“seguridad en la red de área extensa de propósito general” · pdf...

1USO PÚBLICO© Unidad de Operaciones de Seguridad

“Seguridad en la Red de Área Extensa de Propósito General”

Logros y desafíos

2USO PÚBLICO© Unidad de Operaciones de Seguridad

Índice de contenidos1. Antecedentes.2. ¿Qué es CCEA?3. Creación del CCEA.4. Nuevo escenario.5. Los servicios del CCEA.6. Algunos indicadores del CCEA.7. Balance de la singladura.8. El PDCIS y la seguridad.9. La seguridad para el CCEA.10. Controles de seguridad en WAN PG.11. Conclusiones.

3USO PÚBLICO© Unidad de Operaciones de Seguridad

Antecedentes (I)

IBM IBM

IBM IBM

Ejército de Tierra Armada

Ejército del AireSede Central (OC)

4USO PÚBLICO© Unidad de Operaciones de Seguridad

Antecedentes (II)

IMPLICACIONES•Estructuras de Dirección de los Sistemas de Información de carácter departamental.•Gestión de los Recursos Humanos TIC a nivel departamental.

5USO PÚBLICO© Unidad de Operaciones de Seguridad

¿Qué es CCEA?

Orden DEF/315/2002, de 14 de Febrero: Plan Director de Sistemas de Información y

Telecomunicaciones del MINISDEF.“Se concentrarán los actuales Centros de Proceso de

Datos y Explotación en un único Centro de Explotación y Apoyo, ubicado en dos emplazamientos distintos. Dicho Centro asumirá la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa.”

6USO PÚBLICO© Unidad de Operaciones de Seguridad

Creación del CCEA

Instrucción 236/2002, de 7 de Noviembre: Creación del Centro Corporativo de Explotación y

Apoyo para los Sistemas de Información y Telecomunicaciones del MINISDEF.

“Misión: Asumir la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa”

“Sistemas de mando y control militar: responsabilidad del Jefe del EMAD. CCEA únicamente apoyo cuando se determine.”

Queda encuadrado en la SDG de Servicios Técnicos y Telecomunicaciones.Comienza sus actividades el 15 de Julio de 2003.

7USO PÚBLICO© Unidad de Operaciones de Seguridad

Nuevo escenario (I)

IBM

Centro Corporativode Explotación y Apoyo

del Ministerio de Defensa

Emplazamiento en TN

Emplazamiento en TN Emplazamiento en TN

Emplazamiento en TN

Fuerzas desplegadas en Misiones de Pazy organizaciones internacionales

8USO PÚBLICO© Unidad de Operaciones de Seguridad

Nuevo escenario (II)IMPLICACIONES

•Voluntad de centralización de la gestión y explotación de la infraestructura tecnológica, con criterios de eficiencia y eficacia al servicio de toda la corporación.•¿Se han adaptado las estructuras TIC del OC para asumir la Dirección de los Sistemas de Información de toda la corporación?•¿Han asumido todos los departamentos ministeriales la nueva visión corporativa de la gestión TIC?•¿Se ha actualizado el modelo de gestión de los RRHH al nuevo escenario corporativo?

9USO PÚBLICO© Unidad de Operaciones de Seguridad

Los servicios del CCEA

1. Procesamiento de datos.2. Administración de BBDDs.3. Centro de Atención al Usuario.4. Comunicaciones de datos.5. Comunicaciones de voz.6. Distribución, inventario y gestión de activos TIC

del MINISDEF.7. Administración del correo electrónico corporativo

y del entorno de trabajo colaborativo IBM LOTUS.

10USO PÚBLICO© Unidad de Operaciones de Seguridad

Los servicios del CCEA (II)8. Establecimiento, gestión y mantenimiento del

Sistema de Calidad, con definición del catálogo de servicios del Centro.

9. Acceso corporativo centralizado a Internet.10. Gestión de la publicación de los contenidos web

del Ministerio en Internet.11. Administración y explotación de las plataformas

de los diversos Sistemas de Información de la Intranet.

