Proceso de adaptacin al ENS en la UPCT

Francisco J. Sampalo Lainz Universidad Politcnica de Cartagena Paco.sampalo@si.upct.es Adaptacin ENS en la UPCT
1

Programa

1. 2. 3. 4. 5.

Consideraciones previas. Cmo lo hemos abordado en la UPCT? Descripcin del proceso. Siguientes pasos. Conclusiones y opiniones

Adaptacin ENS en la UPCT

Consideraciones previas
El proceso deba ser de utilidad REAL; sera la forma de empezar a realizar una gestin GLOBAL de la seguridad. Deba ser sencillo y asumible (dentro de nuestras limitaciones). La Universidad no dispona de una poltica de seguridad debidamente aprobada. Se deba implicar a todas las secciones del Servicio de Informtica. La UP CT desea m anifestar la necesidad de una

infraestructura TI C que prim e y fom ente las operativas abiertas, enfocadas a la funcionalidad, conectividad y servicio al usuario, com o funciones prioritarias para la consecucin de los objetivos estratgicos e institucionales. (extrado de la Poltica de seguridad de la UPCT)

Adaptacin ENS en la UPCT

Cmo lo hemos abordado?

Adaptacin ENS en la UPCT

Personas implicadas

Vicerrectora de Nuevas Tecnologas.

Jefe del Servicio de Informtica. Jefes de las secciones del SI (4 en total). Un tcnico de Sistemas. Un consultor externo.

Adaptacin ENS en la UPCT

Plan de trabajo
1. Curso de formacin sobre ENS y Gestin de riesgos (Nov2010). Para todo el Servicio de Informtica. 2. Elaboracin y publicacin de la Poltica de seguridad (https://sede.upct.es/docs/ENS_PoliticaSeguridadUPCT.pdf) 3. Catalogacin y valoracin de los Sistemas de Informacin segn lo establecido en el ENS. 4. Anlisis de Riesgos. 5. Plan de mejora. 6. Informe final.

10 reuniones en total, comenzando el 1 de feb y finalizando el 12 de mayo.

Adaptacin ENS en la UPCT
6

Herramientas utilizadas

Esquema Nacional de Seguridad. Guas CCN-STIC: https://www.ccn-cert.cni.es MAGERIT. PILAR v 5.1.

Adaptacin ENS en la UPCT

Descripcin del proceso. Paso 1: Identificacin y valoracin de los sistemas de informacin

Adaptacin ENS en la UPCT

Valoracin de los servicios (criterios)

Los criterios seguidos para la inclusin de los servicios e informaciones en la adecuacin al ENS son los referidos por la Ley 11/2007: aquellos sistemas de informacin relacionados con el ejercicio de derechos y de deberes de acceso por medios electrnicos de los ciudadanos a la informacin y al procedimiento administrativo. Adems, se decidi incluir aquellos que tienen especial significacin para la universidad, bien sea por los daos reputacionales que se desprenderan de un incidente de seguridad en los mismos, bien por la creciente importancia que van adquiriendo. Las dimensiones de los servicios han sido valoradas por criterios desligados de la informacin. La confidencialidad del servicio ha sido valorada por su difusin y restricciones de acceso. La autenticidad del servicio ha sido valorada segn el impacto que causara el hecho de que un tercero suplantara el servicio legtimo. La integridad del servicio ha sido valorada como la posibilidad de que el funcionamiento o finalidad del servicio sea alterada. La disponibilidad del servicio ha sido valorada independientemente de la existencia de informacin en aquellos casos que ha sido posible.
Adaptacin ENS en la UPCT
9

Valoracin de los servicios (resultados)

Servicio ERP - Acadmico ERP - Econmico ERP - RRHH ERP - SiCARTA ERP - Registro Presencial ERP - Cursos Propios ERP - Gestin Ayudas Sociales ERP - Portal Web Institucional Docencia Virtual AE - Sede AE - Tabln Oficial AE - Portafirmas AE - Registro Telemtico + Tramitacin AE - Factura Electrnica Dumbo ALAs ERP - valos Confidencialidad Bajo Bajo Medio Bajo Medio Bajo Medio* Bajo Bajo Medio Medio Medio Medio Medio Bajo Bajo Bajo Bajo Bajo Bajo Medio Bajo Medio Bajo Medio Medio Medio Medio Medio Medio Medio Bajo Bajo Integridad Medio Medio Bajo Bajo Autenticidad Medio Medio Medio Medio Trazabilidad Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Bajo Medio Bajo Bajo Bajo Bajo Medio Medio Medio Medio Bajo Bajo Bajo Bajo Disponibilidad Bajo Bajo Bajo Bajo Bajo Bajo Nivel Global Medio Medio Medio Medio Medio Medio Medio* Medio Medio Medio Medio Medio Medio Medio Medio Medio Bajo Bajo Aplicabilidad ENS Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Ampliacin ENS Ampliacin ENS Aplica Aplica Aplica Aplica Aplica No aplica No aplica No aplica

