Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad de la Información

665 views

Published on

Introducción al Esquema Nacional de Seguridad (ENS) dentro de las jorndas de formación para funcionarios de nuevo ingreso en el Instituto de Administraciones Públicas del Gobierno de Aragón.

Published in: Education
  • Be the first to comment

Seguridad de la Información

  1. 1. Seguridad de la Informaci´on Formaci´on de Funcionarios de Nuevo Ingreso Fernando Tricas Garc´ıa ftricas@unizar.es Dpto. de Inform´atica e Ingenier´ıa de Sistemas de la Escuela de Ingenier´ıa y Arquitectura de la Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ @fernand0 28 de septiembre de 2016 Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 1
  2. 2. Esquema Nacional de Seguridad Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ´ambito de la Administraci´on Electr´onica. ... cuyo objeto es el establecimiento de los principios y requisitos de una pol´ıtica de seguridad en la utilizaci´on de medios electr´onicos que permita la adecuada protecci´on de la informaci´on. La finalidad del Esquema Nacional de Seguridad es la creaci´on de las condiciones necesarias de confianza en el uso de los medios electr´onicos, a trav´es de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electr´onicos, que permita a los ciudadanos y a las Administraciones p´ublicas, el ejercicio de derechos y el cumplimiento de deberes a trav´es de estos medios. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 2
  3. 3. Esquema Nacional de Seguridad Sigue... Actualmente los sistemas de informaci´on de las administraciones p´ublicas est´an fuertemente imbricados entre s´ı y con sistemas de informaci´on del sector privado: empresas y administrados. Sigue... En este contexto se entiende por seguridad de las redes y de la informaci´on, la capacidad de las redes o de los sistemas de informaci´on de resistir, con un determinado nivel de confianza, ... Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 3
  4. 4. Esquema Nacional de Seguridad Sigue... Actualmente los sistemas de informaci´on de las administraciones p´ublicas est´an fuertemente imbricados entre s´ı y con sistemas de informaci´on del sector privado: empresas y administrados. Sigue... En este contexto se entiende por seguridad de las redes y de la informaci´on, la capacidad de las redes o de los sistemas de informaci´on de resistir, con un determinado nivel de confianza, ... Numerolog´ıa 50 p´aginas, diez cap´ıtulos, cuatro disposiciones adicionales, una disposici´on transitoria, una disposici´on derogatoria y tres disposiciones finales. Cinco anexos. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 3
  5. 5. Esquema Nacional de Seguridad Contexto Recomendaciones de la Uni´on Europea (Decisi´on 2001/844/CE CECA, Euratom de la Comisi´on, de 29 de noviembre de 2001, por la que se modifica su Reglamento interno y Decisi´on 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo), Situaci´on tecnol´ogica de las AAPP Utilizaci´on de est´andares abiertos Est´andares de uso generalizado por los ciudadanos Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 4
  6. 6. Esquema Nacional de Seguridad Contexto Normativa nacional sobre Administraci´on electr´onica protecci´on de datos de car´acter personal firma electr´onica y documento nacional de identidad electr´onico Centro Criptol´ogico Nacional sociedad de la informaci´on reutilizaci´on de la informaci´on en el sector p´ublico y ´organos colegiados responsables de la Administraci´on Electr´onica regulaci´on de diferentes instrumentos y servicios de la Administraci´on las directrices y gu´ıas de la OCDE disposiciones nacionales e internacionales sobre normalizaci´on Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 5
  7. 7. Esquema Nacional de Seguridad Contexto Ley 11/2007, de 22 de junio, de acceso electr´onico de los ciudadanos a los Servicios P´ublico Ley Org´anica 15/1999, de 13 de diciembre, de Protecci´on de Datos de Car´acter Personal Ley 30/1992, de 26 de noviembre, de R´egimen Jur´ıdico de las Administraciones P´ublicas y del Procedimiento Administrativo Com´un Ley 37/2007, de 16 de noviembre, sobre reutilizaci´on de la informaci´on del sector p´ublico Otros documentos y normas Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 6
