esquema nacional de seguridad guía para … · principios y requisitos de una política de ......

Esquema Nacional de SeguridadPágina 1

ESQUEMA NACIONAL DE SEGURIDADGuía para responsables

Ernst & YoungJunio 2011


INDICE

►Introducción►El Proceso


Introducción (I)

► ¿Qué es el Esquema Nacional de Seguridad (ENS)?

► El 29 de enero del año 2010 se publica en el BOE el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

► Este Reglamento, que da respuesta el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, establece los principios y requisitos de una política de segurida d en la utilización de medios electrónicos que permita la adecuada protección de la información .

► Tal como reza el propio Reglamento:

► “La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.”


Introducción (II)

¿Qué objetivos persigue?

► Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

► Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.

► Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.

► Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.


Introducción (III)

► ¿Qué se debe proteger?

Se decide agrupar los activos de información por áreas de información homogéneas, consiguiendo de esta forma la máxima efectividad con un esfuerzo menor, ya que se reducen las auditorias a ejecutar y por el contrario las medidas de cada grupo son aplicables a cada elemento de manera individual.


Introducción (IV)

¿Quién debe cumplirlo?

► Las Administraciones Públicas para garantizar la seguridad informática de los tramites online. Los sistemas deben aplicar los criterios establecido en el ENS desde su concepción.

¿Qué diferencia hay entre el responsable de la infor mación, el responsable del servicio, el responsable del sistema y el responsab le de seguridad?

► El responsable de información determina los requisitos de la información tratada. Suele ser un alto cargo. Un ejemplo del perfil de responsable de información sería el Director Gerente.

► El responsable del servicio determina los requisitos de los servicios prestados. Suele ser un jefe de servicio o equivalente, habitualmente jerárquicamente supeditado al responsable de la información. Un ejemplo del perfil responsable del servicio sería el Dirección del Servicio de Sistemas de Información Tributaria.


Introducción (IV)

► El responsable de seguridad , determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Tiene un perfil más técnico ya que su misión es asegurarse de que las medidas de seguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la información y los servicios. Un ejemplo del perfil de responsable de seguridad sería la Jefatura de Sección de Seguridad e Innovación

.► El responsable del sistema, constituye habitualmente el punto de contacto del

sistema, es en líneas generales el encargado de las operaciones del sistema y, desde el punto de vista operativo, conocer todos los elementos que constituyen el sistema y asegurar que existe autorización previa a su entrada en funcionamiento. Un ejemplo del perfil de responsable del sistema sería la Jefatura de Sección de Infraestructuras Tecnológicas.


Introducción (V)

► ¿Cómo se determina si ciertas aplicaciones estarían dentro del ámbito de aplicación del ENS?

Se requiere analizar si el supuesto planteado se trata de:

► Un sistema no relacionado con el ejercicio de derechos por medios electrónicos.

► Si no está relacionado con un cumplimiento de deberes por medios electrónicos.

► Si no está relacionado con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo.

Solo en el caso de no esté relacionado cabe la posibilidad de que las administraciones puedan determinar que no es de aplicación el ENS.


INDICE

►Introducción►El Proceso


El Proceso (I) Pasos para cumplir ENS

► 1. Establecer una política de seguridad.

► Establecer roles, funciones y procedimiento de designación.

► 2. Identificar la información y los servicios. Esto conlleva lo siguiente:

► Identificar a los responsables.

► Inventariar servicios, información y sistemas

► Categorizar los anteriores según su criticidad (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad)

► Establecer las medidas de seguridad aplicables y documentarlas (Declaración de Aplicabilidad)


El Proceso (II) Pasos para cumplir ENS

► 3. Realizar el análisis de riesgos y revisar el cumplimiento.► Analizar las medidas aplicadas e identificar el grado de cumplimiento

► 4. Hacer un plan para alcanzar el pleno cumplimiento del ENS. ► Planificar la implantación de mejoras (Plan de Adecuación)

Inventariar y Categorizar los sistemas es necesario para modular el equilibrio entre la importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el principio de proporcionalidad.

Tres Categorías: Básica, Media y Alta.


El Proceso (III) Criterios a tener en cuenta

► La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría un incidente con repercusión en la capacidad organizativa para:

► Alcanzar sus objetivos.► Proteger los activos a su cargo.

► Cumplir sus obligaciones diarias de servicio.

► Respetar la legalidad vigente.► Respetar los derechos de las personas.

