¿Están seguros nuestros datos?<br />Javier Cao Avellaneda<br />Director Técnico Área Seguridad de la Información<br />
Agenda<br />Problemática de seguridad en la e-Administración<br />Medidas de seguridad del ENS<br />Sinergias de cumplimie...
¿Están seguros los datos de los ciudadanos?<br />Para hablar de seguridad debemos responder a tres cuestiones:<br />¿En qu...
Escenario 1: Administración tradicional<br />Características del soporte papel:<br /><ul><li>Toda la información está sobr...
El desplazamiento de la información es traslado del soporte.
Ocupa un espacio físico.
Es tangible. </li></li></ul><li>Escenario 2: e-Administración.<br />Características del soporte electrónico:<br /><ul><li>...
La velocidad de transmisión es mayor.
¡ Tiene METADATOS! .
A priori no existe original y copia.</li></ul>.<br />
Daños a la información<br />DISPONIBILIDAD<br />CONFIDENCIALIDAD<br />  INTERRUPCIÓN<br />  INTERCEPTACIÓN <br />  FABRICA...
¿Qué puede pasar?- Amenazas<br />ALTERACIÓN DE INFORMACIÓN<br />FRAUDE O ENGAÑO<br />VULNERABILIDADES<br />HACKING o DoS<b...
¿Quiénes son los enemigos?<br />La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias sig...
¿Quiénes son los enemigos?<br />ENEMIGO 1:  <br /><ul><li>EL FAMOSO "ERROR INFORMÁTICO"</li></ul>ENEMIGO 2:  <br /><ul><li...
A esto se suma la complejidad del delito tecnológico<br />IMPUNIDAD + COMPLEJIDAD+INTERNET = CRIMENWARE<br /><ul><li> Frag...
 Garantías previas de inmutabilidad
 Desconocimiento de la legislación
 Delitos internacionales
 Evidencias físicas
 Inmutabilidad de la prueba
 Conocimientos de abogados</li></li></ul><li>" Éxitos conocidos " …<br />Casos ya aparecidos contra el INE, AEAT. <br />Ro...
" Éxitos conocidos " …<br />Daño en imagen por errores de configuración.<br />
" Éxitos conocidos " …<br />En las últimas semanas, varios ataques de la delincuencia informática han alterado los sistema...
¿Qué proteger? (Cara a la  AA.PP.)<br />La e-Administración incrementa los requisitos de seguridad.<br />Disponibilidad: <...
Necesidad de garantizar continuidad de negocio.</li></ul>=<br />Confidencialidad: <br /><ul><li>Las AA.PP. son también ban...
Evidencia digital de transacciones.</li></ul>=<br />Autenticación: <br /><ul><li>Demostrar la veracidad de la identidad de...
Conservación de documentos electrónicos tramitados (Conservación).</li></ul>Confidencialidad: <br /><ul><li>Protección de ...
Funcionamiento de los medios para la comprobación de la veracidad de la identidad.</li></li></ul><li>Primeras reflexiones ...
Agenda<br />Problemática de seguridad en la e-Administración<br />Medidas de seguridad del ENS<br />Sinergias de cumplimie...
Pilares del R.D. 3/2010 ENS<br /> La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesar...
ESTABLECER UN MARCO COMÚN QUE HAN DE GUIAR LA ACTUACIÓN DE LAS ADMINISTRACIONES PÚBLICAS EN MATERIA DE SEGURIDAD DE LAS TE...
Medidas de seguridad a desplegar<br />¿Quién lo hará?<br />Procesos de seguridad<br />Medidas concretas<br />
¿Cuánta seguridad?<br />Artículo 27. Cumplimiento de requisitos mínimos.<br />1. Para dar cumplimiento a los requisitos mí...
La categoría del sistema, según lo previsto en el artículo 43.
Las decisiones que se adopten para gestionar los riesgos identificados.</li></li></ul><li>Niveles basados en 3 categorías<...
MEDIO
ALTO</li></ul>LAS MEDIDAS SE INCREMENTAN EN BASE AL PRINCIPIO DE PROPORCIONALIDAD.<br />
Valoración del impacto<br />Sede <br />elecrtónica<br />Tramites<br />administrativos<br />Pagos<br />Contabilidad<br />Di...
Upcoming SlideShare
Loading in …5
×

¿Están seguros nuestros datos?

2,161 views

Published on

Charla realizada durante las jornadas SICARM-2010 celebradas en Murcia dentro del área "Retos jurídicos de la e-Administración".

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,161
On SlideShare
0
From Embeds
0
Number of Embeds
243
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

¿Están seguros nuestros datos?

