Post on 22-Feb-2018
1USO PÚBLICO© Unidad de Operaciones de Seguridad
“Seguridad en la Red de Área Extensa de Propósito General”
Logros y desafíos
2USO PÚBLICO© Unidad de Operaciones de Seguridad
Índice de contenidos1. Antecedentes.2. ¿Qué es CCEA?3. Creación del CCEA.4. Nuevo escenario.5. Los servicios del CCEA.6. Algunos indicadores del CCEA.7. Balance de la singladura.8. El PDCIS y la seguridad.9. La seguridad para el CCEA.10. Controles de seguridad en WAN PG.11. Conclusiones.
3USO PÚBLICO© Unidad de Operaciones de Seguridad
Antecedentes (I)
IBM IBM
IBM IBM
Ejército de Tierra Armada
Ejército del AireSede Central (OC)
4USO PÚBLICO© Unidad de Operaciones de Seguridad
Antecedentes (II)
IMPLICACIONES•Estructuras de Dirección de los Sistemas de Información de carácter departamental.•Gestión de los Recursos Humanos TIC a nivel departamental.
5USO PÚBLICO© Unidad de Operaciones de Seguridad
¿Qué es CCEA?
Orden DEF/315/2002, de 14 de Febrero: Plan Director de Sistemas de Información y
Telecomunicaciones del MINISDEF.“Se concentrarán los actuales Centros de Proceso de
Datos y Explotación en un único Centro de Explotación y Apoyo, ubicado en dos emplazamientos distintos. Dicho Centro asumirá la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa.”
6USO PÚBLICO© Unidad de Operaciones de Seguridad
Creación del CCEA
Instrucción 236/2002, de 7 de Noviembre: Creación del Centro Corporativo de Explotación y
Apoyo para los Sistemas de Información y Telecomunicaciones del MINISDEF.
“Misión: Asumir la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa”
“Sistemas de mando y control militar: responsabilidad del Jefe del EMAD. CCEA únicamente apoyo cuando se determine.”
Queda encuadrado en la SDG de Servicios Técnicos y Telecomunicaciones.Comienza sus actividades el 15 de Julio de 2003.
7USO PÚBLICO© Unidad de Operaciones de Seguridad
Nuevo escenario (I)
IBM
Centro Corporativode Explotación y Apoyo
del Ministerio de Defensa
Emplazamiento en TN
Emplazamiento en TN Emplazamiento en TN
Emplazamiento en TN
Fuerzas desplegadas en Misiones de Pazy organizaciones internacionales
8USO PÚBLICO© Unidad de Operaciones de Seguridad
Nuevo escenario (II)IMPLICACIONES
•Voluntad de centralización de la gestión y explotación de la infraestructura tecnológica, con criterios de eficiencia y eficacia al servicio de toda la corporación.•¿Se han adaptado las estructuras TIC del OC para asumir la Dirección de los Sistemas de Información de toda la corporación?•¿Han asumido todos los departamentos ministeriales la nueva visión corporativa de la gestión TIC?•¿Se ha actualizado el modelo de gestión de los RRHH al nuevo escenario corporativo?
9USO PÚBLICO© Unidad de Operaciones de Seguridad
Los servicios del CCEA
1. Procesamiento de datos.2. Administración de BBDDs.3. Centro de Atención al Usuario.4. Comunicaciones de datos.5. Comunicaciones de voz.6. Distribución, inventario y gestión de activos TIC
del MINISDEF.7. Administración del correo electrónico corporativo
y del entorno de trabajo colaborativo IBM LOTUS.
10USO PÚBLICO© Unidad de Operaciones de Seguridad
Los servicios del CCEA (II)8. Establecimiento, gestión y mantenimiento del
Sistema de Calidad, con definición del catálogo de servicios del Centro.
9. Acceso corporativo centralizado a Internet.10. Gestión de la publicación de los contenidos web
del Ministerio en Internet.11. Administración y explotación de las plataformas
de los diversos Sistemas de Información de la Intranet.
