Seguridad de la Informacin
La experiencia del Principado de Asturias
I. Presentacin
II. El Area de Seguridad
III. Primer Paso
V. Gestin de Identidades
IV. Polticas de Seguridad
VI. Indicadores de Seguridad
- 3 -
M19133mi
Juan Carlos Rodrguez Rodrguez
Jefe del Area de Seguridad e Integracin de Sistemas
Direccin General de Informtica
Viceconsejera de Modernizacin y Recursos Humanos
Consejera de Administraciones Pblicas y Portavoz del Gobierno
I. PresentacinI. Presentacin
- 4 -
M19133mi
II. El II. El AreaArea de Seguridadde Seguridad
Se crea el Area de Seguridad en 2002
Las funciones del Area De Seguridad e Integracin de Sistemas vienen recogidas en el Decreto 142/2007, de 1 de agosto, de estructura orgnica bsica de la Consejera de Administraciones Pblicas y Portavoz del Gobierno (BOPA 02-08-2007).
Tiene a su cargo las funciones de direccin, diseo, desarrollo, implantacin y mantenimiento de los programas y polticas de seguridad en materia de sistemas de informacin para todos los mbitos de la Administracin del Principado de Asturias. Le corresponde el control de riesgos en sistemas de informacin, la puesta en marcha de medidas correctivas para su reduccin, as como la redaccin y seguimiento del cumplimiento de normativas y estndares que se desarrollen en materia de tecnologas de la informacin y comunicaciones.
Creacin y Funciones
- 5 -
M19133mi
Los problemas del segurata
Area de Seguridad, el enemigo pblico n 1
Seguridad InseguridadA nivel profesionalA nivel personal
- 6 -
M19133mi
III. Primer PasoIII. Primer Paso
Anlisis de Riesgos
El Risk Assessment cubre la seguridad tcnica, procedimental y organizativa sobre las siguientes reas de inters:
Estrategia y Gestin Operaciones, Administracin y Desarrollo Polticas, Estndares, Cumplimiento y Concienciacin (compliance y awareness) Seguridad de host Seguridad de red
Objetivo: identificar las mayores debilidades y reas de preocupacin
- 7 -
M19133mi
Indicadores de Seguridad
Gestin de Identidades
Polticas de Seguridad
Lo que no puedes medir no lo puedes gestionar
Facilitar y Controlar de forma eficiente los sistemas de identificacin y Autenticacin, Autorizacin y Auditora (AAA).
Sin polticas de seguridad los empleados no tienen una gua de uso sobre qu se espera de ellos y por lo tanto no se puede legalmente contabilizar su comportamiento.
Algunos Resultados
- 8 -
M19133mi
Las diferentes Normas y Procedimientos de Seguridad Informtica del Gobierno del Principado de Asturiasse clasifican, segn su contenido temtico, en diversos grupos atendiendo a las recomendaciones de la ISO 17799
Aspectos Organizativos
Para la Seguridad
Seguridad Ligada al Personal
Gestin de Comunicaciones y
OperacionesControl de Accesos
Clasificacin y
Control de Activos
Seguridad Fsica y del Entorno
Desarrollo y Mantenimiento de
Sistemas
Gestin de Continuidad del
Negocio
Conformidad
ISO 17799
IV. Polticas de SeguridadIV. Polticas de Seguridad
- 9 -
M19133mi
AOS - Aspectos Organizativos
Para la Seguridad En este apartado se incluyen aquellas normas y procedimientos relacionados con el desarrollo del propio marco normativo.
Clasificacin y Codificacin
Elaboracin de Normasy Procedimientos
Normas
Organizar y estructurar el Manual de Normas y Procedimientos de Seguridad Informtica del Principado de Asturias,
estableciendo los criterios de agrupacin y codificacin de los documentos que lo componen, segn establece la norma ISO 17799.
Establecer los estndares en cuanto a los procesos de crear, mantener, configurar y distribuir normas y procedimientos que sean necesarios,
de acuerdo al marco de la Poltica de Seguridadvigente en cada momento.
- 10 -
M19133mi
CCA Clasificaciny Control de Activos
En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es mantener una proteccin adecuada sobre los activos de la organizacin.
Se entiende por activo informtico cualquier recurso, tanto hardware como software, de los sistemas de informacin o relacionado con stos.
