Seguridad de la Información

Seguridad de la InformacionFormacion de Funcionarios de Nuevo Ingreso

Fernando Tricas Garcı[email protected]

Dpto. de Informatica e Ingenierıa de Sistemas de la Escuela de Ingenierıa yArquitectura de la Universidad de Zaragozahttp://webdiis.unizar.es/~ftricas/

@fernand0

28 de septiembre de 2016

Seguridad de la Informacion. Fernando Tricas Garcıa. Formacion de Funcionarios de Nuevo Ingreso. DGA. 1

http://webdiis.unizar.es/~ftricas/

@fernand0

Esquema Nacional de Seguridad

Real Decreto 3/2010, de 8 de enero, por el que se regula elEsquema Nacional de Seguridad en el ambito de laAdministracion Electronica.... cuyo objeto es el establecimiento de los principios y requisitosde una polıtica de seguridad en la utilizacion de medioselectronicos que permita la adecuada proteccion de la informacion.La finalidad del Esquema Nacional de Seguridad es la creacion delas condiciones necesarias de confianza en el uso de los medioselectronicos, a traves de medidas para garantizar la seguridad delos sistemas, los datos, las comunicaciones, y los servicioselectronicos, que permita a los ciudadanos y a las Administracionespublicas, el ejercicio de derechos y el cumplimiento dedeberes a traves de estos medios.



Sigue...

Actualmente los sistemas de informacion de las administracionespublicas estan fuertemente imbricados entre sı y con sistemas deinformacion del sector privado: empresas y administrados.

Sigue...

En este contexto se entiende por seguridad de las redes y de lainformacion, la capacidad de las redes o de los sistemas deinformacion de resistir, con un determinado nivel de confianza, ...

Numerologıa

50 paginas, diez capıtulos, cuatro disposiciones adicionales, unadisposicion transitoria, una disposicion derogatoria y tresdisposiciones finales. Cinco anexos.


Esquema Nacional de SeguridadContexto

I Recomendaciones de la Union Europea (Decision2001/844/CE CECA, Euratom de la Comision, de 29 denoviembre de 2001, por la que se modifica su

I Reglamento interno y Decision 2001/264/CE del Consejo, de19 de marzo de 2001, por la que se adoptan las normas deseguridad del Consejo),

I Situacion tecnologica de las AAPP

I Utilizacion de estandares abiertos

I Estandares de uso generalizado por los ciudadanos



I Normativa nacional sobre

I Administracion electronicaI proteccion de datos de caracter personalI firma electronica y documento nacional de identidad

electronicoI Centro Criptologico NacionalI sociedad de la informacionI reutilizacion de la informacion en el sector publico y organos

colegiados responsables de la Administracion Electronica

I regulacion de diferentes instrumentos y servicios de laAdministracion

I las directrices y guıas de la OCDE

I disposiciones nacionales e internacionales sobre normalizacion



I Ley 11/2007, de 22 de junio, de acceso electronico de losciudadanos a los Servicios Publico

I Ley Organica 15/1999, de 13 de diciembre, de Proteccion deDatos de Caracter Personal

I Ley 30/1992, de 26 de noviembre, de Regimen Jurıdico de lasAdministraciones Publicas y del Procedimiento AdministrativoComun

I Ley 37/2007, de 16 de noviembre, sobre reutilizacion de lainformacion del sector publico

I Otros documentos y normas


Mirando alrededor


PCI DSSPayment Card Industry Data Security Standard

I VISA 15 de diciembre de 2004I ‘Payment Card Industry. Data Security Standard’I Version 1.0

I (PCI 1.0 Master Card Internacional. Enero 2005)

I PCI DSS 3.1, abril de 2015.I PCI DSS 1.1, (septiembre de 2006), PCI DSS 1.2, (1 de

octubre de 2008)I PCI DSS 2.0, 28 de octubre de 2010.I PCI DSS 3.0, noviembre de 2013.

https://www.pcisecuritystandards.org/https://www.pcisecuritystandards.org/popups/pcirocks.php

http://www.youtube.com/watch?v=xpfCr4By71U

https://www.pcisecuritystandards.org/security_standards/

documents.php


https://www.pcisecuritystandards.org/

https://www.pcisecuritystandards.org/popups/pcirocks.php

http://www.youtube.com/watch?v=xpfCr4By71U

https://www.pcisecuritystandards.org/security_standards/documents.php

https://www.pcisecuritystandards.org/security_standards/documents.php

PCI: ındice


Motivacion

I Promover la gestion continuada de la seguridad

I Prevencion, deteccion y correccionI Tratamiento homogeneo de la seguridad. Lenguaje y

elementos comunesI Guiar actuacion AAPPI Favorecer interaccion y cooperacionI Facilitar la comunicacion de requisitos a la industria


