Embed Size (px)
Citation preview
*[ Adecuación al Esquema Nacional de
Seguridad: Un Enfoque Integral ]
Autor: Vanesa Gil Laredo
Responsable Consultoría S21Sec
CISA, CISM, CGEIT, CRISC, CDPP, Lead Auditor, QSA
Fecha: 15 Diciembre 2011
ÍNDICE
S21Sec, Servicios de Seguridad Informática
El Esquema Nacional de Seguridad
Servicio Integral de Adecuación al ENS
Plan de Adecuación
Asesoramiento Proceso Implantación ENS
Mantenimiento y Mejora Continua
Factores Críticos de Éxito
Pág. 2
S21Sec, Servicios de Seguridad Informática
8 oficinas en España
3 oficinas internacionales
2 partners internacionales
Nuestra diferencia:
El mayor equipo de
especialistas en seguridad digital
en España: 265 Empleados
La innovación como motor de
negocio.
Primer centro de I+D+i de
seguridad en Europa
La apuesta por la calidad y
las certificaciones como proceso
esencial
Una protección y prevención
ante incidentes 24x7x365
Una plataforma de gestión
integral
Pág. 3
Un modelo de Gestión integral de la Seguridad 24 horas. CIS
Desde los inicios, apostando por la innovación y el desarrollo de soluciones de vanguardia. Primer centro I+D+i de Europa
El mayor equipo en España de Seguridad Digital: 200 especialistas
Y siempre, calidad y certificaciones
NUESTRA DIFERENCIA
Pág. 4
Esquema Nacional de Seguridad (ENS)
El Real Decreto 3/2010, de 8 de enero, regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica, de obligado cumplimiento para las
Administraciones Públicas.
Desarrollado en base a lo establecido en el artículo 42.2 de la Ley 11/2007 de
acceso electrónico de los ciudadanos a los servicios públicos.
Objetivo: “La creación de las condiciones necesarias de confianza en el uso de los
medios electrónicos, a través de medidas para garantizar la seguridad de los
sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita
a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el
cumplimiento de deberes a través de estos medios”.
Si hubiera circunstancias que impidan la plena aplicación de lo exigido en el ENS,
se deberá definir un Plan de Adecuación que establezca los plazos de ejecución,
no pudiendo ser estos superiores a 48 meses.
Pág. 5
Servicio Integral Adecuación ENS
DESARROLLO DEL PLAN DE
ADECUACIÓN
Análisis de Servicios y Sistemas
Categorización de Sistemas
Análisis Situación Actual
Cumplimiento
Desarrollo Plan de Adecuación
IMPLANTACION DE MEDIDAS
DEL ENS
Necesidades Tecnológicas
Proyectos Cumplimiento ENS
Auditorías Técnicas
Proyectos Internos
SERVICIO INTEGRAL ADECUACIÓN ENS
MANTENIMIENTO Y
MEJORA CONTINUA
Gobierno de la Seguridad
Auditorías Periódicas
Formación y
Concienciación
Pág. 6
Plan de Adecuación ENS
Pág. 7
Plan de Adecuación ENS
La metodología empleada para el desarrollo del Plan de Adecuación al ENS es la
que se detalla a continuación:
Pág. 8
FASE PLAN Modelo PDCA ISO 27001
1.
Organización y Planificación
4.
Análisis Situación Actual de Cumplimiento
5.
Elaboración del Plan de
Adecuación
2.
Análisis de Servicios y Sistemas
3.
Categorización de Sistemas
Análisis de Servicios y Sistemas.
• Analizar los servicios de la organización incluidos en el alcance del ENS, identificando los
sistemas que soportan dichos servicios y la información asociada a los mismos.
• Documentación del alcance del ENS, detallando los servicios y sistemas incluidos en el
ámbito del ENS.
Categorización de los Sistemas.
• Categorización de los sistemas en base a los criterios definidos por el ENS.
• Determinación de las dimensiones de seguridad relevantes: Confidencialidad,
disponibilidad, integridad, autenticidad, trazabilidad.
• Evaluación del impacto (Bajo, Medio, Alto) para cada sistema en función de cada una de
las dimensiones de seguridad:
1. Alcanzar sus objetivos.
2. Proteger los activos a su cargo.
3. Cumplir las obligaciones de servicio.
4. Respetar la legalidad vigente.
5. Respetar los derechos de las personas.
• Categorización de cada sistema en función del impacto en las dimensiones de seguridad:
Básico, Medio, Alto.
