceptación de la política de seguridad
Política de seguridad y Normativas
• SGSI ISO 27000
• Autorizaciones:
• uso de instalaciones
• entrada de equipos en producción
• aplicaciones
• enlaces de comunicaciones
• equipos móviles
Marco Operacional
• Arquitectura de seguridad
• Mejora del proceso de adquisición
• Análisis de riesgos
• Alineación con la arquitectura de seguridad
• Necesidades técnicas , de formación y de financiación
• Dimensionamiento y gestión de la capacidad de los sistemas (necesidades de procesamiento, almacenamiento, red, instalaciones, personal…)
Planificación
Control de accesos
• Segregación de tareas
• Acreditación de la recepción de credenciales de usuario
• Información del último acceso efectuado
• Gestión de configuración y cambios en infraestructura (concretar)
• Gestión de incidencias
• Aplicación de medidas urgentes
• Prevención de la repetición de incidencias
• Protección de claves criptográficas (destrucción)
• Acuerdos de nivel de servicio
• Calidad mínima del servicio y medición periódica
• Consecuencia del incumplimiento
Explotación
Continuidad del servicio
• El Plan de Continuidad del Negocio excede los mínimos exigibles marcados por el ENS
Medidas de Protección
• Medidas de control de temperatura, humedad, incendios, inundaciones
Instalaciones
Protección de los soportes de información• Sólo los de copias de seguridad
• Prohibición genérica de guardar información de la Universidad en soportes externos
•Protección criptográfica
• Caracterización del puesto de trabajo
• Concienciación y formación
Gestión de personal
Protección de las comunicaciones• Ninguna salvedad relevante
Protección de los equipos• Puesto de trabajo despejado y protección de portátiles
• Duplicidad de criterios de valoración
• Marcado de información en papel
• Limpieza de documentos (campos ocultos, metadatos o comentarios)
Protección de la información
• Correo: externalizado, copias de seguridad de buzones críticos
• Web: ausencia de normas específicas (XSS, escalado de privilegios, manipulación de cookies…)
• DoS: nivel de protección adecuado
Protección de los servicios
Gracias por su atención