Motivacion

I Es la ley

I Buenas practicas

I Responsabilidad (y no)


(Des)Motivacion

I Burocracia

I Comun normalmente no es suficientemente bueno

http://dilbert.com/strip/2008-09-03


http://dilbert.com/strip/2008-09-03

Cumplimiento obligado para...

I Administracion General del Estado

I Administraciones de las Comunidades Autonomas

I Administraciones Locales

I Entidades de derecho publico vinculadas o dependientes delconjunto de la administracion espanola(Las Universidades, Autoridades Portuarias y aeroportuarias,entidades publicas tipo Institutos de Desarrollo Economico,Servicios de Salud, etc.)


Aplicacion

12 meses a partir de la publicacion

Si a los doce meses de la entrada en vigor del Esquema Nacionalde Seguridad hubiera circunstancias que impidan la plenaaplicacion de lo exigido en el mismo, se dispondra de un plan deadecuacion que marque los plazos de ejecucion los cuales, enningun caso, seran superiores a 48 meses desde la entrada en vigor.

8 de enero de 2014


Disposicion adicional primera. Formacion

El personal de las Administraciones publicas recibira, de acuerdocon lo previsto en la disposicion adicional segunda de la Ley11/2007, de 22 de junio, la formacion necesaria para garantizarel conocimiento del presente Esquema Nacional de Seguridad, acuyo fin los organos responsables dispondran lo necesario para quela formacion sea una realidad efectiva.



En este real decreto se concibe la seguridad como una actividadintegral, en la que no caben actuaciones puntuales o tratamientoscoyunturales


ENS

I Capıtulo I. Disposiciones Generales

I Capıtulo II. Principios basicos

I Capıtulo III. Requisitos mınimos

I Capıtulo IV. Comunicaciones electronicas

I Capıtulo V. Auditorıa de la seguridad

I Capıtulo VI. Estado de seguridad de los sistemas

I Capıtulo VII. Respuesta a incidentes de seguridad

I Capıtulo VIII. Normas de conformidad

I Capıtulo IX. Actualizacion

I Capıtulo X. Categorizacion de los sistemas de informacion


Capıtulo II. Principios basicos

I Seguridad integral.

I Gestion de riesgos.

I Prevencion, reaccion y recuperacion.

I Lıneas de defensa.

I Reevaluacion periodica.

I Funcion diferenciada.


Capıtulo IIII Organizacion e implantacion del proceso de seguridad.I Analisis y gestion de los riesgos.I Gestion de personal.I Profesionalidad.I Autorizacion y control de los accesos.I Proteccion de las instalaciones.I Adquisicion de productos.I Seguridad por defecto.I Integridad y actualizacion del sistema.I Proteccion de la informacion almacenada y en transito.I Prevencion ante otros sistemas de informacion

interconectados.I Registro de actividad.I Incidentes de seguridad.I Continuidad de la actividad.I Mejora continua del proceso de seguridad.


Capıtulo IV. Comunicaciones electronicas

I NotificacionesAUTENTICIDAD (Origen – Destino)INTEGRIDADCONSTANCIA (Fecha – Hora – Puesta a disposicion –Acceso)

I Firma electronica


Capıtulo V. Auditorıa

I Cada dos anos

I ‘... profundizara en los detalles del sistema hasta el nivel queconsidere que proporciona evidencia suficiente y relevante ...’

I ‘... se utilizaran los criterios, metodos de trabajo y deconducta generalmente reconocidos ...’

I Grado de cumplimiento

I Presentado al responsable del sistema y de seguridad

I Art. 7. ‘En el caso de los sistemas de categorıa ALTA, visto eldictamen de auditorıa, el responsable del sistema podraacordar la retirada de operacion de alguna informacion, dealgun servicio o del sistema en su totalidad, durante el tiempoque estime prudente y hasta la satisfaccion de lasmodificaciones prescritas.’


