esquema nacional de seguridad guía para … · principios y requisitos de una política de ......
TRANSCRIPT
Esquema Nacional de SeguridadPágina 1
ESQUEMA NACIONAL DE SEGURIDADGuía para responsables
Ernst & YoungJunio 2011
Esquema Nacional de SeguridadPágina 3
Introducción (I)
► ¿Qué es el Esquema Nacional de Seguridad (ENS)?
► El 29 de enero del año 2010 se publica en el BOE el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
► Este Reglamento, que da respuesta el artículo 42.2 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, establece los principios y requisitos de una política de segurida d en la utilización de medios electrónicos que permita la adecuada protección de la información .
► Tal como reza el propio Reglamento:
► “La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.”
Esquema Nacional de SeguridadPágina 4
Introducción (II)
¿Qué objetivos persigue?
► Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
► Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios básicos y los requisitos mínimos para una protección adecuada de la información.
► Introducir los elementos comunes que han de guiar la actuación de las administraciones públicas en materia de seguridad de las tecnologías de la información.
► Aportar un lenguaje común para facilitar la interacción de las administraciones públicas, así como la comunicación de los requisitos de seguridad de la información a la industria.
Esquema Nacional de SeguridadPágina 5
Introducción (III)
► ¿Qué se debe proteger?
Se decide agrupar los activos de información por áreas de información homogéneas, consiguiendo de esta forma la máxima efectividad con un esfuerzo menor, ya que se reducen las auditorias a ejecutar y por el contrario las medidas de cada grupo son aplicables a cada elemento de manera individual.
Esquema Nacional de SeguridadPágina 6
Introducción (IV)
¿Quién debe cumplirlo?
► Las Administraciones Públicas para garantizar la seguridad informática de los tramites online. Los sistemas deben aplicar los criterios establecido en el ENS desde su concepción.
¿Qué diferencia hay entre el responsable de la infor mación, el responsable del servicio, el responsable del sistema y el responsab le de seguridad?
► El responsable de información determina los requisitos de la información tratada. Suele ser un alto cargo. Un ejemplo del perfil de responsable de información sería el Director Gerente.
► El responsable del servicio determina los requisitos de los servicios prestados. Suele ser un jefe de servicio o equivalente, habitualmente jerárquicamente supeditado al responsable de la información. Un ejemplo del perfil responsable del servicio sería el Dirección del Servicio de Sistemas de Información Tributaria.
Esquema Nacional de SeguridadPágina 7
Introducción (IV)
► El responsable de seguridad , determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. Tiene un perfil más técnico ya que su misión es asegurarse de que las medidas de seguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la información y los servicios. Un ejemplo del perfil de responsable de seguridad sería la Jefatura de Sección de Seguridad e Innovación
.► El responsable del sistema, constituye habitualmente el punto de contacto del
sistema, es en líneas generales el encargado de las operaciones del sistema y, desde el punto de vista operativo, conocer todos los elementos que constituyen el sistema y asegurar que existe autorización previa a su entrada en funcionamiento. Un ejemplo del perfil de responsable del sistema sería la Jefatura de Sección de Infraestructuras Tecnológicas.
Esquema Nacional de SeguridadPágina 8
Introducción (V)
► ¿Cómo se determina si ciertas aplicaciones estarían dentro del ámbito de aplicación del ENS?
Se requiere analizar si el supuesto planteado se trata de:
► Un sistema no relacionado con el ejercicio de derechos por medios electrónicos.
► Si no está relacionado con un cumplimiento de deberes por medios electrónicos.
► Si no está relacionado con el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo.
Solo en el caso de no esté relacionado cabe la posibilidad de que las administraciones puedan determinar que no es de aplicación el ENS.
Esquema Nacional de SeguridadPágina 10
El Proceso (I) Pasos para cumplir ENS
► 1. Establecer una política de seguridad.
► Establecer roles, funciones y procedimiento de designación.
► 2. Identificar la información y los servicios. Esto conlleva lo siguiente:
► Identificar a los responsables.
► Inventariar servicios, información y sistemas
► Categorizar los anteriores según su criticidad (Disponibilidad, Integridad, Confidencialidad, Autenticidad, Trazabilidad)
► Establecer las medidas de seguridad aplicables y documentarlas (Declaración de Aplicabilidad)
Esquema Nacional de SeguridadPágina 11
El Proceso (II) Pasos para cumplir ENS
► 3. Realizar el análisis de riesgos y revisar el cumplimiento.► Analizar las medidas aplicadas e identificar el grado de cumplimiento
► 4. Hacer un plan para alcanzar el pleno cumplimiento del ENS. ► Planificar la implantación de mejoras (Plan de Adecuación)
Inventariar y Categorizar los sistemas es necesario para modular el equilibrio entre la importancia de los sistemas y el esfuerzo dedicado a su seguridad y satisfacer el principio de proporcionalidad.