12. Protección de datos y sistemas. Continuidad del servicio.
11USO PÚBLICO© Unidad de Operaciones de Seguridad
Algunos indicadores del CCEA (I)
Conectividad (en Territorio Nacional y ZOs):
6 emplazamientos tipo N (aproximadamente 6.000 usuarios).
16 emplazamientos tipo 1 (aproximadamente 9.000 usuarios).
120 emplazamientos tipo 2 (aproximadamente 23.000 usuarios).
268 emplazamientos tipo 3 (aproximadamente 10.000 usuarios).
292 emplazamientos tipo 4 (aproximadamente 2.000 usuarios)
12USO PÚBLICO© Unidad de Operaciones de Seguridad
Algunos indicadores del CCEA (II)Atención al usuario: 11.402 llamadas recibidas (Sep-06)
13USO PÚBLICO© Unidad de Operaciones de Seguridad
Algunos indicadores del CCEA (III)
Usuarios del sistema Lotus Domino administrados:• Usuarios Lotus Notes con cuenta de correo interno: 80.000• Usuarios Lotus Notes con cuenta de correo externo: 35.893• Aplicaciones “workflow” de trabajo colaborativo administradas: 89
10.000
15.000
20.000
25.000
30.000
35.000
40.000
2004 2005 2006
Usuarios con acceso a Internet y correo Notes
14USO PÚBLICO© Unidad de Operaciones de Seguridad
Algunos indicadores del CCEA (IV)
Plataformas en explotación:• Mainframe OS/390-z/OS• Sistemas Operativos Windows/UNIX-Linux: 250 aprox.• SGBDs: ADABAS, DB2, SYBASE, ORACLE, SQL 2000,
Tamino
Implantación y administración de PKI:• Fase I: 1.500 usuarios (en ejecución).• Próximas fases: Extensión a toda la organización.• Centro de Personalización de Tarjetas del
Ministerio.
15USO PÚBLICO© Unidad de Operaciones de Seguridad
Algunos indicadores del CCEA (V)
Conectividad voz:• Gestión de 8.000 líneas móviles.• Gestión de 87.000 líneas en territorio nacional.• Gestión de 300 equipos para comunicaciones satélite.• Gestión de 650 centrales.• Gestión de 80 proyectos de mejora de cobertura en
emplazamientos MINISDEF.• Gestión de Guía Telefónica Unificada y control de gasto
telefónico.
16USO PÚBLICO© Unidad de Operaciones de Seguridad
Balance de la singladura (I)
Nuestra vocación“Ofrecer un servicio TIC de calidad a toda la organización MINISDEF y, en particular, a las Fuerzas Armadas.”
24 x 7 x 36524 x 7 x 365
17USO PÚBLICO© Unidad de Operaciones de Seguridad
Balance de la singladura (II)
Nuestras prioridades1. “Garantizar, conforme a unos Acuerdos de
Nivel de Servicio, todas las actividades TIC que soportan los procesos de la organización MINISDEF y, especialmente, aquellos de carácter crítico”.
2. Generar confianza en el usuario: “Disponibilidad permanente”.
18USO PÚBLICO© Unidad de Operaciones de Seguridad
¡¡¡Un poquito de … (seguridad) … por favor!!!
Implicaciones “seguras” de las líneas generales del PDCIS:
• Sistema de Información específico del Área funcional de Seguridad: Sistema de Identificación y Control de Acceso Físico.
• Infraestructura tecnológica:– Implantación de 2 WAN: Propósito General y Mando y
Control Militar.– Dominio único para la WAN de Propósito General.– Gestión de identidades: Directorio Corporativo único.– Infraestructura de Clave Pública.– Tarjeta Electrónica del Ministerio de Defensa (TEMD).
