líneas 1 y 2_cibersegand15

II Jornada de Ciberseguridad en Andalucía

#cibersegAnd15

SEVILLA 2015

D. Javier Candau“Seguridad de los Sistemas de Información y Telecomunicaciones

que soportan las Administraciones Públicas”

13/06/2015 www.ccn-cert.cni.es

1

Estrategia de Ciberseguridad Nacional Línea de Acción 1y 2

SIN CLASIFICAR

JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR

www.ccn-cert.cni.es 15/06/2015 2

ÍNDICE 1. Estrategia de Seguridad Nacional

2. Estrategia de Ciberseguridad Nacional

3. Línea de Acción 1

• Detección

• Intercambio

• Ejercicios

• Respuesta

4. Línea de Acción 2

• ENS

• CCN-CERT

• Servicios Comunes

• Mejores Prácticas

5. Papel del CNI-CCN



Líneas de Acción de la ESN / ECSN

1

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las AAPP

2

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las infraestructuras críticas

3

Capacidades de detección y persecución del ciberterrorismo y de la ciberdelincuencia

4

Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación (TIC) en el sector privado

5

Conocimientos, competencias e I+D+i 6

Cultura de ciberseguridad 7

Compromiso internacional 8

Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas



Estrategia de Ciberseguridad en España 2



Líneas de Acción

1

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan

las AAPP 2

Seguridad de los Sistemas de Información y Telecomunicaciones que soportan

las infraestructuras críticas 3

Capacidades de detección y persecución del ciberterrorismo y de la

ciberdelincuencia

4

Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación

(TIC) en el sector privado 5

Conocimientos, competencias e I+D+i 6

Cultura de ciberseguridad 7

Compromiso internacional 8

Capacidad de prevención, detección, respuesta y recuperación ante las

ciberamenazas



Línea de Acción 1. DETECCIÓN e INTERCAMBIO 3

DETECCIÓN

COOPERACIÓN E INTERCAMBIO

EJERCICIOS

RESPUESTA. CAPACIDADES DE DEFENSA E INTELIGENCIA



RED SARA [SAT- SARA]

• Servicio para la Intranet Administrativa

• Coordinado con MINHAP-SEAP

• 49/54 Organismos adscritos

SALIDAS DE INTERNET [SAT INET]

• Servicio por suscripción

• Basado en despliegue de sondas.

• 72 Organismos / 87 sondas

• Última incorporación: Gobierno de Cantabria.

Sistemas de Alerta Temprana (SAT)

57 58 60

63 64 66

72

Junio Agosto Septiembre Octubre Diciembre Febrero Abril



Sistemas de Alerta Temprana – Estadísticas 3

7225

12916

7263

3998

1914

458

193

0 5000 10000 15000

Número de incidentes

2009

2010

2011

2012

2013

2014

221

1077

5686

231 11

Bajo Medio Alto Muy Alto Crítico

Enero-Junio

Recogida de Información

Fraude

Intrusiones

Disponibilidad

Contenido Abusivo Código Dañino

Seguridad de la información

Otros

2015



• Basada en MISP (Malware Information Sharing Platform) (Bélgica)

• Automatizar el intercambio de información. Mayor rapidez en detección de la amenaza

• Eliminar duplicidades en análisis de la información.

• Posibilidad re realizar búsquedas específicas

• Importar IOC,s / STIX-TAXII

• Exportar reglas SNORT / IOC / STIX-TAXII

• Integración con:

• Otros MISP ---- OTAN / EGC / Serv. Inteligencia….

• MARTA / MARIA

• SAT INTERNET / CARMEN

• LUCIA

• SIEM,s

REYES



• Cumplir los requisitos del ENS.

• Mejorar la coordinación entre CCN-CERT y los organismos (Mejorar intercambio de incidentes)

• Lenguaje común de criticidad y clasificación del incidente

• Mantener la trazabilidad y seguimiento del incidente

• Automatizar tareas

• Federar Sistemas

• Permitir integrar otros sistemas

• REYES / MARTA / MARIA

Listado Unificado de Coordinación de

Incidentes y Amenazas

Basada en sistema de incidencias

Request Tracker (RT) Incluye extensión para CERT Request

Tracker for Incident Response (RT-IR)



REYES (REpositorio común Y EStructurado de amenazas y código dañino)

Cert,s CCAA

AAPP Empresas

Elaboración

CAPACIDADES

FORENSES ING. INVERSA

Servicios

Inteligencia

SIGINT



CONCLUSIONES LA 1

• Plan Derivado Terminado.

• Necesidad de asignación de recursos humanos y económicos para

mejorar las capacidades de detección

• Responsabilidades fragmentadas.