12. Protección de datos y sistemas. Continuidad del servicio.

11USO PÚBLICO© Unidad de Operaciones de Seguridad

Algunos indicadores del CCEA (I)

Conectividad (en Territorio Nacional y ZOs):

6 emplazamientos tipo N (aproximadamente 6.000 usuarios).

16 emplazamientos tipo 1 (aproximadamente 9.000 usuarios).

120 emplazamientos tipo 2 (aproximadamente 23.000 usuarios).

268 emplazamientos tipo 3 (aproximadamente 10.000 usuarios).

292 emplazamientos tipo 4 (aproximadamente 2.000 usuarios)

12USO PÚBLICO© Unidad de Operaciones de Seguridad

Algunos indicadores del CCEA (II)Atención al usuario: 11.402 llamadas recibidas (Sep-06)

13USO PÚBLICO© Unidad de Operaciones de Seguridad

Algunos indicadores del CCEA (III)

Usuarios del sistema Lotus Domino administrados:• Usuarios Lotus Notes con cuenta de correo interno: 80.000• Usuarios Lotus Notes con cuenta de correo externo: 35.893• Aplicaciones “workflow” de trabajo colaborativo administradas: 89

10.000

15.000

20.000

25.000

30.000

35.000

40.000

2004 2005 2006

Usuarios con acceso a Internet y correo Notes

14USO PÚBLICO© Unidad de Operaciones de Seguridad

Algunos indicadores del CCEA (IV)

Plataformas en explotación:• Mainframe OS/390-z/OS• Sistemas Operativos Windows/UNIX-Linux: 250 aprox.• SGBDs: ADABAS, DB2, SYBASE, ORACLE, SQL 2000,

Tamino

Implantación y administración de PKI:• Fase I: 1.500 usuarios (en ejecución).• Próximas fases: Extensión a toda la organización.• Centro de Personalización de Tarjetas del

Ministerio.

15USO PÚBLICO© Unidad de Operaciones de Seguridad

Algunos indicadores del CCEA (V)

Conectividad voz:• Gestión de 8.000 líneas móviles.• Gestión de 87.000 líneas en territorio nacional.• Gestión de 300 equipos para comunicaciones satélite.• Gestión de 650 centrales.• Gestión de 80 proyectos de mejora de cobertura en

emplazamientos MINISDEF.• Gestión de Guía Telefónica Unificada y control de gasto

telefónico.

16USO PÚBLICO© Unidad de Operaciones de Seguridad

Balance de la singladura (I)

Nuestra vocación“Ofrecer un servicio TIC de calidad a toda la organización MINISDEF y, en particular, a las Fuerzas Armadas.”

24 x 7 x 36524 x 7 x 365

17USO PÚBLICO© Unidad de Operaciones de Seguridad

Balance de la singladura (II)

Nuestras prioridades1. “Garantizar, conforme a unos Acuerdos de

Nivel de Servicio, todas las actividades TIC que soportan los procesos de la organización MINISDEF y, especialmente, aquellos de carácter crítico”.

2. Generar confianza en el usuario: “Disponibilidad permanente”.

18USO PÚBLICO© Unidad de Operaciones de Seguridad

¡¡¡Un poquito de … (seguridad) … por favor!!!

Implicaciones “seguras” de las líneas generales del PDCIS:

• Sistema de Información específico del Área funcional de Seguridad: Sistema de Identificación y Control de Acceso Físico.

• Infraestructura tecnológica:– Implantación de 2 WAN: Propósito General y Mando y

Control Militar.– Dominio único para la WAN de Propósito General.– Gestión de identidades: Directorio Corporativo único.– Infraestructura de Clave Pública.– Tarjeta Electrónica del Ministerio de Defensa (TEMD).

