SEGURIDAD I. Multiservicio, Multisistema, Multiprocesos y ... I - Multiservicio Multisistemas.pdf2.1...

1

GOBIERNO DE ESPAÑA

MINISTERIO DE LA PRESIDENCIA

SEGURIDAD: Multiservicio,

Multisistema, Multiprocesos y

Multiproyectos.

"El Reto de las metodologías para la

gestión de la seguridad"

Septiembre 2010

2

Índice

Introducción1

Metodologías para la Gestión de la Seguridad (Parte -I)2

2.1. ITIL2.2. ISO 270012.3. Magerit2.3. Métrica3.4. Otros: CMMI, COBIT, PMBOK

El Sistema de Gestión de Seguridad para el ENS (Par te-II)3

3.1. ENS como Portfolio de Requisitos de Seguridad3.2. Plan de Adecuación al ENS3.2.1 Alcance, Entradas y Salidas3.2.2 Características del Ámbito de Aplicación: Mult iservicio,

Multisistema, Multiproceso y Multiproyecto3.2.3 Fases y Tareas3.2.4 Productos3.2.5 Organización

3

1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS)

1.- Introducción

• La Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 define la creación del Esquema Nacional de Seguridad (ENS) “cuyo objetivo es el establecimiento de los principios y

requisitos de una política de seguridad en la utilización de los medios

electrónicos que permita una adecuada protección de la información”.

• Según la introducción del ENS, “… la finalidad del Esquema Nacional de

Seguridad es la creación de las condiciones necesarias de confianza en el

uso de los medios electrónicos, a través de medidas para garantizar la

seguridad de la información gestionada por los servicios de administración

electrónica de tal manera que permita a los ciudadanos y a las

Administraciones públicas, el ejercicio de derechos y el cumplimiento de

deberes a través de estos medios”.

4


1.- Introducción

• El Esquema Nacional de Seguridad “…persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales…”, garantizando las diferentes dimensiones de la seguridad, tanto del servicio como de la información:

• … y para que esta garantía de la seguridad sea efectiva se deberán implementar las medidas de seguridad indicadas en el ENS, alineadas con el Ciclo de Vida de los Servicios. (Ver Articulo 39)

DIMENSIONES DE SEGURIDAD

INFORMACIÓN SERVICIO

DISPONIBILIDAD �

CONFIDENCIALIDAD �

INTEGRIDAD �

AUTENTICIDAD � �

TRAZABILIDAD � �

5


1.- Introducción

Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.

Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

6

1.2 Estructura del ENS

1.- Introducción

• Parte Expositiva

• Parte Dispositiva:

(10 capítulos, 44 artículos)

• Parte final:

Disposiciones adicionales (4)

Disposición transitoria

Disposición derogatoria

Disposiciones finales (3)

• Anexos (5)

Categorización de los sistemas

Medidas de seguridad

Auditoría de seguridad

Glosario

Modelo de cláusula administrativa particular

7

1.3 Contenido del ENS

1.- Introducción

8

1.3 Contenido del ENS

1.- Introducción

9

1.4 Objetivo del Seminario

1.- Introducción

• Describir un Modelo de Adecuación al ENS en un Marco Metodológico concreto (no referenciado en el ENS).

• Se va aportar una correlación, entre diferentes actuaciones que se requieren en una organización para la Adecuación del ENS, y las posibles metodologías a aplicar.

• No se va a aportar una descripción detallada ni del ENS (ya ha habido charlas previas), ni de las Metodologías. Sólo lo suficiente para poder describir el Modelo.

• Puede ayudar a profundización en conceptos y aportar una visión práctica de despliegue de SGSI requerido por el ENS

10

Índice

Introducción1






11

2.1 ITIL v3.0(Information Technology Infrastructure Library)

2.- Metodologías para la Gestión de la Seguridad

• PARA QUÉ : • En el Apartado I de la Parte Expositiva del ENS se indica: “…. Se desarrollará

y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan.”

• En el articulo 39 Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.

