1 Vicente Andreu Navarro Gabinete de Planificación y Prospectiva Tecnológica Universitat Jaume I Cartagena 11 de abril de 2013 Desarrollo del Plan de Adecuación al ENS
2 IniciativaFecha Creación CTPJunio 2003 Creación CAE (antiguo Consejo Asesor TIC)Diciembre 2004 Análisis diferencial UNE-ISO/IEC 17799 y UNE 71502Marzo 2005 Catálogo de proyectos de seguridad2006-2007 Diseño e implantación de un SGSI ISO 270002008-2009 Política de seguridad (Resolución del Rector)Diciembre 2009 Certificación ISO/IEC 270001:2007Marzo 2010 Renovación de la certificación ISO/IEC 270001:2007Marzo 2013 Plan de adecuación al ENS basado en el SGSI2011-2014 Líneas generales nueva Política de SeguridadSept. 2012, Dic. 2012 Auditoría de cumplimiento de las medidas del Anexo IIDic. 2012, Marzo 2013 Declaración de aplicabilidad y Plan de AccionesMarzo 2013 Desarrollo del Plan de AccionesAbril 2013, Enero 2014 Evolución de la seguridad TI en la UJI
3 SGSI – UJI (ISO 27000) Sistemas de información que soportan los servicios de TI de la Universitat Jaume I en los ámbitos: Académico: servicios tecnológicos de soporte a la docencia Investigación: entorno de cálculo científico Gestión: entorno de gestión administrativa Comunes: portal universitario y servicio de internet, servicios de conexión y correo electrónico, recursos de almacenamiento y de gestión de proyectos ENS Sedes electrónicas. Registros electrónicos. Sistemas de Información accesibles electrónicamente por los ciudadanos. Sistemas de Información para el ejercicio de derechos. Sistemas de Información para el cumplimiento de deberes. Sistemas de Información para recabar información y estado del procedimiento administrativo. ISO27000 vs. ENS: Ámbito de aplicación
4 SGSI – UJI (ISO 27001, Anexo A) Aplicabilidad basada en requisitos normativos, organizativos, contractuales o en riesgo Grado de aplicación basado en buenas prácticas y “autoimpuesto” Ejemplo: A 10.6.1 Control de redes “Manejar y controlar adecuadamente las redes para proteger la información e infraestructura. ” ENS (Anexo II) Aplicabilidad basada en requisitos normativos Grado de aplicación obligatorio (salvo medidas compensatorias) y específico en función de la categoría del sistema Ejemplo: 5.4 Protección de las comunicaciones, 5.4.1. Perímetro seguro. Categoría alta – Cortafuegos en cascada de distinto fabricante. ISO27000 vs. ENS: Aplicación de controles
5 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad
6 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Incluir en la política de seguridad existente: Cuestiones relacionadas con la organización de seguridad Definición de comités (CTP y CAE) Responsabilidades (información, seguridad y servicio) Procedimiento de designación de personas Concienciación y formación Gestión de riesgos Directrices generales de análisis, evaluación y tratamiento de riesgos Proceso de aceptación del riesgos residual Proceso de revisión de la política de seguridad
7 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Incluir en la política de seguridad existente: Cuestiones relacionadas con la organización de seguridad Definición de comités (CTP y CAE) Responsabilidades (información, seguridad y servicio) Procedimiento de designación de personas Concienciación y formación Gestión de riesgos Directrices generales de análisis, evaluación y tratamiento de riesgos Proceso de aceptación del riesgos residual Proceso de revisión de la política de seguridad 1INTRODUCCIÓ4 2RESPONSABILITAT5 3LÍNIES GENERALS DE LA POLÍTICA DE SEGURETAT6 3.1Antecedents6 3.2Principis bàsics de la seguretat de la informació6 3.3Missió de la Universitat7 3.4Marc normatiu8 3.5Organització de la seguretat9 3.5.1Responsable de la Informació i responsable del Fitxer9 3.5.2Responsable del Servei10 3.5.3Responsable de Seguretat Corporativa10 3.5.4Responsable de Seguretat de la Informació11 3.5.5Responsable de Coordinació dels Sistemes11 3.5.6Responsable del Sistema12 3.5.7Administradors de la Seguretat12 3.5.8Comité de Seguretat Corporativa12 3.5.9Comité de Seguretat de la Informació-Comissió Tècnica de Projectes14 3.6Conscienciació del personal i formació16 3.7Gestió de riscos17 3.8Procés d’aprovació i revisió17 4CATEGORIA DEL SISTEMA18 4.1Actius d’informació20 4.2Serveis que es presten21 4.3Dades de caràcter personal23 5ANÀLISI DE RISCOS24 6DECLARACIÓ D’APLICABILITAT DE LES MESURES DE L’ANNEX II DE L’ENS25 7INSUFICIÈNCIES DEL SISTEMA26 8PLA DE MILLORA DE LA SEGURETAT27 9TEMPORALITZACIÓ DEL PLA28
