EXPERIENCIA DE LA SECRETARIA DE ESTADO

DE SEGURIDAD DEL MIR

Francisco Alonso Batuecas

SEGURIDAD TIC Responsable de Seguridad de la SES
 GABINETE Ministro O.C.R.I.

SECRETARIA DE ESTADO DE
GABINETE SUBSECRETARIA DEL INTERIOR
SEGURIDAD

D.G. SECRETARIA
D.G. RELACIONES D.G. DE APOYO A
GENERAL DE SECRETARIA D.G. DE POLÍTICA D.G. DE P. CIVIL Y
D.G. POLICIA GUARDIA INSTITUCIONES
INTERNACIONALES
GENERAL TÉCNICA INTERIOR
D.G. DE TRÁFICO
EMERGENCIAS
VICTIMAS
CIVIL Y EXTRANJERÍA TERRORISMO
PENITENCIARIAS

S.G.G.
GABINETE SG.RR.HH E
ECONÓMICA Y
TÉCNICO INSPECCIÓN
PATRIMONIAL

GABINETE INSPECCIÓN
S.G.S.I.C.S. COORDINACIÓN Y PERSONAL Y SERV. C.I.T.C.O. S.G.P.G.I.M.S. OFICINA
OFICIALÍA MAYOR
ESTUDIOS. SEGURIDAD PRESUPUESTARIA

SG. TECNOLOGÍAS
ABOGACÍA INTERVENCIÓN
INFORM Y
ESTADO DELEGADA
COMUNICACIONES

2
 SEGURIDAD DE LA INFORMACIÓN

• Seguridad de la información ≠ Seguridad informática.

• Los proyectos desarrollados en la SES necesitan

diferentes niveles de protección para salvaguardar
cada una de las dimensiones de la seguridad
– Confidencialidad
– Integridad
– Disponibilidad

• Con la seguridad de la información se pretende

evitar:
– Fallos en las comunicaciones
– Fallos en el suministro eléctrico
– Fallos humanos
– Fallos en los sistemas de información
– Malware
– Accesos no autorizados
– Incumplimiento de una Ley o Reglamento

3
 Año 2008
Antecedentes
• La gran mayoría de proyectos desarrollados en la SGSICS de la SES tenían
carencias importantes en implantación de medidas de seguridad de la
información
– Parcheo de deficiencias con medidas puntuales, descoordinadas y poco proporcionadas al
riesgo que reducían
– Las soluciones no se implantaban ni controlaban de forma planificada
– Se mantenían altos niveles de riesgo

• La dirección fijó como requisitos indispensables para la seguridad:

– Disminuir el riesgo existente
– Implantación de medidas de seguridad críticas a corto plazo
– Desarrollo de un plan de acción para incorporar la seguridad como requisito en los
procesos de negocio de la SGSICS.

• En el año 2008 dio inicio el diseño, implantación y desarrollo de un SGSI

con el que se pretendía
– Obtener una cultura de seguridad de la información
– Disminuir el nivel de riesgo a asumir por la dirección
– Aumentar el valor y rentabilidad de los proyectos
SGSI

Reforzar niveles de seguridad

Beneficios SGSI

Identificar y disminuir el nivel de riesgo

Establecer politicas y procedimientos formales de operación.

Garantizar el cumplimiento de la legislación vigente

Desarrollo de un sistema de indicadores

Detección temprana de posibles situaciones irregulares.

Favorece la cooperación y colaboración policial.

 Año 2009
SGSI

• PRIMEROS OBJETIVOS

– Elaboración y desarrollo de
una política de seguridad

– Creación de una
infraestructura de seguridad

– Bastionado y securización de
los sistemas
SGSI
• PRIMERA FASE

– Proyecto de consultoría
– Evaluación de la situación
– Diseño de soluciones óptimas

– Análisis de riesgos de los proyectos afectados

– Valoración de activos
– Análisis de vulnerabilidades y amenazas
– Test de intrusión
– Identificación y valoración de riesgos
– Estrategia de gestión de riesgos
– Plan de acción
SGSI

• SEGUNDA FASE 2009

• Se procede a implantar el SGSI, con una
visión global que afecte de forma
horizontal a toda la plataforma de la
SGSICS
– Aplicación e implantación de
– Controles
– Soluciones
De la ISO 27000
SGSI

• ANÁLISIS DE GESTIÓN
DE RIESGOS

– Activos definidos en el
alcance establecido en la
Política de Seguridad
– Valoración de los activos
contemplados
SGSI