Pág. 9
Plan de Adecuación ENS
Análisis de la Situación Actual de Cumplimiento.
• En función de la categoría del sistema establecida durante la fase anterior, se determinan
las medidas del ENS que resultan aplicables.
• Realización de un diagnóstico de situación actual de cumplimiento del ENS.
• Desarrollo del Informe de Análisis de Situación Actual de Cumplimiento del ENS.
Desarrollo del Plan de Adecuación.
• Desarrollo del Plan de Adecuación en el que se establezcan las medidas a adoptar para
garantizar la adecuación al ENS. El Plan contemplará todos los aspectos exigidos en la
Guía de Seguridad CCN-STIC 806:
1. Política de Seguridad
2. Información que se maneja, con su valoración.
3. Servicios que se prestan, con su valoración.
4. Datos de carácter personal.
5. Categoría del sistema o sistemas.
6. Declaración de aplicabilidad de las medidas del Anexo II del RD 3/2010,
7. Análisis de riesgos.
8. Insuficiencias del sistema.
9. Plan de mejora de seguridad.
Pág. 10
Plan de Adecuación ENS
MARCO ORGANIZATIVO
Política de Seguridad
Normativa de Seguridad Procedimientos de Seguridad
Proceso de Autorización Auditorías de Seguridad
MARCO OPERACIONAL
Planificación Control de Acceso
Explotación Servicios Externos
Continuidad de Servicio Monitorización de Sistemas
MEDIDAS DE PROTECCION
Instalaciones e Infraestructuras Gestión de Personal
Protección de Equipos Protección de Comunicaciones
Protección de Soportes Protección de Aplicaciones Protección de Información
Protección de Servicios
Pág. 11
Plan de Adecuación ENS
Porcentaje de Cumplimiento del ENS
13%
12% 15%
60%
Cumpliento Total (CT)
Cumpliento Parcial (CP)
Cumpliento Nulo (CN)
No Aplica (N/A)
Pág. 12
Marco Organizativo
Marco Operacional
Medidas de protección
25%
7%
39%
75%
93%
61%
Nivel Básico: Porcentaje de Cumplimiento del ENS de la SGPD
CT
CP
CN
N/A
Dimensiones Medidas de
Seguridad del ENS
Estado ENS Evaluación Medidas ENS
Sistema
Analizado
Nivel Dimen.
Resumen Situación Recomendaciones Propuestas
MEDIDAS DE NIVEL BÁSICO
Marco Organizativo
Acreditaciones
Agenda de Com. Bajo Org.1
Política de Seguridad
CP
La SGTSI ha desarrollado documentalmente una Política de Seguridad aplicable a los sistemas incluidos en el alcance de aplicación del ENS, aunque no ha sido formalmente aprobada. El contenido de la Política de Seguridad es el siguiente:
Introducción
Tareas del Ministerio de la Presidencia
Marco Normativo
Alcance de la Política de Seguridad
Utilización
Prevención, Detección y Respuesta ante Incidentes y Recuperación de los Servicios
Organización de la Seguridad
Datos de Carácter Personal
Gestión de Riesgos
Desarrollo de la Política
Obligaciones del Personal
Terceras Partes
Incumplimiento de la Política de Seguridad
Aprobar la Política de Seguridad por parte del órgano superior competente.
Acreditaciones
Agenda de Com. Bajo Org.2
Normativa de Seguridad
CP
No se han definido documentos normativos referentes al uso correcto de equipos, servicios e instalaciones, así como la definición de uso indebido, responsabilidades y consecuencias de su incumplimiento.
Se recomienda definir Normativas de Seguridad que describan los siguientes aspectos:
El uso correcto de los equipos, servicios e instalaciones.
La definición de uso indebido
La responsabilidad de cumplir la normativa de seguridad y consecuencias de su
Plan de Adecuación ENS
Asesoramiento Implantación
Esquema Nacional Seguridad
Pág. 13
Una vez que ha sido desarrollado el Plan de Adecuación, es necesario proceder a la
implantación de los proyectos que lo constituyen.
S21Sec propone un enfoque de carácter global, considerando la seguridad desde
un punto de vista integral.