8 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Incluir en la política de seguridad existente: Cuestiones relacionadas con la organización de seguridad Definición de comités (CTP y CAE) Responsabilidades (información, seguridad y servicio) Procedimiento de designación de personas Concienciación y formación Gestión de riesgos Directrices generales de análisis, evaluación y tratamiento de riesgos Proceso de aceptación del riesgos residual Proceso de revisión de la política de seguridad
9 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI Sistema de gestión Portal ¿Otros? Aula virtual Servicio de correo electrónico El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información
10 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI Sistema de gestión Portal ¿Otros? Aula virtual Servicio de correo electrónico El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información [S] ServiciosDICAT [S.S_Listas distribución] Servicio de listas de correo[6]N/A [6][7] [S.S_CAU] Servicio de atención al usuario[5]N/A [5] [S.S_Calculo] Servicio de cálculo científico[3]N/A [4][3] [S.S_DSpace] Servicio de repositorio documental[3]N/A [6][7] [S.S_Multimedia] Servicio de multimedia[1]N/A [5]N/A [S.S_LDAP] Servicio de directorio[3]N/A [7]N/A [S.S_miUJI] Servicio de mensajería instantánea[1]N/A[4][6]N/A [S.S_Alfresco] Servicio de Gestión documental[5]N/A [5][7] [S.S_VPN] Servicio Conexión Remota VPN[6]N/A [6][7] [S.S_Disco personal] Espacio de almacenamiento personal[3]N/A [6][5] [S.S_Unidad X] Directorios de almacenamiento departamental[5]N/A [6][7] [S.S_Espacio_Cedidos] Foros y espacios web cedidos[3]N/A [6][7] [S.S_Wifi] Servicio Wifi, Freenet y EduRoam[4]N/A [4][7] [S.S_Forja] Gestión de proyecto Forja UJI[1]N/A [4][7] [S.S_Correo] Correo Corporativo[7]N/A [7] [S.S_Portal] Portal UJI[7]N/A [7]N/A [S.S_AV] Aula virtual[7]N/A [7] [S.S_NAVOracle] Entorno de aplicaciones de gestión[7]N/A [7] [S.S_eUJIer] Entorno de gestión administrativa eUJIer[7]N/A [7] [S.S_Aula Informatica] Servicio de aulas informáticas[7]N/A [S.S_Mesas Multimedia] Servicio de mesas multimedia[7]N/A [S.S_Impresion remota] Servicio de impresión remota[3]N/A [7][5] [S.S_Auditoría red servidores] Servicio de auditoría previa red académica de servidores[2]N/A [S.S_Quioscos] Servicio de quioscos biblioteca[3]N/A [S.S_Biblioteca] Servicio catalogo de biblioteca[3]N/A [S.S_Agenda] Servicio de agenda Exchange[5]N/A [7] [S.S_Soporte docencia] Servicio de soporte docencia[5]N/A [S.S_Tenda] Servicio de tienda virtual[2]N/A [5][7] [S.S_Control de accesos y presencia] Servicio de control de accesos y presencia[7]N/A [7] [S.S_SMS] Servicio SMS[7]N/A [2]
11 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Los activos a incluir en el plan de adecuación al ENS son un subconjunto de la totalidad de activos incluidos en el ámbito de aplicación del SGSI-UJI Sistema de gestión Portal ¿Otros? Aula virtual Servicio de correo electrónico El SGSI-UJI contempla una lista de 30 servicios y 10 fuentes de información [S] ServiciosDICAT [S.S_Listas distribución] Servicio de listas de correo[6]N/A [6][7] [S.S_CAU] Servicio de atención al usuario[5]N/A [5] [S.S_Calculo] Servicio de cálculo científico[3]N/A [4][3] [S.S_DSpace] Servicio de repositorio documental[3]N/A [6][7] [S.S_Multimedia] Servicio de multimedia[1]N/A [5]N/A [S.S_LDAP] Servicio de directorio[3]N/A [7]N/A [S.S_miUJI] Servicio de mensajería instantánea[1]N/A[4][6]N/A [S.S_Alfresco] Servicio de Gestión documental[5]N/A [5][7] [S.S_VPN] Servicio Conexión Remota VPN[6]N/A [6][7] [S.S_Disco personal] Espacio de almacenamiento personal[3]N/A [6][5] [S.S_Unidad X] Directorios de almacenamiento departamental[5]N/A [6][7] [S.S_Espacio_Cedidos] Foros y espacios web cedidos[3]N/A [6][7] [S.S_Wifi] Servicio Wifi, Freenet y EduRoam[4]N/A [4][7] [S.S_Forja] Gestión de proyecto Forja UJI[1]N/A [4][7] [S.S_Correo] Correo Corporativo[7]N/A [7] [S.S_Portal] Portal UJI[7]N/A [7]N/A [S.S_AV] Aula virtual[7]N/A [7] [S.S_NAVOracle] Entorno de aplicaciones de gestión[7]N/A [7] [S.S_eUJIer] Entorno de gestión administrativa eUJIer[7]N/A [7] [S.S_Aula Informatica] Servicio de aulas informáticas[7]N/A [S.S_Mesas Multimedia] Servicio de mesas multimedia[7]N/A [S.S_Impresion remota] Servicio de impresión remota[3]N/A [7][5] [S.S_Auditoría red servidores] Servicio de auditoría previa red académica de servidores[2]N/A [S.S_Quioscos] Servicio de quioscos biblioteca[3]N/A [S.S_Biblioteca] Servicio