Gestión de la Seguridad
de la Información
Índice
1. Importancia de la Información y riesgos de seguridad 2. Esquema Nacional de Seguridad (ENS)
3. Modelo de ENS para Entidades Locales
Importancia de la Seguridad
de la Información y
IMPORTANCIA DE LA INFORMACIÓN
La Información, en cualquier tipo de organización, es esencial para:
– Gestionar efectivamente las operaciones de la entidad – Gestionar adecuadamente los recursos internos y
externos
– Gestionar y mantener el conocimiento – Conseguir o mantener la reputación – La supervivencia de la actividad
AMENAZAS PARA LA INFORMACIÓN / ACTIVIDAD
Desde hace años, y cada vez más frecuentemente, conocemos noticias sobre amenazas a la seguridad de las organizaciones, públicas y privadas:
AMENAZAS PARA LA INFORMACIÓN / ACTIVIDAD
OJO: No podemos pensar que sólo les pasa a las grandes organizaciones:
SEGURIDAD DE LA INFORMACIÓN
• Ante esta situación, se hace fundamental protegerse mediante la aplicación de medidas de seguridad.
• ¿Qué medidas de seguridad son las apropiadas en cada caso?
• Hay leyes que aplican tanto a la entidad privada como a la administración pública:
– Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
– Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD.
Esquema Nacional de Seguridad
www.seguridadinformacion.com www.esquemanacionaldeseguridad.com
ESQUEMA NACIONAL DE SEGURIDAD
• Su creación se contempla en la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y se regula a través de Real Decreto 3/2010, de 8 de enero.
• Es el marco, obligatorio para las administraciones públicas, de requisitos y principios básicos para la protección adecuada de la información.
• Tiene como objetivo crear la confianza necesaria en el uso de la administración electrónica.
ÁMBITO DE APLICACIÓN
• Es de obligado cumplimiento para el conjunto de la administración española, entendiendo por tal la AGE, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas.
• En el ámbito de la administración autonómica, los departamentos y consejerías, fundaciones públicas, institutos, agencias, sociedades públicas, universidades y otros entes de la administración.
PLAZOS DEL ENS
30 de Enero de 2011 para contar con un Plan de Adecuación (12 meses tras
la entrada en vigor)
30 de Enero de 2014 para el cumplimiento del ENS (48 meses tras la entrada
LOS OBJETIVOS DEL ENS
• Asegurar que los sistemas de información prestarán sus servicios y custodiarán la información correctamente, y sin accesos no autorizados a la información.
• Contar con redes y sistemas de información que resistan los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
• Generar confianza en los ciudadanos respecto a la administración electrónica.
ELEMENTOS Y PROCESOS SUJETOS AL ENS
• Están integrados en el ámbito del ENS todos los elementos técnicos, humanos, materiales y organizativas, relacionados con los sistemas de información.
• De forma específica se implementaran, gestionarán e integrarán para el cumplimiento del ENS:
• Los servicios, trámites y demás relaciones que se presten a ciudadanos electrónicamente.
SIMILITUDES Y DIFERENCIAS CON LA LOPD
Servicio de la Entidad Local
Datos de expedientes / Datos de Ciudadanos Datos de Personal Medidas ENS Medidas LOPD
DIMENSIONES DE LA SEGURIDAD DE LA INFORMACIÓN
• Para asegurar que sólo quienes estén
autorizados puedan acceder a la información
Confidencialidad
• Para asegurar que la información y sus
métodos de proceso son exactos y completos
Integridad
• Para asegurar que los usuarios autorizados tienen acceso a la información y los servicios
Disponibilidad
• Para asegurar el saber quien, cuando, cómo y qué se ha hecho en un proceso telemático
Trazabilidad
• Para que no haya duda de quién es
PRINCIPIOS BÁSICOS DEL ENS I
Seguridad Integral: La seguridad de la información en las administraciones se plantea como un proceso integral,
que excluye tratamientos coyunturales.
