Embed Size (px)
Citation preview
La Seguridad de la Información en el Ministerio de Fomento
IX Congreso Internacional de “Profesionales IT”
Madrid, 15 de noviembre de 2007
2
1. Introducción
LA SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información ya no es, exclusivamente, una cuestión de tecnología, por ello, hemos de considerarla como otra decisión “de negocio” para gestionarla adecuadamente.
Las leyes existentes y futuras en relación a la retención de información y a la privacidad, junto con la amenaza de interrupción de los sistemas de información debido a hackers, gusanos, virus o terroristas han provocado la necesidad de un enfoque integral de la gestión de la información que proteja los activos más críticos de las organizaciones, su información y su reputación.
La seguridad de la información no es un tema técnico, sino un reto para el negocio y su gestión incluye un adecuado sistema de gestión de riesgos, de reporting y de responsabilidad.
Dado que la seguridad de la información no será, normalmente, una actividad de negocio, sino una actividad de soporte a éste, su gestión debe realizarse en término de servicios que la seguridad de la información proporciona a la Organización y, por ende, como apoya a la consecución de los objetivos de negocio de la misma.
3
1. Introducción
EL ROL DEL CISO
En ese sentido, el rol del CISO es crítico pues debe convertirse, no en un gestor tecnológico sino más alineado con la actividad de la organización y los objetivos que se establezcan para cada período.
Mientras que la seguridad de la información seguirá estando llena de términos y conceptos de difícil comprensión por profanos, su gestión debe ser equivalente a la gestión de cualquier otro área dentro de la Organización y debe estar regida por principios equivalentes.
Evidentemente, lo deseable sería que el gestor del área tenga los mayores y mejores conocimientos posibles sobre el asunto gestionado pero es habitual encontrarse con buenos gestores que no reúnen esta condición y, sin embargo, realizan su labor de manera excelente. En estos casos, lo que siempre existe es un grupo de apoyo al gestor compuesto por verdaderos expertos en la materia (en este caso, sería la seguridad de la información).
Para lograr en el mundo actual, una seguridad de la información eficiente y sostenible, es necesario que sea un asunto en la agenda de los más altos niveles de la Organización y no una especialidad técnica dentro del área de TI.
4
1. Introducción
NIVELES DE MADUREZ EN SEGURIDAD
5
1. Introducción
ATAQUES MALINTENCIONADOS MÁS FRECUENTES
6
1. Introducción
DATOS DE SEGURIDAD DEL ÚLTIMO TRIMESTRE DE 2007
7
1. Introducción
INFECCIONES DETECTADAS DURANTE EL ÚLTIMO TRIMESTRE DE 2007
8
1. Introducción
DATOS DE SPAM DURANTE OCTUBRE DE 2007
Correos recibidos: 12.621.524
Correos descartados: 9.306.032, lo que representa un 74% del total.
Correos aceptados: 3.315.492, lo que representa un 26% del total, de los cuales:
Correos limpios: 1.080.361, lo que representa un 9% del total y un 33% del total de aceptados.
Correos sospechosos:2.235.131, lo que representa un 17% del total y un 67% del total de aceptados.
9
2. Plan Director De Seguridad
2.1. ANTECEDENTES
Durante el año 2006 se convocó un concurso para la definición del Plan Director de
Seguridad del Ministerio de Fomento. El ámbito del proyecto incluye a todos los Centros
Directivos del Departamento y afecta a todos los dominios de la seguridad.
10
2. Plan Director De Seguridad
2.2. METODOLOGÍA DE TRABAJO
El siguiente esquema muestra las fases en las que se ha dividido la elaboración del Plan Director de Seguridad, así como las tareas más importantes dentro de cada fase.
Análisis de vulnerabilidades
Plan de Proyectos
Análisis de vulnerabilidades de sistema operativo, web, red, aplicaciones…Realización de un informe Técnico con un análisis de los resultados y las conclusiones pertinentes.Elaboración de un resumen Ejecutivo.
Análisis de situación actual
Identificación de medidas y procedimientos a desarrollardetallando objetivos, alcance, sistemas afectados y estimación de esfuerzo, equipo y costes.Planificación de acciones.
Análisis de documentaciónRealización de entrevistasAnálisis de plataformasAnálisis del Modelo Organizativo de Seguridad Informática.Análisis de la Política de Seguridad del Ministerio.
Organización de la seguridad.
Estructura organizativaAnálisis de Riesgos
Identificación del nivel de seguridad objetivo para cada vulnerabilidad detectada.Priorización de la ejecución de medidas correctoras.
Elaboración de Normativa Seguridad
Adecuación LOPD
11
2. Plan Director De Seguridad
2.3. PLAN DE PROYECTOS (I)
PROYECTO PRIORIDAD NOMBRE DE PROYECTODesarrollo
organizativo de la seguridad
AltaCreación de la estructura de organizativa para la gestión de la seguridad de la información del MINISTERIO DE FOMENTO.
Implantación de normativas
desarrolladas
Alta Política de seguridad de la información.
Alta Normativa, funciones y responsabilidades de la estructura organizativa de la seguridad de la información.
Alta Normativa realización de copias de seguridad y recuperación.
Alta Normativa control de acceso lógico.
Alta Normativa control de acceso físico y medidas de protección en los CPDs y cuartos técnicos con sistemas de información.
Alta Normativa revisión y actualización periódica análisis de riesgos con PILAR.
Alta Normativa gestión de incidentes de seguridad de sistemas de información.
