EL ANÁLISIS DE RIESGOS:EL ANÁLISIS DE RIESGOS:
APLICACIÓN EN LOSAPLICACIÓN EN LOS
SERVICIOS DE LASERVICIOS DE LA
ADMINISTR...
INTRODUCCION.
• Las Administraciones Públicas deben proporcionar al ciudadano el acceso a
los servicios propios de la admi...
Esquema Nacional de Seguridad
La seguridad, en el ENS se entiende como una actividad integral en todos los ámbitos
que afe...
ENS: Proceso para clasificar los sistemas
1.- Determinar Servicios /
Información
2.- Definir dimensiones
(D,A,I,C,T)
3.- A...
DEFINIR LAS DIMENSIONES
Para analizar el impacto que tendría un incidente de seguridad sobre un sistema, y por
lo tanto, d...
ASIGNAR NIVELES A LAS DIMENSIONES
Para cada dimensión definida en los activos, se asignará un nivel en función
NIVEL BAJO....
NIVEL DEL SISTEMA Y
ANALISIS DE RIESGOS
CATEGORIA DEL SISTEMAS DE INFORMACION
• ALTA si alguna de sus dimensiones de segur...
NIVEL DEL SISTEMA Y
ANALISIS DE RIESGOS
BAJO
Análisis de riesgos documentado que:
a) Identifique los activos más valiosos ...
MEDIDAS OBLIGATORIAS DE SEGURIDAD. ANEXO II ENS
MECANISMOS DE AUTENTICACION
Dimensiones Integridad I, Confidencialidad C, ...
ACTIVOS Y DEPENDENCIAS
SELECCIÓN DE AMENAZAS
CONCLUSIONES
• La seguridad de los servicios de la Administración Pública al ciudadano
debe realizarse con unos niveles de...
Laura Prats Abadía
lprats@appluscorp.com
Tfn. 91 208 08 00 / 607 07 44 05
Laura Prats
Laura Prats
Laura Prats
Laura Prats
Laura Prats
Laura Prats
Upcoming SlideShare
Loading in...5
×

Laura Prats

1,027

Published on

Published in: Travel, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,027
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Las Administraciones Públicas deben proporcionar al ciudadano el acceso a los servicios propios de la administración a través de los nuevos Sistemas de Información.
    Para garantizar la debida confidencialidad y buen uso de los mismos, es necesario garantizar la autenticación usuarios de los sistemas.
    Así mismo, la documentación en formato digital deben tener la misma validez legal en el sentido de validez del contenido, origen, fecha, etc.
    Ley 59/2003 de Firma Electrónica
    Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
    En concreto, la Sección II sobre identificación de ciudadanos y autenticación de su actuación de la Ley 11/2007, permite a cada administración determinar, teniendo en cuenta su propio análisis de riesgos, los mecanismos de firma electrónica admisibles, ya sean de firma avanzada, reconocida u otros sistemas no criptográficos (art. 16.1), estableciendo un esquema multinivel por la identificación de los usuarios de los sistemas informáticos en relación al nivel de seguridad que requieren. Este nivel de seguridad debería de establecerse según un análisis de riesgos, siguiendo las pautas marcadas por El Esquema Nacional de Seguridad (RD 3/2010).
  • ¿Qué son los niveles de aseguramiento en el uso de la identificación y firma electrónica?En todos los servicios y aplicaciones de administración electrónica no se requieren las mismas garantías de identificación y autenticación. Hay una dependencia directa entre el nivel de riesgos asumible y las garantías de seguridad que ofrece un proceso de identificación o autenticación con un determinado certificado electrónico. Será el propio organismo de la Administración pública estatal el que, en función de los servicios que se ofrezcan y el nivel de riesgo que estos conlleven, decidirá el nivel de aseguramiento que corresponderá al servicio específico.El nivel de aseguramiento determinará si es admisible un certificado en soporte software o hardware, o el uso admisible para dicho certificado, como cifrado, autenticación o firma electrónica.  