Gestión basada en riesgos: Se deberán identificar y evaluar los riesgos inherentes en todos los activos de información, incluyendo las personas y la infraestructura
PRINCIPIOS BÁSICOS DEL ENS II
Prevención, reacción y recuperación: Los sistemas de seguridad deben tener una orientación preventiva, para evitar las amenazas. Los
sistemas dispondrán de medidas de recuperación que permitan asegurar la continuidad de la información y los servicios
Líneas de defensa: Deberá existir una estrategia de protección con diversas capas de seguridad y control.
Evaluación periódica: A través de auditorías y sistemas de verificación de cumplimientos.
PROCESO DE IMPLANTACIÓN
• Planificar la implantación
• Organizar el Comité de Gestión
• Realizar plan de acción
• Establecer objetivos • Recopilar información • Desarrollar • Políticas • Inventario de activos • Categorización de sistemas • Análisis de riesgos • Documento de aplicabilidad • Normativa de seguridad • Procedimientos • Formación • Revisar y actualizar
• Verificar y validar objetivos
Modelo ENS
MODELO ENS
• Teniendo en cuenta que los servicios se prestan en gran parte a través de la infraestructura de la Diputación de Valladolid, se ha elaborado un modelo que sería aplicable a las Entidades Locales.
• Este modelo, en cada caso, requeriría de un proceso de adaptación para ajustarse plenamente a la situación de cada Entidad Local.
• El modelo se compone de:
• Política de Seguridad ENS.
• Plan de Adecuación al ENS.
• Procedimientos de implantación del ENS.
PLAN DE ADECUACIÓN AL ENS
• Categorización de sistemas
Sistema Subsistema Servicio / Información D I C A T Categoría
Servicios a los ciudadanos
Cultura B B B B B B
Gestión de bibliotecas municipales B B B B B B Gestión, catalogación e inventario de archivos
provinciales B B B B B B
Datos de archivos y bibliotecas B B B B B B
Gestión económica M M M B B M
Contabilidad M M M B B M
Datos Contables M M M B B M
Servicios generales M M M M M M
Nóminas y seguridad social B M M B B M
Gestión de personal B M M M B M
Asistencia social y domiciliaria M M M M M M Deportes e instalaciones deportivas B B B B B B
ANÁLISIS Y GESTIÓN DE RIESGOS AMENAZAS VULNERABILIDADES ASUMIR MITIGAR IMPACTO PROBABILIDAD
PLAN DE ADECUACIÓN AL ENS
PLAN DE ADECUACIÓN AL ENS • Plan de Mejora ID Acción Acciones 2º trimest re 2014 3er trimest re 2014 4ª t rimest re 2014 Resp on sab le
PROYECTO 1 – LANZAMIENTO DEL ENS Responsable de seguridad (RS) 1-1 Aprobación y distribución de la Política de
Seguridad
2-1 Documentación de Arquitectura de Seguridad 9-1 Formalizar las responsabilidades en seguridad 0-1 Definir programa de formación 0-2 Definir programa auditorías PROYECTO 2 – DOCUMENTACIÓN DEL ENS RS
Responsables de Servicio 1-2 Elaboración de la Normativa de Seguridad 1-3 Elaboración de los Procedimientos de Seguridad 1-4 Definición del Proceso de Autorización 2-2 Dimensionamiento y Gestión de la Capacidad 3-1 Formalizar el control de accesos 4-1 Formalizar la seguridad en la explotación 4-2 Formalizar la gestión de los controles
criptográficos
5-1 Formalizar la gestión de los servicios externos 6-1 Documentar el Análisis de Impacto 10-3 Definir equipos alternativos
PROCEDIMIENTOS ENS - CONTROL DE ACCESOS
• Cada usuario deberá estar asociado a un perfil, de acuerdo a las tareas que desempeña en la organización, definido por su responsable directo.
• Cada uno de estos perfiles dispondrá de unos determinados permisos y verá restringido su acceso a Información y sistemas que no le son necesarios para las competencias de su trabajo
• Los sistemas y aplicaciones dispondrán de mecanismos adecuados de autenticación.
