Ciberseguridad (12): Defensa ante ciberataques masivos La mejor defensa: El Esquema Nacional de Seguridad. Estado de situación
1. Ciberseguridad (12):
Defensa ante ciberataques masivos
La mejor defensa: El Esquema Nacional de
Seguridad. Estado de situación
13 de julio de 2017
Miguel A. Amutio Gómez
Secretaría General de Administración Digital
Ministerio de Hacienda y Función Pública
2. El Esquema Nacional de Seguridad
Estado de situación, ¿dónde estamos?
(Foco en la gestión de incidentes)
Instrucciones técnicas de seguridad
Conformidad con el ENS
4. 7 elementos
principales
1. Los Principios básicos, que
sirven de guía.
2. Los Requisitos mínimos, de
obligado cumplimiento.
3. La Categorización de los
sistemas para la adopción de
medidas de seguridad
proporcionadas.
4. La auditoría de la seguridad
que verifique el cumplimiento del ENS.
5. La respuesta a incidentes
de seguridad. Papel de CCN-
CERT.
6. El uso de productos
certificados. Papel del Organismo
de Certificación (OC-CCN).
7. La formación y
concienciación.
5.
6. Actualización del ENS (RD 951/2015)
Protección frente a incidentes
Se refuerza la gestión de incidentes (art. 24).
Se introducen la figura de las instrucciones técnicas de seguridad
para señalar el modo común de actuar (art. 29) en ciertas cuestiones.
Se mejoran los mecanismos para obtener un conocimiento regular del
estado de la seguridad en las AA.PP. (art. 35).
Se introduce la notificación de incidentes de seguridad (art. 36).
Se precisan los elementos necesarios para la investigación de
incidentes de seguridad (art. 37).
Se mejoran ciertas medidas:
[op.exp.7] Gestión de incidentes
[op.exp.8] Registro de actividad de los usuarios
[op.exp.9] Registro de la gestión de incidentes
[op.mon.2] Sistema de métricas
[mp.s.2] Protección de servicios y aplicaciones web
7. Evaluar el estado de la seguridad
También, la medición de la seguridad:
4.6.2 Sistema de métricas [op.mon.2]
La herramienta ‘INES’ facilita la
recogida y consolidación de
información para el Informe del
Estado de la Seguridad (RD 3/2010, art.
35 y línea de acción 2 de Estrategia de
Ciberseguridad Nacional).
13. INES 2017 – Resultados generales
El índice de madurez global (verdadera medida de la implantación de la seguridad) es
BAJO y no alcanza ni el 52%.
El índice de cumplimiento global del Esquema Nacional de Seguridad (ENS) en el
sector público, que debería ser del 100% es BAJO-MEDIO, situándose en el 64%.
14. Los organismos con sistemas de categoría básica
presentan menores índices de madurez.
Los organismos con sistemas de categoría Alta,
pese a ser los que mayores índices de madurez
ofrecen, son los más alejados de los niveles de
índice de cumplimiento exigido.
La certificación del cumplimiento del ENS sigue
siendo el aspecto que menores niveles de
cumplimiento ofrece, seguido del análisis de
riesgos.
La gestión de incidentes de seguridad es uno de
los aspectos que peores resultados ofrece.
Se recomienda emplear mayores recursos para:
La organización de la seguridad.
El análisis de riesgos.
La concienciación y formación.
La continuidad de la operación de los sistemas.
INES 2017 – Resultados generales
Principales conclusiones
Fuente: NASA
15. INES 2017 – Resultados generales
La gestión de incidentes de seguridad es uno de los
aspectos que peores resultados ofrece, puesto que en general
no se registran incidentes de seguridad, pese a que por otras
vías se constata que sí se producen.
Los organismos empiezan a ser conscientes de la importancia
que tiene registrar los incidentes y desarrollar mayores
esfuerzos en la resolución de aquellos que afectan tanto a la
disponibilidad como de manera general a la seguridad.
Fuente: Guía CCN-STIC 817
16.
17.
18. Las medidas de interconexión de mayor cumplimiento son las de protección
perimetral, Redes privadas virtuales (VPN4) y herramientas de protección anti
código dañino, -> demuestra la preocupación generalizada por los riesgos perimetrales
y la aplicación de las tecnologías de seguridad más tradicionales.
Existe un segundo bloque de tecnologías de uso moderado asociado al análisis
de vulnerabilidades, análisis de registros (logs), sistemas de prevención/detección de
intrusiones (IDS/IPS5) y Monitorización de tráfico, y otro bloque de tecnologías de
uso residual asociado al escaneo de configuración, verificación de funciones de
seguridad y sobre todo Prevención de fuga de datos (DLP6), cuyo uso es anecdótico.
