Enfoque del ENS en la UPCT

1 Enfoque del ENS en la UPCTFrancisco J. Sampalo Lainz Un...
Author: José Miguel Ortíz Prado
0 downloads 2 Views

1 Enfoque del ENS en la UPCTFrancisco J. Sampalo Lainz Universidad Politécnica de Cartagena Adaptación ENS en la UPCT

2 Consideraciones previas. Breve descripción del proceso en la UPCT. Programa Consideraciones previas. Breve descripción del proceso en la UPCT. Resultados. Siguientes pasos. Conclusiones y opiniones Adaptación ENS en la UPCT

3 Consideraciones previas (I)Entendemos que el ENS debe ser más una herramienta de ayuda que una “obligación legal”. El proceso debía ser de utilidad REAL; sería la forma de empezar a realizar una gestión GLOBAL de la seguridad. Debía ser sencillo y asumible (dentro de nuestras limitaciones). Por lo tanto, necesitamos “adaptar” el ENS a nuestra realidad. “La UPCT desea manifestar la necesidad de una infraestructura TIC que prime y fomente las operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario, como funciones prioritarias para la consecución de los objetivos estratégicos e institucionales.” (extraído de la Política de seguridad de la UPCT) Adaptación ENS en la UPCT

4 Consideraciones previas (II)La situación de partida es: No existe una organización de la seguridad. Se aplican medidas concretas orientadas generalmente a la disponibilidad (de la información y los servicios) y a la confidencialidad (protección de información). La UPCT tiene como línea estratégica para desarrollo de la eAdmon el uso de infraestructuras y servicios comunes (Art. 28 del ENS): MINHAP, etc. La Universidad no disponía de una política de seguridad y de una normativa general debidamente aprobadas. Se debía implicar a todas las secciones del Servicio de Informática. Adaptación ENS en la UPCT

5 Valoración de servicios (“paraguas ENS”)Los criterios seguidos para la inclusión de los servicios e informaciones en la adecuación al ENS son los referidos por la Ley 11/2007: aquellos sistemas de información relacionados con el ejercicio de derechos y de deberes de acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo. Además, se decidió incluir aquellos que tienen especial significación para la universidad, bien sea por los daños reputacionales que se desprenderían de un incidente de seguridad en los mismos, bien por la creciente importancia que van adquiriendo. En el análisis de riesgos también se incluyeron los “Servicios IT”: DNS, correo electrónico, gestor documental, gestión de identidades, etc. Adaptación ENS en la UPCT

6 Breve descripción del procesoAdaptación ENS en la UPCT

7 Jefe del Servicio de Informática. Personas implicadas Vicerrectora de Nuevas Tecnologías. Jefe del Servicio de Informática. Jefes de las secciones del SI (4 en total). Un técnico de Sistemas. Un consultor externo. Adaptación ENS en la UPCT

8 Plan de trabajo Curso de formación sobre ENS y Gestión de riesgos (Nov-2010). Para todo el Servicio de Informática. Elaboración y publicación de la Política de seguridad (https://sede.upct.es/docs/ENS_PoliticaSeguridadUPCT.pdf) Catalogación y valoración de los Sistemas de Información según lo establecido en el ENS. Análisis de Riesgos. Plan de mejora. Informe final. 10 reuniones en total, comenzando el 1 de feb y finalizando el 12 de mayo. Adaptación ENS en la UPCT

9 Herramientas utilizadasEsquema Nacional de Seguridad. Guías CCN-STIC: https://www.ccn-cert.cni.es MAGERIT. PILAR v 5.1. Adaptación ENS en la UPCT

10 Resultados Adaptación ENS en la UPCT

11 Valoración de los serviciosConfidencialidad Integridad Autenticidad Trazabilidad Disponibilidad Nivel Global Aplicabilidad ENS ERP - Académico Bajo Medio Aplica ERP - Económico ERP - RRHH ERP - SiCARTA ERP - Registro Presencial ERP - Cursos Propios ERP - Gestión Ayudas Sociales Medio* ERP - Portal Web Institucional Ampliación ENS Docencia Virtual AE - Sede AE - Tablón Oficial AE - Portafirmas AE - Registro Telemático + Tramitación AE - Factura Electrónica Dumbo No aplica ALAs ERP - Évalos Adaptación ENS en la UPCT