  1. 1. ¿Están seguros nuestros datos?<br />Javier Cao Avellaneda<br />Director Técnico Área Seguridad de la Información<br />
  2. 2. Agenda<br />Problemática de seguridad en la e-Administración<br />Medidas de seguridad del ENS<br />Sinergias de cumplimiento en materia de seguridad<br />
  3. 3. ¿Están seguros los datos de los ciudadanos?<br />Para hablar de seguridad debemos responder a tres cuestiones:<br />¿En qué contexto o situación?- Escenario de batalla<br />¿Protegidos frente a qué? – Amenazas<br />¿Protegidos de quién? – Enemigos<br />
  4. 4. Escenario 1: Administración tradicional<br />Características del soporte papel:<br /><ul><li>Toda la información está sobre el soporte.
  5. 5. El desplazamiento de la información es traslado del soporte.
  6. 6. Ocupa un espacio físico.
  7. 7. Es tangible. </li></li></ul><li>Escenario 2: e-Administración.<br />Características del soporte electrónico:<br /><ul><li>Poco espacio, mucha información.
  8. 8. La velocidad de transmisión es mayor.
  9. 9. ¡ Tiene METADATOS! .
  10. 10. A priori no existe original y copia.</li></ul>.<br />
  11. 11. Daños a la información<br />DISPONIBILIDAD<br />CONFIDENCIALIDAD<br /> INTERRUPCIÓN<br /> INTERCEPTACIÓN <br /> FABRICACIÓN <br /> MODIFICACIÓN<br />AUTENTICACIÓN y TRAZABILIDAD <br />INTEGRIDAD <br />
  12. 12. ¿Qué puede pasar?- Amenazas<br />ALTERACIÓN DE INFORMACIÓN<br />FRAUDE O ENGAÑO<br />VULNERABILIDADES<br />HACKING o DoS<br />FRAUDE O ENGAÑO<br />SUPLANTACION DE IDENTIDAD<br />(PHISHING)<br />MALWARE<br />CAIDA DE SERVICIOS TI<br />MALWARE<br />
  13. 13. ¿Quiénes son los enemigos?<br />La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, lo inverso de lo que sugiere una aproximación razonable.<br />
  14. 14. ¿Quiénes son los enemigos?<br />ENEMIGO 1: <br /><ul><li>EL FAMOSO "ERROR INFORMÁTICO"</li></ul>ENEMIGO 2: <br /><ul><li>FRAUDE CON ÁNIMO DE LUCRO </li></ul>(desde DENTRO o desde FUERA)<br />ENEMIGO 3: <br /><ul><li>FALTA DE RECURSOS EN MANTENIMIENTO TI</li></ul> Y DESCONOCIMIENTO LEGISLACIÓN TI.<br />
  15. 15. A esto se suma la complejidad del delito tecnológico<br />IMPUNIDAD + COMPLEJIDAD+INTERNET = CRIMENWARE<br /><ul><li> Fragilidad de la evidencia digital
  16. 16. Garantías previas de inmutabilidad
  17. 17. Desconocimiento de la legislación
  18. 18. Delitos internacionales
  19. 19. Evidencias físicas
  20. 20. Inmutabilidad de la prueba
  21. 21. Conocimientos de abogados</li></li></ul><li>" Éxitos conocidos " …<br />Casos ya aparecidos contra el INE, AEAT. <br />Robo masivo de datos bancarios.<br />
  22. 22. " Éxitos conocidos " …<br />Daño en imagen por errores de configuración.<br />
  23. 23. " Éxitos conocidos " …<br />En las últimas semanas, varios ataques de la delincuencia informática han alterado los sistemas informáticos que permiten a los países gestionar sus cuotas nacionales en relación a la emisión de gases de CO₂ de acuerdo a convenios internacionales (el Protocolo de Kioto y el sistema europeo). Se basa en la gestión de derechos y su adquisición permite poder emitir el equivalente de una tonelada de dióxido de carbono durante un período determinado.Utilizando estas credenciales, los delincuentes informáticos han podido durante meses comercializar estos derechos. Durante los últimos 18 meses, el fraude en el mercado de emisiones de CO ₂ ha causado una pérdida fiscal de 5 mil millones de euros. Dicho acceso también sería útil para los mayores emisores de dióxido de carbono, los países podían manipular los contingentes internacionales para reducir sus penas. El siguiente diagrama de Europol (EuropeanLawEnforcement Agency), explica cómo se diseño el fraude.<br />Fraude: 5.000 millones de euros.<br />http://www.europol.europa.eu/index.asp?page=news&news=pr091209.htm<br />http://news.bbc.co.uk/2/hi/technology/8497129.stm<br />
  24. 24. ¿Qué proteger? (Cara a la AA.PP.)<br />La e-Administración incrementa los requisitos de seguridad.<br />Disponibilidad: <br /><ul><li>Servicios online= Servicios 24 x 7 x 365.
