1. Educación

ENS ¿Cómo coordinar y gestionar un
plan de adecuación?
p
Mecanismos de apoyo a la adecuación al ENS
10 12 10
10-12-10
Introducción
Necesidades
Solución
Índice de contenidos
Introducción al escenario actual: Similitudes y diferencias en la gestión
Necesidades existentes: Cumplimiento normativo y mejores prácticas
S l ió que propone IIngenia:
Solución
i C
Cumplimiento
li i t d
dell ENS
ENS, SGSI,
SGSI LOPD,
LOPD ITIL mediante
di t e-PULPO
PULPO
2
Introducción
Necesidades
Solución
Introducción al escenario actual: Similitudes y diferencias en la gestión
Necesidades existentes: Cumplimiento normativo y mejores prácticas
S l ió que propone IIngenia:
Solución
i C
Cumplimiento
li i t d
dell ENS
ENS, SGSI,
SGSI LOPD,
LOPD ITIL mediante
di t e-PULPO
PULPO
3
Introducción
Necesidades
Solución
Introducción
•
Con el paso del tiempo, los sistemas de información:
–
–
Han pasado de tener un uso esporádico a ser imprescindibles
Han pasado de ser un entorno descontrolado a estar legislados y certificados
•
C f
Conforme
vamos tteniendo
i d necesidades,
id d
vamos poniendo
i d soluciones
l i
•
El problema aparece cuando aplicamos una solución específica para cada necesidad,
sin mirar el bosque
•
Miremos el bosque
4
Introducción
Necesidades
Solución
Si ilit d entre
Similitudes
t estándares,
tá d
normas y lleyes
Mód l
Módulo
ENS
LOPD
SGSI
ITIL
Activos
Ejercicio de derechos
o deberes o acceso de
los ciudadanos por
medios
di electrónicos
l
ó i
Ficheros con datos de
carácter personal
Activos con valor
(desde sistemas hasta
servicios)
Sistemas (HW y SW)
y servicios de TI
Documentación
Política, Normativa,
Procedimientos
Documento de
Seguridad
Política, Normativa,
Procedimientos
Procedimientos
Incidencias
Incidencias de
seguridad
Restauración backup,
p,
etc.
Incidencias de
seguridad
Incidencias de
sistemas, solicitudes
Formación
Formación de
personal involucrado
Aceptación de
responsables
Difusión SGSI
Difusión
procedimientos
Indicadores
Sistema de métricas
Métricas e indicadores
SLA
Auditoría
Bienal (categoría
media y alta)
Anual
(ISO 27001)
Anual
(ISO 20000)
Bienal (nivel medio y
alto)
5
Introducción
Necesidades
Solución
Dif
Diferencias
i entre
t estándares,
tá d
normas y lleyes
Módulo
ENS
LOPD
SGSI
Alcance
Medios electrónicos utilizados por los
ciudadanos con los Servicios Públicos
Ficheros con DCP
Cualquier servicio apoyado en
medios electrónicos
Controles
· Según la categoría del sistema
· Según declaración de aplicabilidad
Según el nivel de los DCP
Según declaración de aplicabilidad
Auditoría
· Interna
· Bienal (categoría media y alta)
· Interna
· Bienal (nivel medio y alto)
· Interna y Externa
· Anual
6
Introducción
Necesidades
Solución
I t
Interrelación
l ió
Información
Servicios
C
D
I
T A
DRP
LOPD
ENS
SGSI
SGTI
7
Introducción
Necesidades
Solución
Introducción al escenario actual: Similitudes y diferencias en la gestión
Necesidades existentes: Cumplimiento normativo y mejores prácticas
S l ió que propone IIngenia:
Solución
i C
Cumplimiento
li i t d
dell ENS
ENS, SGSI,
SGSI LOPD,
LOPD ITIL mediante
di t e-PULPO
PULPO
8
Introducción
Necesidades
Solución
¿PILAR cubre nuestras necesidades del ENS?
PLAN (PLANIFICACIÓN)



Análisis de Riesgos sobre el
inventario de activos de Sistemas de
Información para saber el estado
actual de la seguridad.
Definición de objetivos de seguridad.
Una vez conocidos los riesgos de
definen los objetivos de mejora.
Selección de controles que apliquen
para minimizar estos riesgos.
Pl de
Plan
d acción:
ió planificación
l ifi ió de
d los
l
mecanismos para bajar los riesgos



Catálogo de Indicadores
Documentación base del SGSI
Formación y concienciación

Implantación del SGSI: ejecución
del plan definido en la fase de
PLANIFICACIÓN.