Bajo Medio Bajo Bajo Bajo

Adaptacin ENS en la UPCT

10

Sistemas identificados

Sistema Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema ERP Institucional Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Publicacin Sistema AE - Subsistema Tramitacin Sistema AE - Subsistema Tramitacin Sistema Ampliacin ENS Sistema Ampliacin ENS

Servicio ERP Acadmico ERP Econmico ERP RRHH ERP SiCARTA ERP - Registro Presencial ERP - Cursos Propios ERP - Gestin Ayudas Sociales ERP Portal AE Sede AE - Tabln Oficial AE - Factura Electrnica AE Portafirmas AE - Registro Telemtico + Tramitacin Web Institucional Docencia Virtual

Aplicabilidad ENS Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Aplica Ampliacin ENS Ampliacin ENS

Adaptacin ENS en la UPCT

11

Catalogacin de sistemas

Sistema Sistema ERP Institucional Sistema AE Subsistema Publicacin Sistema AE Subsistema Tramitacin Sistema Ampliacin ENS

Confidencialidad Medio Bajo Medio Bajo

Integridad Medio Medio Medio Bajo

Autenticidad Trazabilidad Disponibilidad Medio Medio Medio Medio Bajo Bajo Medio Bajo Bajo Medio Bajo Medio

Nivel Global Medio Medio Medio Medio

Adaptacin ENS en la UPCT

12

Descripcin del proceso. Paso 2: Anlisis de riesgos

Adaptacin ENS en la UPCT

13

Anlisis de riesgos: en qu consiste?

Activos y su valoracin: Relacin de activos necesarios para la
prestacin de los servicios, con sus interrelaciones y su valoracin de las dimensiones de seguridad para las capas de informacin y servicios. Capas: informacin, servicios, aplicaciones, servicios IT, hosts, hardware, red, ubicaciones y personas.

Resumen de amenazas y valoracin de amenazas: Valoracin de

las amenazas, incluyendo frecuencia y degradacin de los activos afectados.

Resumen del tratamiento de los riesgos y salvaguardas:

Estrategia (plan) para el tratamiento de los riesgos y salvaguardas aplicadas.

Resumen de valores residuales de impacto y riesgo: Valores

Adaptacin ENS en la UPCT
14

cuantitativos de impacto y riesgo para los activos ms significativos.

Anlisis de riesgos: qu se obtiene?

Situacin actual: Valores del riesgo actual para cada una de las dimensiones de seguridad en cada uno de los sistemas. En nuestro caso, se detect baja madurez y baja homogeneidad en las salvaguardas existentes. Esto lleva a unos niveles de riesgo altos en las dimensiones dominantes de los sistemas. Estado actual de cumplimiento del ENS (segn checklist en PILAR). Se hace una prospectiva de las consecuencias de la aplicacin del ENS (segn el plan establecido de aplicacin de medidas) y se ve claramente la reduccin de riesgos que supone. Recomendaciones sobre medidas de proteccin especfica de las reas ms significativas de riesgo: polticas de autenticacin y contraseas, concienciacin, formacin, desarrollo, etc.

Adaptacin ENS en la UPCT

15

Anlisis de riesgos: Situacin actual

Cumplimiento ENS en la UPCT [org] Marco organizativo [op] Marco operacional [mp] Medidas de proteccin 28% 44% 42%

Adaptacin ENS en la UPCT

16

Descripcin del proceso. Paso 3: Plan de mejora

Adaptacin ENS en la UPCT

17

Plan de mejora
FASE 1 Diciembre 2011 Correccin de insuficiencias severas (por debajo del 15% de cumplimiento) Mejora general del marco organizativo Planificacin de medidas derivadas del anlisis de riesgos FASE 2 - Diciembre 2013 Correccin de insuficiencias moderadas (por debajo del 30% de cumplimiento) Madurez en las reas crticas de riesgo FASE 3: Desde enero de 2014 Madurez en las medidas exigibles por el ENS, alcanzando al menos un 50% en todas las medidas.
Adaptacin ENS en la UPCT
18