  25. 25. Necesidad de garantizar continuidad de negocio.</li></ul>=<br />Confidencialidad: <br /><ul><li>Las AA.PP. son también bancos de datos.</li></ul>Integridad: <br /><ul><li>Veracidad de la información.
  26. 26. Evidencia digital de transacciones.</li></ul>=<br />Autenticación: <br /><ul><li>Demostrar la veracidad de la identidad de las partes(ciudadano y la propia Administración) para evitar suplantación</li></li></ul><li>¿Qué garantizar? (Cara al ciudadano)<br />Disponibilidad: <br /><ul><li>Acceso 24 x 7 x 365 a datos en trámitación o copias.
  27. 27. Conservación de documentos electrónicos tramitados (Conservación).</li></ul>Confidencialidad: <br /><ul><li>Protección de la intimidad (Privacidad).</li></ul>Integridad: <br /><ul><li>Que se garantice la corrección de la información aportada</li></ul> (Calidad de los datos).<br />Autenticación: <br /><ul><li>Tener garantías de la identificación correcta de la AA.PP. (Sede electrónica)
  28. 28. Funcionamiento de los medios para la comprobación de la veracidad de la identidad.</li></li></ul><li>Primeras reflexiones <br />La e-Administración tiene nuevas necesidades de seguridad en este nuevo mundo.<br />Las AA.PP. ya no se limitan a sedes físicas.<br />No atendemos sólo a nuestros ciudadanos.<br />No todos tienen buenas intenciones (crimenware).<br />Ciberespacio<br />Mundo real<br />
  29. 29. Agenda<br />Problemática de seguridad en la e-Administración<br />Medidas de seguridad del ENS<br />Sinergias de cumplimiento en materia de seguridad<br />
  30. 30. Pilares del R.D. 3/2010 ENS<br /> La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.<br />El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas. <br />MISIÓN DEL ENS: <br /><ul><li>GENERAR CONFIANZA EN EL USO DE LA TECNOLOGIA.</li></ul>OBJETIVOS:<br /><ul><li>GARANTIZAR EL FUNCIONAMIENTO NORMAL DE LOS SERVICIOS TELEMÁTICOS Y EL CONTROL DE LA INFORMACIÓN.
  31. 31. ESTABLECER UN MARCO COMÚN QUE HAN DE GUIAR LA ACTUACIÓN DE LAS ADMINISTRACIONES PÚBLICAS EN MATERIA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN.</li></li></ul><li>Pilares del R.D. 3/2010 ENS<br />En este contexto se entiende por seguridad de las redes y de la información, la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.<br />COMO CONSTRUIR CONFIANZA:<br /><ul><li>PROTEGIENDO LA DISPONIBILIDAD, AUTENTICIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DE LOS DATOS ALMACENADOS O TRANSMITIDOS Y DE LOS SERVICIOS PROPORCIONADOS.</li></li></ul><li>Estructura del R.D. 3/2010 ENS<br />ESTRATEGIA<br />TÁCTICA<br />OPERACIÓN<br />
  32. 32. Medidas de seguridad a desplegar<br />¿Quién lo hará?<br />Procesos de seguridad<br />Medidas concretas<br />
  33. 33. ¿Cuánta seguridad?<br />Artículo 27. Cumplimiento de requisitos mínimos.<br />1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta:<br /><ul><li>Los activos que constituyen el sistema.
  34. 34. La categoría del sistema, según lo previsto en el artículo 43.
  35. 35. Las decisiones que se adopten para gestionar los riesgos identificados.</li></li></ul><li>Niveles basados en 3 categorías<br />Artículo 43 ENS. Categorías de seguridad.<br />TRES NIVELES DE SEGURIDAD EN BASE AL IMPACTO :<br /><ul><li>BÁSICO
  36. 36. MEDIO
  37. 37. ALTO</li></ul>LAS MEDIDAS SE INCREMENTAN EN BASE AL PRINCIPIO DE PROPORCIONALIDAD.<br />
  38. 38. Valoración del impacto<br />Sede <br />elecrtónica<br />Tramites<br />administrativos<br />Pagos<br />Contabilidad<br />Dirección<br />RR.HH.<br />M<br />A<br />M<br />M<br />M<br />A<br />M<br />A<br />A<br />M<br />A<br />M<br />M<br />M<br />M<br />M<br />M<br />B<br />M<br />B<br />B<br />A<br />M<br />A<br />B<br />M<br />M<br />B<br />B<br />A<br />M<br />B<br />B<br />A<br />M<br />M<br />M<br />A<br />M<br />M<br />M<br />A<br />M<br />M<br />A<br />A<br />B<br />M<br />B<br />B<br />M<br />C<br />D1<br />I<br />
