“seguridad en la red de área extensa de propósito general” · pdf...

1USO PÚBLICO© Unidad de Operaciones de Seguridad

“Seguridad en la Red de Área Extensa de Propósito General”

Logros y desafíos


Índice de contenidos1. Antecedentes.2. ¿Qué es CCEA?3. Creación del CCEA.4. Nuevo escenario.5. Los servicios del CCEA.6. Algunos indicadores del CCEA.7. Balance de la singladura.8. El PDCIS y la seguridad.9. La seguridad para el CCEA.10. Controles de seguridad en WAN PG.11. Conclusiones.


Antecedentes (I)

IBM IBM

IBM IBM

Ejército de Tierra Armada

Ejército del AireSede Central (OC)


Antecedentes (II)

IMPLICACIONES•Estructuras de Dirección de los Sistemas de Información de carácter departamental.•Gestión de los Recursos Humanos TIC a nivel departamental.


¿Qué es CCEA?

Orden DEF/315/2002, de 14 de Febrero: Plan Director de Sistemas de Información y

Telecomunicaciones del MINISDEF.“Se concentrarán los actuales Centros de Proceso de

Datos y Explotación en un único Centro de Explotación y Apoyo, ubicado en dos emplazamientos distintos. Dicho Centro asumirá la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa.”


Creación del CCEA

Instrucción 236/2002, de 7 de Noviembre: Creación del Centro Corporativo de Explotación y

Apoyo para los Sistemas de Información y Telecomunicaciones del MINISDEF.

“Misión: Asumir la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa”

“Sistemas de mando y control militar: responsabilidad del Jefe del EMAD. CCEA únicamente apoyo cuando se determine.”

Queda encuadrado en la SDG de Servicios Técnicos y Telecomunicaciones.Comienza sus actividades el 15 de Julio de 2003.


Nuevo escenario (I)

IBM

Centro Corporativode Explotación y Apoyo

del Ministerio de Defensa

Emplazamiento en TN

Emplazamiento en TN Emplazamiento en TN

Emplazamiento en TN

Fuerzas desplegadas en Misiones de Pazy organizaciones internacionales


Nuevo escenario (II)IMPLICACIONES

•Voluntad de centralización de la gestión y explotación de la infraestructura tecnológica, con criterios de eficiencia y eficacia al servicio de toda la corporación.•¿Se han adaptado las estructuras TIC del OC para asumir la Dirección de los Sistemas de Información de toda la corporación?•¿Han asumido todos los departamentos ministeriales la nueva visión corporativa de la gestión TIC?•¿Se ha actualizado el modelo de gestión de los RRHH al nuevo escenario corporativo?


Los servicios del CCEA

1. Procesamiento de datos.2. Administración de BBDDs.3. Centro de Atención al Usuario.4. Comunicaciones de datos.5. Comunicaciones de voz.6. Distribución, inventario y gestión de activos TIC

del MINISDEF.7. Administración del correo electrónico corporativo

y del entorno de trabajo colaborativo IBM LOTUS.


Los servicios del CCEA (II)8. Establecimiento, gestión y mantenimiento del

Sistema de Calidad, con definición del catálogo de servicios del Centro.

9. Acceso corporativo centralizado a Internet.10. Gestión de la publicación de los contenidos web

del Ministerio en Internet.11. Administración y explotación de las plataformas

de los diversos Sistemas de Información de la Intranet.

12. Protección de datos y sistemas. Continuidad del servicio.


Algunos indicadores del CCEA (I)

Conectividad (en Territorio Nacional y ZOs):

6 emplazamientos tipo N (aproximadamente 6.000 usuarios).

16 emplazamientos tipo 1 (aproximadamente 9.000 usuarios).



292 emplazamientos tipo 4 (aproximadamente 2.000 usuarios)


Algunos indicadores del CCEA (II)Atención al usuario: 11.402 llamadas recibidas (Sep-06)


Algunos indicadores del CCEA (III)

Usuarios del sistema Lotus Domino administrados:• Usuarios Lotus Notes con cuenta de correo interno: 80.000• Usuarios Lotus Notes con cuenta de correo externo: 35.893• Aplicaciones “workflow” de trabajo colaborativo administradas: 89

10.000

15.000

20.000

25.000

30.000

35.000

40.000

2004 2005 2006

Usuarios con acceso a Internet y correo Notes


Algunos indicadores del CCEA (IV)

Plataformas en explotación:• Mainframe OS/390-z/OS• Sistemas Operativos Windows/UNIX-Linux: 250 aprox.• SGBDs: ADABAS, DB2, SYBASE, ORACLE, SQL 2000,

Tamino

Implantación y administración de PKI:• Fase I: 1.500 usuarios (en ejecución).• Próximas fases: Extensión a toda la organización.• Centro de Personalización de Tarjetas del

Ministerio.