Clasificacin y Tratamiento de la
Informacin
Inventario de ActivosInformticos
Normas
Establecer una serie de normas para la clasificacin y tratamiento de la informacin del Gobierno del Principado de Asturias en funcin de
su nivel de confidencialidad (Reservada, Restringida y Uso Interno)
Establecer las directrices generales a seguir para generar y mantener un inventario con el material informtico
del Gobierno del Principado de Asturias; con el fin de llevar un mejor control de estos activos, y suministrar informacin a las herramientas de
gestin de la seguridad que as lo requieran.
Clasificacin y Tratamiento de la Informacin.
Inventario de Activos Informticos.
- 11 -
M19133mi
SLP SeguridadLigada al Personal
En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.
Obligaciones del
Personal
Normas
Establecer las funciones y obligaciones del personal del Principado de Asturias en cuanto a la utilizacin de informacin
de Carcter Personal.
- 12 -
M19133mi
SFE SeguridadFsica y del Entorno En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es evitar accesos no autorizados, daos e interferencias en salas tcnicas,
CPD y en la informacin de la Organizacin.
Control de AccesoFsico
Normas
Aportar una serie de directrices para proteger las instalacionesinformticas de accesos fsicos indebidos.
Seguridad Fsica en elCPD y Sala Tcnicas
Aportar una serie de normas para preservar la seguridad fsicade los Sistemas de Informacin ubicados en el CPD y las salas tcnicas.
Control de Acceso Fsico.
- 13 -
M19133mi
GCO Gestin de Comunicaciones y
Operaciones
En este apartado se incluyen aquellas normas y procedimientos que engloban aspectos de seguridad relativos a la operacin de los sistemas y telecomunicaciones, como los controles de red, proteccin contra software malicioso, gestin de copias de seguridad o el intercambio de software dentro de la Organizacin.
Gestin de Incidencias
de Seguridad
Normas
Gestin y Distribucinde Soportes
Deteccin, Notificacin y Resolucin de Incidencias de Seguridad.
Gestin de Copiasde Respaldo
Redes yComunicaciones
Servicio deCorreo Electrnico
Registro de Incidencias.
Copias de Respaldo.
Pruebas de Copias de Respaldo
Recuperacin de la Informacin.
Identificacin e Inventariado de Soportes.
Salida de Soportes.
Registro de Entrada / Salida de Soportes.
Distribucin Cifrada de Soportes.
Borrado y Reutilizacin de Soportes.
Cambios Perimetrales.Transmisin de Datos de Carcter Personal a Travs de la Red.
- 14 -
M19133mi
CAC Control de Accesos En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es
controlar los accesos a la informacin.
Identificacin, Autenticacin y
Control de Acceso
Normas
Definir las principales directrices a cumplir en el Gobiernodel Principado de Asturias para la Identificacin, Autenticacin
y Control de Acceso en los Sistemas de Informacin.
Seguridad en PCs
Establecer una serie de normas que han de aplicarse para la configuracin y uso de los ordenadores personales (PCs)
del Gobierno del Principado de Asturias, de forma que se garantice su seguridad.
Alta de usuarios en los Sistemas de Infromacin.
Baja de usuarios en los Sistemas de Infromacin.
Identificacin y Autenticacin de usuarios.
Control de Accesos de Usuario.
Gestin de Contraseas.
- 15 -
M19133mi
DMS Desarrolloy Mantenimiento
de Sistemas
En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es asegurar que los sistemas de informacin dispongan de una seguridad adecuada, esto es, seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software, etc.
Desarrollo de Sistemas de Informacin
Normas
Establecer una serie de normas que han de aplicarse durante el desarrollo de Sistemas de Informacin para
el Gobierno del Principado de Asturias.
Control de Software
Establecer una serie de normas que han de aplicarse para la adquisicin, instalacin, mantenimiento y auditora de software para
el Gobierno del Principado de Asturias.
Paso de Aplicaciones del entorno de Desarrollo a Produccin.
Paso de Aplicaciones del entrono de Pruebas a Produccin.
Control de Versiones de Aplicaciones.
Aprobacin por usuarios de Desarrollos / Mantenimientos.
- 16 -
M19133mi
CON Conformidad En este apartado se incluyen aquellas normas y procedimientos cuyo objetivo es evitar los incumplimientos de cualquier requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad.
Tratamiento de Datosde Carcter Personal
Normas
El objetivo es asegurar el cumplimiento de la Ley Orgnica 15/1999, de 13 de diciembre,
de Proteccin de Datos de Carcter Personal (LOPD), y el Real Decreto 994/1999
Registros de Auditora
Establecer normas para generar, mantener y analizar los registros de auditora