Las acciones y proyectos que resulta necesario implantar para garantizar la
adecuación al Esquema Nacional de Seguridad se pueden agrupar en las siguientes
categorías:
1. Necesidades Tecnológicas para Cumplimiento ENS.
2. Proyectos para el Cumplimiento ENS.
3. Auditorías Técnicas.
4. Proyectos Internos.
Implantación ENS
Pág. 14
• Solución de Monitorización y Gestión de Eventos de Seguridad
• Solución de IDS/IPS
• Software Antivirus
• Solución de Monitorización de Políticas y Seguridad de Servidores
• Solución de Cifrado de Datos
Implantación ENS
1. Necesidades Tecnológicas
Pág. 15
Implantación ENS
2. Proyectos para Cumplimiento ENS
• Desarrollo del Cuerpo Normativo
• Consultoría de Securización de Arquitectura de Red
• Guías de Securización de Sistemas
• Metodología de Programación Segura
• Estructura Organizativa de Seguridad
• Análisis de Riesgos
• Plan de Continuidad de Negocio
• Formación y Concienciación
• Oficina Técnica ENS
Pág. 16
Implantación ENS
3. Auditorías Técnicas
• Auditoría Bienal ENS
• Análisis de Vulnerabilidades
• Test de Intrusión
• Auditorías de Código de Aplicaciones
Pág. 17
• Implantación de Medidas de Seguridad ENS.
1. Implantación de medidas de control de acceso lógico.
2. Implantación de medidas de control de acceso físico.
3. Implantación de Guías de Securización de Sistemas.
4. Implantación de medidas de desarrollo seguro de software.
5. Implantación de normativas y procedimientos de seguridad
6. Implantación de recomendaciones de auditorías periódicas.
7. Otros
• Mantenimiento de Logs de Sistemas (Registros de Auditoría).
• Segmentación y Securización de Arquitectura de Red.
• Implantación del Plan de Continuidad de Negocio.
Implantación ENS
4. Proyectos Internos
Pág. 18
Mantenimiento y Mejora
Continua
Pág. 19
Mantenimiento y Mejora Continua
Para garantizar la efectiva implantación del ENS es fundamental considerar el
modelo conocido como PDCA (Plan-Do-Check-Act).
Establecer
el Alcance
del SGSI
Monitorizar y
Revisar el SGSI
Mejorar
el SGSI
Diseñar e
Implantar el
SGSI
CICLO DE DESARROLLO,
MANTENIMIENTO Y MEJORA (PDCA)
Establecer
el Alcance
del SGSI
Establecer
el Alcance
del SGSI
Monitorizar y
Revisar el SGSI
Mejorar
el SGSI
Diseñar e
Implantar el
SGSI
Diseñar e
Implantar el
SGSI
CICLO DE DESARROLLO,
MANTENIMIENTO Y MEJORA (PDCA)
PLANIFICARPLANIFICAR (PLAN)
EJECUTAR (DO)
REVISAR (CHECK)
ACTUAR (ACT)
Pág. 1
Pág. 20
Bitacora constituye una herramienta eficaz para ayudar al cumplimiento del ENS.
Establecimiento de un cuadro de mandos que permite revisar y controlar, a través de los eventos
monitorizados, el cumplimiento de:
• Esquema Nacional de Seguridad.
• Estándar PCI DSS
• ISO 27001, ISO 27002,…
• Legislación vigente de protección de datos de carácter personal (LOPD, RLOPD).
Herramienta de gestión de logs de los sistemas incluidos en el alcance del ENS (host, firewalls,
routers, servidores, bases de datos, aplicaciones,…).
Permite disponer de indicadores, alertas y cuadros de mando en relación al cumplimiento, entre
otras, de las siguientes medidas de seguridad establecidas por el ENS:
• Control de Acceso Lógico (requisitos de acceso, mecanismos de autenticación, acceso
local, acceso remoto…)
• Protección frente a Código Malicioso.
• Gestión de Incidencias.
• Protección de las Comunicaciones.
• Registro de Accesos.
• Monitorización del sistema: Detección de Intrusión.
• Inventario de Activos.
Cuadro de Mandos: Bitacora ENS
Pág. 21
Mantenimiento y Mejora Continua
Cuadro de Mandos: Bitacora ENS
Factores Críticos de Éxito
Pág. 23
Factores Críticos de Éxito
Enfoque global de gestión de la seguridad de la información.
Apoyo por parte de la Dirección.
Aprobación de la Política de Seguridad y del Cuerpo Normativo de Seguridad.
Establecimiento de una Estructura Organizativa de Seguridad responsable de
garantizar la adecuación al ENS:
• Creación de un Comité de Seguridad.
• Asignación de roles y responsabilidades.
Colaboración de todas las áreas implicadas.
Formación y concienciación en materia de seguridad.
Revisión y mejora continua del SGSI.
Asesoramiento especializado.
Consideración de las Guías del CCN-STIC.
Pág. 24
