1

Esquemas Nacionales de Seguridad e Interoperabilidad Sesión Tecnológica 2,

Adecuación e implantación del ENS en el Ministerio de la Presidencia

y el rol de la CMAE

Manuel Jerónimo García Sánchez ,Vocal Asesor del Ministerio de la Presidencia Secretario de la CMAE

2

Contenido

Introducción

Origen y dinámica del proyecto

Objetivos

Hitos logrados

Organización de la Seguridad en el Mº de Presidencia

Comité de Seguridad

Documentos

Plataforma CIRCA (MPTyAP)

3

Introducción

El objeto de esta presentación es informar sobre el proyecto de la implantación del Esquema Nacional de Seguridad que se está llevando a cabo, a iniciativa de la CMAE, en el Ministerio de Presidencia, Organismos dependientes y en Presidencia de Gobierno y que empezó hace cerca de un año.

4

� Marzo de 2010 inquietud de los miembros de la CMAE planteada en el Pleno.En la CMAE del Mº Presidencia están representados tanto los organismos que dependen del Mº (CSD, Patrimonio Nacional, Consejo de Investigaciones Sociológicas, Muface etc) como tres organizaciones de Presidencia (Secretaria General, Seguridad Moncloa y el DISSC).En aquel momento estaba también buena parte de antiguo MAP (DG Impulso, 060, INAP etc) que después pasaron al Mº de Administración Territorial.� Abril CMAE La Directora General decidió la creación de un Grupo de Seguridad con representación de todos los organismos y se pidió a un componente de la CMAE que redactase unos términos de referencia y que los organismos le enviasen los componentes del grupo. � Mayo se aprueban los términos de referencia y se hace un prediseño del proyecto.� Junio 9 Se presenta el proyecto en un acto que participan MAP, CCN, MºSanidad (experiencia 27001). Con sus diferentes fases etc.

Origen y dinámica

5

El objetivo de la primera fase era :� Desarrollar y Consensuar los modelos de documentos que facilitasen la elaboración a cada organismo.

- Su Política de Seguridad- Su documento de Alcance. La Organización de la Seguridad es decir nombramientos y

constitución del Comité de Seguridad- Su documento de Adecuación para Enero de este año.

�Formar a los componentes de grupos de Seguridad en realizar un Análisis de Riesgos mediante la herramienta PILAR.Como parte de la formación y colaboración se creó en la Intranet del Ministerio un espacio de trabajo con todo lo necesario.

Objetivo fase 1

6

Dificultades previstas

En opinión de los Responsables de TI la principal dificultad que preveían era que los Responsables de los organismos liderasen la implementación del ENS nombrando los Responsables de la Información y los responsables de los Servicios y el establecimiento del Comité de Dirección para tener un respaldo a la implementación de las Políticas.

Para ello se pedía que en el Ministerio como órgano más importante se comprometiera al más alto nivel posible de tal manera que su influencia ‘irradiara’ a todos los organismos.

Una dificultad añadida fue que en el Ministerio tras el Verano se cambió el Ministro y más tarde el Subsecretario, con lo que había que empezar de nuevo la concienciación. Y además se separaba una buena parte de la CMAE que se iba al Ministerio de Política Territorial

Dificultades previstas e imprevistas

7

Hitos logrados

� Sep 21 Curso de PILARVarias reuniones del grupo con diferentes documentos auxiliares� Oct Ejemplo de Documento de Alcance� Nov Ejemplo de Documento de Política� Nov Ejemplo de Organización de la Seguridad� Dic Ejemplo de Organización de la Documentación de SeguridadEstos cuatro documentos los consideramos la base para que se pudieran adaptar a cada organismo y que hiciera la Política de Seguridad y el Plan de Adecuación� Dic y marzo Cursos de Seguridad en Aplicaciones webA partir de esta fase el Sistema se alimenta de documentos reales generados por los organismos, principalmente por el propio Ministerio

8

Mº Presidencia : Organización de la Seguridad

La organización de la Seguridad se promueve con la asignación de personas a roles y disponibilidades, en el ministerio seestableció acorde a la Guía 801 en donde los roles se encuadran en tres bloques:

9

Definición de requisitos de seguridad

Implementación de los controles que satisfagan esos requisitos.Cuidar de que funcionen

Vigilar que se cumplen los requisitos de seguridad (Inspección, auditoria ) Organización STIC

RESPONSABLE DEL ORGANISMORESPONSABLES DE LA INFORMACIÓN (o Propietarios)RESPONSABLES DE LOS SERVICIOS (o Propietarios)

Responsable del Sistema Organización TICAdministradores de Seguridad De red, Sistemas etc.