12 Sistemas identificados y catalogaciónConfidencialidad Integridad Autenticidad Trazabilidad Disponibilidad Nivel Global Sistema ERP Institucional Medio Bajo Sistema AE - Subsistema Publicación Sistema AE - Subsistema Tramitación Sistema Ampliación ENS Adaptación ENS en la UPCT

13 Análisis de riesgos: ¿qué se obtiene?Situación actual: Valores del riesgo actual para cada una de las dimensiones de seguridad en cada uno de los sistemas. En nuestro caso, se detectó baja madurez y baja homogeneidad en las salvaguardas existentes. Esto lleva a unos niveles de riesgo altos en las dimensiones dominantes de los sistemas. Estado actual de cumplimiento del ENS (según checklist en PILAR). Se hace una prospectiva de las consecuencias de la aplicación del ENS (según el plan establecido de aplicación de medidas) y se ve claramente la reducción de riesgos que supone. Recomendaciones sobre medidas de protección específica de las áreas más significativas de riesgo: políticas de autenticación y contraseñas, concienciación, formación, desarrollo, etc. Adaptación ENS en la UPCT

14 Análisis de riesgos: Situación may-2011Cumplimiento ENS en la UPCT [org] Marco organizativo 28% [op] Marco operacional 44% [mp] Medidas de protección 42% Adaptación ENS en la UPCT

15 Análisis de riesgos: Situación actual ENSCumplimiento [op] Marco operacional 44% [op.pl] Planificación 48% [op.pl.1] Análisis de riesgos 90% [op.pl.2] Arquitectura de seguridad [op.pl.3] Adquisición de nuevos componentes 20% [op.pl.4] Dimensionamiento / Gestión de capacidades 37% [op.acc] Control de acceso 43% [op.acc.1] Identificación 52% [op.acc.2] Requisitos de acceso [op.acc.3] Segregación de funciones y tareas 23% [op.acc.4] Proceso de gestión de derechos de acceso 40% [op.acc.5] Mecanismo de autenticación 28% [op.acc.6] Acceso local (local logon) 14% [op.acc.7] Acceso remoto (remote login) 51% [op.exp] Explotación 36% [op.exp.1] Inventario de activos 58% [op.exp.2] Configuración de seguridad 50% [op.exp.3] Gestión de la configuración 33% [op.exp.4] Mantenimiento 55% [op.exp.5] Gestión de cambios [op.exp.6] Protección frente a código dañino [op.exp.7] Gestión de incidencias [op.exp.8] Registro de la actividad de los usuarios n.a. [op.exp.9] Registro de la gestión de incidencias 10% [op.exp.10] Protección de los registros de actividad [op.exp.11] Protección de claves criptográficas [op.ext] Servicios externos [op.ext.1] Contratación y acuerdos de nivel de servicio [op.ext.2] Gestión diaria [op.cont] Continuidad del servicio [op.cont.1] Análisis de impacto [op.cont.2] Plan de continuidad [op.cont.3] Pruebas periódicas Adaptación ENS en la UPCT

16 Análisis de riesgos: Evolución ENSAdaptación ENS en la UPCT

17 Plan de mejora FASE 1– Diciembre 2011Corrección de insuficiencias severas (por debajo del 15% de cumplimiento) Mejora general del marco organizativo Planificación de medidas derivadas del análisis de riesgos FASE 2 - Diciembre 2013 Corrección de insuficiencias moderadas (por debajo del 30% de cumplimiento) Madurez en las áreas críticas de riesgo FASE 3: Desde enero de 2014 Madurez en las medidas exigibles por el ENS, alcanzando al menos un 50% en todas las medidas. Adaptación ENS en la UPCT

18 Resultados finales Se informó al Consejo de Dirección y a los responsables funcionales sobre el proceso de valoración de los sistemas. Aprobación por parte del CDU del informe y del Plan de Adecuación, de la Política de Seguridad y de la Normativa de Seguridad (Oct2011) https://sede.upct.es/docs/Plan_de_mejora_de_Seguridad_en_la_UPCT.pdf https://sede.upct.es/docs/ENS_PoliticaSeguridadUPCT.pdf https://sede.upct.es/docs/Normativa_de_seguridad_Final.pdf Plan interno de mejora: establecimiento de medidas concretas (ver guía CCN-STIC 808). Tareas de seguimiento. Adaptación ENS en la UPCT