  39. 39. Elementos de la seguridad<br />Medidas de seguridad<br />Salvaguardas<br />Amenazas<br />Incendio<br /> Corte Eléctrico<br />Fallecimiento empleado<br />Virus<br />Fuga de datos<br />Impacto<br />Vulnerabilidades<br />=<br />x<br />Daños<br />Posibilidad<br />RIESGO<br />
  40. 40. =<br />x<br />Daños<br />Posibilidad<br />RIESGO<br />Vulnerabilidad<br />Impacto<br />RIESGO<br />Error de programación.<br />3<br />Compromiso <br />de información<br />ANALISIS DE <br />RIESGOS<br />1<br />=<br />Malware.<br />2<br />Avería o<br /> corte de suministro.<br />2<br />3<br />2<br />4<br />2<br />2<br />6<br />3<br />2<br />8<br />4<br />4<br />C<br />D1<br />1<br />3<br />5<br />3<br />4<br />3<br />1<br />2<br />3<br />2<br />4<br />3<br />3<br />9<br />5<br />3<br />4<br />3<br />2<br />4<br />6<br />4<br />8<br />6<br />I<br />2<br />Fuego<br />2<br />
  41. 41. REDUCIR<br /><ul><li> Poner alarma
  42. 42. Comprar puerta blindada</li></ul>ACEPTAR<br />EVITAR<br /><ul><li> No comprarla
  43. 43. No hacer nada</li></ul>TRANSFERIR<br /><ul><li> Contratar seguro</li></ul>Gestión del riesgo<br />
  44. 44. Estrategia de las medidas<br />RIESGO<br />Prevención<br />INCIDENTE<br />Detección<br />Represión<br />DAÑOS<br />Corrección<br />RECUPERACIÓN<br />Recuperación<br />
  45. 45. Agenda<br />Problemática de seguridad en la e-Administración<br />Medidas de seguridad del ENS<br />Sinergias de cumplimiento en materia de seguridad<br />
  46. 46. Necesidad de la normalización <br />“- ¿Puedo estar tranquilo?<br />La información que procesamos es crítica y necesita unas mínimas medidas de seguridad.” <br />“- No se preocupe.Nuestra empresa dispone de las medidas de seguridad necesarias para proteger su información”<br />
  47. 47. Marco internacional <br />ISO 27001: Especificación para la construcción de un SGSI.<br />Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIÓN.<br />ISO 27002: Buenas prácticas para la gestión de la seguridad.<br />Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos.<br />Define 11 bloques de control, 39 objetivos y 133 controles.<br />
  48. 48. Marco internacional <br />UNE-ISO/IEC 27001:2005<br />R.D. 3/2010 ESQUEMA NACIONAL DE SEGURIDAD<br />R.D. 1720/2007 RD LOPD<br />INFORMACIÓN<br />Información de servicios<br />e-Administración<br />Medida de<br /> seguridad<br />Datos de carácter personal<br />
  49. 49. Conexión ENS-RD1720-ISO 27001<br />Ejemplo de posibles relaciones y mapeos…<br />
  50. 50. UNE-ISO/IEC 27001:2007<br />R<br />P<br />M<br />R<br />P<br />A<br />D<br />D<br />ISO 27001:2005<br />SGSI ESPECIFICACIÓN ISO 27001<br />Procedimientos<br />SGSI<br />Documentos <br />SGSI<br />Auditorias<br />Registros<br />SGSI<br />CONTROLES ISO 27002<br />ISO 27002:2005<br />Procedimientos<br />seguridad<br />Procesos<br />Medidas<br />Registros<br />seguridad<br />ACTIVOS<br />
  51. 51. PLAN<br />DO<br />ACT<br />CHECK<br />Aplicación del ENS bajo modelo SGSI<br /><ul><li>Ejecutar el plan de gestión de riesgos
  52. 52. Implantar los controles</li></ul>- Definir la Política de Seguridad<br />- Establecer categorías<br />- Realizar el análisis de riesgos<br />- Seleccionar los controles<br />- Realizar auditorias del ENS<br />- Adoptar acciones correctivas<br />- Adoptar acciones preventivas<br />
  53. 53. Auditoría única dentro del SGSI<br />Con un sistema de gestión de la seguridad de la información, es viable la unificación del esfuerzo de auditoría para revisar, en una única vez, el cumplimiento de:<br />R.D. 1720/2007, RDLOPD.<br />R.D. 3/2010, ENS.<br />UNE-ISO/IEC 27001:2007<br />
  54. 54. Conclusiones<br />El ENS establece un conjunto suficiente de garantías si:<br />Se implanta ANTES de poner en marcha las sedes electrónicas.<br />Se audita su correcto funcionamiento por personal cualificado.<br />Se diferencia <br />
  55. 55. El enemigo no avisa.<br />¡ GRACIAS!.<br />Más información en: <br />http://seguridad-de-la-informacion.blogspot.com<br />

×