E l
Explotación
ió del
d l SGSI:
SGSI operación
ió del
d l
sistema implantado
ACT (MANTENIMIENTO Y MEJORA)


Identificación acciones según
indicadores
Mejorar de manera continua la
eficacia del SGSI :
 Implementación de
mejoras identificadas
 Acciones correctivas:
elimina
li i causas de
d las
l no
conformidades
 Acciones preventivas:
elimina las causas de las no
conformidades potenciales
CHECK (MONITORIZACIÓN Y
EVALUACIÓN)

Verificación de la conveniencia y
eficacia del SGSI en la organización
 Indicadores de rendimiento


Realización de auditorias de SGSI
Revisión del Análisis de Riesgos
Seguuridad de la informaciónn gestionada
Requerimientos y eexpectativas relativas a la seguridad de
la información

DO (IMPLEMENTACIÓN Y
OPERACIÓN)
Modelo PDCA aplicado a los procesos del SGSI (ENS)
Requisitos del ENS cubiertos por PILAR
9
Introducción
Necesidades
Solución
Algunas de las exigencias del ENS
•
•
•
•
•
•
•
•
•
•
•
[org.4] Hay que solicitar autorización previa para casi todo
[op exp 1] Inventario actualizado
[op.exp.1]
[op.exp.4] c) Tener en cuenta el cambio de riesgo al actualizar para priorizar
[op.exp.5] d) Si el cambio genera un riesgo alto, debe ser aprobado
[op mon 2] c) Disponer de indicador que mida el impacto de incidentes de seguridad
[op.mon.2]
[mp.per.3] Concienciar regularmente al personal
[mp.si.4] c) Cotejar las salidas con las entradas de soportes transportados
[mp sw 2] a) Un nuevo servicio no deteriora la seguridad del resto
[mp.sw.2]
[op.cont.1] Si cambia el sistema, hay que actualizar el análisis de impacto
[op.cont.2] Si cambian los sistemas, hay que actualizar el Plan de continuidad
etc
etc.
10
Introducción
Necesidades
Solución
¿N
N problemas
bl
= N soluciones?
l i
?
•
¿Qué hacemos en esta situación?
– Poner parches (aplicaciones inconexas)
– Adquirir una solución global propietaria (herramienta de pago)
– Reinventar la rueda (desarrollar una nueva aplicación que lo englobe todo)
•
En Ingenia consideramos que lo idóneo es:
Datos del Sistema de Información
CUMPLIMIENTO
11
Introducción
Necesidades
Solución
Introducción al escenario actual: Similitudes y diferencias en la gestión
Necesidades existentes: Cumplimiento normativo y mejores prácticas
S l ió que propone IIngenia:
Solución
i C
Cumplimiento
li i t d
dell ENS
ENS, SGSI,
SGSI LOPD,
LOPD ITIL mediante
di t e-PULPO
PULPO
12
Introducción
Necesidades
Solución
N
Nuestra
t solución
l ió
•
La propuesta de Ingenia es:
– Aprovechar lo ya existente
– Integrar las herramientas open-source líderes existentes
– Utilizar licencias de desarrollo open-source
•
Seguimos la misma filosofía que:
– La Junta de Andalucía
– El Ministerio de Administraciones Públicas (a través
del Comité Sectorial de Administración Electrónica,
que además analizará el grado de adecuación al ENS
según el art. 35)
•
¿Cómo?
e-PULPO
Plataforma de Unificación Lógica
de los Procesos Organizativos
13
Introducción
Necesidades
Solución
¿Qué es e-PULPO?
e PULPO?
•
Una integración de herramientas de software libre y
desarrollos de Ingenia
g
p
para dar cobertura a la
gestión de:
o LOPD
o ENS
o SGSI (ISO 27001)
o ITIL (ISO 20000)
•
Nuestra solución, a modo de puzzle, aprovecha lo
mejor de las mejores herramientas open-source
Hemos desarrollado los conectores necesarios
entre las aplicaciones
En aquellos casos en los que no existía software
libre para cubrir las necesidades