  8. 8. Mirando alrededor Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 7
  9. 9. PCI DSS Payment Card Industry Data Security Standard VISA 15 de diciembre de 2004 ‘Payment Card Industry. Data Security Standard’ Versi´on 1.0 (PCI 1.0 Master Card Internacional. Enero 2005) PCI DSS 3.1, abril de 2015. PCI DSS 1.1, (septiembre de 2006), PCI DSS 1.2, (1 de octubre de 2008) PCI DSS 2.0, 28 de octubre de 2010. PCI DSS 3.0, noviembre de 2013. https://www.pcisecuritystandards.org/ https://www.pcisecuritystandards.org/popups/pcirocks.php http://www.youtube.com/watch?v=xpfCr4By71U https://www.pcisecuritystandards.org/security_standards/ documents.php Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 8
  10. 10. PCI DSS Payment Card Industry Data Security Standard VISA 15 de diciembre de 2004 ‘Payment Card Industry. Data Security Standard’ Versi´on 1.0 (PCI 1.0 Master Card Internacional. Enero 2005) PCI DSS 3.1, abril de 2015. PCI DSS 1.1, (septiembre de 2006), PCI DSS 1.2, (1 de octubre de 2008) PCI DSS 2.0, 28 de octubre de 2010. PCI DSS 3.0, noviembre de 2013. https://www.pcisecuritystandards.org/ https://www.pcisecuritystandards.org/popups/pcirocks.php http://www.youtube.com/watch?v=xpfCr4By71U https://www.pcisecuritystandards.org/security_standards/ documents.php Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 8
  11. 11. PCI: ´ındice Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 9
  12. 12. Motivaci´on Promover la gesti´on continuada de la seguridad Prevenci´on, detecci´on y correcci´on Tratamiento homog´eneo de la seguridad. Lenguaje y elementos comunes Guiar actuaci´on AAPP Favorecer interacci´on y cooperaci´on Facilitar la comunicaci´on de requisitos a la industria Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 10
  13. 13. Motivaci´on Es la ley Buenas pr´acticas Responsabilidad (y no) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 11
  14. 14. (Des)Motivaci´on Burocracia Com´un normalmente no es suficientemente bueno http://dilbert.com/strip/2008-09-03 Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 12
  15. 15. Cumplimiento obligado para... Administraci´on General del Estado Administraciones de las Comunidades Aut´onomas Administraciones Locales Entidades de derecho p´ublico vinculadas o dependientes del conjunto de la administraci´on espa˜nola (Las Universidades, Autoridades Portuarias y aeroportuarias, entidades p´ublicas tipo Institutos de Desarrollo Econ´omico, Servicios de Salud, etc.) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 13
  16. 16. Aplicaci´on 12 meses a partir de la publicaci´on Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicaci´on de lo exigido en el mismo, se dispondr´a de un plan de adecuaci´on que marque los plazos de ejecuci´on los cuales, en ning´un caso, ser´an superiores a 48 meses desde la entrada en vigor. 8 de enero de 2014 Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 14
  17. 17. Disposici´on adicional primera. Formaci´on El personal de las Administraciones p´ublicas recibir´a, de acuerdo con lo previsto en la disposici´on adicional segunda de la Ley 11/2007, de 22 de junio, la formaci´on necesaria para garantizar el conocimiento del presente Esquema Nacional de Seguridad, a cuyo fin los ´organos responsables dispondr´an lo necesario para que la formaci´on sea una realidad efectiva. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 15
  18. 18. Esquema Nacional de Seguridad En este real decreto se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 16
  19. 19. ENS Cap´ıtulo I. Disposiciones Generales Cap´ıtulo II. Principios b´asicos Cap´ıtulo III. Requisitos m´ınimos Cap´ıtulo IV. Comunicaciones electr´onicas Cap´ıtulo V. Auditor´ıa de la seguridad Cap´ıtulo VI. Estado de seguridad de los sistemas Cap´ıtulo VII. Respuesta a incidentes de seguridad Cap´ıtulo VIII. Normas de conformidad Cap´ıtulo IX. Actualizaci´on Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 17