Tres Categorías: Básica, Media y Alta.
Esquema Nacional de SeguridadPágina 12
El Proceso (III) Criterios a tener en cuenta
► La determinación de la categoría de un sistema se basa en la valoración del impacto que tendría un incidente con repercusión en la capacidad organizativa para:
► Alcanzar sus objetivos.► Proteger los activos a su cargo.
► Cumplir sus obligaciones diarias de servicio.
► Respetar la legalidad vigente.► Respetar los derechos de las personas.
► A fin de poder determinar el impacto se tendrán en cuenta las dimensiones de la seguridad:
► Disponibilidad (D)
► Autenticidad (A)► Integridad (I)
► Confidencialidad (C)
► Trazabilidad (T)
Esquema Nacional de SeguridadPágina 13
El Proceso (IV) Criterios a tener en cuenta
► Determinación de la categoría:
► Determinación de las dimensiones de seguridad relevantes.
► Determinación del nivel correspondiente a cada dimensión de seguridad.► Determinación de la categoría del sistema.
► Un sistema puede verse afectado en una o más de sus dimensiones de seguridad.► Cada dimensión afectada se adscribirá a uno de los niveles: BAJO, MEDIO o ALTO.
► Nivel BAJO: perjuicio limitado
► Nivel MEDIO: perjuicio grave► Nivel ALTO: perjuicio muy grave o catastrófico
Esquema Nacional de SeguridadPágina 14
El Proceso (V) Documento de Aplicabilidad
► El Documento de Aplicabilidad recoge las medidas de seguridad aplicables, y las documenta.
► Se eligen las medidas de seguridad apropiadas de acuerdo a las dimensiones de seguridad y sus niveles.
► Se clasifican en tres grandes grupos:
► Marco organizativo: Relacionadas con la organización global de la seguridad► Marco operativo: Para proteger la operación del sistema como conjunto integral de
componentes para un fin.► Medidas de protección: Para proteger activos concretos, según su naturaleza y la calidad
exigida por su categoría.
Esquema Nacional de SeguridadPágina 17
El Proceso (VIII) Ejemplo de Medida de Seguridad
En éste ejemplo se ha utilizado la Medida de Seguridad Análisis de Riesgos
Dependiendo del nivel de criticidad de cada activo se deben aplicar las siguientes medidas:
► BÁSICA: realización de un análisis informal donde se expongan los siguientes aspectos:► Activos más valiosos del sistema
► Amenazas► Salvaguardas para dichas amenazas
► Principales riesgos Residuales.
► MEDIA: realización de un análisis semi-informal, con tablas que describan los siguientes aspectos:► Activos con nivel de criticidad más alto► Identificar y cuantificar las amenazas probables
► Identificar las salvaguardas para dichas amenazas
► Riesgo residual
► ALTA: realización de un análisis formal con fundamento matemático reconocido internacionalmente donde se expongan los siguientes aspectos► Identificar y valorar cuantitativamente los activos más valiosos del sistema
► Identificar las amenazas
► Identificar las vulnerabilidades habilitantes de dichas amenazas
► Salvaguardas para dichas amenazas
► Riesgo residual
Esquema Nacional de SeguridadPágina 18
El Proceso (IX) Herramienta de Aplicabilidad
► Para facilitar los pasos para la adaptación al Esquema Nacional de Seguridad, se ha desarrollado una herramienta que realiza una valoración de qué medidas de seguridad deben ser aplicadas a los activos de una Organización para el cumplimiento del ENS.
► La aplicación facilita las medidas de seguridad que deben ser aplicadas a un activo por un lado dependiendo del grado de criticidad del activo, y por otro lado diferencia si la medida debe ser aplicada por el Responsable, el Desarrollador o el Administrador de Sistemas.
► El Artículo 10 del ENS establece la necesidad de identificar las figuras responsable de la información, el responsable del servicio, el res ponsable del sistema y el responsable de seguridad.
► La Herramienta de Aplicabilidad identifica el rol “Responsable ” con las figuras Responsable de la Información, Responsable del Servicio y Responsable de Seguridad. Por otro lado identifica los roles “Desarrollador ” y “Sistemas ” con la figura Responsable del Sistema. Por último la herramienta identifica el Activo con un Sistema.
Esquema Nacional de SeguridadPágina 19
El Proceso (X) Herramienta de Aplicabilidad
El primer paso de un Responsable es introducir los Activos
El Responsable será el encargado de introducir los activos, de proporcionar las valoraciones a las dimensiones de seguridad por activo. Secuencialmente identificará y evaluará las medidas de seguridad a implantar.
Esquema Nacional de SeguridadPágina 20
El Proceso (XI) Herramienta de Aplicabilidad
ID Activo : identificador numérico que se asigna automáticamente al crear un nuevo activo.
Nombre Activo : denominación que se le asigna al activo introducido.