19USO PÚBLICO© Unidad de Operaciones de Seguridad
“Lectura de cabecera”• Orden Ministerial 76/2006: Política de Seguridad de la
Información del Ministerio de Defensa.• Orden Ministerial 76/2002: Política de Seguridad para la
protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por SI,s y telecomunicaciones (en proceso de revisión).Definición del concepto de AOS (Autoridad Operacional del Sistema): Responsable del desarrollo, operación y mantenimiento del Sistema durante su ciclo de vida: de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento.
• Real Decreto 421/2004: Regulación del Centro Criptológico Nacional.Series CCN-STIC (normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración)
• Criterios de Seguridad, Normalización y Conservación para las aplicaciones utilizadas para el ejercicio de potestades (MAP).
20USO PÚBLICO© Unidad de Operaciones de Seguridad
La seguridad para el CCEAResponsabilidades:• Supervisión y análisis de las actividades de usuarios y
administradores de la WAN PG:SOs y software malicioso.Infraestructura de red.BDs y aplicaciones.
• Administración de Sistemas de Seguridad.Gestión PKI.Seguridad de las instalaciones y personal CCEA.
21USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (1)
Consideraciones previas:
• El SEDEF ha nombrado al Inspector General CIS como AOS de la WAN PG.
• La Inspección General CIS ha determinado que en la WAN PG se manejará información hasta nivel DIFUSIÓN LIMITADA (clasificación que se aplicará a activos de información cuya revelación no autorizada pudiera ir en contra de los intereses y la misión del Ministerio de Defensa).
22USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (2)
Implantación de un dominio único para todas las LAN de Propósito General:Beneficios:
• Control de inventario.• Control de configuración.• Actualización permanente del SW de las
estaciones.• Distribución centralizada de software.• Administración remota.• Implantación de directivas de seguridad.
23USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (3)
Directorio Corporativo de DefensaBeneficios:
• Gestión de identidades de los usuarios de los diferentes servicios de la WAN PG.
24USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (4)
Infraestructura de Clave Pública (PKI) y Tarjeta Electrónica (TEMD) del Ministerio de DefensaBeneficios:
• Servicios básicos: Autenticación en Sistemas, cifrado y firma electrónica.
• Otros servicios: credencial de acceso a instalaciones.
• En el futuro: fusión con la Tarjeta Militar de Identidad.
25USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (5)
Revisión del Plan de Contingencias de los SIsBeneficios:
• Continuidad de los procesos críticos del Ministerio soportados por SIs
• Definido en los nuevos sistemas que se implantan.
• En proceso de adaptación para los sistemas heredados.
26USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (6)
Soluciones a las necesidades de interconexión con el exterior:Beneficios:
• Hasta 2006:– gestión de una DMZ para servicios de correo
electrónico, navegación a Internet y alojamiento de los principales sitios web publicados.
– Soluciones a medida para interconexión con entidades colaboradoras y personal propio desplazado
27USO PÚBLICO© Unidad de Operaciones de Seguridad
InternetInternet
Red Corporativa WAN PGRed Corporativa WAN PG
ISPISP
TercerosTerceros
PSTNPSTN
FR/ATMFR/ATM
Intranet Administrativa AGEIntranet Administrativa AGE
Usuarios ExternosUsuarios ExternosNodo Servicios Web InternosNodo Servicios Web Internos
DistribuciónDistribución
NETMA
Red Remota PGRed Remota PG
Nodo Servicios Web ExternosNodo Servicios Web Externos
• Actual Servicio Hosting
• Nuevos servicios Web corporativos a ciudadanos
Nodo Internet CorporativaNodo Internet Corporativa
• Servicios de Correo Corporativo
• Acceso a Internet Corporativo
Nodo Redes RemotasNodo Redes Remotas
• Acceso VPN/IPSec a WAN PG
• Modelo de Arquitectura para Redes Remotas de Propósito General
Nodo Nodo ExtranetExtranet
• Modelo de Arquitectura para el Nodo Extranet del MINISDEF
• Terceros, VPN SSL, Móviles, PDA, Intranet Administrativa, RDSI/RTB
•Servicios Web Intranet• B.O.E.• mdef.es• EMAD• etc.