  20. 20. Cap´ıtulo II. Principios b´asicos Seguridad integral. Gesti´on de riesgos. Prevenci´on, reacci´on y recuperaci´on. L´ıneas de defensa. Reevaluaci´on peri´odica. Funci´on diferenciada. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 18
  21. 21. Cap´ıtulo III Organizaci´on e implantaci´on del proceso de seguridad. An´alisis y gesti´on de los riesgos. Gesti´on de personal. Profesionalidad. Autorizaci´on y control de los accesos. Protecci´on de las instalaciones. Adquisici´on de productos. Seguridad por defecto. Integridad y actualizaci´on del sistema. Protecci´on de la informaci´on almacenada y en tr´ansito. Prevenci´on ante otros sistemas de informaci´on interconectados. Registro de actividad. Incidentes de seguridad. Continuidad de la actividad. Mejora continua del proceso de seguridad. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 19
  22. 22. Cap´ıtulo IV. Comunicaciones electr´onicas Notificaciones AUTENTICIDAD (Origen – Destino) INTEGRIDAD CONSTANCIA (Fecha – Hora – Puesta a disposici´on – Acceso) Firma electr´onica Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 20
  23. 23. Cap´ıtulo V. Auditor´ıa Cada dos a˜nos ‘... profundizar´a en los detalles del sistema hasta el nivel que considere que proporciona evidencia suficiente y relevante ...’ ‘... se utilizar´an los criterios, m´etodos de trabajo y de conducta generalmente reconocidos ...’ Grado de cumplimiento Presentado al responsable del sistema y de seguridad Art. 7. ‘En el caso de los sistemas de categor´ıa ALTA, visto el dictamen de auditor´ıa, el responsable del sistema podr´a acordar la retirada de operaci´on de alguna informaci´on, de alg´un servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacci´on de las modificaciones prescritas.’ Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 21
  24. 24. ENS Cap´ıtulo I. Disposiciones Generales Cap´ıtulo II. Principios b´asicos Cap´ıtulo III. Requisitos m´ınimos Cap´ıtulo IV. Comunicaciones electr´onicas Cap´ıtulo V. Auditor´ıa de la seguridad Cap´ıtulo VI. Estado de seguridad de los sistemas Cap´ıtulo VII. Respuesta a incidentes de seguridad Cap´ıtulo VIII. Normas de conformidad Cap´ıtulo IX. Actualizaci´on Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 22
  25. 25. CAP´ITULO VII Respuesta a incidentes de seguridad El Centro Criptol´ogico Nacional (CCN) articular´a la respuesta Prestar´a los servicios: Soporte y coordinaci´on Investigaci´on y divulgaci´on Formaci´on personal especialista Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 23
  26. 26. ENS Cap´ıtulo I. Disposiciones Generales Cap´ıtulo II. Principios b´asicos Cap´ıtulo III. Requisitos m´ınimos Cap´ıtulo IV. Comunicaciones electr´onicas Cap´ıtulo V. Auditor´ıa de la seguridad Cap´ıtulo VI. Estado de seguridad de los sistemas Cap´ıtulo VII. Respuesta a incidentes de seguridad Cap´ıtulo VIII. Normas de conformidad Cap´ıtulo IX. Actualizaci´on Cap´ıtulo X. Categorizaci´on de los sistemas de informaci´on Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 24
  27. 27. CAP´ITULO X. Categorizaci´on de los sistemas de informaci´on Equilibrio entre importancia de la informaci´on, servicios y esfuerzo de seguridad requerido Impacto que tendr´ıa un incidente Impacto valor de los activos + criticidad de las vulnerabilidades Riesgos (‘risks’): probabilidad × impacto Repercusi´on en la capacidad de la organizaci´on para el logro de sus objetivos Valoraciones ... Responsable de cada informaci´on o servicio Categor´ıa ... Responsable del sistema Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 25
  28. 28. Anexo I. Categor´ıas de los sistemas Fundamentos: Alcanzar sus objetivos. Proteger los activos a su cargo. Cumplir sus obligaciones diarias de servicio. Respetar la legalidad vigente. Respetar los derechos de las personas. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 26
  29. 29. Anexo I. Categor´ıas de los sistemas Dimensiones: Disponibilidad [D] Autenticidad [A] Integridad [I] Confidencialidad [C] Trazabilidad [T] Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 27