ENS












CAPITULO VII Respuesta a incidentes de seguridad

El Centro Criptologico Nacional (CCN) articulara la respuestaPrestara los servicios:

I Soporte y coordinacion

I Investigacion y divulgacion

I Formacion personal especialista


ENS












CAPITULO X. Categorizacion de los sistemas deinformacion

I Equilibrio entre importancia de la informacion, servicios yesfuerzo de seguridad requerido

I Impacto que tendrıa un incidenteI Impacto valor de los activos + criticidad de las

vulnerabilidadesI Riesgos (‘risks’): probabilidad × impacto

I Repercusion en la capacidad de la organizacion para el logrode sus objetivos

I Valoraciones ... Responsable de cada informacion o servicio

I Categorıa ... Responsable del sistema


Anexo I. Categorıas de los sistemas

Fundamentos:

I Alcanzar sus objetivos.

I Proteger los activos a su cargo.

I Cumplir sus obligaciones diarias de servicio.

I Respetar la legalidad vigente.

I Respetar los derechos de las personas.


Anexo I. Categorıas de los sistemas

Dimensiones:

I Disponibilidad [D]

I Autenticidad [A]

I Integridad [I]

I Confidencialidad [C]

I Trazabilidad [T]


Anexo I. NivelesI BAJO

‘... supongan un perjuicio limitado sobre las funciones de laorganizacion, sobre sus activos o sobre los individuosafectados.’Palabras clave: apreciable, subsanable, reparable

I MEDIO‘... supongan un perjuicio grave sobre las funciones de laorganizacion, sobre sus activos o sobre los individuosafectados.’Palabras clave: significativa, no subsanable, de difıcilreparacion

I ALTO‘... supongan un perjuicio muy grave sobre las funciones de laorganizacion, sobre sus activos o sobre los individuosafectados’Palabras clave: anulacion de capacidad, irreparable,incumplimiento grave


Anexo I. Determinacion

1. Identificacion de nivel para cada informacion y servicio

2. Determinacion de categorıa del sistema

Categorıas

I BAJAI MEDIAI ALTA

Si algunas de sus dimensiones alcanza el nivel ... y ningunaalcanza un nivel superior.


Anexo I. Determinacion

1. Identificacion de nivel para cada informacion y servicio

2. Determinacion de categorıa del sistemaCategorıas

I BAJAI MEDIAI ALTA

Si algunas de sus dimensiones alcanza el nivel ... y ningunaalcanza un nivel superior.


Anexo II. Medidas de seguridad

Medidas proporcionales a:

I Las dimensiones de seguridad relevantes en el sistema aproteger.

I La categorıa del sistema de informacion a proteger.

Divididas en tres grupos:Tres grupos:

I Marco organizativo [org]

I Marco operacional [op]

I Medidas de proteccion [mp]


Anexo II. Seleccion de Medidas de Seguridad

I Identificacion de los tipos de activos presentes.

I Determinacion de las dimensiones de seguridad relevantes,teniendo en cuenta lo establecido en el anexo I.

I Determinacion del nivel correspondiente a cada dimension deseguridad, teniendo en cuenta lo establecido en el anexo I.

I Determinacion de la categorıa del sistema, segun loestablecido en el Anexo I.

I Seleccion de las medidas de seguridad apropiadas de entre lascontenidas en este Anexo, de acuerdo con las dimensiones deseguridad y sus niveles, y, para determinadas medidas deseguridad, de acuerdo con la categorıa del sistema.


Anexo II. Seleccion de medidas de seguridad

[D]isponibilidad – [A]utenticidad – [I]ntegridad[C]onfidencialidad – [T]razabilidad


Anexo II. Seleccion de medidas de seguridadMecanismo de autenticacion [op.acc.5]

Los mecanismos de autenticacion frente al sistema se adecuaran alnivel del sistema atendiendo a las consideraciones que siguen,pudiendo usarse los siguientes factores de autenticacion:

I “algo que se sabe”

I “algo que se tiene”

I “algo que se es”

(Sigue...)


Polıtica de seguridadMecanismo de autenticacion [op.acc.5]

Sigue...Los factores anteriores podran utilizarse de manera aislada o combinarse paragenerar mecanismos de autenticacion fuerte.Las guıas CCN-STIC desarrollaran los mecanismos concretos adecuados paracada nivel.Las instancias del factor o los factores de autenticacion que se utilicen en elsistema, se denominaran credenciales.Antes de proporcionar las credenciales de autenticacion a los usuarios, estosdeberan haberse identificado y registrado de manera fidedigna ante el sistema oante un proveedor de identidad electronica reconocido por la Administracion.Se contemplan varias posibilidades de registro de los usuarios:

I Mediante la presentacion fısica del usuario y verificacion de su identidadacorde a la legalidad vigente, ante un funcionario habilitado para ello.