Responsable de Seguridad de la Información

10

Definición de requisitos de seguridad

Implementación de los controles que satisfagan esos requisitos.Cuidar de que funcionen

Vigilar que se cumplen los requisitos de seguridad (Inspección, auditoria ) Organización STIC

RESPONSABLE DEL ORGANISMORESPONSABLES DE LA INFORMACIÓN (o Propietarios)RESPONSABLES DE LOS SERVICIOS (o Propietarios)

Responsable del Sistema Organización TICAdministradores de Seguridad De red, Sistemas etc.

Responsable de Seguridad de la Información

COMITÉDE

SEGURIDAD

11

Comité de Seguridad

En Enero se constituyó el Comité de Seguridad con los siguientes componentes:

RESPONSABLE del m áximo nivel de representación

Responsable de la Información Ministro o en quien delegue

Responsable de los Servicios Subsecretaria o en quien delegue

Responsable de la Seguridad de la Información

Un representante de máximo nivel cadaÁrea operativa o en quien delegue

Responsable de los Sistemas de Información

Subdirectora General de T y SI

SecretarioAdministrador de Seguridad de la

Subdirección General de T y SI

FUNCIÓN

12

Hitos del Comité

En Enero se aprobó la Política de Seguridad del Ministerio y la Evaluación de la Situación actual y el Plan de Adecuación para cumplir en tiempo y forma con lo requerido en el ENS.

En marzo se han aprobado las dos Normas sobre utilización del Acceso a Internet y del Uso del correo electrónico

Por otra parte se ha efectuado unas primeras versiones del Análisis de Riesgos y se está en la redacción de los procedimientos y securización de los Sistemas.

Dado que la concienciación es uno de los temas más importantes se estádesarrollando un curso de Seguridad para usuarios y unas charlas de divulgación del ENS para directivos.

13

Documento de Política de Seguridad

14

Plan de adecuación

15

Valoración del Cumplimiento

16

Documento Plan de adecuación

17

Plan de mejora : 18 proyectos con calendario

18

Política y Alcance => CategorizaciónPolítica = Estructura Organización de la Seguridad oblig

Normas = Políticas = requisitos desarrollados a partir de la Política que es la piedra angular

Procedimientos Operativos de Seguridad (POS) Descripción de los controles a implementar para satisfacer las Normas.

Como se implementan en diferentes equipos (scripts, pantallas etc).

19

Normas de uso de Internet

20

Normas de uso de Internet

21

Revisión de documentos aconsejada

Revisión por encima de las Normas de Seguridad nacional NS/03 y NS/04.

ISO 27002:2005 resumen para ver un enfoque de aproximación sistemática a la Gestión de la SeguridadGuías ENS

Públicas https://www.ccn-cert.cni.es/ pulsar en ENS

22

Documentación generada

La documentación generada con categoría de ejemplo comentado se ha puesto en el repositorio del ENS en SARA

Grupo de trabajo AGE:https://circa.map.es/Members/irc/csi/ens/home

La documentación del Ministerio se ha distribuido a los componentes de la CMAE.

EL plan es, que conforme se generen nuevos documentos, anonimizarlos y ponerlos en el repositorio de SARA para que otros organismos puedan utilizarlos.

Asimismo se va a utilizar todos los documentos que los demás organismos pongan a disposición de los demás

SE ANIMA A TODOS A PARTICIPAR Y COMPARTIR INFORMACIÓN

23

Plataforma CIRCA

24

Muchas graciaspor su atención

Si alguna persona de la Administración desea los documentos públicos generados hasta ahora que envíe un correo a :

garciasanchezmj@mpr.es