esquemas nacionales de seguridad e interoperabilidad · proyecto de la implantación del esquema...
TRANSCRIPT
1
Esquemas Nacionales de Seguridad e Interoperabilidad Sesión Tecnológica 2,
Adecuación e implantación del ENS en el Ministerio de la Presidencia
y el rol de la CMAE
Manuel Jerónimo García Sánchez ,Vocal Asesor del Ministerio de la Presidencia Secretario de la CMAE
2
Contenido
Introducción
Origen y dinámica del proyecto
Objetivos
Hitos logrados
Organización de la Seguridad en el Mº de Presidencia
Comité de Seguridad
Documentos
Plataforma CIRCA (MPTyAP)
3
Introducción
El objeto de esta presentación es informar sobre el proyecto de la implantación del Esquema Nacional de Seguridad que se está llevando a cabo, a iniciativa de la CMAE, en el Ministerio de Presidencia, Organismos dependientes y en Presidencia de Gobierno y que empezó hace cerca de un año.
4
� Marzo de 2010 inquietud de los miembros de la CMAE planteada en el Pleno.En la CMAE del Mº Presidencia están representados tanto los organismos que dependen del Mº (CSD, Patrimonio Nacional, Consejo de Investigaciones Sociológicas, Muface etc) como tres organizaciones de Presidencia (Secretaria General, Seguridad Moncloa y el DISSC).En aquel momento estaba también buena parte de antiguo MAP (DG Impulso, 060, INAP etc) que después pasaron al Mº de Administración Territorial.� Abril CMAE La Directora General decidió la creación de un Grupo de Seguridad con representación de todos los organismos y se pidió a un componente de la CMAE que redactase unos términos de referencia y que los organismos le enviasen los componentes del grupo. � Mayo se aprueban los términos de referencia y se hace un prediseño del proyecto.� Junio 9 Se presenta el proyecto en un acto que participan MAP, CCN, MºSanidad (experiencia 27001). Con sus diferentes fases etc.
Origen y dinámica
5
El objetivo de la primera fase era :� Desarrollar y Consensuar los modelos de documentos que facilitasen la elaboración a cada organismo.
- Su Política de Seguridad- Su documento de Alcance. La Organización de la Seguridad es decir nombramientos y
constitución del Comité de Seguridad- Su documento de Adecuación para Enero de este año.
�Formar a los componentes de grupos de Seguridad en realizar un Análisis de Riesgos mediante la herramienta PILAR.Como parte de la formación y colaboración se creó en la Intranet del Ministerio un espacio de trabajo con todo lo necesario.
Objetivo fase 1
6
Dificultades previstas
En opinión de los Responsables de TI la principal dificultad que preveían era que los Responsables de los organismos liderasen la implementación del ENS nombrando los Responsables de la Información y los responsables de los Servicios y el establecimiento del Comité de Dirección para tener un respaldo a la implementación de las Políticas.
Para ello se pedía que en el Ministerio como órgano más importante se comprometiera al más alto nivel posible de tal manera que su influencia ‘irradiara’ a todos los organismos.
Una dificultad añadida fue que en el Ministerio tras el Verano se cambió el Ministro y más tarde el Subsecretario, con lo que había que empezar de nuevo la concienciación. Y además se separaba una buena parte de la CMAE que se iba al Ministerio de Política Territorial
Dificultades previstas e imprevistas
7
Hitos logrados
� Sep 21 Curso de PILARVarias reuniones del grupo con diferentes documentos auxiliares� Oct Ejemplo de Documento de Alcance� Nov Ejemplo de Documento de Política� Nov Ejemplo de Organización de la Seguridad� Dic Ejemplo de Organización de la Documentación de SeguridadEstos cuatro documentos los consideramos la base para que se pudieran adaptar a cada organismo y que hiciera la Política de Seguridad y el Plan de Adecuación� Dic y marzo Cursos de Seguridad en Aplicaciones webA partir de esta fase el Sistema se alimenta de documentos reales generados por los organismos, principalmente por el propio Ministerio
8
Mº Presidencia : Organización de la Seguridad
La organización de la Seguridad se promueve con la asignación de personas a roles y disponibilidades, en el ministerio seestableció acorde a la Guía 801 en donde los roles se encuadran en tres bloques:
9
Definición de requisitos de seguridad
Implementación de los controles que satisfagan esos requisitos.Cuidar de que funcionen
Vigilar que se cumplen los requisitos de seguridad (Inspección, auditoria ) Organización STIC
RESPONSABLE DEL ORGANISMORESPONSABLES DE LA INFORMACIÓN (o Propietarios)RESPONSABLES DE LOS SERVICIOS (o Propietarios)
Responsable del Sistema Organización TICAdministradores de Seguridad De red, Sistemas etc.