I De forma telematica, mediante DNI electronico o un certificadoelectronico cualificado.

I De forma telematica, utilizando otros sistemas admitidos legalmente parala identificacion de los ciudadanos de los contemplados en la normativade aplicacion.


Polıtica de seguridadMecanismo de autenticacion [op.acc.5]. Nivel BAJO

I Como principio general, se admitira el uso de cualquier mecanismo deautenticacion sustentado en un solo factor.

I En el caso de utilizarse como factor “algo que se sabe” se aplicaran reglasbasicas de calidad de la misma.

I Se atendera a la seguridad de las credenciales de forma que:

1. Las credenciales se activaran una vez esten bajo el controlefectivo del usuario.

2. Las credenciales estaran bajo el control exclusivo del usuario.3. El usuario reconocera que las ha recibido y que conoce y

acepta las obligaciones que implica su tenencia, en particular,el deber de custodia diligente, proteccion de suconfidencialidad e informacion inmediata en caso de perdida.

4. Las credenciales se cambiaran con una periodicidad marcadapor la polıtica de la organizacion, atendiendo a la categorıa delsistema al que se accede.

5. Las credenciales se retiraran y seran deshabilitadas cuando laentidad (persona, equipo o proceso) que autentican termina surelacion con el sistema.


Polıtica de seguridadMecanismo de autenticacion [op.acc.5]. Nivel MEDIO

I Se exigira el uso de al menos dos factores de autenticacion.

I En el caso de utilizacion de “algo que se sabe” como factor deautenticacion, se estableceran exigencias rigurosas de calidad yrenovacion.

I Las credenciales utilizadas deberan haber sido obtenidas tras un registroprevio:

1. Presencial.2. Telematico usando certificado electronico cualificado.3. Telematico mediante una autenticacion con una credencial

electronica obtenida tras un registro previo presencial otelematico usando certificado electronico cualificado endispositivo cualificado de creacion de firma.


Polıtica de seguridadMecanismo de autenticacion [op.acc.5]. Nivel ALTO

I Las credenciales se suspenderan tras un periodo definido de no utilizacion.

I En el caso del uso de utilizacion de “algo que se tiene”, se requerira eluso de elementos criptograficos hardware usando algoritmos y parametrosacreditados por el Centro Criptologico Nacional.

I Las credenciales utilizadas deberan haber sido obtenidas tras un registroprevio presencial o telematico usando certificado electronico cualificadoen dispositivo cualificado de creacion de firma.))


Polıtica de seguridadDesarrollo de aplicaciones [mp.sw.1]

I El desarrollo de aplicaciones se realizara sobre un sistema diferente yseparado del de produccion, no debiendo existir herramientas o datos dedesarrollo en el entorno de produccion.

I Se aplicara una metodologıa de desarrollo reconocida que:

1. Tome en consideracion los aspectos de seguridad a lo largo detodo el ciclo de vida.

2. Trate especıficamente los datos usados en pruebas.3. Permita la inspeccion del codigo fuente.

I Los siguientes elementos seran parte integral del diseno del sistema:

1. Los mecanismos de identificacion y autenticacion.2. Los mecanismos de proteccion de la informacion tratada.3. La generacion y tratamiento de pistas de auditorıa.

I Las pruebas anteriores a la implantacion o modificacion de los sistemas deinformacion no se realizaran con datos reales, salvo que se asegure el nivelde seguridad correspondiente.


Casi todo...

I “4.3.3 Gestion de la configuracion [op.exp.3].”

I “4.3.7 Gestion de incidentes [op.exp.7].”

I “4.3.8 Registro de la actividad de los usuarios [op.exp.8].”

I “4.3.9 Registro de la gestion de incidentes [op.exp.9].”

I “4.3.11 Proteccion de claves criptograficas [op.exp.11].”

I “5.2.3 Concienciacion [mp.per.3].”


Polıtica de seguridad

I Los objetivos o mision de la organizacion.

I El marco legal y regulatorio en el que se desarrollaran lasactividades.