• En punto 5.6.1 de desarrollo de aplicaciones, (mp.sw.1) se requiere la activación de procesos que siguen las buenas prácticas marcadas por ITIL

• Varias medidas de seguridad suponen interfaces con procesos de ITIL

12

2.1 ITIL v3.0 (Information Technology Infrastructure Library)


GestiónOrganización

Procesos

ConocimientoPersonas

Capital

Infraestructura

Aplicaciones

Información

Capacidades RecursosProveedor de Servicios

Activosdel Servicio

Servicios

Valor

Cliente

Resultados del clienteActivos del cliente

FIN

13



Activo

ENS

Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.

ITIL

Cualquier Recurso o Capacidad. Los Activos de un Proveedor de Servicio, incluyen todo aquello que se puede atribuir a la entrega del Servicio. Los Activos pueden ser de los siguientes tipos: Administrativos, Organizativos, Procesos, Conocimiento, Personas, Información, Aplicaciones, Infraestructuras y Capital

14



Servicio

ENS

Servicios acreditados. Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.

ITIL

Servicio proporcionado a uno o más Clientes por un Proveedor de Servicios de TI. Un Servicio de TI se basa en el uso de las TI y soporta los Procesos de Negocio del Cliente. Un Servicio de TI se compone de una combinación de personas, procesos y tecnologías y debería estar definido en un Acuerdo de Nivel de Servicio

15



RECURSO

ENS

ITIL

Término genérico que incluye Infraestructuras de TI, personal, dinero o cualquier otra cosa que pueda ayudar a entregar un Servicio de TI. Los Recursos son Activos de una Organización.

CAPACIDAD

ENS

ITIL

La habilidad de una organización para coordinar, gestionar y aplicar recursos con el fin de producir valor.

16



Servicio TI X Servicio TI Y

Activos y recursos de TI

Proceso 1 del negocio

Proceso 2 del negocio

Proceso 3del negocio

La TI es un activador para los procesos de negocio

FIN

17



PROCESO

ENS

Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.

ITIL

Conjunto estructurado de Actividades diseñado para la consecución de un Objetivo determinado. Los Procesos requieren de una o más entradas y producen una serie de salidas, ambas previamente definidas. Un Proceso suele incorporar la definición de los roles que intervienen, las responsabilidades, herramientas y controles de gestión necesarios para obtener las salidas de forma eficaz…

18



19



FASE ITIL PROCESOS/FUNCIONES

ESTRATEGIA Estrategia del Servicio

Gestión Financiera

Gestión de la Cartera de Servicios(1)

Gestión de la Demanda

DISEÑO Gestión del Catálogo de Servicios

Gestión del Nivel de Servicio

Gestión de la Capacidad

Gestión de la Continuidad de los Servicios de TI

Gestión de la Disponibilidad

Gestión de la Seguridad de la InformaciónGestión del Suministrador

TRANSICCIÓN Planificación y Soporte de la Transición

Gestión de Cambios(1)

Gestión de la Configuración y Activos del Servicio

Gestión de Entregas y Despliegues

Validación y Pruebas del Servicio

Evaluación

Gestión del Conocimiento

OPERACIÓN Gestión de Eventos Servicio de Atención al Usuario

Gestión de Incidencias Gestión de Operaciones TI

Gestión de Peticiones Gestión Técnica

Gestión de Problemas Gestión Aplicaciones

Gestión de Accesos

MEJORA CONTINUA Mejora Continua del Servicio (y del Proceso)

20

2.2 ISO 27001


• PARA QUÉ :• Anexo III de Auditoria de Seguridad en su punto f) , indica que se auditará

“Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.”

• Es un Requisito Mínimo de Seguridad la mejora continua del proceso de seguridad ( Requisito o) )

• Articulo 26: Mejora continua del proceso de seguridad. “El proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.

21

2.2 ISO 27001


SGSI

ENS/ISO

Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que,

basado en el estudio de los riesgos, se establece para crear, implementar, hacer

funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información.

El sistema de gestión incluye la estructura organizativa, las políticas, las actividades

de planificación, las responsabilidades, las prácticas, los procedimientos, los

procesos y los recursos.

22

2.2 ISO 27001


Modelo PDCA aplicado a los procesos del SGSI

Crearel SGSI

Implantar y gestionarel SGSI

Supervisar y revisarel SGSI

Mantener y mejorarel SGSI

Verificar

Planificar

ActuarHacer

Partes Interesadas

Requisitos y expectativas de

la seguridad de la información

Partes Interesadas

Seguridad dela información

gestionada

23

2.2 ISO 27001


Planificar (creación del SGSI) Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización

Hacer (implementación y funcionamiento del SGSI)

Implementar y utilizar la política, controles, procesos y procedimientos del SGSI.

