Seguridad de la Información. La experiencia del Principado de Asturias

III. Primer Paso

V. Gestión de Identidades

IV. Políticas de Seguridad

Juan Carlos Rodríguez Rodríguez

Jefe del Area de Seguridad e Integración de Sistemas

Dirección General de Informática

Viceconsejería de Modernización y Recursos Humanos

II. El

II. El

Area

Area

de Seguridad

de Seguridad

• Se crea el Area de Seguridad en 2002

• Las funciones del Area De Seguridad e Integración de Sistemas vienen

recogidas en el Decreto 142/2007, de 1 de agosto, de estructura orgánica

básica de la Consejería de Administraciones Públicas y Portavoz del

Gobierno (BOPA 02-08-2007).

• Tiene a su cargo las funciones de dirección, diseño, desarrollo,

implantación y mantenimiento de los programas y políticas de seguridad en

materia de sistemas de información para todos los ámbitos de la

Administración del Principado de Asturias. Le corresponde el control de

riesgos en sistemas de información, la puesta en marcha de medidas

correctivas para su reducción, así como la redacción y seguimiento del

cumplimiento de normativas y estándares que se desarrollen en materia de

tecnologías de la información y comunicaciones.

Los problemas del “segurata”

¾

Area de Seguridad, el enemigo público nº 1

¾

Seguridad Î Inseguridad

¾

A nivel profesional

III. Primer Paso

III. Primer Paso

Análisis de Riesgos

El “Risk Assessment” cubre la seguridad

técnica, procedimental y organizativa sobre las

siguientes áreas de interés:

• Estrategia y Gestión

• Operaciones, Administración y Desarrollo

• Políticas, Estándares, Cumplimiento y

Concienciación (‘compliance’ y ‘awareness’)

• Seguridad de host

• Seguridad de red

Objetivo: identificar las mayores debilidades y

Indicadores de Seguridad

Gestión de Identidades

Políticas de Seguridad

Lo que no puedes medir no lo puedes

gestionar

Facilitar y Controlar de forma

eficiente los sistemas de

identificación y Autenticación,

Autorización y Auditoría (AAA).

Sin políticas de seguridad los

empleados no tienen una guía de uso

sobre qué se espera de ellos y por lo

tanto no se puede legalmente

contabilizar su comportamiento.

Las diferentes Normas y Procedimientos de Seguridad Informática del Gobierno del Principado de Asturias

se clasifican, según su contenido temático, en diversos grupos atendiendo a las recomendaciones de la ISO 17799

Aspectos

Organizativos

Para la Seguridad

Seguridad

Ligada al Personal

Gestión de

Comunicaciones y

Operaciones

Control de Accesos

Clasificación

y

Control de Activos

Seguridad Física y

del Entorno

Desarrollo y

Mantenimiento de

Sistemas

Gestión de

Continuidad del

Negocio

Conformidad

ISO 17799

IV. Políticas de Seguridad

AOS - Aspectos

Organizativos

Para la Seguridad

En este apartado se incluyen aquellas normas y

procedimientos relacionados con el desarrollo del propio marco normativo.

Clasificación y

Codificación

Elaboración de Normas

y Procedimientos

Normas

Organizar y estructurar el Manual de Normas y

Procedimientos de Seguridad Informática del Principado de Asturias, estableciendo los criterios de agrupación y codificación de los documentos que lo componen, según establece la norma ISO 17799.

Establecer los estándares en cuanto a los procesos de crear, mantener, configurar y distribuir normas y procedimientos que sean necesarios,

CCA – Clasificación

y Control de Activos

En este apartado se incluyen aquellas normas y procedimientos cuyo

objetivo es mantener una protección adecuada sobre los activos de la organización.

Se entiende por activo informático cualquier recurso, tanto hardware como software, de los sistemas de información o relacionado con éstos.

Clasificación y

Tratamiento de la

Información

Inventario de Activos

Informáticos

Normas

Establecer una serie de normas para la clasificación y tratamiento de la información del Gobierno del Principado de Asturias en función de

su nivel de confidencialidad (Reservada, Restringida y Uso Interno)

Establecer las directrices generales a seguir para generar y mantener un inventario con el material informático

del Gobierno del Principado de Asturias; con el fin de llevar un mejor control de estos activos, y suministrar información a las herramientas de

gestión de la seguridad que así lo requieran.

¾Clasificación y Tratamiento de la Información.

SLP – Seguridad

Ligada al Personal

En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo

_{es reducir los riesgos de errores humanos, robos, fraudes o mal uso de las}

instalaciones y los servicios.