  30. 30. Anexo I. Niveles BAJO ‘... supongan un perjuicio limitado sobre las funciones de la organizaci´on, sobre sus activos o sobre los individuos afectados.’ Palabras clave: apreciable, subsanable, reparable MEDIO ‘... supongan un perjuicio grave sobre las funciones de la organizaci´on, sobre sus activos o sobre los individuos afectados.’ Palabras clave: significativa, no subsanable, de dif´ıcil reparaci´on ALTO ‘... supongan un perjuicio muy grave sobre las funciones de la organizaci´on, sobre sus activos o sobre los individuos afectados’ Palabras clave: anulaci´on de capacidad, irreparable, incumplimiento grave Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 28
  31. 31. Anexo I. Determinaci´on 1. Identificaci´on de nivel para cada informaci´on y servicio 2. Determinaci´on de categor´ıa del sistema Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 29
  32. 32. Anexo I. Determinaci´on 1. Identificaci´on de nivel para cada informaci´on y servicio 2. Determinaci´on de categor´ıa del sistema Categor´ıas BAJA MEDIA ALTA Si algunas de sus dimensiones alcanza el nivel ... y ninguna alcanza un nivel superior. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 29
  33. 33. Anexo II. Medidas de seguridad Medidas proporcionales a: Las dimensiones de seguridad relevantes en el sistema a proteger. La categor´ıa del sistema de informaci´on a proteger. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 30
  34. 34. Anexo II. Medidas de seguridad Medidas proporcionales a: Las dimensiones de seguridad relevantes en el sistema a proteger. La categor´ıa del sistema de informaci´on a proteger. Divididas en tres grupos: Tres grupos: Marco organizativo [org] Marco operacional [op] Medidas de protecci´on [mp] Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 30
  35. 35. Anexo II. Selecci´on de Medidas de Seguridad Identificaci´on de los tipos de activos presentes. Determinaci´on de las dimensiones de seguridad relevantes, teniendo en cuenta lo establecido en el anexo I. Determinaci´on del nivel correspondiente a cada dimensi´on de seguridad, teniendo en cuenta lo establecido en el anexo I. Determinaci´on de la categor´ıa del sistema, seg´un lo establecido en el Anexo I. Selecci´on de las medidas de seguridad apropiadas de entre las contenidas en este Anexo, de acuerdo con las dimensiones de seguridad y sus niveles, y, para determinadas medidas de seguridad, de acuerdo con la categor´ıa del sistema. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 31
  36. 36. Anexo II. Selecci´on de medidas de seguridad [D]isponibilidad – [A]utenticidad – [I]ntegridad [C]onfidencialidad – [T]razabilidad Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 32
  37. 37. Anexo II. Selecci´on de medidas de seguridad Mecanismo de autenticaci´on [op.acc.5] Los mecanismos de autenticaci´on frente al sistema se adecuar´an al nivel del sistema atendiendo a las consideraciones que siguen, pudiendo usarse los siguientes factores de autenticaci´on: “algo que se sabe” “algo que se tiene” “algo que se es” (Sigue...) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 33
  38. 38. Pol´ıtica de seguridad Mecanismo de autenticaci´on [op.acc.5] Sigue... Los factores anteriores podr´an utilizarse de manera aislada o combinarse para generar mecanismos de autenticaci´on fuerte. Las gu´ıas CCN-STIC desarrollar´an los mecanismos concretos adecuados para cada nivel. Las instancias del factor o los factores de autenticaci´on que se utilicen en el sistema, se denominar´an credenciales. Antes de proporcionar las credenciales de autenticaci´on a los usuarios, estos deber´an haberse identificado y registrado de manera fidedigna ante el sistema o ante un proveedor de identidad electr´onica reconocido por la Administraci´on. Se contemplan varias posibilidades de registro de los usuarios: Mediante la presentaci´on f´ısica del usuario y verificaci´on de su identidad acorde a la legalidad vigente, ante un funcionario habilitado para ello. De forma telem´atica, mediante DNI electr´onico o un certificado electr´onico cualificado. De forma telem´atica, utilizando otros sistemas admitidos legalmente para la identificaci´on de los ciudadanos de los contemplados en la normativa de aplicaci´on. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 34