Verificar (supervisión y revisión del SGSI)

Evaluar y, en su caso, medir el rendimiento del proceso contra la política, objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión.

Actuar (mantenimiento y mejora del SGSI)

Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI

24

2.2 ISO 27001


FASE DEL CICLO DE GESTIÓN DEL SERVICIO (ITIL)

FASE DE PDCA DEL SGSI P Planificar D Hacer C Verificar A Mantener

Actualizar E Estrategia � � D Diseño � � T Transición � � O Operación � � CSI Mejora Continúa � � � �

25

2.3 Magerit v2.0


• PARA QUÉ :• Principio Básico de Gestión de Riesgos (b) expuesto en el Capítulo 2,

Artículo 4, y desarrollado en al Articulo 6 (Gestión de la Seguridad basada en Riesgos)

• El articulo 9 pide una reevaluación periódica “… para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección …”

• Requisito Mínimo, Articulo 11 b) Análisis y Gestión de Riesgos que se desarrolla en el artículo 13.

• Medida de Protección del grupo de Marco Operacional (op.pl.1) se pide un Análisis de Riesgo textual, tabulado o formal, en función del Nivel del Sistema.

• Múltiples referencias en otras medidas que se apoyan en el Análisis de Riesgos (Gestión Incidentes, Gestión de Cambios, etc.) y que requieren que estésiempre al día (utilizar un enfoque adecuado)

.

26

2.3 Magerit v2.0


FIN

27

2.3 Magerit v2.0


TERMINO MAGERIT ENS

RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre

uno o más activos causando daños o perjuicios a la Organización.

Estimación del grado de exposición a que una amenaza se materialice sobre uno o

más

activos causando daños o perjuicios a la organización.

ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está

expuesta una Organización.

Utilización sistemática de la información disponible para identificar peligros y

estimar los riesgos.

GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir,

impedir, reducir o controlar los riesgos identificados.

Actividades coordinadas para dirigir y controlar una organización con

respecto a los riesgos.

AMENAZA Eventos que pueden desencadenar un incidente en la Organización,

produciendo daños materiales o pérdidas inmateriales en sus activos.

IMPACTO Consecuencia que sobre un activo tiene la materialización de una

amenaza.

VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una

amenaza. Se determina por dos medidas: frecuencia de ocurrencia y

degradación causada

Una debilidad que puede ser aprovechada por una amenaza.

SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo

RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas

determinadas en el plan de seguridad de la información.

28

2.3 Magerit v2.0


29

2.3 Magerit v2.0


FIN

30

2.3 Magerit v2.0


TERMINO MAGERIT ENS




más













amenaza.








31

2.3 Magerit v2.0


32

2.3 Magerit v2.0


FIN

33

2.3 Magerit v2.0


TERMINO MAGERIT ENS




más













amenaza.








34

2.3 Magerit v2.0


35

2.3 Magerit v2.0


36

2.3 Magerit v2.0


37

2.3 Magerit v2.0


Visión dinámica y mantenible del Análisis de

Riesgos requiere una adecuada estructuración y

manejo de conceptos adicionales: Dominios,

Servicios Internos.

38

2.4 Métrica v3.0


• PARA QUÉ :• De acuerdo al Artículo 39 (Ciclo de Vida de los Servicios y Sistemas) las

especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas.

• En el punto 5.6.1 de desarrollo de aplicaciones, (mp.sw.1) en elapartado b) se requiere el uso de metodología para el desarrollo para todos los sistemas a partir del nivel medio.

.