catalogo de biblioteca[3]N/A [S.S_Agenda] Servicio de agenda Exchange[5]N/A [7] [S.S_Soporte docencia] Servicio de soporte docencia[5]N/A [S.S_Tenda] Servicio de tienda virtual[2]N/A [5][7] [S.S_Control de accesos y presencia] Servicio de control de accesos y presencia[7]N/A [7] [S.S_SMS] Servicio SMS[7]N/A [2] [D] DatosDICAT [D.D_BBDD Oracle] Datos BBDD institucional + procedimientos internosN/A[8] [7] [D.D_Listras de distribución] Datos listas de distribuciónN/A[6][0]N/A [D.D_Logs] Datos registro de navegación y accesoN/A[8] [D.D_Aula virtual] Datos del aula virtualN/A[5] N/A [D.D_Buzones] Datos de buzones de correoN/A[8] N/A [D.D_SVN] Datos de repositorio de codigoN/A[4][0]N/A [D.D_Cedidos] Datos específicos de espacios cedidosN/A[4][6]N/A [D.D_Ficheros de unidades] Ficheros de unidades administrativas o departamentosN/A[8][6]N/A [D.D_Ficheros usuarios] Ficheros personales de usuarioN/A[5][7]N/A [D.D_Datos gestión documental] Datos de soporte a la gestión documentalN/A[8][6]N/A [D.D_Objetos multimedia] Datos objeto multimediaN/A[1][0]N/A [D.D_Documentos repositorio] Datos documentos repositorios DSpaceN/A[5][0]N/A
12 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Identificación de las medidas del Anexo II que son de aplicación en función de la categoría del sistema y sustitución o adición de las mismas en la declaración de aplicabilidad del SGSI-UJI
13 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Incumplimiento formal de las medidas de seguridad exigidas en el Anexo II para la valoración del sistema. Existencia de riesgos no asumibles por la Universidad desde la perspectiva del ENS. Las insuficiencias detectadas se incluirán en el plan de mejora de la seguridad.
14 Plan de adecuación al ENS 1.Revisión de la política de seguridad existente 2.Revisión del inventario de activos (información y servicios) y categorización 3.Declaración de aplicabilidad adaptada al ENS 4.Auditoría ENS: insuficiencias del sistema 5.Plan de mejora de la seguridad Para cada insuficiencia detectada en relación con el ENS se han propuesto iniciativas individuales en las que se incluye: 1.Insuficiencia que subsana. 2.Plazo previsto de ejecución, indicando fecha de inicio y fecha de terminación y, en su caso, hitos intermedios. 3.Estimación del coste.
15 Marco Organizativo
16 Procedimientos Difusión de la política Notificación de cambios Aceptación de la política de seguridad Política de seguridad y Normativas SGSI ISO 27000 Autorizaciones: uso de instalaciones entrada de equipos en producción aplicaciones enlaces de comunicaciones equipos móviles
17 Marco Operacional
18 Arquitectura de seguridad Mejora del proceso de adquisición Análisis de riesgos Alineación con la arquitectura de seguridad Necesidades técnicas, de formación y de financiación Dimensionamiento y gestión de la capacidad de los sistemas (necesidades de procesamiento, almacenamiento, red, instalaciones, personal…) Planificación Control de accesos Segregación de tareas Acreditación de la recepción de credenciales de usuario Información del último acceso efectuado
19 Gestión de configuración y cambios en infraestructura (concretar) Gestión de incidencias Aplicación de medidas urgentes Prevención de la repetición de incidencias Protección de claves criptográficas (destrucción) Acuerdos de nivel de servicio Calidad mínima del servicio y medición periódica Consecuencia del incumplimiento Explotación Continuidad del servicio El Plan de Continuidad del Negocio excede los mínimos exigibles marcados por el ENS
20 Medidas de Protección
21 Medidas de control de temperatura, humedad, incendios, inundaciones Instalaciones Protección de los soportes de información Sólo los de copias de seguridad Prohibición genérica de guardar información de la Universidad en soportes externos Protección criptográfica Caracterización del puesto de trabajo Concienciación y formación Gestión de personal Protección de las comunicaciones Ninguna salvedad relevante Protección de los equipos Puesto de trabajo despejado y protección de portátiles
22 Duplicidad de criterios de valoración Marcado de información en papel Limpieza de documentos (campos ocultos, metadatos o comentarios) Protección de la información Correo: externalizado, copias de seguridad de buzones críticos Web: ausencia de normas específicas (XSS, escalado de privilegios, manipulación de cookies…) DoS: nivel de protección adecuado Protección de los servicios
23 Gracias por su atención