  39. 39. Pol´ıtica de seguridad Mecanismo de autenticaci´on [op.acc.5]. Nivel BAJO Como principio general, se admitir´a el uso de cualquier mecanismo de autenticaci´on sustentado en un solo factor. En el caso de utilizarse como factor “algo que se sabe” se aplicar´an reglas b´asicas de calidad de la misma. Se atender´a a la seguridad de las credenciales de forma que: 1. Las credenciales se activar´an una vez est´en bajo el control efectivo del usuario. 2. Las credenciales estar´an bajo el control exclusivo del usuario. 3. El usuario reconocer´a que las ha recibido y que conoce y acepta las obligaciones que implica su tenencia, en particular, el deber de custodia diligente, protecci´on de su confidencialidad e informaci´on inmediata en caso de p´erdida. 4. Las credenciales se cambiar´an con una periodicidad marcada por la pol´ıtica de la organizaci´on, atendiendo a la categor´ıa del sistema al que se accede. 5. Las credenciales se retirar´an y ser´an deshabilitadas cuando la entidad (persona, equipo o proceso) que autentican termina su relaci´on con el sistema.Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 35
  40. 40. Pol´ıtica de seguridad Mecanismo de autenticaci´on [op.acc.5]. Nivel MEDIO Se exigir´a el uso de al menos dos factores de autenticaci´on. En el caso de utilizaci´on de “algo que se sabe” como factor de autenticaci´on, se establecer´an exigencias rigurosas de calidad y renovaci´on. Las credenciales utilizadas deber´an haber sido obtenidas tras un registro previo: 1. Presencial. 2. Telem´atico usando certificado electr´onico cualificado. 3. Telem´atico mediante una autenticaci´on con una credencial electr´onica obtenida tras un registro previo presencial o telem´atico usando certificado electr´onico cualificado en dispositivo cualificado de creaci´on de firma. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 36
  41. 41. Pol´ıtica de seguridad Mecanismo de autenticaci´on [op.acc.5]. Nivel ALTO Las credenciales se suspender´an tras un periodo definido de no utilizaci´on. En el caso del uso de utilizaci´on de “algo que se tiene”, se requerir´a el uso de elementos criptogr´aficos hardware usando algoritmos y par´ametros acreditados por el Centro Criptol´ogico Nacional. Las credenciales utilizadas deber´an haber sido obtenidas tras un registro previo presencial o telem´atico usando certificado electr´onico cualificado en dispositivo cualificado de creaci´on de firma.)) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 37
  42. 42. Pol´ıtica de seguridad Desarrollo de aplicaciones [mp.sw.1] El desarrollo de aplicaciones se realizar´a sobre un sistema diferente y separado del de producci´on, no debiendo existir herramientas o datos de desarrollo en el entorno de producci´on. Se aplicar´a una metodolog´ıa de desarrollo reconocida que: 1. Tome en consideraci´on los aspectos de seguridad a lo largo de todo el ciclo de vida. 2. Trate espec´ıficamente los datos usados en pruebas. 3. Permita la inspecci´on del c´odigo fuente. Los siguientes elementos ser´an parte integral del dise˜no del sistema: 1. Los mecanismos de identificaci´on y autenticaci´on. 2. Los mecanismos de protecci´on de la informaci´on tratada. 3. La generaci´on y tratamiento de pistas de auditor´ıa. Las pruebas anteriores a la implantaci´on o modificaci´on de los sistemas de informaci´on no se realizar´an con datos reales, salvo que se asegure el nivel de seguridad correspondiente.Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 38
  43. 43. Casi todo... “4.3.3 Gesti´on de la configuraci´on [op.exp.3].” “4.3.7 Gesti´on de incidentes [op.exp.7].” “4.3.8 Registro de la actividad de los usuarios [op.exp.8].” “4.3.9 Registro de la gesti´on de incidentes [op.exp.9].” “4.3.11 Protecci´on de claves criptogr´aficas [op.exp.11].” “5.2.3 Concienciaci´on [mp.per.3].” Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 39