Algunos indicadores del CCEA (V)

Conectividad voz:• Gestión de 8.000 líneas móviles.• Gestión de 87.000 líneas en territorio nacional.• Gestión de 300 equipos para comunicaciones satélite.• Gestión de 650 centrales.• Gestión de 80 proyectos de mejora de cobertura en

emplazamientos MINISDEF.• Gestión de Guía Telefónica Unificada y control de gasto

telefónico.


Balance de la singladura (I)

Nuestra vocación“Ofrecer un servicio TIC de calidad a toda la organización MINISDEF y, en particular, a las Fuerzas Armadas.”

24 x 7 x 36524 x 7 x 365


Balance de la singladura (II)

Nuestras prioridades1. “Garantizar, conforme a unos Acuerdos de

Nivel de Servicio, todas las actividades TIC que soportan los procesos de la organización MINISDEF y, especialmente, aquellos de carácter crítico”.

2. Generar confianza en el usuario: “Disponibilidad permanente”.


¡¡¡Un poquito de … (seguridad) … por favor!!!

Implicaciones “seguras” de las líneas generales del PDCIS:

• Sistema de Información específico del Área funcional de Seguridad: Sistema de Identificación y Control de Acceso Físico.

• Infraestructura tecnológica:– Implantación de 2 WAN: Propósito General y Mando y

Control Militar.– Dominio único para la WAN de Propósito General.– Gestión de identidades: Directorio Corporativo único.– Infraestructura de Clave Pública.– Tarjeta Electrónica del Ministerio de Defensa (TEMD).


“Lectura de cabecera”• Orden Ministerial 76/2006: Política de Seguridad de la

Información del Ministerio de Defensa.• Orden Ministerial 76/2002: Política de Seguridad para la

protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por SI,s y telecomunicaciones (en proceso de revisión).Definición del concepto de AOS (Autoridad Operacional del Sistema): Responsable del desarrollo, operación y mantenimiento del Sistema durante su ciclo de vida: de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento.

• Real Decreto 421/2004: Regulación del Centro Criptológico Nacional.Series CCN-STIC (normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración)

• Criterios de Seguridad, Normalización y Conservación para las aplicaciones utilizadas para el ejercicio de potestades (MAP).


La seguridad para el CCEAResponsabilidades:• Supervisión y análisis de las actividades de usuarios y

administradores de la WAN PG:SOs y software malicioso.Infraestructura de red.BDs y aplicaciones.

• Administración de Sistemas de Seguridad.Gestión PKI.Seguridad de las instalaciones y personal CCEA.


Controles de seguridad en WAN PG (1)

Consideraciones previas:

• El SEDEF ha nombrado al Inspector General CIS como AOS de la WAN PG.

• La Inspección General CIS ha determinado que en la WAN PG se manejará información hasta nivel DIFUSIÓN LIMITADA (clasificación que se aplicará a activos de información cuya revelación no autorizada pudiera ir en contra de los intereses y la misión del Ministerio de Defensa).



Implantación de un dominio único para todas las LAN de Propósito General:Beneficios:

• Control de inventario.• Control de configuración.• Actualización permanente del SW de las

estaciones.• Distribución centralizada de software.• Administración remota.• Implantación de directivas de seguridad.



Directorio Corporativo de DefensaBeneficios:

• Gestión de identidades de los usuarios de los diferentes servicios de la WAN PG.



Infraestructura de Clave Pública (PKI) y Tarjeta Electrónica (TEMD) del Ministerio de DefensaBeneficios:

• Servicios básicos: Autenticación en Sistemas, cifrado y firma electrónica.

• Otros servicios: credencial de acceso a instalaciones.

• En el futuro: fusión con la Tarjeta Militar de Identidad.



Revisión del Plan de Contingencias de los SIsBeneficios:

• Continuidad de los procesos críticos del Ministerio soportados por SIs

• Definido en los nuevos sistemas que se implantan.

• En proceso de adaptación para los sistemas heredados.



Soluciones a las necesidades de interconexión con el exterior:Beneficios:

• Hasta 2006:– gestión de una DMZ para servicios de correo

electrónico, navegación a Internet y alojamiento de los principales sitios web publicados.