19USO PÚBLICO© Unidad de Operaciones de Seguridad

“Lectura de cabecera”• Orden Ministerial 76/2006: Política de Seguridad de la

Información del Ministerio de Defensa.• Orden Ministerial 76/2002: Política de Seguridad para la

protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por SI,s y telecomunicaciones (en proceso de revisión).Definición del concepto de AOS (Autoridad Operacional del Sistema): Responsable del desarrollo, operación y mantenimiento del Sistema durante su ciclo de vida: de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento.

• Real Decreto 421/2004: Regulación del Centro Criptológico Nacional.Series CCN-STIC (normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración)

• Criterios de Seguridad, Normalización y Conservación para las aplicaciones utilizadas para el ejercicio de potestades (MAP).

20USO PÚBLICO© Unidad de Operaciones de Seguridad

La seguridad para el CCEAResponsabilidades:• Supervisión y análisis de las actividades de usuarios y

administradores de la WAN PG:SOs y software malicioso.Infraestructura de red.BDs y aplicaciones.

• Administración de Sistemas de Seguridad.Gestión PKI.Seguridad de las instalaciones y personal CCEA.

21USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (1)

Consideraciones previas:

• El SEDEF ha nombrado al Inspector General CIS como AOS de la WAN PG.

• La Inspección General CIS ha determinado que en la WAN PG se manejará información hasta nivel DIFUSIÓN LIMITADA (clasificación que se aplicará a activos de información cuya revelación no autorizada pudiera ir en contra de los intereses y la misión del Ministerio de Defensa).

22USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (2)

Implantación de un dominio único para todas las LAN de Propósito General:Beneficios:

• Control de inventario.• Control de configuración.• Actualización permanente del SW de las

estaciones.• Distribución centralizada de software.• Administración remota.• Implantación de directivas de seguridad.

23USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (3)

Directorio Corporativo de DefensaBeneficios:

• Gestión de identidades de los usuarios de los diferentes servicios de la WAN PG.

24USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (4)

Infraestructura de Clave Pública (PKI) y Tarjeta Electrónica (TEMD) del Ministerio de DefensaBeneficios:

• Servicios básicos: Autenticación en Sistemas, cifrado y firma electrónica.

• Otros servicios: credencial de acceso a instalaciones.

• En el futuro: fusión con la Tarjeta Militar de Identidad.

25USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (5)

Revisión del Plan de Contingencias de los SIsBeneficios:

• Continuidad de los procesos críticos del Ministerio soportados por SIs

• Definido en los nuevos sistemas que se implantan.

• En proceso de adaptación para los sistemas heredados.

26USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (6)

Soluciones a las necesidades de interconexión con el exterior:Beneficios:

• Hasta 2006:– gestión de una DMZ para servicios de correo

electrónico, navegación a Internet y alojamiento de los principales sitios web publicados.

– Soluciones a medida para interconexión con entidades colaboradoras y personal propio desplazado

27USO PÚBLICO© Unidad de Operaciones de Seguridad

InternetInternet

Red Corporativa WAN PGRed Corporativa WAN PG

ISPISP

TercerosTerceros

PSTNPSTN

FR/ATMFR/ATM

Intranet Administrativa AGEIntranet Administrativa AGE

Usuarios ExternosUsuarios ExternosNodo Servicios Web InternosNodo Servicios Web Internos

DistribuciónDistribución

NETMA

Red Remota PGRed Remota PG

Nodo Servicios Web ExternosNodo Servicios Web Externos

• Actual Servicio Hosting

• Nuevos servicios Web corporativos a ciudadanos

Nodo Internet CorporativaNodo Internet Corporativa

• Servicios de Correo Corporativo

• Acceso a Internet Corporativo

Nodo Redes RemotasNodo Redes Remotas

• Acceso VPN/IPSec a WAN PG

• Modelo de Arquitectura para Redes Remotas de Propósito General

Nodo Nodo ExtranetExtranet

• Modelo de Arquitectura para el Nodo Extranet del MINISDEF

• Terceros, VPN SSL, Móviles, PDA, Intranet Administrativa, RDSI/RTB

•Servicios Web Intranet• B.O.E.• mdef.es• EMAD• etc.

