adecuación de los sistemas del si al esquema nacional de ... · esquema nacional de seguridad...
TRANSCRIPT
Adecuación de los sistemas del SI al Esquema Nacional de Seguridad
Manuel Jerez Cárdenes
Page 2
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
2
Page 3
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
3
Page 4
Adecuación de los sistemas del SI al ENS
Situación Actual
4
Page 5
Adecuación de los sistemas del SI al ENS
Situación Actual
5
Page 6
Adecuación de los sistemas del SI al ENS
Situación Actual
6
¿Y si fuera la ULPGC el objetivo del ataque?
Page 7
Adecuación de los sistemas del SI al ENS
Situación Actual
Hasta ahora se han implantado controlestécnicos de protección sin gestión. Estos controles si bien pueden haber solucionado
la problemática a corto plazo, no se han realizadoanalizando el SI en su conjunto. Es decir, hemos hecho de apaga fuegos.
7
Page 8
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
8
Page 9
Adecuación de los sistemas del SI al ENS
1) Antecedentes
9
Código de buenas prácticasBS 17799
Ley 11/2007Acceso electrónicociudadanos a SP
22 de Junio 8 de Enero
Real Decreto 3/2010
2000
ISO 27001
Artículo 42
Estándar Internacional
2009
ISO 27000ISO 20000ITIL
Page 10
Adecuación de los sistemas del SI al ENS
1) Antecedentes
10
Page 11
Adecuación de los sistemas del SI al ENS
1) Antecedentes
11
Plan (planificar): Diseñar
Do (hacer): Implantar
Check (controlar): Revisar y evaluar
Act (actuar): Mejorar
Page 12
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
12
Page 13
Adecuación de los sistemas del SI al ENS
2) Objetivos
13
Política de Seguridad
Requisitos mínimos
Principios básicos
Proteger Información
Page 14
Adecuación de los sistemas del SI al ENS
2) Objetivos Ámbito de aplicación ENS:
Plazos: 12 meses (30 Enero 2011) 48 meses (30 Enero 2014)
14
AAPP CiudadanosAAPP
Vinculadas
Universidades Públicas
Plan de Adecuación
Page 15
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
15
Page 16
Adecuación de los sistemas del SI al ENS
3) Plan de adecuación
16
GuíaCCN-STIC
806
Política de Seguridad
Información manejada
Servicios prestados
Categoría del sistema
Análisis de riesgos
Declaración de aplicabilidad
Datos de carácter personal
Insuficiencias del sistema
Plan de mejora
Page 17
Adecuación de los sistemas del SI al ENS
3) Plan de adecuación
17
GuíaCCN-STIC
801
Roles Comités
Responsable de la InformaciónResponsable del Servicio
Responsable de SeguridadResponsable del Sistema
Comité de Seguridad de la Información
Comité de Seguridad Corporativa
Organización de la
Seguridad
Page 18
Adecuación de los sistemas del SI al ENS
3) Plan de adecuación
18
GuíaCCN-STIC
803Dimensiones Valores
[D] Disponibilidad[A] Autenticidad[I] Integridad[C] Confidencialidad[T] Trazabilidad
AltoMedioBajoSin valorar
Page 19
Adecuación de los sistemas del SI al ENS
3) Plan de adecuación
19
Los niveles de seguridad de la información se imputarán a todoslos activos que manejen la información correspondiente.Los niveles de seguridad de los servicios se imputarán a todos losactivos que concurran para prestar el servicio correspondiente.La categoría de cada sistema se determina según el Anexo I delRD 3/2010.
AltaMediaBásica
Page 20
Adecuación de los sistemas del SI al ENS
Indice Situación actual
ENS
1) Antecendentes
2) Objetivos
3) Plan de Adecuación
4) Líneas de trabajo del SI
20
Page 21
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Qué se ha realizado hasta ahora?
Integración en el grupo de trabajo IRIS-ENS de RedIRIS.
i. Instituciones participantes: 60ii. Con Plan de Adecuación: 10iii. Reuniones mensuales
21
Page 22
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Qué se ha realizado hasta ahora?
Definición y aprobación del alcance por la dirección del SI:
i. Plataforma de administración electrónicaii. Web institucionaliii. Herramienta administrativa de gestión corporativa (ULPGES)
22
Page 23
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Qué se ha realizado hasta ahora?
Grupo de trabajo para evaluar el sistema de Administración Electrónica:
- 1 miembro de Desarrollo- 2 miembros de Sistemas- 1 miembro de la OTEA
23
Page 24
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Y ahora qué?
Análisis de riesgos del sistema de Administración Electrónica:
1.Identificación/Valoración de activos2.Categorización del sistema3.Identificación de amenazas y vulnerabilidades4.Identificación de salvaguardas
24
Page 25
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Y ahora qué?
25
Sistema Servicio Activo Confidencialidad Integridad Autenticidad Trazabilidad Disponibilidad NivelGlobal
eAdmin SedeServidor
deBBDD
Sin valorar Medio Medio Medio Medio Medio
eAdmin Registro Esquemade BBDD Alto Medio Medio Medio Medio Alto
Page 26
Adecuación de los sistemas del SI al ENS
4) Líneas de trabajo del SI¿Y ahora qué?
Definición de la Política de Seguridad. Evaluar el resto de sistemas en el Alcance del ENS. Declaración de aplicabilidad: el Responsable de Seguridad elaborará
una relación de las medidas que son de aplicación a los sistemas. Plan de mejora: serie de actuaciones destinadas a subsanar las
deficiencias detectadas. Aprobación de la Política de Seguridad y del Plan de Adecuación por la
dirección de la ULPGC.
26
Page 27
Adecuación de los sistemas del SI al ENS
Situación Actual
27
¿Qué ganará la ULPGC con la adecuación al ENS?
Page 28
Adecuación de los sistemas del SI al ENS
28