19 Roles y responsabilidadesResponsable de la Información: Secretaría General. Responsable de los Servicios TIC: Vicerrector TIC. Responsable de Seguridad: Jefe de la Unidad de Informática. Responsable del Sistema: Jefes de Sección de la UI. Se crea un Comité de Seguridad TIC, como subgrupo dentro de la Comisión de Nuevas Tecnologías. Los dos primeros los nombra el Rector; el Responsable de Seguridad es designado por el Comité de Seguridad. Ver guías CCN-STIC-801 y 805. Adaptación ENS en la UPCT

20 Ejemplo 1 de medidas en el plan de mejoraOp.acc.6: Acceso local (local logon): Se considera acceso local al realizado desde los puestos de trabajo dentro de las propias instalaciones de la Universidad. Habrá que considerar las siguientes acciones: Prevenir la revelación de información del sistema: Los diálogos de acceso (al puesto local dentro de la propia instalación de la organización, al servidor, al dominio de red, etc.) no deben revelar información sobre el sistema al que se está accediendo. Por ejemplo, en el SSO de acceso a los servicios de la UPCT se puede poner el siguiente mensaje: “El acceso a este sistema está restringido a personal autorizado, se le informa que su uso deberá ceñirse al autorizado en la política de seguridad y su acceso quedará registrado”. En los errores de autenticación el mensaje correcto será “Datos incorrectos”. Limitar el número de intentos de acceso fallidos, después de los cuales se bloqueará la cuenta del usuario. Hacerlo de la forma más “amigable” posible para el usuario. Registrar los accesos, tanto los correctos como los fallidos. Avisar al usuario de sus obligaciones inmediatamente después de obtener el acceso. El sistema debe informar al usuario del último acceso con su identidad con éxito. No pondremos limitación de horarios para acceso. Definir e implementar (¿?) políticas para salvapantallas. Adaptación ENS en la UPCT

21 Ejemplo 2 de medidas en el plan de mejoraMp.sw.1: Desarrollo de aplicaciones: Se nos pide disponer de una política o normativa para el desarrollo de aplicaciones, que cubra los siguientes aspectos: Desarrollar aplicaciones sobre un sistema diferente y separado del de producción. Aplicar una metodología de desarrollo reconocida. Los mecanismos siguientes deben ser parte integral del diseño del sistema: de identificación y autenticación de protección de la información de pistas de auditoría (trazabilidad). Pruebas anteriores a la implantación o modificación de los sistemas de información. Esta normativa debemos acompañarla de herramientas de desarrollo concretas que permita a los desarrolladores el cumplimiento de las medidas expuestas. En nuestro caso, hemos adoptado el estándar ASVS (Estándar de verificación de seguridad en aplicaciones) definido por OWASP, considerando sus niveles 1 (verificación automática) y 2 (verificación manual) como suficientes para nuestras aplicaciones. Estos dos niveles, suponen la adopción de un conjunto de buenas prácticas (definidas en una checklist) orientadas a: Escaneo dinámico de vulnerabilidades. Análisis estático del código fuente. Test de penetración en aplicación. Revisión de código para cumplimiento de requisitos de seguridad. Adaptación ENS en la UPCT

22 Conclusiones Adaptación ENS en la UPCT

23 ¿Qué nos falta? Desarrollar y mejorar muchas de las medidas descritas en el ENS de una forma homogénea. Fundamentalmente: Concienciación. Clasificación de la información. Medir: Gestión de incidentes. Monitorización. Desarrollo normativo y procedimientos. Adaptación ENS en la UPCT

24 Conclusiones finales Ha sido un proceso muy útil y positivo. La implicación de todo el personal es muy importante; p.ej. los desarrolladores han incluido la seguridad como un aspecto a considerar desde la fase de diseño y en todo el ciclo de vida. A veces un poco tedioso pero creemos que su duración y esfuerzo es asumible. Es necesario contar con el apoyo de una empresa consultora. Saca a relucir carencias normativas y organizativas. Gestión de la seguridad: aplicación homogénea y razonada de las medidas y salvaguardas. Continuidad. Adaptación ENS en la UPCT