Descripción : campo de texto libre desde el que puede introducirse una explicación para el activo creado.
Ver Activos : botón desde el que puede accederse a la visualización de los activos introducidos.
Borrar Activos : botón desde el que pueden borrarse los activos introducidos
Esquema Nacional de SeguridadPágina 21
El Proceso (XII) Herramienta de Aplicabilidad
El segundo paso de un Responsable es Valorar Activos . Con el fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas , y de poder establecer la categoría del sistema se tendrán en cuenta las dimensiones de la seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad .
Esquema Nacional de SeguridadPágina 22
El Proceso (XIII) Herramienta de Aplicabilidad
Al valorar o modificar el valor de las dimensiones se reevalúan todas las medidas
Nivel Alto : perjuicio muy grave o catastrófico. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Valoración ENS : establece el impacto en términos de las categorías definidas en el ENS, de acuerdo a las equivalencias definidas para cada dimensión.
Nivel Bajo : perjuicio limitado . Se utilizará cuando las consecuencias de un incidente de seguridad que afecte alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
Nivel Medio : perjuicio grave. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados
Esquema Nacional de SeguridadPágina 23
El Proceso (XIV) Herramienta de Aplicabilidad
El tercer paso es consultar las medidas que debe aplicar el Responsable
Esquema Nacional de SeguridadPágina 24
El Proceso (XV) Herramienta de Aplicabilidad
Descripción de la medida que debe ser aplicada por el Responsable.
Identificador y Nombre de la medida.
Medida Aplicada : Para indicar si la medida esta aplicada en el activo o no.
Comentario del Responsable:campo de texto para lel análisis de la situación del cumplimiento de la medida.
Identificador y Nombre del activo : Para cada activo se aplican diferentes medidas de seguridad.
Generar Informe : Botón desde el cual es posible exportar toda la información visible en pantalla a un fichero. Se visualizará la medida, la descripción de la medida, comentarios y si la medida ha sido aplicada en el activo o no.
Esquema Nacional de SeguridadPágina 25
El Proceso (XVI) Documento de Análisis GAP
Realización del Documento de Análisis GAP
► El Documento de Análisis GAP permite analizar las medidas aplicadas, así como determinar su grado de cumplimiento.
► Asimismo, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias .
► El CCN-CERT se encuentra en proceso de elaboración de las guías CCN-STIC previstas en el Artículo 29:
Esquema Nacional de SeguridadPágina 26
Babel y el cumplimiento del ENS
Capítulo (dominio de control)
Artículo (objetivo de control)
II Principios básicos
Artículo 5. La seguridad como un proceso integral Desarrollada bajo este principio
Artículo 6. Gestión de la seguridad basada en los riesgos. Gestiona riesgos
Artículo 7. Prevención, reacción y recuperación Es una medida de detección
Artículo 9. Reevaluación periódica Reevalúa “on-line”
III Requisitos mínimos
Artículo 12. Organización e implantación del proceso de seguridad
Dispone de perfilado propio
Artículo 13. Análisis y gestión de los riesgos Gestiona riesgos
Artículo 15. Profesionalidad Orientado al profesional de seguridad
Artículo 16. Autorización y control de los accesos Evalúa de los controles de acceso
Artículo 19. Seguridad por defecto Evalúa los requisitos mínimos de seguridad
Artículo 20. Integridad y actualización del sistema Indica en tiempo real el estado
Artículo 26. Mejora continua del proceso de seguridad Clave para una mejora continua
Artículo 27. Cumplimiento de requisitos mínimos Evalúa los requisitos mínimos de seguridad
Artículo 29. Guías de seguridad Evalúa las guías de seguridad
V Auditoría de la seguridad Artículo 34. Auditoría de la seguridad Audita en tiempo real
VI Estado de la seguridad Artículo 35. Informe del estado de la seguridad Cuadro de mandos dinámico
VIII Normas de conformidad Artículo 40. Mecanismos de control Clave como mecanismo de control
Esquema Nacional de SeguridadPágina 27
Babel y las medidas de seguridad del ENS
Grupo / Marco(dominio de control)
Medida de seguridad(objetivo de control)
org. Marco organizativo
org.1. Política de seguridad
org.2. Normativa de seguridad
org.3. Procedimientos de seguridad
op.pl. Planificación op.pl.1. Análisis de riesgos
op.acc. Control de acceso
op.acc.2. Requisitos de acceso
op.acc.3. Segregación de funciones y tareas
op.acc.5. Mecanismo de autenticación
op.acc.6. Acceso local (local logon)
op.acc.7. Acceso remoto (remote login)
op.exp. Explotación
op.exp.1 Inventario de activos
op.exp.2 Configuración de seguridad
op.exp.3 Gestión de la configuración
op.mon. Monitorización del sistema op.mon.2. Sistema de métricas