12
2. Plan Director De Seguridad
2.3. PLAN DE PROYECTOS (II)
PROYECTO PRIORIDAD NOMBRE DE PROYECTO
Desarrollo e implantación de herramientas y
controles de gestión
Alta Definición y desarrollo del cuadro de mando de la seguridad de la información.
Media Controles que identifiquen y clasifiquen los distintos niveles de criticidad / confidencialidad de la información del MINISTERIO.
Alta Controles gestión de comunicaciones inalámbricas: Wifi y 3G.
Alta Metodología única de desarrollo seguro de aplicaciones.
MediaMetodología única que unifique los criterios de seguridad a emplear en las inversiones de nuevos sistemas de tratamiento de la información.
MediaCriterios comunes de seguridad a emplear con terceros en los diversos acuerdos de nivel de servicio o contratos que deban serfirmados.
AltaMetodología única que unifique los criterios de seguridad de la gestión de las comunicaciones internas y externas (LAN, WAN, conexiones a Internet, Teletrabajo).
Alta Controles para la gestión de excepciones en el cumplimiento de las políticas, normativas y procedimientos.
Alta Plan de continuidad de negocio del MINISTERIO.
13
2. Plan Director De Seguridad
2.3. PLAN DE PROYECTOS (III)
PROYECTO PRIORIDAD NOMBRE DE PROYECTOImplantación de
controles técnicos
AltaImplantación de las acciones recomendadas por las auditorías de vulnerabilidades del Plan Director (caja blanca, caja negra y aplicativos Web).
Desarrollo e integración de herramientas
técnicas
Media Sistema automático de detección de vulnerabilidades.
Media Instalación de firewalls entre las VLANs de cada Centro Directivo.
Media Sistema de identificación/autenticación “single sign on” vía directorio activo y certificado.
Media Sistema de gestión centralizada de logs.
Media Sistema de gestión centralizada optimizada y permanente de IPS e IDS.
Alta Sistema de gestión centralizada de incidencias de seguridad de la información.
14
2. Plan Director De Seguridad
2.3. PLAN DE PROYECTOS (IV)
PROYECTO PRIORIDAD NOMBRE DE PROYECTO
Formación y concienciación Media
Formación y concienciación de las Políticas y Normativa de Seguridad de la información a todo el personal del MINISTERIO.
Adecuación legal AltaImplantación de las medidas de seguridad exigidas por la legislación vigente en materia de protección de datos de carácter personal.
Seguridad física AltaImplantación y mejora de los controles de seguridad físicaexistentes en los CPDs y cuartos técnicos alojados en las instalaciones del MINISTERIO.
Auditorías periódicas
Alta Auditorías externas periódicas de caja blanca, caja negra y Web.
Alta Auditorías externas periódicas políticas, normativas y procedimientos de seguridad.
Alta Realización periódica de auditorías externas de código fuente.
15
2. Plan Director De Seguridad
2.4. ESTRUCTURA ORGANIZATIVA PROPUESTA
La Subdirección General de Tecnologías y Sistemas de la Información elaboró en el mes de junio una nueva RPT que incluye, entre otros, la Unidad de Seguridad propuesta en el Plan
Director de Seguridad, la cual está pendiente de aprobación por la CECIR.
SGTSI
Desarrollo1 Desarrollo 2 Sistemas y comunicaciones
Soporte técnico a la
gestión administrativa
Producción y mantenimiento
Impulso a la Administración
ElectrónicaSeguridad
Nuevas áreas propuestas
Secretaria Subdirector
General
Subdirección adjunta
16
2. Plan Director De Seguridad
2.4. ESTRUCTURA ORGANIZATIVA PROPUESTA
Los componentes de la estructura organizativa de seguridad de la información, propuesta en el Plan Director de Seguridad son los siguientes:
17
2. Plan Director De Seguridad
2.4. ESTRUCTURA ORGANIZATIVA PROPUESTA
Jefatura de área (CISO):Definición y coordinación de los servicios bajo su responsabilidad. Definición de objetivos y verificación de cumplimiento. Implantación del Plan Director de Seguridad.
Establecimiento de grupos de trabajo.
Participación en seguimiento de proyectos e iniciativas globales de la SGTSI y coordinación de la seguridad con el resto de áreas y centros directivos.
Identificar puntos de mejora y demanda de nuevos servicios.
Establecer procedimientos y normativa de calidad y seguridad.
Jefatura de Servicio:Asesoramiento tecnológico.
Supervisión técnica y funcional de proyectos e iniciativas
Supervisión y elaboración de documentación. Control de calidad.
Elaboración e impartición de formación.
18
2. Plan Director De Seguridad2.5. NORMATIVAS ELABORADAS EN EL PLAN DIRECTOR DE SEGURIDAD
19
2. Plan Director De Seguridad2.6. ADECUACIÓN A LA LOPD EN EL PLAN DIRECTOR DE SEGURIDAD
20
3. Conclusiones
CONCLUSIONES
La Seguridad se ha convertido en uno de los pilares fundamentales de las Tecnologías y los Sistemas de la Información del Ministerio de Fomento.
Muestra de esta importancia es el desarrollo de un Plan Director de Seguridad para analizar el estado actual de la Seguridad en el Ministerio de Fomento y detallar un Plan de Proyectos a desarrollar en este ámbito durante los próximos años.
La creciente complejidad del campo de la seguridad hace necesaria la creación de una estructura organizativa propia que la soporte. En esa nueva estructura organizativa propuesta cobra especial importancia la figura del jefe del Área de Seguridad (CISO), que entre otras funciones será el responsable de la implantación del Plan Director de Seguridad.
MUCHAS GRACIAS
La Seguridad de la Información en el Ministerio de FomentoJueves, 15 de noviembre de 2007