necesidades, lo hemos
desarrollado
•
•
14
Introducción
Necesidades
Solución
B
Beneficios
fi i d
de este
t modelo
d l
•
Lo mejor del software libre más extendido:
–
–
–
–
–
–
•
Reduce costes
Reduce el tiempo de desarrollo
Reduce la curva de aprendizaje
Evita la discontinuidad del producto
Evita la dependencia de un único proveedor
Las mejoras que desarrolla uno las disfrutan todos
Con nuestra visión del software libre:
– Aprovechamos las evoluciones de cada aplicación
– No modificamos el código base, desarrollamos plugins
– Nuestros desarrollos son a modo de conector, para permitir
la conexión con otros elementos (NAOS, etc.)
15
Introducción
Necesidades
Solución
F
Funcionalidades
i
lid d d
de e-PULPO
PULPO
•
Una imagen vale más que mil palabras
16
Introducción
Necesidades
Solución
SSO a e-PULPO
PULPO
17
Introducción
Necesidades
Solución
M úd
Menú
de usuario
i ((con ttodos
d llos permisos)
i
)
18
Introducción
Necesidades
Solución
I
Inventario
t i de
d sistemas
i t
19
Introducción
Necesidades
Solución
IInventario
t i de
d di
dispositivos
iti
d
de red
d (SNMP) y
representación de la arquitectura
20
Introducción
Necesidades
Solución
I
Inventario
t i de
d activos
ti
genéricos
éi
21
Introducción
Necesidades
Solución
I
Inventario
t i de
d fi
ficheros
h
LOPD
22
Introducción
Necesidades
Solución
G tió d
Gestión
de ti
tickets
k t
23
Introducción
Necesidades
Solución
G tió d
Gestión
de proveedores
d
y contratos
t t
24
Introducción
Necesidades
Solución
G tió d
Gestión
de vulnerabilidades
l
bilid d
25
Introducción
Necesidades
Solución
A áli i d
Análisis
de riesgos
i
iintegrado
t
d con PILAR
26
Introducción
Necesidades
Solución
G tió d
Gestión
de planes
l
d
de acción
ió
27
Introducción
Necesidades
Solución
G tió d
Gestión
documental
t l
28
Introducción
Necesidades
Solución
A b ió y dif
Aprobación
difusión
ió d
de d
documentos
t
29
Introducción
Necesidades
Solución
G tió d
Gestión
de d
derechos
h ARCO (LOPD)
30
Introducción
Necesidades
Solución
T l f
Teleformación
ió
31
Introducción
Necesidades
Solución
G
Generación
ió d
de iinformes
f
32
Introducción
Necesidades
Solución
G
Generación
ió d
de iinformes
f
(D
(Documento
t LOPD)
33
Introducción
Necesidades
Solución
C d d
Cuadro
de mandos
d
34
Introducción
Necesidades
Solución
Integración con OSSIM
CAPA DE
CONVERGENCIA
INY
YECTOR
CON
NECTOR
R
OSSIM
O
SISTEMA
DE
ENTRADA
DE DATOS
35
Introducción
Necesidades
Solución
I t
Integración
ió con Inteligencia
I t li
i A
Artificial
tifi i l
PLANIFICACIÓN PARA
DISMINUCIÓN DEL
RIESGO
e-PULPO
Análisis
de riesgos
PILAR
PLANIFICACIÓN PARA
RECUPERACIÓN FRENTE
A INCIDENCIAS
36
Referencias en proyectos de seguridad (I)
37
Referencias en proyectos de seguridad (II)
38
39
Siempre a tu disposición en:
SEDE MÁLAGA
Á
C/Severo Ochoa, 43
Parque Tecnológico de Andalucía
T.: (34) 952 02 93 00
e-mail:
e
mail: [email protected]
SEDE SEVILLA
C/ Isaac Newton nº4, 4ª planta NO
Isla de la Cartuja. Centro de Empresas Pabellón de Italia
T : (34) 954 46 04 48
T.:
e-mail: [email protected]
Andrés Méndez
[email protected]
SEDE MADRID
Avda. Felipe II, 15
T.: (34) 914 32 23 27
e-mail: [email protected]
SEDE BARCELONA
C/ Marqués
q
de Sentmenat,, 54-4º-2ª
T.: (34) 933 63 56 70
e-mail: [email protected]
CENTRO DE TRABAJO RONDA
C/Francisco Piquer
Piquer, nº16
n 16, local C
T.: (34) 952 16 13 82
E-mail: [email protected]
www.ingenia.es
40