19. Se recoge información sobre algunas métricas de la eficacia y eficiencia en la
resolución de los incidentes que ha sufrido el Organismo.
Por primera vez se dispone de informes de incidentes proporcionados por la
herramienta LUCIA para organismos que se han acogido a este servicio.
Hasta que los organismos no incorporen el despliegue de la herramienta LUCÍA de
gestión de ciberincidentes los resultados globales obtenidos pueden no ser
representativos de la situación.
20. Promover conformidad con el ENS, fomentando la certificación de acuerdo con la
ITS de conformidad con el ENS.
Promover que los datos se sustenten en auditoría para sistemas de categorías
media y alta, necesaria para la certificación de conformidad y de autoevaluación para
sistemas de categoría BÁSICA, para la declaración de conformidad.
Impulsar la aprobación de las (ITS) que armonicen el modo común de actuar,
especialmente las ITS de auditorías de seguridad y notificación de incidentes.
Desarrollar soluciones horizontales para:
Promover el uso de plataformas comunes que mejoren la capacidad de
detección de los incidentes de seguridad.
Facilitar actividades de concienciación y de formación en ciberseguridad
del personal encargado de la seguridad de los sistemas.
Emplear recursos en:
Mecanismos asociados a la gestión y mantenimiento del proceso de
seguridad y a la monitorización del mismo.
Desplegar soluciones que faciliten el uso de mecanismos de autenticación
fuerte y mejora en la continuidad de los servicios.
INES 2017 – Resultados generales
Recomendaciones
23. INSTRUCCIÓN TÉCNICA DE SEGURIDAD
DE AUDITORÍA DE LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACIÓN
Índice
I. Objeto.
II. Ámbito de aplicación.
III. Propósito de la Auditoría de la
Seguridad, obligatoriedad y normativa
reguladora.
IV. Definición del alcance y objetivo de la
Auditoría de la Seguridad.
V. Ejecución de la Auditoría de la
Seguridad.
VI. El Informe de Auditoría.
VII. Entidades Auditoras del Sector
Público.
VIII. Disposición adicional. Datos
personales
(Sometido a cambios)
Próximamente…
24. INSTRUCCIÓN TÉCNICA DE SEGURIDAD SOBRE
NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD.
I. Objeto.
II. Ámbito de aplicación.
III. Criterios de determinación del nivel de impacto.
IV. Notificación obligatoria de los incidentes con
nivel de impacto Alto, Muy alto y Crítico.
V. Evidencias a entregar en el caso de incidentes
nivel Alto, Muy alto y Crítico.
VI. Obligación de remisión de estadísticas de
incidentes.
VII. Notificación de impactos recibidos.
VIII. Desarrollo de herramientas automatizadas para
facilitar las notificaciones.
IX. Régimen legal de las notificaciones y
comunicación de información.
X. Disposición Adicional.
(Sometidos a cambios)
Próximamente…
25. ITS Notificación de incidentes de
seguridad
Uso de la Guía CCN-STIC 817 para clasificar el
incidente.
Notificación obligatoria de los incidentes que
tenga un impacto significativo: niveles ALTO, MUY
ALTO CRÍTICO.
Se recopilarán evidencias que serán
documentadas y custodiadas.
CCN podrá recabar estas evidencias.
Se notificarán impactos al CCN.
Se remitirán al CCN anualmente estadísticas de
incidentes.
Uso de LUCÍA para automatizar los mecanismos
de notificación, comunicación e intercambio de
información de incidentes.
Incidentes que afecten a datos de carácter
personal -> notificación a la autoridad de control,
según artículo 33 del RGPD.
Fuente: Guía CCN-STIC 817
28. Solicitud como entidad de certificación de producto, proceso o servicio, según
norma UNE EN ISO/IEC 17065.
Solicitud: http://www.enac.es/web/enac/descarga-de-solicitudes
Requisitos para entidades de
certificación
29. El RD 3/2010, ITS, Guías CCN-STIC (Serie 800), seguimiento,
herramientas, servicios…
Pero sobre todo:
Esfuerzo colectivo del Sector Público, coordinado por
MINHAFP-SGAD y CCNI-CN.
+ Industria sector seguridad TIC.
Convencimiento común: gestión continuada de la
seguridad, con un tratamiento homogéneo y adaptado al
quehacer del Sector Público.
Esfuerzo colectivo