Usuarios MINISDEFUsuarios MINISDEF
ExteriorExteriorMDEFMDEF MDEF MDEF –– Servicios Internet/ExtranetServicios Internet/Extranet
Controles de seguridad en WAN PG (6)Soluciones a las necesidades de interconexión con el exterior desde 2007: Nodo INET
28USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (7)
Gestión y monitorización de eventos de seguridad (SIM):Beneficios:
• Conocimiento en tiempo real de lo que ocurre en los sistemas de la WAN de PG.
• Toma de decisiones para prevenir y, en su caso, defenderse.
• Entorno con elevado grado de automatización.• Obtención y conservación de evidencias.
29USO PÚBLICO© Unidad de Operaciones de Seguridad
Datos
Información
Conocimiento
IncidenteIncidente
Análisis de situaciónAnálisis de situación
Análisis de amenazasAnálisis de amenazas
Descubrimiento de patronesDescubrimiento de patrones
Consolidación / PrioritizaciónConsolidación / Prioritización
CorrelaciónCorrelación
NormalizaciónNormalización
FiltradoFiltrado
RecogidaRecogida
Recolección
Centralización
ExplotaciónValor para la O
rganización
Gestión y monitorización de eventos de seguridad: LogICAControles de seguridad en WAN PG (7)
30USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (7)Gestión y monitorización de eventos de seguridad: LogICA
31USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (7)Gestión y monitorización de eventos de seguridad: LogICA
32USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (8)
Ejecución de auditorías externas:Beneficios:
• Verificación independiente de los niveles de seguridad.
• En 2004 y 2005, ejecutadas sobre DMZ Nodo Internet y sobre servicios webpublicados en Internet.
33USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (9)
Control y gestión de las redes WIRELESS desplegadas:Beneficios:
• Carácter restrictivo.• Concesión de autorización por la AOS de la WAN.• Configuración conforme a la Guía de Seguridad
CCN-STIC-406 “Seguridad en redes inalámbricas basadas en el estándar 802.11”.
34USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (10)
Securización de todos los dispositivos TIC de la WAN (servidores, WS, electrónica de red, …):Beneficios:
• Establecimiento de una configuración segura de los dispositivos más allá de las configuraciones comerciales “de serie”.
• Conforme a las guías elaboradas por el Centro Criptológico Nacional..
35USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (11)
Gestión y control de terminales móviles (portátiles y PDAs):Beneficios:
• La información de la WAN PG no debe “bajar” a ningún dispositivo móvil o portable que no implemente mecanismo de cifrado certificado a nivel nacional.
• Configuración conforme a la Instrucción Técnica CCN-STIC-301 (Requisitos STIC).
36USO PÚBLICO© Unidad de Operaciones de Seguridad
Controles de seguridad en WAN PG (12)
Revisión de las directrices de declaración de ficheros sujetos a LOPD:Beneficios:
• Aportar una visión corporativa, más allá de las visiones departamentales, que aporte sencillez y funcionalidad al elevado número de ficheros declarados.
37USO PÚBLICO© Unidad de Operaciones de Seguridad
Conclusiones: “Balance de 3 años”
TECNOLOGÍANORMATIVA
ORGANIZACIÓN
Seguridad TIC
38USO PÚBLICO© Unidad de Operaciones de Seguridad
Conclusiones: “Tareas pendientes”
Gestión de la impresión en la WAN de PG: Evitar la copia indiscriminada de información del Ministerio (cuando el carácter de la información lo aconseje).Imbricar todas las iniciativas descritas en un Sistema de Gestión de Seguridad de la Información (ciclo PDCA: ISO 27001).Implantar un Centro de Operaciones de Seguridad (SOC).Proseguir en la concienciación y sensibilización de los usuarios de la WAN de PG (la primera y más sencilla puerta de entrada).
39USO PÚBLICO© Unidad de Operaciones de Seguridad
Muchas gracias por su atenciónCte. Jesús Gómez Ruedas
jgomezru@et.mde.es