Siguientes pasos

Adaptacin ENS en la UPCT

19

Siguientes pasos
1. Se ha informado al Consejo de Direccin sobre el proceso realizado. 2. Se ha informado a los responsables de la informacin y de las reas funcionales sobre el proceso de valoracin de los sistemas. 3. Aprobacin por parte del CDU del informe y del Plan de Adecuacin y de la Normativa de Seguridad (Oct-2011) (https://sede.upct.es/docs/Plan_de_mejora_de_Seguridad_en_la_UPCT.pdf). 4. Se ha informado a todo el personal del SI. 5. Plan de mejora: establecimiento de medidas concretas (ver gua CCN-STIC 808). 6. Tareas de seguimiento.
Adaptacin ENS en la UPCT
20

Ejemplo 1 de medidas en el plan de mejora

Op.acc.6: Acceso local (local logon): Se considera acceso local al realizado desde los puestos de trabajo dentro de las propias instalaciones de la Universidad. Habr que considerar las siguientes acciones: 1. Prevenir la revelacin de informacin del sistema: Los dilogos de acceso (al puesto local dentro de la propia instalacin de la organizacin, al servidor, al dominio de red, etc.) no deben revelar informacin sobre el sistema al que se est accediendo. Por ejemplo, en el SSO de acceso a los servicios de la UPCT se puede poner el siguiente mensaje: El acceso a este sistema est restringido a

2. Limitar el nmero de intentos de acceso fallidos, despus de los cuales se bloquear la cuenta del usuario. Hacerlo de la forma ms amigable posible para el usuario. 3. Registrar los accesos, tanto los correctos como los fallidos. 4. Avisar al usuario de sus obligaciones inmediatamente despus de obtener el acceso. 5. El sistema debe informar al usuario del ltimo acceso con su identidad con xito. 6. No pondremos limitacin de horarios para acceso. 7. Definir e implementar (?) polticas para salvapantallas. Adaptacin ENS en la UPCT
21

personal autorizado, se le informa que su uso deber ceirse al autorizado en la poltica de seguridad y su acceso quedar registrado. En los errores de autenticacin el mensaje correcto ser Datos incorrectos.

Ejemplo 2 de medidas en el plan de mejora

Se nos pide disponer de una poltica o normativa para el desarrollo de aplicaciones, que cubra los siguientes aspectos: 1. Desarrollar aplicaciones sobre un sistema diferente y separado del de produccin. 2. Aplicar una metodologa de desarrollo reconocida. 3. Los mecanismos siguientes deben ser parte integral del diseo del sistema: de identificacin y autenticacin de proteccin de la informacin de pistas de auditora (trazabilidad). 4. Pruebas anteriores a la implantacin o modificacin de los sistemas de informacin. Esta normativa debemos acompaarla de herramientas de desarrollo concretas que permita a los desarrolladores el cumplimiento de las medidas expuestas. En nuestro caso, hemos adoptado el estndar ASVS (Estndar de verificacin de seguridad en aplicaciones) definido por OWASP, considerando sus niveles 1 (verificacin automtica) y 2 (verificacin manual) como suficientes para nuestras aplicaciones. Estos dos niveles, suponen la adopcin de un conjunto de buenas prcticas (definidas en una checklist) orientadas a: Escaneo dinmico de vulnerabilidades. Anlisis esttico del cdigo fuente. Test de penetracin en aplicacin. Revisin de cdigo para cumplimiento de requisitos de seguridad.

Mp.sw.1: Desarrollo de aplicaciones:

Adaptacin ENS en la UPCT

22

Conclusiones
Ha sido un proceso muy til y positivo. La implicacin de todo el personal es muy importante; p.ej. los desarrolladores han incluido la seguridad como un aspecto a considerar desde la fase de diseo y en todo el ciclo de vida. A veces un poco tedioso pero creo que su duracin y esfuerzo es asumible. Valoracin muy positiva de la empresa consultora: conocimientos, dedicacin y atencin muy particularizada. Adems, coste razonable. Saca a relucir carencias normativas y organizativas. Gestin de la seguridad: aplicacin homognea y razonada de las medidas y salvaguardas. Continuidad.
Adaptacin ENS en la UPCT
23