39

2.4 Métrica v3.0


40

2.4 Métrica v3.0


Tareas afectadas en la Interfaz de Seguridad de Mét rica v3 PSI: Planificación del sistema de información SEG 2: Evaluación del riesgo para la arquitectura tecnológica

PSI-SEG 2.1: Estudio y evaluación del riesgo de las alternativas de arquitectura tecnológica PSI-SEG 2.2: Revisión de la evaluación del riesgo de las alternativas de arquitectura tecnológica

SEG 3: Determinación de la seguridad en el plan de acción PSI-SEG 3.1: Determinación de la seguridad en el plan de acción

EVS: Estudio de viabilidad del sistema SEG 3: Recomendaciones adicionales de seguridad para el SI

EVS-SEG 3.1: Elaboración de recomendaciones de seguridad SEG 4: Evaluación de la seguridad de las alternativas de solución

EVS-SEG 4.1: Valoración y evaluación de la seguridad de las alternativas de solución

SEG 5: Evaluación detallada de la seguridad de la solución propuesta EVS-SEG 5.1: Descripción detallada de la seguridad de la solución propuesta

ASI: Análisis del sistema de información SEG 2: Descripción de las funciones y mecanismos de seguridad

ASI-SEG 2.1: Estudio de las funciones y mecanismos de seguridad a implantar SEG 3: Definición de los criterios de aceptación de la seguridad

ASI-SEG 3.1: Actualización del plan de pruebas DSI: Diseño del sistema de información SEG 2: Especificación de requisitos de seguridad del entorno tecnológico

DSI-SEG 2.1: Análisis de los riesgos del entorno tecnológico SEG 3: Requisitos de seguridad del entorno de construcción

DSI-SEG 3.1: Identificación de los requisitos de seguridad del entorno de construcción

SEG 4: Diseño de pruebas de seguridad DSI-SEG 4.1: Diseño de las pruebas de seguridad

41

2.4 Métrica v3.0


Tareas afectadas en la Interfaz de Seguridad de Mét rica v3 CSI: Construcción del sistema de información SEG 2: Evaluación de los resultados de pruebas de seguridad

CSI-SEG 2.1: Evaluación de los resultados de pruebas de seguridad SEG 3: Elaboración del plan de formación de seguridad

CSI-SEG 3.1: Elaboración del plan de formación de seguridad IAS: Implantación y aceptación del sistema SEG 2: Revisión de medidas de seguridad en el entorno de operación

IAS-SEG 2.1: Revisión de medidas de seguridad en el entorno de operación SEG 3: Evaluación de resultados de pruebas de seguridad de implantación del sistema

IAS-SEG 3.1: Estudio de los resultados de pruebas de seguridad de implantación del sistema

SEG 5: Revisión de medidas de seguridad en el entorno de producción IAS-SEG 5.1: Revisión de medidas de seguridad en el entorno de producción

MSI: Mantenimiento del sistema de información SEG 2: Especificación e identificación de las funciones y mecanismos de seguridad

MSI-SEG 2.1: Estudio de la petición MSI-SEG 2.2: Análisis de las funciones y mecanismos de se

42

2.5 Otras: CMMI


43

2.5 Otras: CMMI


Los 6 niveles definidos en CMMI para medir la capacidad de los procesos son:

•N0.- Incompleto: El proceso no se realiza, o no se consiguen sus objetivos.

•N1.- Ejecutado: El proceso se ejecuta y se logra su objetivo.

•N2.- Gestionado: Además de ejecutarse, el proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos.

•N3.- Definido: Además de ser un proceso gestionado se ajusta a la política de procesos que existe en la organización, alineada con las directivas de la empresa.

•N4.- Cuantitativamente gestionado: Además de ser un proceso definido se controla utilizando técnicas cuantitativas.

•N5.- Optimizado: Además de ser un proceso cuantitativamente gestionado, de forma sistemática se revisa y modifica o cambia para adaptarlo a los objetivos del negocio. Mejora continua.

44

2.5 Otras: COBIT


La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para ldel día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sucontrol que es necesario para proteger los activos de sus compañías mediante el desarrollo de un model o de administració n de las tecnolog

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para ldel día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sucontrol que es necesario para proteger los activos de sus compañías mediante el desarrollo de un model o de administració n de las tecnolog

La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores."

Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.

45

2.5 Otras: COBIT


46

2.5 Otras: PMBOK


47


48

Índice

Introducción1






SEGURIDAD I. Multiservicio, Multisistema, Multiprocesos y ... I - Multiservicio Multisistemas.pdf2.1...

Documents

Transcript of SEGURIDAD I. Multiservicio, Multisistema, Multiprocesos y ... I - Multiservicio Multisistemas.pdf2.1...