► A fin de poder determinar el impacto se tendrán en cuenta las dimensiones de la seguridad:

► Disponibilidad (D)

► Autenticidad (A)► Integridad (I)

► Confidencialidad (C)

► Trazabilidad (T)


El Proceso (IV) Criterios a tener en cuenta

► Determinación de la categoría:

► Determinación de las dimensiones de seguridad relevantes.

► Determinación del nivel correspondiente a cada dimensión de seguridad.► Determinación de la categoría del sistema.

► Un sistema puede verse afectado en una o más de sus dimensiones de seguridad.► Cada dimensión afectada se adscribirá a uno de los niveles: BAJO, MEDIO o ALTO.

► Nivel BAJO: perjuicio limitado

► Nivel MEDIO: perjuicio grave► Nivel ALTO: perjuicio muy grave o catastrófico


El Proceso (V) Documento de Aplicabilidad

► El Documento de Aplicabilidad recoge las medidas de seguridad aplicables, y las documenta.

► Se eligen las medidas de seguridad apropiadas de acuerdo a las dimensiones de seguridad y sus niveles.

► Se clasifican en tres grandes grupos:

► Marco organizativo: Relacionadas con la organización global de la seguridad► Marco operativo: Para proteger la operación del sistema como conjunto integral de

componentes para un fin.► Medidas de protección: Para proteger activos concretos, según su naturaleza y la calidad

exigida por su categoría.


El Proceso (VI) Medidas de Seguridad para Responsables


El Proceso (VII) Medidas de Seguridad para Responsables


El Proceso (VIII) Ejemplo de Medida de Seguridad

En éste ejemplo se ha utilizado la Medida de Seguridad Análisis de Riesgos

Dependiendo del nivel de criticidad de cada activo se deben aplicar las siguientes medidas:

► BÁSICA: realización de un análisis informal donde se expongan los siguientes aspectos:► Activos más valiosos del sistema

► Amenazas► Salvaguardas para dichas amenazas

► Principales riesgos Residuales.

► MEDIA: realización de un análisis semi-informal, con tablas que describan los siguientes aspectos:► Activos con nivel de criticidad más alto► Identificar y cuantificar las amenazas probables

► Identificar las salvaguardas para dichas amenazas

► Riesgo residual

► ALTA: realización de un análisis formal con fundamento matemático reconocido internacionalmente donde se expongan los siguientes aspectos► Identificar y valorar cuantitativamente los activos más valiosos del sistema

► Identificar las amenazas

► Identificar las vulnerabilidades habilitantes de dichas amenazas

► Salvaguardas para dichas amenazas

► Riesgo residual


El Proceso (IX) Herramienta de Aplicabilidad

► Para facilitar los pasos para la adaptación al Esquema Nacional de Seguridad, se ha desarrollado una herramienta que realiza una valoración de qué medidas de seguridad deben ser aplicadas a los activos de una Organización para el cumplimiento del ENS.

► La aplicación facilita las medidas de seguridad que deben ser aplicadas a un activo por un lado dependiendo del grado de criticidad del activo, y por otro lado diferencia si la medida debe ser aplicada por el Responsable, el Desarrollador o el Administrador de Sistemas.

► El Artículo 10 del ENS establece la necesidad de identificar las figuras responsable de la información, el responsable del servicio, el res ponsable del sistema y el responsable de seguridad.

► La Herramienta de Aplicabilidad identifica el rol “Responsable ” con las figuras Responsable de la Información, Responsable del Servicio y Responsable de Seguridad. Por otro lado identifica los roles “Desarrollador ” y “Sistemas ” con la figura Responsable del Sistema. Por último la herramienta identifica el Activo con un Sistema.


El Proceso (X) Herramienta de Aplicabilidad

El primer paso de un Responsable es introducir los Activos

El Responsable será el encargado de introducir los activos, de proporcionar las valoraciones a las dimensiones de seguridad por activo. Secuencialmente identificará y evaluará las medidas de seguridad a implantar.


El Proceso (XI) Herramienta de Aplicabilidad

ID Activo : identificador numérico que se asigna automáticamente al crear un nuevo activo.

Nombre Activo : denominación que se le asigna al activo introducido.

Descripción : campo de texto libre desde el que puede introducirse una explicación para el activo creado.

Ver Activos : botón desde el que puede accederse a la visualización de los activos introducidos.