    ¿Cuáles los niveles de aseguramiento establecidos?De acuerdo a los riesgos de cada procedimiento, se definen los siguientes niveles de aseguramiento:
     Nivel de aseguramiento alto: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para las aplicaciones de las Administraciones Públicas que precisan medidas de seguridad altas, cuyas infracciones de seguridad pueden pérdidas económicas importantes, pérdida de información altamente sensible o crítica, o la refutación de una transacción con impacto económico muy significativo.
    Nivel de aseguramiento medio: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para la mayoría de aplicaciones de las Administraciones públicas. La infracción de la seguridad de este nivel puede producir pérdidas económicas moderadas, pérdida de información sensible o crítica, o la refutación de una transacción con impacto económico.
    Nivel de aseguramiento bajo: Este nivel se corresponde con sistemas que no están basados en firma electrónica y certificados digitales.
  • ¿Qué son los niveles de aseguramiento en el uso de la identificación y firma electrónica?En todos los servicios y aplicaciones de administración electrónica no se requieren las mismas garantías de identificación y autenticación. Hay una dependencia directa entre el nivel de riesgos asumible y las garantías de seguridad que ofrece un proceso de identificación o autenticación con un determinado certificado electrónico. Será el propio organismo de la Administración pública estatal el que, en función de los servicios que se ofrezcan y el nivel de riesgo que estos conlleven, decidirá el nivel de aseguramiento que corresponderá al servicio específico.El nivel de aseguramiento determinará si es admisible un certificado en soporte software o hardware, o el uso admisible para dicho certificado, como cifrado, autenticación o firma electrónica.  
    ¿Cuáles los niveles de aseguramiento establecidos?De acuerdo a los riesgos de cada procedimiento, se definen los siguientes niveles de aseguramiento:
     Nivel de aseguramiento alto: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para las aplicaciones de las Administraciones Públicas que precisan medidas de seguridad altas, cuyas infracciones de seguridad pueden pérdidas económicas importantes, pérdida de información altamente sensible o crítica, o la refutación de una transacción con impacto económico muy significativo.
    Nivel de aseguramiento medio: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para la mayoría de aplicaciones de las Administraciones públicas. La infracción de la seguridad de este nivel puede producir pérdidas económicas moderadas, pérdida de información sensible o crítica, o la refutación de una transacción con impacto económico.
    Nivel de aseguramiento bajo: Este nivel se corresponde con sistemas que no están basados en firma electrónica y certificados digitales.
  • Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles:
    BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel.
  • Se entenderá por perjuicio limitado:
    1.º La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
    2.º El sufrimiento de un daño menor por los activos de la organización.
    3.º El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
    4.º Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
    5.º Otros de naturaleza análoga.
    Se entenderá por perjuicio grave:
    1.º La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
    2.º El sufrimiento de un daño significativo por los activos de la organización.
    3.º El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
    4.º Causar un perjuicio significativo a algún individuo, de difícil reparación.
    5.º Otros de naturaleza análoga.
    Se entenderá por perjuicio muy grave:
    1.º La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
    2.º El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
    3.º El incumplimiento grave de alguna ley o regulación.
    4.º Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
    5.º Otros de naturaleza análoga.
  • Categoría BÁSICA
    Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que
    describa los siguientes aspectos:
    a) Identifique los activos más valiosos del sistema.
    b) Identifique las amenazas más probables.
    c) Identifique las salvaguardas que protegen de dichas amenazas.
    d) Identifique los principales riesgos residuales.
    Categoría MEDIA
    Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo
    básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa
    los siguientes aspectos:
    a) Identifique y valore cualitativamente los activos más valiosos del sistema.
    b) Identifique y cuantifique las amenazas más probables.
    c) Identifique y valore las salvaguardas que protegen de dichas amenazas.
    d) Identifique y valore el riesgo residual.
    Categoría ALTA
    Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento
    matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos:
    a) Identifique y valore cualitativamente los activos más valiosos del sistema.
    b) Identifique y cuantifique las amenazas posibles.
    c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
    d) Identifique y valore las salvaguardas adecuadas.
    e) Identifique y valore el riesgo residual.
