Professional Documents
Culture Documents
Francisco J. Sampalo Lainz Universidad Politcnica de Cartagena Paco.sampalo@si.upct.es Adaptacin ENS en la UPCT
1
Programa
1. 2. 3. 4. 5.
Consideraciones previas. Cmo lo hemos abordado en la UPCT? Descripcin del proceso. Siguientes pasos. Conclusiones y opiniones
Consideraciones previas
El proceso deba ser de utilidad REAL; sera la forma de empezar a realizar una gestin GLOBAL de la seguridad. Deba ser sencillo y asumible (dentro de nuestras limitaciones). La Universidad no dispona de una poltica de seguridad debidamente aprobada. Se deba implicar a todas las secciones del Servicio de Informtica. La UP CT desea m anifestar la necesidad de una
infraestructura TI C que prim e y fom ente las operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario, com o funciones prioritarias para la consecucin de los objetivos estratgicos e institucionales. (extrado de la Poltica de seguridad de la UPCT)
Personas implicadas
Jefe del Servicio de Informtica. Jefes de las secciones del SI (4 en total). Un tcnico de Sistemas. Un consultor externo.
Plan de trabajo
1. Curso de formacin sobre ENS y Gestin de riesgos (Nov2010). Para todo el Servicio de Informtica. 2. Elaboracin y publicacin de la Poltica de seguridad (https://sede.upct.es/docs/ENS_PoliticaSeguridadUPCT.pdf) 3. Catalogacin y valoracin de los Sistemas de Informacin segn lo establecido en el ENS. 4. Anlisis de Riesgos. 5. Plan de mejora. 6. Informe final.
Herramientas utilizadas
10
Sistemas identificados
Sistema Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Tramitacin Sistema AE - Subsistema Tramitacin Sistema Ampliacin ENS Sistema Ampliacin ENS
Servicio ERP Acadmico ERP Econmico ERP RRHH ERP SiCARTA ERP - Registro Presencial ERP - Cursos Propios ERP - Gestin Ayudas Sociales ERP Portal AE Sede AE - Tabln Oficial AE - Factura Electrnica AE Portafirmas AE - Registro Telemtico + Tramitacin Web Institucional Docencia Virtual
Aplicabilidad ENS Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Ampliacin ENS Ampliacin ENS
11
Catalogacin de sistemas
Sistema Sistema ERP Institucional Sistema AE Subsistema Publicacin Sistema AE Subsistema Tramitacin Sistema Ampliacin ENS
Autenticidad Trazabilidad Disponibilidad Medio Medio Medio Medio Bajo Bajo Medio Bajo Bajo Medio Bajo Medio
12
13
15
Cumplimiento ENS en la UPCT [org] Marco organizativo [op] Marco operacional [mp] Medidas de proteccin 28% 44% 42%
16
17
Plan de mejora
FASE 1 Diciembre 2011 Correccin de insuficiencias severas (por debajo del 15% de cumplimiento) Mejora general del marco organizativo Planificacin de medidas derivadas del anlisis de riesgos FASE 2 - Diciembre 2013 Correccin de insuficiencias moderadas (por debajo del 30% de cumplimiento) Madurez en las reas crticas de riesgo FASE 3: Desde enero de 2014 Madurez en las medidas exigibles por el ENS, alcanzando al menos un 50% en todas las medidas.
Adaptacin ENS en la UPCT
18
Siguientes pasos
19
Siguientes pasos
1. Se ha informado al Consejo de Direccin sobre el proceso realizado. 2. Se ha informado a los responsables de la informacin y de las reas funcionales sobre el proceso de valoracin de los sistemas. 3. Aprobacin por parte del CDU del informe y del Plan de Adecuacin y de la Normativa de Seguridad (Oct-2011) (https://sede.upct.es/docs/Plan_de_mejora_de_Seguridad_en_la_UPCT.pdf). 4. Se ha informado a todo el personal del SI. 5. Plan de mejora: establecimiento de medidas concretas (ver gua CCN-STIC 808). 6. Tareas de seguimiento.
Adaptacin ENS en la UPCT
20
2. Limitar el nmero de intentos de acceso fallidos, despus de los cuales se bloquear la cuenta del usuario. Hacerlo de la forma ms amigable posible para el usuario. 3. Registrar los accesos, tanto los correctos como los fallidos. 4. Avisar al usuario de sus obligaciones inmediatamente despus de obtener el acceso. 5. El sistema debe informar al usuario del ltimo acceso con su identidad con xito. 6. No pondremos limitacin de horarios para acceso. 7. Definir e implementar (?) polticas para salvapantallas. Adaptacin ENS en la UPCT
21
personal autorizado, se le informa que su uso deber ceirse al autorizado en la poltica de seguridad y su acceso quedar registrado. En los errores de autenticacin el mensaje correcto ser Datos incorrectos.
22
Conclusiones
Ha sido un proceso muy til y positivo. La implicacin de todo el personal es muy importante; p.ej. los desarrolladores han incluido la seguridad como un aspecto a considerar desde la fase de diseo y en todo el ciclo de vida. A veces un poco tedioso pero creo que su duracin y esfuerzo es asumible. Valoracin muy positiva de la empresa consultora: conocimientos, dedicacin y atencin muy particularizada. Adems, coste razonable. Saca a relucir carencias normativas y organizativas. Gestin de la seguridad: aplicacin homognea y razonada de las medidas y salvaguardas. Continuidad.
Adaptacin ENS en la UPCT
23