• Impulsar el intercambio de información

• Capacidades de respuesta



Línea de Acción 2 4



Creación de la

figura del DTIC de

la AGE

-> RD 802/204

Nuevo modelo

de gobernanza TIC

-> RD 806/2014

Consolidación y

servicios comunes

-> RD 802/2014, RD 806/2014

Reforma de las AA.PP.



ESQUEMA NACIONAL DE SEGURIDAD



1. Los Principios básicos, que sirven

de guía.

2. Los Requisitos mínimos, de obligado cumplimiento.

3. La Categorización de los sistemas para la adopción de medidas de

seguridad proporcionadas.

4. La auditoría de la seguridad que verifique el cumplimiento del ENS.

5. La respuesta a incidentes de seguridad. Papel de CCN- CERT.

6. El uso de productos certificados. A

considerar al adquirir los productos de seguridad. Papel del Organismo

de Certificación (CCN). 7. La formación y concienciación.

6

15

75

ESQUEMA NACIONAL DE SEGURIDAD



INFORME ARTICULO 35. ESTADO DE SEGURIDAD DE LAS AAPP

Artículo 35. Informe del estado de la seguridad.

El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita

elaborar un perfil general del estado de la seguridad en las Administraciones públicas.

Nueva versión Febrero 2014

Véase: “815 Métricas e indicadores”

disponible en https://www.ccn-cert.cni.es



MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia,

• Real Decreto 421/2004, 12 de Marzo, que regula y

define el ámbito y funciones del CCN.

Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la

Administración Electrónica.

Establece al CCN-CERT como CERT Gubernamental/Nacional

MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el

centro de alerta y respuesta nacional que coopere y ayude a

responder de forma rápida y eficiente a las Administraciones

Públicas y a las empresas estratégicas, y afrontar de forma

activa las nuevas ciberamenazas.

COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y

sobre sistemas de la Administración y de empresas de interés

estratégicos.

HISTORIA

• 2006 Constitución en el seno del CCN

• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA

• 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet

• 2011 Acuerdos con CCAA

• 2012 CARMEN Y Reglas • 2013 Relación con empresas/ CCAA • 2014 LUCÍA / MARTA • 2015 SAT INTERNET Ayto / Diputaciones /

Universidades



Seguridad gestionada:

Oportunidad para mejorar la seguridad del conjunto y reducir el esfuerzo individual de las entidades.

Racionalidad económica:

Consolidación, frente al coste de n acciones individuales.

Medidas del ENS susceptibles de prestación centralizada

Seguridad gestionada



Guías y herramientas Guías CCN-STIC SERIE 800 publicadas en https://www.ccn-cert.cni.es :

800 - Glosario de Términos y Abreviaturas del ENS

801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS

803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS

805 - Política de Seguridad de la Información

806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS

808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS

810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS

812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS

814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS

816 - Seguridad en redes inalámbricas 817 - Criterios comunes para la Gestión de Incidentes de Seguridad

818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad

822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS

824 - Informe del Estado de Seguridad 825 – ENS & 27001

827 - Gestión y uso de dispositivos móviles

850A Seguridad en Windows 7 en el ENS (cliente en dominio)

850B Seguridad en Windows 7 en el ENS (cliente independiente)

851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro) 851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente)

859 Recolección y consolidación de eventos con Windows Server 2008 R2 en el ENS

869 AppLocker en el ENS

870A Seguridad en Windows 2012 Server R2 en el ENS (controlador de dominio)

870B Seguridad en Windows 2012 Server R2 en el ENS (servidor independiente)

MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información

Programas de apoyo:

Pilar , µPILAR, INÉS, CLARA, LUCÍA, CARMEN, …

34 GUÍAS PREVISTAS PARA

2015



HERRAMIENTAS

DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO



CONCLUSIONES LA 2

• Plan Derivado Terminado.

• Impulsar el ENS y valorar su cumplimiento. Valoración mediante la

auditoría correspondiente.

• Necesidad de asignación de recursos humanos y económicos para

mejorar las capacidades y proporcionar servicios comunes

• Responsabilidades claras

• Mejores prácticas de uso en todas las AAPP.

• Vigilancia sistemas clasificados pendiente de recursos PLAN



¿ QUE PAPEL JUEGA EL CNI - CCN ?

• Mejor conocimiento de la AMENAZA.

• Capacidad técnica y experiencia en seguridad en redes.

• Más de 25 años.

• Capacidades de detección (Intercambio de información)

• Capacidad de Defensa de redes (CCN-CERT).

• Capacidad de CONTRAINTELIGENCIA

5



Gracias

E-Mails

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es

líneas 1 y 2_cibersegand15

Technology