– Soluciones a medida para interconexión con entidades colaboradoras y personal propio desplazado


InternetInternet

Red Corporativa WAN PGRed Corporativa WAN PG

ISPISP

TercerosTerceros

PSTNPSTN

FR/ATMFR/ATM

Intranet Administrativa AGEIntranet Administrativa AGE

Usuarios ExternosUsuarios ExternosNodo Servicios Web InternosNodo Servicios Web Internos

DistribuciónDistribución

NETMA

Red Remota PGRed Remota PG

Nodo Servicios Web ExternosNodo Servicios Web Externos

• Actual Servicio Hosting

• Nuevos servicios Web corporativos a ciudadanos

Nodo Internet CorporativaNodo Internet Corporativa

• Servicios de Correo Corporativo

• Acceso a Internet Corporativo

Nodo Redes RemotasNodo Redes Remotas

• Acceso VPN/IPSec a WAN PG

• Modelo de Arquitectura para Redes Remotas de Propósito General

Nodo Nodo ExtranetExtranet

• Modelo de Arquitectura para el Nodo Extranet del MINISDEF

• Terceros, VPN SSL, Móviles, PDA, Intranet Administrativa, RDSI/RTB

•Servicios Web Intranet• B.O.E.• mdef.es• EMAD• etc.

Usuarios MINISDEFUsuarios MINISDEF

ExteriorExteriorMDEFMDEF MDEF MDEF –– Servicios Internet/ExtranetServicios Internet/Extranet

Controles de seguridad en WAN PG (6)Soluciones a las necesidades de interconexión con el exterior desde 2007: Nodo INET



Gestión y monitorización de eventos de seguridad (SIM):Beneficios:

• Conocimiento en tiempo real de lo que ocurre en los sistemas de la WAN de PG.

• Toma de decisiones para prevenir y, en su caso, defenderse.

• Entorno con elevado grado de automatización.• Obtención y conservación de evidencias.


Datos

Información

Conocimiento

IncidenteIncidente

Análisis de situaciónAnálisis de situación

Análisis de amenazasAnálisis de amenazas

Descubrimiento de patronesDescubrimiento de patrones

Consolidación / PrioritizaciónConsolidación / Prioritización

CorrelaciónCorrelación

NormalizaciónNormalización

FiltradoFiltrado

RecogidaRecogida

Recolección

Centralización

ExplotaciónValor para la O

rganización

Gestión y monitorización de eventos de seguridad: LogICAControles de seguridad en WAN PG (7)


Controles de seguridad en WAN PG (7)Gestión y monitorización de eventos de seguridad: LogICA



Ejecución de auditorías externas:Beneficios:

• Verificación independiente de los niveles de seguridad.

• En 2004 y 2005, ejecutadas sobre DMZ Nodo Internet y sobre servicios webpublicados en Internet.



Control y gestión de las redes WIRELESS desplegadas:Beneficios:

• Carácter restrictivo.• Concesión de autorización por la AOS de la WAN.• Configuración conforme a la Guía de Seguridad

CCN-STIC-406 “Seguridad en redes inalámbricas basadas en el estándar 802.11”.



Securización de todos los dispositivos TIC de la WAN (servidores, WS, electrónica de red, …):Beneficios:

• Establecimiento de una configuración segura de los dispositivos más allá de las configuraciones comerciales “de serie”.

• Conforme a las guías elaboradas por el Centro Criptológico Nacional..



Gestión y control de terminales móviles (portátiles y PDAs):Beneficios:

• La información de la WAN PG no debe “bajar” a ningún dispositivo móvil o portable que no implemente mecanismo de cifrado certificado a nivel nacional.

• Configuración conforme a la Instrucción Técnica CCN-STIC-301 (Requisitos STIC).



Revisión de las directrices de declaración de ficheros sujetos a LOPD:Beneficios:

• Aportar una visión corporativa, más allá de las visiones departamentales, que aporte sencillez y funcionalidad al elevado número de ficheros declarados.


Conclusiones: “Balance de 3 años”

TECNOLOGÍANORMATIVA

ORGANIZACIÓN

Seguridad TIC


Conclusiones: “Tareas pendientes”

Gestión de la impresión en la WAN de PG: Evitar la copia indiscriminada de información del Ministerio (cuando el carácter de la información lo aconseje).Imbricar todas las iniciativas descritas en un Sistema de Gestión de Seguridad de la Información (ciclo PDCA: ISO 27001).Implantar un Centro de Operaciones de Seguridad (SOC).Proseguir en la concienciación y sensibilización de los usuarios de la WAN de PG (la primera y más sencilla puerta de entrada).


Muchas gracias por su atenciónCte. Jesús Gómez Ruedas

[email protected]

“seguridad en la red de área extensa de propósito general” · pdf...

Documents