Borrar Activos : botón desde el que pueden borrarse los activos introducidos


El Proceso (XII) Herramienta de Aplicabilidad

El segundo paso de un Responsable es Valorar Activos . Con el fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas , y de poder establecer la categoría del sistema se tendrán en cuenta las dimensiones de la seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad .


El Proceso (XIII) Herramienta de Aplicabilidad

Al valorar o modificar el valor de las dimensiones se reevalúan todas las medidas

Nivel Alto : perjuicio muy grave o catastrófico. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Valoración ENS : establece el impacto en términos de las categorías definidas en el ENS, de acuerdo a las equivalencias definidas para cada dimensión.

Nivel Bajo : perjuicio limitado . Se utilizará cuando las consecuencias de un incidente de seguridad que afecte alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

Nivel Medio : perjuicio grave. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados


El Proceso (XIV) Herramienta de Aplicabilidad

El tercer paso es consultar las medidas que debe aplicar el Responsable


El Proceso (XV) Herramienta de Aplicabilidad

Descripción de la medida que debe ser aplicada por el Responsable.

Identificador y Nombre de la medida.

Medida Aplicada : Para indicar si la medida esta aplicada en el activo o no.

Comentario del Responsable:campo de texto para lel análisis de la situación del cumplimiento de la medida.

Identificador y Nombre del activo : Para cada activo se aplican diferentes medidas de seguridad.

Generar Informe : Botón desde el cual es posible exportar toda la información visible en pantalla a un fichero. Se visualizará la medida, la descripción de la medida, comentarios y si la medida ha sido aplicada en el activo o no.


El Proceso (XVI) Documento de Análisis GAP

Realización del Documento de Análisis GAP

► El Documento de Análisis GAP permite analizar las medidas aplicadas, así como determinar su grado de cumplimiento.

► Asimismo, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias .

► El CCN-CERT se encuentra en proceso de elaboración de las guías CCN-STIC previstas en el Artículo 29:


Babel y el cumplimiento del ENS

Capítulo (dominio de control)

Artículo (objetivo de control)

II Principios básicos

Artículo 5. La seguridad como un proceso integral Desarrollada bajo este principio

Artículo 6. Gestión de la seguridad basada en los riesgos. Gestiona riesgos

Artículo 7. Prevención, reacción y recuperación Es una medida de detección

Artículo 9. Reevaluación periódica Reevalúa “on-line”

III Requisitos mínimos

Artículo 12. Organización e implantación del proceso de seguridad

Dispone de perfilado propio

Artículo 13. Análisis y gestión de los riesgos Gestiona riesgos

Artículo 15. Profesionalidad Orientado al profesional de seguridad

Artículo 16. Autorización y control de los accesos Evalúa de los controles de acceso

Artículo 19. Seguridad por defecto Evalúa los requisitos mínimos de seguridad

Artículo 20. Integridad y actualización del sistema Indica en tiempo real el estado

Artículo 26. Mejora continua del proceso de seguridad Clave para una mejora continua

Artículo 27. Cumplimiento de requisitos mínimos Evalúa los requisitos mínimos de seguridad

Artículo 29. Guías de seguridad Evalúa las guías de seguridad

V Auditoría de la seguridad Artículo 34. Auditoría de la seguridad Audita en tiempo real

VI Estado de la seguridad Artículo 35. Informe del estado de la seguridad Cuadro de mandos dinámico

VIII Normas de conformidad Artículo 40. Mecanismos de control Clave como mecanismo de control


Babel y las medidas de seguridad del ENS

Grupo / Marco(dominio de control)

Medida de seguridad(objetivo de control)

org. Marco organizativo

org.1. Política de seguridad

org.2. Normativa de seguridad

org.3. Procedimientos de seguridad

op.pl. Planificación op.pl.1. Análisis de riesgos

op.acc. Control de acceso

op.acc.2. Requisitos de acceso

op.acc.3. Segregación de funciones y tareas

op.acc.5. Mecanismo de autenticación

op.acc.6. Acceso local (local logon)

op.acc.7. Acceso remoto (remote login)

op.exp. Explotación

op.exp.1 Inventario de activos

op.exp.2 Configuración de seguridad

op.exp.3 Gestión de la configuración

op.mon. Monitorización del sistema op.mon.2. Sistema de métricas

esquema nacional de seguridad guía para … · principios y requisitos de una política de ......

Documents