Usuarios MINISDEFUsuarios MINISDEF

ExteriorExteriorMDEFMDEF MDEF MDEF –– Servicios Internet/ExtranetServicios Internet/Extranet

Controles de seguridad en WAN PG (6)Soluciones a las necesidades de interconexión con el exterior desde 2007: Nodo INET

28USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (7)

Gestión y monitorización de eventos de seguridad (SIM):Beneficios:

• Conocimiento en tiempo real de lo que ocurre en los sistemas de la WAN de PG.

• Toma de decisiones para prevenir y, en su caso, defenderse.

• Entorno con elevado grado de automatización.• Obtención y conservación de evidencias.

29USO PÚBLICO© Unidad de Operaciones de Seguridad

Datos

Información

Conocimiento

IncidenteIncidente

Análisis de situaciónAnálisis de situación

Análisis de amenazasAnálisis de amenazas

Descubrimiento de patronesDescubrimiento de patrones

Consolidación / PrioritizaciónConsolidación / Prioritización

CorrelaciónCorrelación

NormalizaciónNormalización

FiltradoFiltrado

RecogidaRecogida

Recolección

Centralización

ExplotaciónValor para la O

rganización

Gestión y monitorización de eventos de seguridad: LogICAControles de seguridad en WAN PG (7)

30USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (7)Gestión y monitorización de eventos de seguridad: LogICA

31USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (7)Gestión y monitorización de eventos de seguridad: LogICA

32USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (8)

Ejecución de auditorías externas:Beneficios:

• Verificación independiente de los niveles de seguridad.

• En 2004 y 2005, ejecutadas sobre DMZ Nodo Internet y sobre servicios webpublicados en Internet.

33USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (9)

Control y gestión de las redes WIRELESS desplegadas:Beneficios:

• Carácter restrictivo.• Concesión de autorización por la AOS de la WAN.• Configuración conforme a la Guía de Seguridad

CCN-STIC-406 “Seguridad en redes inalámbricas basadas en el estándar 802.11”.

34USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (10)

Securización de todos los dispositivos TIC de la WAN (servidores, WS, electrónica de red, …):Beneficios:

• Establecimiento de una configuración segura de los dispositivos más allá de las configuraciones comerciales “de serie”.

• Conforme a las guías elaboradas por el Centro Criptológico Nacional..

35USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (11)

Gestión y control de terminales móviles (portátiles y PDAs):Beneficios:

• La información de la WAN PG no debe “bajar” a ningún dispositivo móvil o portable que no implemente mecanismo de cifrado certificado a nivel nacional.

• Configuración conforme a la Instrucción Técnica CCN-STIC-301 (Requisitos STIC).

36USO PÚBLICO© Unidad de Operaciones de Seguridad

Controles de seguridad en WAN PG (12)

Revisión de las directrices de declaración de ficheros sujetos a LOPD:Beneficios:

• Aportar una visión corporativa, más allá de las visiones departamentales, que aporte sencillez y funcionalidad al elevado número de ficheros declarados.

37USO PÚBLICO© Unidad de Operaciones de Seguridad

Conclusiones: “Balance de 3 años”

TECNOLOGÍANORMATIVA

ORGANIZACIÓN

Seguridad TIC

38USO PÚBLICO© Unidad de Operaciones de Seguridad

Conclusiones: “Tareas pendientes”

Gestión de la impresión en la WAN de PG: Evitar la copia indiscriminada de información del Ministerio (cuando el carácter de la información lo aconseje).Imbricar todas las iniciativas descritas en un Sistema de Gestión de Seguridad de la Información (ciclo PDCA: ISO 27001).Implantar un Centro de Operaciones de Seguridad (SOC).Proseguir en la concienciación y sensibilización de los usuarios de la WAN de PG (la primera y más sencilla puerta de entrada).

39USO PÚBLICO© Unidad de Operaciones de Seguridad

Muchas gracias por su atenciónCte. Jesús Gómez Ruedas

jgomezru@et.mde.es