Obligaciones

del

Personal

Normas

Establecer las funciones y obligaciones del personal del Principado de Asturias en cuanto a la utilización de información

SFE – Seguridad

Física y del Entorno

En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo

_{es evitar accesos no autorizados, daños e interferencias en salas técnicas,}

CPD y en la información de la Organización.

Control de Acceso

Físico

Normas

Aportar una serie de directrices para proteger las instalaciones informáticas de accesos físicos indebidos.

Seguridad Física en el

CPD y Sala Técnicas

Aportar una serie de normas para preservar la seguridad física de los Sistemas de Información ubicados en el CPD y las salas técnicas.

GCO – Gestión de

Comunicaciones y

Operaciones

En este apartado se incluyen aquellas normas y procedimientos que engloban aspectos

de seguridad relativos a la operación de los sistemas y telecomunicaciones,

como los controles de red, protección contra software malicioso,

gestión de copias de seguridad o el intercambio de software dentro de la Organización.

Gestión de

Incidencias

de Seguridad

Normas

Gestión y Distribución

de Soportes

¾Detección, Notificación y Resolución de Incidencias de Seguridad.

Gestión de Copias

de Respaldo

Redes y

Comunicaciones

Servicio de

Correo Electrónico

¾Pruebas de Copias de Respaldo ¾Recuperación de la Información.

¾Identificación e Inventariado de Soportes.

¾Salida de Soportes.

¾Registro de Entrada / Salida de Soportes. ¾Distribución Cifrada de Soportes. ¾Borrado y Reutilización de Soportes. ¾Cambios Perimetrales.

CAC – Control de

Accesos

En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es

controlar los accesos a la información.

Identificación,

Autenticación y

Control de Acceso

Normas

Definir las principales directrices a cumplir en el Gobierno del Principado de Asturias para la Identificación, Autenticación

y Control de Acceso en los Sistemas de Información.

Seguridad en PCs

Establecer una serie de normas que han de aplicarse para la configuración y uso de los ordenadores personales (PCs)

del Gobierno del Principado de Asturias, de forma que se garantice su seguridad.

¾Alta de usuarios en los Sistemas de Infromación.

¾Baja de usuarios en los Sistemas de Infromación.

¾Identificación y Autenticación de usuarios.

DMS – Desarrollo

y Mantenimiento

de Sistemas

En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo

es asegurar que los sistemas de información dispongan de una seguridad adecuada,

esto es, seguridad en el desarrollo y las aplicaciones, cifrado de datos,

control de software, etc.

Desarrollo de Sistemas

de Información

Normas

Establecer una serie de normas que han de aplicarse durante el desarrollo de Sistemas de Información para

el Gobierno del Principado de Asturias.

Control de Software

Establecer una serie de normas que han de aplicarse para la adquisición, instalación, mantenimiento y auditoría de software para

el Gobierno del Principado de Asturias.

¾Paso de Aplicaciones del entorno de Desarrollo a Producción.

¾Paso de Aplicaciones del entrono de Pruebas a Producción.

¾Control de Versiones de Aplicaciones. ¾Aprobación por usuarios de

CON – Conformidad

En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es

_{evitar los incumplimientos de cualquier requisito reglamentario, regulación u}

obligación contractual, y de todo requisito de seguridad.

Tratamiento de Datos

de Carácter Personal

Normas

El objetivo es asegurar el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre,

de Protección de Datos de Carácter Personal (LOPD), y el Real Decreto 994/1999

Registros de Auditoría

Establecer normas para generar, mantener y analizar los registros de auditoría generados por los distintos sistemas de información

del Gobierno del Principado de Asturias.

¾Ejercicio de los derechos de los ciudadanos.

“Lucas dejó la empresa el mes pasado, y

todavía puede acceder a su base de datos

de información.”

“Pedro se incorporó a la empresa hace dos

semanas, todavía no tiene cuenta de

usuario.”

“Juan cambió de puesto en la empresa pero

todavía no puede acceder a sus nuevas

herramientas”

Información de usuarios fragmentada,

duplicada, obsoleta y no auditable.

El Objetivo

“La

Identidad digital

comprende

registros electrónicos que representan

AGENTES DE LA RED, incluyendo

personas, dispositivos, aplicaciones, y

servicios.”

“La

Gestión de la Identidad

La Solución

Componentes de la solución:

PROVISIONING

Uso de conectores, basados en la tecnología IDM2 (Novell

_{Identity Manager).}

Directory

Uso de directorios LDAP (Active Directory, eDirectory).

Access Control

Basado en directorios y Metadirectorio para el acceso a

aplicaciones.

Metadirectorio

Centralización de la información Corporativa (usuarios, perfiles,

recursos, etc).

Usando Novell eDirectory como repositorio de consolidación.