  • Nivel BAJO
    a) Se admitirá el uso de cualquier mecanismo de autenticación: claves concertadas, o
    dispositivos físicos (en expresión inglesa »tokens») o componentes lógicos tales como certificados
    software u otros equivalentes o mecanismos biométricos.
    b) En el caso de usar contraseñas se aplicarán reglas básicas de calidad de las mismas.
    c) Se atenderá a la seguridad de los autenticadores de forma que:
    1.º Los autenticadores se activarán una vez estén bajo el control efectivo del usuario.
    2.º Los autenticadores estarán bajo el control exclusivo del usuario.
    3.º El usuario reconocerá que los ha recibido y que conoce y acepta las obligaciones que
    implica su tenencia, en particular el deber de custodia diligente, protección de su confidencialidad e
    información inmediata en caso de pérdida.
    4.º Los autenticadores se cambiarán con una periodicidad marcada por la política de la
    organización, atendiendo a la categoría del sistema al que se accede.
    5.º Los autenticadores se retirarán y serán deshabilitados cuando la entidad (persona, equipo o
    proceso) que autentican termina su relación con el sistema.
    Nivel MEDIO
    a) No se recomendará el uso de claves concertadas.
    b) Se recomendará el uso de otro tipo de mecanismos del tipo dispositivos físicos (tokens) o
    componentes lógicos tales como certificados software u otros equivalentes o biométricos.
    c) En el caso de usar contraseñas se aplicarán políticas rigurosas de calidad de la contraseña y
    renovación frecuente.
    Nivel ALTO
    a) Los autenticadores se suspenderán tras un periodo definido de no utilización.
    b) No se admitirá el uso de claves concertadas.
    c) Se exigirá el uso de dispositivos físicos (tokens) personalizados o biometría.
    29
    d) En el caso de utilización de dispositivos físicos (tokens) se emplearán algoritmos acreditados
    por el Centro Criptológico Nacional.
    e) Se emplearán, preferentemente, productos certificados [op.pl.5].
  • Laura Prats

    1. 1. EL ANÁLISIS DE RIESGOS:EL ANÁLISIS DE RIESGOS: APLICACIÓN EN LOSAPLICACIÓN EN LOS SERVICIOS DE LASERVICIOS DE LA ADMINISTRACIÓN PÚBLICAADMINISTRACIÓN PÚBLICA Laura Prats Abadía Responsable seguridad TI Applus lprats@appluscorp.com 28 Octubre 2010
    2. 2. INTRODUCCION. • Las Administraciones Públicas deben proporcionar al ciudadano el acceso a los servicios propios de la administración a través de los nuevos Sistemas de Información. • Para garantizar la debida confidencialidad y buen uso de los mismos, es necesario garantizar un nivel adecuado de la seguridad. • Seguridad: – Al menos igual nivel que en medios no electrónicos. – Nivel proporcional a garantías y medidas de seguridad adecuadas a la naturaleza y circunstancias de los distintos trámites y actuaciones. – Basado en el Esquema Nacional de Seguridad • Normativa relacionada – Ley 59/2003 de Firma Electrónica – Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos – Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
    3. 3. Esquema Nacional de Seguridad La seguridad, en el ENS se entiende como una actividad integral en todos los ámbitos que afecten a los sistemas. El ENS determina unas medidas de seguridad obligatorias en función de la clasificación de los sistemas. Los sistemas se clasifican en categorías en función del impacto que tendrían los incidentes de seguridad sobre la información, los sistemas o en la capacidad organizativa para: a) Alcanzar sus objetivos. b) Proteger los activos a su cargo. c) Cumplir sus obligaciones diarias de servicio. d) Respetar la legalidad vigente. e) Respetar los derechos de las personas.
