Post on 30-Jul-2015
II Jornada de Ciberseguridad en Andalucía
#cibersegAnd15
SEVILLA 2015
D. Javier Candau“Seguridad de los Sistemas de Información y Telecomunicaciones
que soportan las Administraciones Públicas”
13/06/2015 www.ccn-cert.cni.es
1
Estrategia de Ciberseguridad Nacional Línea de Acción 1y 2
SIN CLASIFICAR
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 2
ÍNDICE 1. Estrategia de Seguridad Nacional
2. Estrategia de Ciberseguridad Nacional
3. Línea de Acción 1
• Detección
• Intercambio
• Ejercicios
• Respuesta
4. Línea de Acción 2
• ENS
• CCN-CERT
• Servicios Comunes
• Mejores Prácticas
5. Papel del CNI-CCN
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 3
Líneas de Acción de la ESN / ECSN
1
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las AAPP
2
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las infraestructuras críticas
3
Capacidades de detección y persecución del ciberterrorismo y de la ciberdelincuencia
4
Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación (TIC) en el sector privado
5
Conocimientos, competencias e I+D+i 6
Cultura de ciberseguridad 7
Compromiso internacional 8
Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 4
Estrategia de Ciberseguridad en España 2
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 5
Líneas de Acción
1
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan
las AAPP 2
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan
las infraestructuras críticas 3
Capacidades de detección y persecución del ciberterrorismo y de la
ciberdelincuencia
4
Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación
(TIC) en el sector privado 5
Conocimientos, competencias e I+D+i 6
Cultura de ciberseguridad 7
Compromiso internacional 8
Capacidad de prevención, detección, respuesta y recuperación ante las
ciberamenazas
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 6
Línea de Acción 1. DETECCIÓN e INTERCAMBIO 3
DETECCIÓN
COOPERACIÓN E INTERCAMBIO
EJERCICIOS
RESPUESTA. CAPACIDADES DE DEFENSA E INTELIGENCIA
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 7
RED SARA [SAT- SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Organismos adscritos
SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 72 Organismos / 87 sondas
• Última incorporación: Gobierno de Cantabria.
Sistemas de Alerta Temprana (SAT)
57 58 60
63 64 66
72
Junio Agosto Septiembre Octubre Diciembre Febrero Abril
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 8
Sistemas de Alerta Temprana – Estadísticas 3
7225
12916
7263
3998
1914
458
193
0 5000 10000 15000
Número de incidentes
2009
2010
2011
2012
2013
2014
221
1077
5686
231 11
Bajo Medio Alto Muy Alto Crítico
Enero-Junio
Recogida de Información
Fraude
Intrusiones
Disponibilidad
Contenido Abusivo Código Dañino
Seguridad de la información
Otros
2015
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 9
• Basada en MISP (Malware Information Sharing Platform) (Bélgica)
• Automatizar el intercambio de información. Mayor rapidez en detección de la amenaza
• Eliminar duplicidades en análisis de la información.
• Posibilidad re realizar búsquedas específicas
• Importar IOC,s / STIX-TAXII
• Exportar reglas SNORT / IOC / STIX-TAXII
• Integración con:
• Otros MISP ---- OTAN / EGC / Serv. Inteligencia….
• MARTA / MARIA
• SAT INTERNET / CARMEN
• LUCIA
• SIEM,s
REYES
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 10
• Cumplir los requisitos del ENS.
• Mejorar la coordinación entre CCN-CERT y los organismos (Mejorar intercambio de incidentes)
• Lenguaje común de criticidad y clasificación del incidente
• Mantener la trazabilidad y seguimiento del incidente
• Automatizar tareas
• Federar Sistemas
• Permitir integrar otros sistemas
• REYES / MARTA / MARIA
Listado Unificado de Coordinación de
Incidentes y Amenazas
Basada en sistema de incidencias
Request Tracker (RT) Incluye extensión para CERT Request
Tracker for Incident Response (RT-IR)
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 11
REYES (REpositorio común Y EStructurado de amenazas y código dañino)
Cert,s CCAA
AAPP Empresas
Elaboración
CAPACIDADES
FORENSES ING. INVERSA
Servicios
Inteligencia
SIGINT
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 12
CONCLUSIONES LA 1
• Plan Derivado Terminado.
• Necesidad de asignación de recursos humanos y económicos para
mejorar las capacidades de detección
• Responsabilidades fragmentadas.
• Impulsar el intercambio de información
• Capacidades de respuesta
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 13
Línea de Acción 2 4
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 14
Creación de la
figura del DTIC de
la AGE
-> RD 802/204
Nuevo modelo
de gobernanza TIC
-> RD 806/2014
Consolidación y
servicios comunes
-> RD 802/2014, RD 806/2014
Reforma de las AA.PP.
