Ponencia de Javier Candau, jefe del Área de ciberseguridad del Centro Criptológico Nacional. "Línea 1: Capacidad de prevención, detección, respuesta y recuperación ante amenazas" y "Línea 2: Seguridad de los Sistemas de Información y Telecomunicaciones que soportan las Administraciones Públicas". II Jornada de Ciberseguridad de Andalucía.
1. II Jornada de Ciberseguridad en Andalucía
#cibersegAnd15
SEVILLA 2015
D. Javier Candau
“Seguridad de los Sistemas de Información y Telecomunicaciones
que soportan las Administraciones Públicas”
3. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
2
ÍNDICE1. Estrategia de Seguridad Nacional
2. Estrategia de Ciberseguridad Nacional
3. Línea de Acción 1
• Detección
• Intercambio
• Ejercicios
• Respuesta
4. Línea de Acción 2
• ENS
• CCN-CERT
• Servicios Comunes
• Mejores Prácticas
5. Papel del CNI-CCN
4. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
3
Líneas de Acción de la ESN / ECSN
1
Seguridad de los Sistemas de Información y
Telecomunicaciones que soportan las AAPP
2
Seguridad de los Sistemas de Información y
Telecomunicaciones que soportan las infraestructuras críticas
3
Capacidades de detección y persecución del
ciberterrorismo y de la ciberdelincuencia
4
Seguridad y resiliencia de las Tecnologías de la Información
y la Comunicación (TIC) en el sector privado
5
Conocimientos, competencias e I+D+i
6
Cultura de ciberseguridad
7
Compromiso internacional
8
Capacidad de prevención, detección, respuesta y
recuperación ante las ciberamenazas
6. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
5
Líneas de Acción
1
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan
las AAPP
2
Seguridad de los Sistemas de Información y Telecomunicaciones que soportan
las infraestructuras críticas
3
Capacidades de detección y persecución del ciberterrorismo y de la
ciberdelincuencia
4
Seguridad y resiliencia de las Tecnologías de la Información y la Comunicación
(TIC) en el sector privado
5
Conocimientos, competencias e I+D+i
6
Cultura de ciberseguridad
7
Compromiso internacional
8
Capacidad de prevención, detección, respuesta y recuperación ante las
ciberamenazas
7. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
6
Línea de Acción 1. DETECCIÓN e INTERCAMBIO3
DETECCIÓN
COOPERACIÓN E INTERCAMBIO
EJERCICIOS
RESPUESTA. CAPACIDADES DE DEFENSA E INTELIGENCIA
8. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
7
RED SARA [SAT- SARA]
• Servicio para la Intranet Administrativa
• Coordinado con MINHAP-SEAP
• 49/54 Organismos adscritos
SALIDAS DE INTERNET [SAT INET]
• Servicio por suscripción
• Basado en despliegue de sondas.
• 72 Organismos / 87 sondas
• Última incorporación: Gobierno de Cantabria.
Sistemas de Alerta Temprana (SAT)
57 58
60
63 64
66
72
Junio Agosto Septiembre Octubre Diciembre Febrero Abril
9. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
8
Sistemas de Alerta Temprana – Estadísticas3
7225
12916
7263
3998
1914
458
193
0 5000 10000 15000
Número de incidentes
2009
2010
2011
2012
2013
2014
221
1077
5686
231
11
Bajo Medio Alto Muy Alto Crítico
Enero-Junio
Recogida de
Información
Fraude
Intrusiones
Disponibilidad
Contenido
AbusivoCódigo Dañino
Seguridad de
la información
Otros
2015
10. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
9
• Basada en MISP (Malware Information Sharing Platform) (Bélgica)
• Automatizar el intercambio de información. Mayor rapidez en
detección de la amenaza
• Eliminar duplicidades en análisis de la información.
• Posibilidad re realizar búsquedas específicas
• Importar IOC,s / STIX-TAXII
• Exportar reglas SNORT / IOC / STIX-TAXII
• Integración con:
• Otros MISP ---- OTAN / EGC / Serv. Inteligencia….