  44. 44. Pol´ıtica de seguridad Los objetivos o misi´on de la organizaci´on. El marco legal y regulatorio en el que se desarrollar´an las actividades. Los roles o funciones de seguridad, definiendo para cada uno, los deberes y responsabilidades del cargo, as´ı como el procedimiento para su designaci´on y renovaci´on. La estructura del comit´e o los comit´es para la gesti´on y coordinaci´on de la seguridad, detallando su ´ambito de responsabilidad, los miembros y la relaci´on con otros elementos de la organizaci´on. Las directrices para la estructuraci´on de la documentaci´on de seguridad del sistema, su gesti´on y acceso Coherente con el Documento de Seguridad (LOPD y su desarrollo) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 40
  45. 45. Normativa de seguridad El uso correcto de equipos, servicios e instalaciones. Lo que se considerar´a uso indebido. La responsabilidad del personal con respecto al cumplimiento o violaci´on de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con la legislaci´on vigente. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 41
  46. 46. Ejemplo. Procedimientos de seguridad C´omo llevar a cabo las tareas habituales. Qui´en debe hacer cada tarea. C´omo identificar y reportar comportamientos an´omalos. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 42
  47. 47. Ejemplo. Proceso de autorizaci´on Utilizaci´on de instalaciones, habituales y alternativas. Entrada de equipos en producci´on, en particular, equipos que involucren criptograf´ıa. Entrada de aplicaciones en producci´on. Establecimiento de enlaces de comunicaciones con otros sistemas. Utilizaci´on de medios de comunicaci´on, habituales y alternativos. Utilizaci´on de soportes de informaci´on. Utilizaci´on de equipos m´oviles. Se entender´a por equipos m´oviles ordenadores port´atiles, PDA, u otros de naturaleza an´aloga. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 43
  48. 48. Requisitos Sistemas de informaci´on de categor´ıa B´ASICA Realizar Autoevaluaci´on Elaborar el documento de autoevaluaci´on Exhibir una Declaraci´on de Conformidad (Voluntaria) Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 44
  49. 49. Requisitos Sistemas de informaci´on de categor´ıa MEDIA y ALTA Realizar Auditoria formal Elaborar el documento de auditor´ıa Exhibir una Declaraci´on de Conformidad Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 45
  50. 50. Requisitos. Operadores privados Mismos procedimientos que para la Administraci´on Las entidades de la Administraci´on usuarias podr´an solicitar los Informes de Autoevaluaci´on o Auditor´ıa correspondientes. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 46
  51. 51. ENS 2.0 . .. dada la r´apida evoluci´on de las tecnolog´ıas de aplicaci´on y la experiencia derivada de la implantaci´on del Esquema Nacional de Seguridad aconsejan la actualizaci´on de esta norma ... 2015 Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 47
  52. 52. Cambios Gesti´on continuada Profesionales cualificados Procedimientos frente a incidentes Obligatoriedad de notificaci´on de incidentes Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 48
  53. 53. Cambios Disposici´on adicional cuarta. Instrucciones t´ecnicas. Informe del estado de la seguridad (INES). Notificaci´on de incidentes de seguridad. Auditor´ıa de la seguridad. Conformidad con el Esquema Nacional de Seguridad. Adquisici´on de productos de seguridad. Criptolog´ıa de empleo en el Esquema Nacional de Seguridad. Interconexi´on en el Esquema Nacional de Seguridad. Requisitos de seguridad en entornos externalizados. Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 49
  54. 54. Gu´ıas y herramientas Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 50
  55. 55. Esquema Nacional de Seguridad ENS Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 51
  56. 56. Enlaces BOE ENS https://www.boe.es/diario_boe/txt.php?id=BOE-A-2010-1330 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-11881 http: //administracionelectronica.gob.es/pae_Home/pae_Estrategias/ pae_Seguridad_Inicio/pae_Esquema_Nacional_de_Seguridad.html http: //www.slideshare.net/MiguelAmutio/la-conformidad-con-el-ens http://es.slideshare.net/agestico/ens-encincopreguntas http: //centrodnie.aragon.es/sites/default/files/PonenciaENS.pdf http://centrodnie.aragon.es/sites/default/files/ PonenciaPasosHaciaElCumplimientoDelENS.pdf Seguridad de la Informaci´on. Fernando Tricas Garc´ıa. Formaci´on de Funcionarios de Nuevo Ingreso. DGA. 52

×