• RESULTADO NO ACEPTABLE

– El mapa de riesgo real no

cumplía las expectativas
SGSI

• DEFINICIÓN DE OBJETIVO

– Se marca un objetivo a
alcanzar
SGSI

• NIVEL ACEPTADO POR LA

DIRECCIÓN

– Ningún servicio debe quedar

expuesto a un nivel de
riesgo superior a 4,9
SGSI Controles afectados
Actuación AC_0001
5.1.1.  Documento de Política
Nivel Actual
Descripción de Actuación AC_0003
Objetivo Documentación Responsables
Controles afectados 6.1.1.  Comité de gestión de la seguridad de la información.
Implantación
Elaboración del documento relativo a la Nivel Actual
Descripción
política de seguridad de la SGSICS. de N3 – La política de seguridad se encuentra
Objetivo Documentación Responsables
Actuación AC_0005
• PLAN DE TRATAMIENTO
definida, escrita, publicada y accesible para el Política de Seguridad de la
Publicación Controles
y publicidad de la misma N0
Implantación
afectados 6.1.3.  Asignación de responsabilidades relativas a la seguridad de la información.
personal de la Subdirección dentro del alcance Información.
para Sistemas
de que se encuentre
de accesible aly
Información del SGSI.
Nivel Actual
DE RIESGOS
personal de la Subdirección.
Comunicaciones para la Seguridad toma
un papel activoDescripción
en relación a la seguridad de N3 – La direcciónObjetivo
ha firmado la política de Documentación Responsables
de la información a través de la firma de Implantación seguridad, la ha dado a conocer y ha establecido Actas y Política de Seguridad
la políticaundedocumento
seguridad enasíel como el
N0 Actuación AC_0007
los objetivos generales y estructuras organizativas firmadas.
Elaborar que se
recojan
Controles
establecimiento
todos los
afectados
de aspectos
los diferentes órganos
relacionados
6.1.5.  Acuerdos de confidencialidad.
de la SGSICS en materia de seguridad.
en losmateria de seguridad de la Nivel Actual
– Implantación y mejora de
con roles, tareas y responsabilidades
información.
de los diferentesDescripción
representantes de la de Objetivo Documentación Responsables
SGSICS en el marco del SGSI Actuación AC_0013 Normativa de Organización de la
Controles de Seguridad desarrollado.
Elaborar
Controles
y firmar
afectados
acuerdos de
Implantación N3 – Estableciendo de forma clara y concisa el
7.1.3.  Uso aceptable de
procedimiento delos activos.
comunicación de las
Seguridad de la Información.
Normativa de Buenas
Organización de la
Además deberá apoyarse
confidencialidad con las en la entidades
firma por NivelN0
Actual responsabilidades
Actuaciónde AC_0018
seguridad para todo los Normativa de Prácticas.
empleados dentro del alcance (internos y Seguridad de la Información.
parte de los
externas que empleados
trabajen
Descripción
Controles endel alcance,
áreas
afectadosdentro tanto
del 8.2.1.  Responsabilidad
de deObjetivo
la dirección. Documentación
Normativa de Buenas Prácticas Responsables
internos del
alcance comoSGSI.externos, de la Normativa N2 – Se establecen cláusulas tipo de
externos) Normativa de Buenas Prácticas
NivelN0
Actual
Implantación para Terceros.
de Buenas Prácticas de la Subdirección Actuación
confidencialidad en losAC_0022
contratos con terceros. para Terceros  Recogerá los
Se establecerá un procedimiento en el N3 – La Subdirección cuenta con una Normativa
paraelabora
Se unDescripción
el conocimiento
Controles
documento de las
en laelcláusulas
afectados que de se de
8.3.3.  Retirada de derechosObjetivo
de acceso. Documentación
Normativa
acuerdos dede confidencialidad
Buenas prácticas a Responsables
que se estas
sobre recogerá el flujo recogida
materias para firma
en las de Buenas Prácticas en la que recogen las para Terceros.
recogen las
dichos acuerdos.buenas prácticas en el uso Implantación
NivelN1
Actual firmar.
mismas. actuaciones relacionadas con el buen uso de los
de los activos
Reflejar en de unla Subdirección.
procedimiento los Normativa de Buenas prácticas.
Descripción de activos. Objetivo
Actuación AC_0038 Documentación
Procedimiento de RRHH. Responsables
mecanismos para el seguimiento de las N2 – Procedimentar los mecanismos para el
responsabilidades (Organigrama, 10.4.1.  seguimiento
Implantación
N0 Controles frente
de a código
las malicioso.
responsabilidades
Controles afectados Normativa de Organización de la
Procedimentar
auditoría interna, el flujo para
asignación la petición
de tareasy
retirada dealos derechos de acceso tanto 12.5.4.  establecidas
Pérdidas
N3 depor
– Se define
parte de la SGSICS.
información.
un procedimiento formal para la
Seguridad de ladeInformación.
Procedimiento RRHH.
asociadas responsables…).
al personal interno como externo cuando NivelN1
Actual retirada de derechos de acceso tanto a personal Procedimiento de Usuarios y
causa baja enDescripción
sus funciones dentro del de interno como externo.
Objetivo Documentación
Contraseñas. Responsables
alcance del SGSI.
Implantación Actuación AC_0039
Se definen Controles
las medidas de seguridad
afectados 10.5.1.  10.4.1.
CopiasdeN4Seguridad.
establecidas contra código malicioso – Dentro del SGSI se definen las Procedimiento de Control y
(servidores) y canales encubiertos dentro
Nivel Actual medidas de seguridad establecidas contra código Respuesta Antimalware.
de los sistemas, Descripción
se conciencia a los de malicioso, se conciencia a los usuarios y definen
Objetivo Documentación Responsables
Procedimiento de Gestión de
usuarios (incluirlo en las acciones las actuaciones a seguir frente a un incidente de
Implantación
N1 Actuación AC_0053 Incidencias.
formativas seguridad de este tipo.
Definir el procedimiento de de
y normativas buenas
creación de
prácticas) Controles
copias de yseguridad,
definen las afectados
actuaciones un
estableciendo a 11.1.1.  12.5.4.
Política de N3
Control
N3 – Seestablece– Se decalendario
Acceso. de
un establecen medidas
copias de
Normativa de Buenas Prácticas.
seguir frente a unpara
incidente de seguridad NivelN1
Actual monitorización Procedimiento de Backup y Plan
calendario tanto esta creación como seguridad dey revisión del usoy depruebas
realización los sistemas
de Normativa de Buenas Prácticas
de este tipo en de el lasprocedimiento contra canales encubiertos dentro de los mismos. de Copias.
para Descripción
la comprobación mismas y su de recuperación. Objetivo para Terceros.
Documentación Responsables
correspondiente.
recuperación.
Implantación
Se definen y se aplican todo tipo de Normativa de Seguridad Física.
controles de acceso tanto a los sistemas
N3 – Se define y aplica una política de control de Procedimiento de Gestión y
como a las aplicaciones, a las
N1 acceso a los sistemas, aplicaciones, Configuración de Redes.
instalaciones, etc., definiendo los flujos
instalaciones, etc.
de autorización, responsabilidades, Procedimiento de Control y
medidas de seguridad, etc. Gestión Documental.
SGSI