• MARTA / MARIA
• SAT INTERNET / CARMEN
• LUCIA
• SIEM,s
REYES
11. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
10
• Cumplir los requisitos del ENS.
• Mejorar la coordinación entre CCN-CERT y los organismos
(Mejorar intercambio de incidentes)
• Lenguaje común de criticidad y clasificación del incidente
• Mantener la trazabilidad y seguimiento del incidente
• Automatizar tareas
• Federar Sistemas
• Permitir integrar otros sistemas
• REYES / MARTA / MARIA
Listado Unificado de Coordinación de
Incidentes y Amenazas
Basada en sistema de incidencias
Request Tracker (RT)
Incluye extensión para CERT Request
Tracker for Incident Response (RT-IR)
12. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
11
REYES (REpositorio común Y EStructurado de amenazas y código dañino)
Cert,s CCAA
AAPP
Empresas
Elaboración
CAPACIDADES
FORENSES
ING. INVERSA
Servicios
Inteligencia
SIGINT
13. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
12
CONCLUSIONES LA 1
• Plan Derivado Terminado.
• Necesidad de asignación de recursos humanos y económicos para
mejorar las capacidades de detección
• Responsabilidades fragmentadas.
• Impulsar el intercambio de información
• Capacidades de respuesta
15. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
14
Creación de la
figura del DTIC de
la AGE
-> RD 802/204
Nuevo modelo
de gobernanza TIC
-> RD 806/2014
Consolidación y
servicios comunes
-> RD 802/2014,
RD 806/2014
Reforma de las AA.PP.
17. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
16
1. Los Principios básicos, que sirven
de guía.
2. Los Requisitos mínimos, de
obligado cumplimiento.
3. La Categorización de los sistemas
para la adopción de medidas de
seguridad proporcionadas.
4. La auditoría de la seguridad que
verifique el cumplimiento del ENS.
5. La respuesta a incidentes de
seguridad. Papel de CCN- CERT.
6. El uso de productos certificados. A
considerar al adquirir los productos
de seguridad. Papel del Organismo
de Certificación (CCN).
7. La formación y concienciación.
6
15
75
ESQUEMA NACIONAL DE SEGURIDAD
18. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
17
INFORME ARTICULO 35. ESTADO DE SEGURIDAD DE LAS AAPP
Artículo 35. Informe del estado de la seguridad.
El Comité Sectorial de AdministraciónElectrónica articulará los procedimientosnecesarios
para conocer regularmenteel estado de las principalesvariablesde la seguridad en los
sistemas de información a los que se refiere el presente real decreto, de forma que permita
elaborar un perfil general del estado de la seguridad en las Administracionespúblicas.
Nueva versión Febrero 2014
Véase: “815 Métricas e indicadores”
disponibleen https://www.ccn-cert.cni.es
19. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
18
MARCO LEGAL
• Ley 11/2002 reguladora del Centro Nacional de
Inteligencia,
• Real Decreto 421/2004, 12 de Marzo, que regula y
define el ámbito y funciones del CCN.
Real Decreto 3/2010, 8 de Enero, que define el
Esquema Nacional de Seguridad para la
Administración Electrónica.
Establece al CCN-CERT como CERT Gubernamental/Nacional
MISIÓN
Contribuir a la mejora de la ciberseguridad española, siendo el
centro de alerta y respuesta nacional que coopere y ayude a
responder de forma rápida y eficiente a las Administraciones
Públicas y a las empresas estratégicas, y afrontar de forma
activa las nuevas ciberamenazas.
COMUNIDAD
Responsabilidad en ciberataques sobre sistemas clasificados y
sobre sistemas de la Administración y de empresas de interés
estratégicos.