PROCEDIMIENTOS ENS - INCIDENTES DE SEGURIDAD
• Cualquier empleado que sospeche u observe una incidencia de seguridad debe comunicarlo inmediatamente al Responsable de Seguridad.
• Las incidencias pueden ser:
• Ambientales: fuego, agua, etc.
• De software o sistemas: virus, desaparición de datos, etc.
• Fallos de los servicios de soporte: comunicaciones, electricidad, etc.
• Se establecerán responsabilidades y procedimientos de gestión de incidencias para asegurar una respuesta rápida, eficaz y ordenada a los eventos en materia de seguridad.
• El registro de incidencias servirá de base para identificar riesgos nuevos y para comprobar la eficacia de los controles implantados.
PROCEDIMIENTOS ENS – PROTECCIÓN DE LAS INSTALACIONES
• Las instalaciones deben protegerse contra daños que puedan afectar a los sistemas que albergan.
• Para ello, sólo las personas autorizadas tengan acceso a las instalaciones, que cuentan con las barreras físicas necesarias para asegurar los recursos que éstas alberguen.
• Los activos críticos se ubicarán en lugares aislados y con acceso restringido.
PROCEDIMIENTOS ENS – GESTIÓN DE PERSONAL
• Se proporcionará formación en seguridad de la información y en el ENS
• Todas las políticas y procedimientos en materia de seguridad serán comunicadas regularmente a todos los trabajadores y usuarios terceros si procede.
• Cuando se termine la relación laboral o contractual con empleados o personal externo, se les retirarán los permisos de acceso a las instalaciones y la información y se les pedirá que devuelvan cualquier tipo de información o equipos que se les haya entregado para la realización de los trabajos.
PROCEDIMIENTOS ENS – PROTECCIÓN DE LOS SOPORTES
• Los usuarios aplicarán las mismas medidas de seguridad a los soportes que contengan información sensible que a los ficheros de donde han sido extraídos.
• Los soportes con información sensible deben permanecer fuera del alcance de personal no autorizado.
• Se mantendrá el debido cuidado al utilizarlos para el desempeño de las labores propias del puesto. No deben permanecer encima de la mesa cuando abandone su puesto de trabajo ni en cualquier otro lugar donde una persona sin autorización pueda verlos o apropiarse de ellos.
PROCEDIMIENTOS ENS – PROTECCIÓN DE LA INFORMACIÓN
• La información debe ser protegida a lo largo de todo su ciclo de vida: • Generación • Gestión • Transmisión • Almacenamiento • Destrucción
• Conocer la clasificación de la información y, si son datos de carácter personal, su nivel, para aplicar las medidas de seguridad que procedan.
NO OLVIDAR
No compartir cuentas de usuario No revelar contraseñas a otros
NO OLVIDAR
Recoger los documentos de la impresora sin dejarlos en la bandeja de salida donde los pudiera ver personal no autorizado.
NO OLVIDAR
No dejar papeles sobre la mesa con información confidencial a la vista de personas no autorizadas
NO OLVIDAR
La disposición de los equipos debe ser la correcta para evitar que alguien no autorizado pueda ver la información de sus pantallas
NO OLVIDAR
Programar el salvapantallas del ordenador para que se ejecute cuando se prolonga un periodo de inactividad
NO OLVIDAR
Mantener siempre activo el sistema de antivirus y en general, no cambiar la configuración de los equipos
NO OLVIDAR
Utilizar una destructora de papel antes de reciclar o tirar a la papelera los documentos.
PROCESO DE ADECUACIÓN
• Será necesario ajustar determinados aspectos del Plan de Adecuación, para ajustarlos plenamente a las características de cada Entidad Local.
• Acciones a llevar a cabo:
• Aprobar la Política de Seguridad
• Adaptar la documentación
Gracias por su atención Dudas y preguntas START-UP S.L. www.esquemanacionaldeseguridad.es www.seguridadinformacion.com info@seguridadinformacion.com