I Los roles o funciones de seguridad, definiendo para cada uno,los deberes y responsabilidades del cargo, ası como elprocedimiento para su designacion y renovacion.

I La estructura del comite o los comites para la gestion ycoordinacion de la seguridad, detallando su ambito deresponsabilidad, los miembros y la relacion con otroselementos de la organizacion.

I Las directrices para la estructuracion de la documentacion deseguridad del sistema, su gestion y acceso

Coherente con el Documento de Seguridad (LOPD y su desarrollo)


Normativa de seguridad

I El uso correcto de equipos, servicios e instalaciones.

I Lo que se considerara uso indebido.

I La responsabilidad del personal con respecto al cumplimientoo violacion de estas normas: derechos, deberes y medidasdisciplinarias de acuerdo con la legislacion vigente.


Ejemplo. Procedimientos de seguridad

I Como llevar a cabo las tareas habituales.

I Quien debe hacer cada tarea.

I Como identificar y reportar comportamientos anomalos.


Ejemplo. Proceso de autorizacion

I Utilizacion de instalaciones, habituales y alternativas.

I Entrada de equipos en produccion, en particular, equipos queinvolucren criptografıa.

I Entrada de aplicaciones en produccion.

I Establecimiento de enlaces de comunicaciones con otrossistemas.

I Utilizacion de medios de comunicacion, habituales yalternativos.

I Utilizacion de soportes de informacion.

I Utilizacion de equipos moviles. Se entendera por equiposmoviles ordenadores portatiles, PDA, u otros de naturalezaanaloga.


Requisitos

Sistemas de informacion de categorıa BASICA

I Realizar Autoevaluacion

I Elaborar el documento de autoevaluacion

I Exhibir una Declaracion de Conformidad (Voluntaria)


Requisitos

Sistemas de informacion de categorıa MEDIA y ALTA

I Realizar Auditoria formal

I Elaborar el documento de auditorıa

I Exhibir una Declaracion de Conformidad


Requisitos. Operadores privados

I Mismos procedimientos que para la Administracion

I Las entidades de la Administracion usuarias podran solicitarlos Informes de Autoevaluacion o Auditorıa correspondientes.


ENS 2.0

.

.. dada la rapida evolucion de las tecnologıas de aplicacion y laexperiencia derivada de la implantacion del Esquema Nacional deSeguridad aconsejan la actualizacion de esta norma ...

2015


Cambios

I Gestion continuada

I Profesionales cualificados

I Procedimientos frente a incidentes

I Obligatoriedad de notificacion de incidentes


Cambios

I Disposicion adicional cuarta. Instrucciones tecnicas.I Informe del estado de la seguridad (INES).I Notificacion de incidentes de seguridad.I Auditorıa de la seguridad.I Conformidad con el Esquema Nacional de Seguridad.I Adquisicion de productos de seguridad.I Criptologıa de empleo en el Esquema Nacional de Seguridad.I Interconexion en el Esquema Nacional de Seguridad.I Requisitos de seguridad en entornos externalizados.


Guıas y herramientas


Esquema Nacional de SeguridadENS


Enlaces

I BOE ENS

https://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-1330


I http:

//administracionelectronica.gob.es/pae_Home/pae_Estrategias/

pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html

I http:

//www.slideshare.net/MiguelAmutio/la-conformidad-con-el-ens

I http://es.slideshare.net/agestico/ens-encincopreguntas

I http:

//centrodnie.aragon.es/sites/default/files/PonenciaENS.pdf

I http://centrodnie.aragon.es/sites/default/files/

PonenciaPasosHaciaElCumplimientoDelENS.pdf




http://administracionelectronica.gob.es/pae_Home/pae_Estrategias/pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html



http://www.slideshare.net/MiguelAmutio/la-conformidad-con-el-ens

http://www.slideshare.net/MiguelAmutio/la-conformidad-con-el-ens

http://es.slideshare.net/agestico/ens-encincopreguntas

http://centrodnie.aragon.es/sites/default/files/PonenciaENS.pdf

http://centrodnie.aragon.es/sites/default/files/PonenciaENS.pdf

http://centrodnie.aragon.es/sites/default/files/PonenciaPasosHaciaElCumplimientoDelENS.pdf

http://centrodnie.aragon.es/sites/default/files/PonenciaPasosHaciaElCumplimientoDelENS.pdf

Seguridad de la Información

Education

Transcript of Seguridad de la Información