HISTORIA
• 2006 Constitución enel seno del CCN
• 2007 Reconocimiento internacional
• 2008 Sist.Alerta Temprana SAT SARA
• 2009 EGC (CERT GubernamentalesEuropeos)
• 2010 ENS y SAT Internet
• 2011 Acuerdoscon CCAA
• 2012 CARMEN Y Reglas
• 2013 Relacióncon empresas/CCAA
• 2014 LUCÍA/ MARTA
• 2015 SAT INTERNET Ayto / Diputaciones /
Universidades
20. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
19
Seguridad gestionada:
Oportunidad para mejorar la seguridad del
conjunto y reducir el esfuerzo individual de
las entidades.
Racionalidad económica:
Consolidación, frente al coste de n
acciones individuales.
Medidas del ENS susceptibles de
prestación centralizada
Seguridad gestionada
21. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
20
Guías y herramientas
Guías CCN-STIC SERIE 800 publicadas en https://www.ccn-cert.cni.es :
800 - Glosario de Términos y Abreviaturas del ENS
801 - Responsables y Funciones en el ENS
802 - Auditoría de la seguridad en el ENS
803 - Valoración de sistemas en el ENS
804 - Medidas de implantación del ENS
805 - Política de Seguridad de la Información
806 - Plan de Adecuación del ENS
807 - Criptología de empleo en el ENS
808 - Verificación del cumplimiento de las medidas en el ENS
809 - Declaración de Conformidad del ENS
810 - Creación de un CERT / CSIRT
811 - Interconexión en el ENS
812 - Seguridad en Entornos y Aplicaciones Web
813 - Componentes certificados en el ENS
814 - Seguridad en correo electrónico
815 - Métricas e Indicadores en el ENS
816 - Seguridad en redes inalámbricas
817 - Criterios comunes para la Gestión de Incidentes de Seguridad
818 - Herramientas de Seguridad en el ENS
821 - Ejemplos de Normas de Seguridad
822 - Procedimientos de Seguridad en el ENS
823 – Cloud Computing en el ENS
824 - Informe del Estado de Seguridad
825 – ENS & 27001
827 - Gestión y uso de dispositivos móviles
850A Seguridad en Windows 7 en el ENS (cliente en dominio)
850B Seguridad en Windows 7 en el ENS (cliente independiente)
851A - Implementación del ENS en Windows Server 2008 R (controlador de dominio y servidor miembro)
851B - Implementación del ENS en Windows Server 2008 R2 (servidor Independiente)
859 Recolección y consolidación de eventos con Windows Server 2008 R2 en el ENS
869 AppLocker en el ENS
870A Seguridad en Windows 2012 Server R2 en el ENS (controlador de dominio)
870B Seguridad en Windows 2012 Server R2 en el ENS (servidor independiente)
MAGERIT v3 – Metodología de análisis y gestión de riesgos de los sistemas de información
Programas de apoyo:
Pilar , µPILAR, INÉS, CLARA, LUCÍA, CARMEN, …
34 GUÍAS
PREVISTAS PARA
2015
23. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
22
CONCLUSIONES LA 2
• Plan Derivado Terminado.
• Impulsar el ENS y valorar su cumplimiento. Valoración mediante la
auditoría correspondiente.
• Necesidad de asignación de recursos humanos y económicos para
mejorar las capacidades y proporcionar servicios comunes
• Responsabilidades claras
• Mejores prácticas de uso en todas las AAPP.
• Vigilancia sistemas clasificados pendiente de recursos PLAN
24. JORNADAS CIBERSEGURIDAD.ANDALUCIA SIN CLASIFICAR
www.ccn-cert.cni.es15/06/2015
23
¿ QUE PAPEL JUEGA EL CNI - CCN ?
• Mejor conocimiento de la AMENAZA.
• Capacidad técnica y experiencia en seguridad en redes.
• Más de 25 años.
• Capacidades de detección (Intercambio de información)
• Capacidad de Defensa de redes (CCN-CERT).
• Capacidad de CONTRAINTELIGENCIA
5