    4. 4. ENS: Proceso para clasificar los sistemas 1.- Determinar Servicios / Información 2.- Definir dimensiones (D,A,I,C,T) 3.- Asignar niveles a las dimensiones (ALTO MEDIO BAJO) 4.- Asignar nivel al Sistema (ALTO MEDIO BAJO)
    5. 5. DEFINIR LAS DIMENSIONES Para analizar el impacto que tendría un incidente de seguridad sobre un sistema, y por lo tanto, determinar el nivel de seguridad, se analizarán las siguientes dimensiones: a) Disponibilidad [D]. Capacidad para acceder al servicio y/o información. b) Autenticidad [A]. Capacidad de identificar el origen de la información o servicio c) Integridad [I]. Garantía de la no alteración de la información o servicio. d) Confidencialidad [C]. Garantía de que el acceso a los servicios e información se realiza en función de los requisitos del servicio y autorización para el e) Trazabilidad [T]. Garantía de poder seguir el proceso del servicio para conservar la totalidad de la información y el seguimiento adecuado de los procesos. DEFINIR LAS DIMENSIONES A CONSIDERAR EN CADA ACTIVO DEFINIDO
    6. 6. ASIGNAR NIVELES A LAS DIMENSIONES Para cada dimensión definida en los activos, se asignará un nivel en función NIVEL BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. NIVEL MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados. NIVEL ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.
    7. 7. NIVEL DEL SISTEMA Y ANALISIS DE RIESGOS CATEGORIA DEL SISTEMAS DE INFORMACION • ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. infracciones de seguridad que pueden producir pérdidas económicas importantes, pérdida de información altamente sensible o crítica, o la refutación de una transacción con impacto económico muy significativo. • MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO como máximo mecanismos de seguridad apropiada para la mayoría de aplicaciones de las AAPP. La infracción de la seguridad de este nivel puede producir pérdidas económicas moderadas, pérdida de información sensible o crítica, o la refutación de una transacción con impacto económico. • BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO como máximo sistemas que no están basados en firma electrónica y certificados digitales.   EN FUNCION DE LA CATEGORIA, SE DEBE REALIZAR EL ANALISIS DE RIESGOS Y APLICAR LAS MEDIDAS DE SEGURIDAD.
    8. 8. NIVEL DEL SISTEMA Y ANALISIS DE RIESGOS BAJO Análisis de riesgos documentado que: a) Identifique los activos más valiosos del sistema. b) Identifique las amenazas más probables. c) Identifique las salvaguardas que protegen de dichas amenazas. d) Identifique los principales riesgos residuales. MEDIO Análisis de riesgos documentado y formalizado. Al menos una presentación en tablas que: a) Identifique y valore cualitativamente los activos más valiosos del sistema. b) Identifique y cuantifique las amenazas más probables. c) Identifique y valore las salvaguardas que protegen de dichas amenazas. d) Identifique y valore el riesgo residual. ALTO Análisis de riesgos formalizado. Utilización de metodología reconocida (p.e. MAGERIT-PILAR) a) Identifique y valore cualitativamente los activos más valiosos del sistema. b) Identifique y cuantifique las amenazas posibles. c) Identifique las vulnerabilidades habilitantes de dichas amenazas. d) Identifique y valore las salvaguardas adecuadas. e) Identifique y valore el riesgo residual. NIVELDELSISTEMA
    9. 9. MEDIDAS OBLIGATORIAS DE SEGURIDAD. ANEXO II ENS MECANISMOS DE AUTENTICACION Dimensiones Integridad I, Confidencialidad C, Autenticidad A Nivel Sistema Bajo Medio Alto Aplica + ++ Se admite cualquier mecanismo de autenticación. Medidas de seguridad en contraseñas y autenticadores NO se recomienda claves concertadas. Recomendado: tokens, certificados u equivalentes biométricos. No claves concertadas Exigido: dispositivos físicos personalizados usando algoritmos acreditados por el CCN o biometría. Recomendado: Productos certificados
    10. 10. ACTIVOS Y DEPENDENCIAS
    11. 11. SELECCIÓN DE AMENAZAS
    12. 12. CONCLUSIONES • La seguridad de los servicios de la Administración Pública al ciudadano debe realizarse con unos niveles de seguridad apropiados para el riesgo asociado al servicio. • El Esquema Nacional de Seguridad define la clasificación de los sistemas y las medidas de seguridad mínimas a aplicar en cada caso. • Al menos para sistemas de nivel Medio y Alto, se debe utilizar una herramienta basada en una metodología contrastada como PILAR. Muchas gracias por vuestra atención
    13. 13. Laura Prats Abadía lprats@appluscorp.com Tfn. 91 208 08 00 / 607 07 44 05

    ×