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 15
ESQUEMA NACIONAL DE SEGURIDAD
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 16
1. Los Principios básicos, que sirven
de guía.
2. Los Requisitos mínimos, de obligado cumplimiento.
3. La Categorización de los sistemas para la adopción de medidas de
seguridad proporcionadas.
4. La auditoría de la seguridad que verifique el cumplimiento del ENS.
5. La respuesta a incidentes de seguridad. Papel de CCN- CERT.
6. El uso de productos certificados. A
considerar al adquirir los productos de seguridad. Papel del Organismo
de Certificación (CCN). 7. La formación y concienciación.
6
15
75
ESQUEMA NACIONAL DE SEGURIDAD
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 17
INFORME ARTICULO 35. ESTADO DE SEGURIDAD DE LAS AAPP
Artículo 35. Informe del estado de la seguridad.
El Comité Sectorial de Administración Electrónica articulará los procedimientos necesarios para conocer regularmente el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el presente real decreto, de forma que permita
elaborar un perfil general del estado de la seguridad en las Administraciones públicas.
Nueva versión Febrero 2014
Véase: “815 Métricas e indicadores”
disponible en https://www.ccn-cert.cni.es
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 18
MARCO LEGAL • Ley 11/2002 reguladora del Centro Nacional de Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la
Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma
activa las nuevas ciberamenazas.
COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas de interés
estratégicos.
HISTORIA
• 2006 Constitución en el seno del CCN
• 2007 Reconocimiento internacional • 2008 Sist. Alerta Temprana SAT SARA
• 2009 EGC (CERT Gubernamentales Europeos) • 2010 ENS y SAT Internet
• 2011 Acuerdos con CCAA
• 2012 CARMEN Y Reglas • 2013 Relación con empresas/ CCAA • 2014 LUCÍA / MARTA • 2015 SAT INTERNET Ayto / Diputaciones /
Universidades
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 19
Seguridad gestionada:
Oportunidad para mejorar la seguridad del conjunto y reducir el esfuerzo individual de las entidades.
Racionalidad económica:
Consolidación, frente al coste de n acciones individuales.
Medidas del ENS susceptibles de prestación centralizada
Seguridad gestionada
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 20
Guías y herramientas Guías CCN-STIC SERIE 800 publicadas en https://www.ccn-cert.cni.es :
800 - Glosario de Términos y Abreviaturas del ENS
801 - Responsables y Funciones en el ENS 802 - Auditoría de la seguridad en el ENS
803 - Valoración de sistemas en el ENS 804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS 807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS 809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT 811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web 813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico 815 - Métricas e Indicadores en el ENS
816 - Seguridad en redes inalámbricas 817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS 821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS 823 – Cloud Computing en el ENS
824 - Informe del Estado de Seguridad 825 – ENS & 27001
827 - Gestión y uso de dispositivos móviles
850A Seguridad en Windows 7 en el ENS (cliente en dominio)
850B Seguridad en Windows 7 en el ENS (cliente independiente)
851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro) 851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente)
859 Recolección y consolidación de eventos con Windows Server 2008 R2 en el ENS
869 AppLocker en el ENS
870A Seguridad en Windows 2012 Server R2 en el ENS (controlador de dominio)
870B Seguridad en Windows 2012 Server R2 en el ENS (servidor independiente)
MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información
Programas de apoyo:
Pilar , µPILAR, INÉS, CLARA, LUCÍA, CARMEN, …
34 GUÍAS PREVISTAS PARA
2015
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 21
HERRAMIENTAS
DETECCIÓN ANÁLISIS AUDITORÍA INTERCAMBIO
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 22
CONCLUSIONES LA 2
• Plan Derivado Terminado.
• Impulsar el ENS y valorar su cumplimiento. Valoración mediante la
auditoría correspondiente.
• Necesidad de asignación de recursos humanos y económicos para
mejorar las capacidades y proporcionar servicios comunes
• Responsabilidades claras
• Mejores prácticas de uso en todas las AAPP.
• Vigilancia sistemas clasificados pendiente de recursos PLAN
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 23
¿ QUE PAPEL JUEGA EL CNI - CCN ?
• Mejor conocimiento de la AMENAZA.
• Capacidad técnica y experiencia en seguridad en redes.
• Más de 25 años.
• Capacidades de detección (Intercambio de información)
• Capacidad de Defensa de redes (CCN-CERT).
• Capacidad de CONTRAINTELIGENCIA
5
JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es 15/06/2015 24
Gracias
E-Mails
ccn-cert@cni.es
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es