• RESULTADOS OBTENIDOS EN
LA SEGUNDA FASE

– Definición de una Política

de Seguridad

– Elaboración e
implantación de
– Procedimientos
– Normativas
– Manuales

– Control de acceso
centralizado

– Bastionado y
aseguramiento de los
sistemas
ESQUEMA NACIONAL DE SEGURIDAD

• El Real Decreto 3/2010, de 8 de enero, regula el Esquema

Nacional de Seguridad en el ámbito de la Administración
Electrónica

– Todos los sistemas deben adecuarse al ENS en un

plazo de 12 meses desde su aprobación

– Transcurrido este plazo sin implantar las medidas de

seguridad, deberá disponerse de un plan de
adecuación que marque los plazos de ejecución, en
ningún caso superior a 48 meses desde la entrada en
vigor del ENS
ESQUEMA NACIONAL DE SEGURIDAD
• La SGSICS contaba con un SGSI basado en ISO 27001, el objetivo actual
es pasar en el ciclo de 2013 a un SGSI basado en ENS

• Numerosas medidas de seguridad del ENS coinciden con controles

de ISO/IEC 27002

• El ENS es más preciso

ISO/IEC
27001

ENS
ESQUEMA NACIONAL DE SEGURIDAD

Roles dentro del ENS

• Responsable de la
Información y de los
Servicios
• Responsable de Seguridad
• Responsable de los Ficheros
ESQUEMA NACIONAL DE SEGURIDAD

• CATEGORIZACIÓN DE SISTEMAS DE LA SGSISC

Categorizar los Sistemas para determinar

– Las medidas de seguridad a implantar

– Los servicios que se prestan

– Los riesgos a los que están expuestos

– Sistema alineado con
especificaciones del ENS

– Se mantienen las líneas

de actuación de los
últimos 3 años:
ENS
• Procedimental
• Técnica
ISO 27001
• Línea Procedimental:

Mantenimiento de Política de Seguridad Formal de

la que derivan:
• Normativas: 7
• Políticas: 2
• Procedimientos: 17
• Procedimientos Operativos de Servidores (POS): 33
• Manuales: 5
• Línea Técnica:

• Utilizando las Guías STICs para bastionado

• Organización del Directorio Activo
• Unificación de Nomenclaturas
• Creación de GPOs en el Dominio
• Integración de Firewalls con Directorio Activo, habilitando
políticas a nivel de usuario
 Act Plan
2013-2015

Check Do
Act Plan

2008 - 2012
Check Do
 Informe ejecutivo con los resultados del informe del CCN sobre la Secretaría de
Estado de Seguridad del Ministerio del Interior:
Valoración del sistema:
Perfil ENS
Perfil ENS
Marco Organizativo:
Marco Operacional:
Medidas de protección:
 Fin

Securización

Organización

Cumplimiento
legal