Single Sign-On

Metadirectorio

A p lic a c io n 1 A p lic a c io n 2 A p lic a c io n N

Metadirectorio - Estructura

EMP Se ubican los objetos de usuario de tipo “empleado”, es decir en este contenedor se almacenarán los empleados de la _{Administración.}

La estructura del Metadirectorio está compuesta por los siguientes contenedores:

EMP/EXT PUB TEMP APPS ORG SC

Se ubican los objetos de usuario de tipo “empleado externo”, empleados de empresas colaboradoras.

Se ubican los objetos de usuario de tipo “ciudadano”, es decir todos los ciudadano que tengan realación con la Administración del Principado de Asturias que tengan clave SAC asociada para realizar trámites administrativos.

Se crearán inicialmente los empleados externos de forma que idm2 “capture” dicha creación, rellene automáticamente los atributos adicionales necesarios y, finalmente los mueva al contenedor EXT/EMP citado anteriormente

Se ubican los objetos representativos de aplicaciones web, cada una de ellas con un conjunto de roles y dominios.

Se ubican los objetos de tipo “Organización administrativa”, es decir, los distintos departamentos del Principado de Asturias o Estructura Orgánica vigente.

VI. Indicadores de Seguridad

VI. Indicadores de Seguridad

¿De qué va esto?

•Son valores que se obtienen tras la recolección y

análisis de datos relativos a la implementación,

eficiencia, efectividad e impacto de los controles,

políticas y procedimientos de seguridad existentes en la

organización.

•Permiten contrastar en qué medida se están alcanzando

los objetivos de la organización referentes a la

seguridad. De esta forma, se facilita la toma de

decisiones por parte de la Dirección, que puede detectar

fácilmente aquellos objetivos cuyo cumplimiento debe

ser reforzado y determinar acciones de mejora tales

como implantar nuevos controles de seguridad o

perfeccionar los ya existentes.

•La definición de indicadores es un proceso continuo en

el tiempo.

Perspectiva

Objetivo Estratégico

Objetivo Operativo

Servicio Ofrecido

Aumentar la confianza del ciudadano

Reducir riesgos

Resolver eficientemente y reducir el impacto de las incidencias de seguridad Mejorar la disponibilidad de los servicios

Controlar el estado de la seguridad

Reducir las incidencias de seguridad que afectan directamente a la imagen del Principado.

Mejorar la disponibilidad y tiempo de respuesta de los servicios finales a los ciudadanos.

Implantar estrategias y políticas de seguridad. Implantar medidas de seguridad.

Desarrollo, mantenimiento y operación segura de los servicios.

Automatización de procesos.

Gestión y organización eficaz de la seguridad. Realizar gestión de riesgos.

Formación y concienciación en seguridad. Registrar correctamente las incidencias. Optimizar la resolución de incidencias. Mejorar la disponibilidad de los servicios.

Realizar auditorías.

Perspectiva

Objetivo Estratégico

Objetivo Operativo

Cumplimiento

Legislación

Cumplir la Legislación Vigente

Adaptación al

Cambio

Mejora continua de la seguridad

Cumplimiento de la LOPD. Cumplimiento de la LSSI.

Cumplimiento de la Ley de Firma Electrónica. Cumplimiento de la Ley de la Propiedad Intelectual. Cumplimiento de la Ley de Notificaciones Telemáticas. Adecuación de las estrategias y políticas de seguridad a las necesidades del Principado.

Porcentaje de incidencias de seguridad que afectan a la BD de Terceros

0006

Porcentaje de incidencias de seguridad que afectan al Registro Telemático

0005

Porcentaje de incidencias de seguridad que afectan al Modelo Intermedio

0004

Porcentaje de incidencias de Siebel que afectan a la atención al ciudadano del total de incidencias de seguridad

0003

Porcentaje de incidencias de seguridad que afectan a las Aplicaciones J2EE

0002

Porcentaje de incidencias de seguridad que afectan a Genesys

0001

Algunos Componentes de cada Indicador

•Identificador: 0010

•Nombre de la Métrica: Disponibilidad de la BBDD para el portal del ciudadano

•Fórmula: (1- (Parámetro 2 / Parámetro 1)) * 100

•Procedimiento de Cálculo:

•1-Obtener el número de horas que han transcurrido desde la última toma del indicador

•2-Multiplicar el resultado del paso 1 por 60, para calcular los segundos (parámetro 1)

•3-Calcular el número de segundos en que no ha estado disponible la base de datos (parámetro 2)

•4-Dividir el resultado del paso 3 por el del paso 2

•5-Restar a la unidad el resultado del paso 4, y multiplicar por 100

•Comentarios Adicionales:

•1-La frecuencia del indicador será de 3 meses

•2-La base de datos relacionada con el portal al ciudadano (Internet) es la base de datos X que se

encuentra en el servidor Y.