Responsable de Seguridad de la Información
10
Definición de requisitos de seguridad
Implementación de los controles que satisfagan esos requisitos.Cuidar de que funcionen
Vigilar que se cumplen los requisitos de seguridad (Inspección, auditoria ) Organización STIC
RESPONSABLE DEL ORGANISMORESPONSABLES DE LA INFORMACIÓN (o Propietarios)RESPONSABLES DE LOS SERVICIOS (o Propietarios)
Responsable del Sistema Organización TICAdministradores de Seguridad De red, Sistemas etc.
Responsable de Seguridad de la Información
COMITÉDE
SEGURIDAD
11
Comité de Seguridad
En Enero se constituyó el Comité de Seguridad con los siguientes componentes:
RESPONSABLE del m áximo nivel de representación
Responsable de la Información Ministro o en quien delegue
Responsable de los Servicios Subsecretaria o en quien delegue
Responsable de la Seguridad de la Información
Un representante de máximo nivel cadaÁrea operativa o en quien delegue
Responsable de los Sistemas de Información
Subdirectora General de T y SI
SecretarioAdministrador de Seguridad de la
Subdirección General de T y SI
FUNCIÓN
12
Hitos del Comité
En Enero se aprobó la Política de Seguridad del Ministerio y la Evaluación de la Situación actual y el Plan de Adecuación para cumplir en tiempo y forma con lo requerido en el ENS.
En marzo se han aprobado las dos Normas sobre utilización del Acceso a Internet y del Uso del correo electrónico
Por otra parte se ha efectuado unas primeras versiones del Análisis de Riesgos y se está en la redacción de los procedimientos y securización de los Sistemas.
Dado que la concienciación es uno de los temas más importantes se estádesarrollando un curso de Seguridad para usuarios y unas charlas de divulgación del ENS para directivos.
13
Documento de Política de Seguridad
14
Plan de adecuación
15
Valoración del Cumplimiento
16
Documento Plan de adecuación
17
Plan de mejora : 18 proyectos con calendario
18
Política y Alcance => CategorizaciónPolítica = Estructura Organización de la Seguridad oblig
Normas = Políticas = requisitos desarrollados a partir de la Política que es la piedra angular
Procedimientos Operativos de Seguridad (POS) Descripción de los controles a implementar para satisfacer las Normas.
Como se implementan en diferentes equipos (scripts, pantallas etc).
19
Normas de uso de Internet
20
Normas de uso de Internet
21
Revisión de documentos aconsejada
Revisión por encima de las Normas de Seguridad nacional NS/03 y NS/04.
ISO 27002:2005 resumen para ver un enfoque de aproximación sistemática a la Gestión de la SeguridadGuías ENS
Públicas https://www.ccn-cert.cni.es/ pulsar en ENS
22
Documentación generada
La documentación generada con categoría de ejemplo comentado se ha puesto en el repositorio del ENS en SARA
Grupo de trabajo AGE:https://circa.map.es/Members/irc/csi/ens/home
La documentación del Ministerio se ha distribuido a los componentes de la CMAE.
EL plan es, que conforme se generen nuevos documentos, anonimizarlos y ponerlos en el repositorio de SARA para que otros organismos puedan utilizarlos.
Asimismo se va a utilizar todos los documentos que los demás organismos pongan a disposición de los demás
SE ANIMA A TODOS A PARTICIPAR Y COMPARTIR INFORMACIÓN
23
Plataforma CIRCA
24
Muchas graciaspor su atención
Si alguna persona de la Administración desea los documentos públicos generados hasta ahora que envíe un correo a :