auditorías archivos - AUDERTIS

Trámites para adecuarse al Esquema Nacional de Seguridad

audertis — Tue, 06 Jun 2017 07:00:42 +0000

Las administraciones deben seguir determinados trámites para adecuarse al Esquema Nacional de Seguridad. Simplificándolos, los agruparemos en tres fases concretas: Plan de Adecuación, Implantación y Auditoría.

Es lo mismo que cuando alguien desea construir una casa. Primero hace “los planos” y, a partir de ellos, el constructor la “edifica”. En nuestro caso, la construcción de un Sistema de Gestión de la Seguridad de la Información basado en el ENS, primero debe planificarse para poder implantarse después con todas las garantías.

FASE 1: Plan de Adecuación (ver Guía CCN-STIC-806):

Se debe elaborar, aprobar y promulgar la política de seguridad, como se determina en la Guía CCN-STIC-805. Esto supone definir los roles y la asignación de responsabilidades relacionadas con el ENS, como se establece en la Guía CCN-STIC‐801. Los roles más relevantes son el responsable del servicio, el responsable de la información, el responsable de la seguridad y el administrador del sistema.

El responsable del servicio determinará los requisitos de los servicios prestados a la ciudadanía en el ámbito del ENS; el responsable de la información determinará los requisitos de la información tratada por esos servicios; el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, y el administrador del sistema asegurará técnicamente que dichos sistemas soporten los servicios siguiendo los requisitos de los anteriores. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de potenciales conflictos entre ellos.

Categorizar los sistemas atendiendo a la valoración de los servicios prestados y la información que éstos tratan (ver Guía CCN-STIC-803). Este es un aspecto fundamental para poder determinar las medidas de seguridad más adecuadas que deberán implantarse para la protección del sistema y de los datos y servicios que soportan.

Una categorización realista y adecuada de los servicios prestados a la ciudadanía permitirá mitigar el riesgo de que se produzca un posible incidente de seguridad.

Realizar un análisis de riesgos, considerando la valoración de las medidas de seguridad existentes. Los resultados del análisis de riesgos permiten evaluar aquellos riesgos considerados intolerables para la organización y elegir para mitigarlos las medidas de seguridad apropiadas. La gestión de la seguridad basada en el riesgo es el mejor modo para reducir al mínimo su potencialidad, optimizando los recursos al destinarse éstos proporcionalmente al nivel de riesgo obtenido.

Efectuar un análisis de insuficiencias o diferencial. Consiste en estudiar la situación real en la organización de cada una de las medidas de seguridad que determina el Anexo II del ENS. Debe recordarse que dichas medidas vendrán determinadas por la categorización de los sistemas realizada previamente.

Preparar y aprobar la Declaración de aplicabilidad de las 75 medidas del Anexo II del ENS. Esta declaración debe especificar, de forma motivada para cada medida, si aplica o no, y cómo se implementará dicha medida de seguridad. Para quién no esté muy familiarizado con ellas, engloban aspectos como el control de acceso, asegurar la red interna, la protección contra incendios o los deberes y obligaciones del personal.

Elaborar un plan de mejora de la seguridad, sobre la base de las insuficiencias detectadas y del análisis de riesgos, incluyendo plazos estimados de ejecución y recursos necesarios. Suele dividirse en acciones para ser abordadas de forma inmediata, acciones a corto y acciones a medio plazo. Es conveniente detallar al máximo como se implantará cada acción, como si de un conjunto de mini proyectos se tratara.

FASE 2: Implantación (ver Guía CCN-STIC-806):

A mayor nivel de detalle en el Plan de mejora de la seguridad, más fácil será implantarlo llevándolo del plano teórico al práctico.

La fase de implantación no solo incluye la materialización del citado Plan, sino la operación y monitorización continuada de las diferentes medidas de seguridad aplicadas, ya sean técnicas u organizativas en base a normas internas y procedimientos que las desarrollen. Se marca así la diferencia entre un puñado de medidas de seguridad y la seguridad gestionada en base a un sistema de gestión del ENS basado en la mejora continua.

También es conveniente formar y concienciar asiduamente al personal respecto a la seguridad, de forma que reforcemos aquella célebre frase que señala a las personas como el eslabón más débil de la cadena de protección de los servicios y la información que tratan.

FASE 3: Auditoría (ver Guía CCN-STIC-802):

Deberán realizarse auditorías periódicas que permitan detectar desviaciones respecto a lo previsto en el Plan de Adecuación al ENS y en el propio RD 3/2010 y modificaciones posteriores. Si los sistemas se han categorizado de nivel medio o alto, es obligatorio realizarlas bienales (cada dos años) por una entidad certificadora, que extenderá, caso de superarse positivamente, el correspondiente Certificado de Conformidad con el ENS para la categoría del sistema que corresponda. Caso de sistemas categorizados de nivel básico (los menos frecuentes), entonces la certificación independiente es opcional.

Si como resultado de las auditorías se eleva alguna no conformidad menor, la organización auditada deberá presentar un Plan de Acciones Correctivas (PAC) dónde se identifica la solución que corregirá la no conformidad, y la planificación para su materialización.

Realizar el Plan de Adecuación primero e implementarlo después requiere de expertos que construyan un sistema de gestión de la seguridad acorde a las premisas que establece el Esquema Nacional de Seguridad.

La entrada

Trámites para adecuarse al Esquema Nacional de Seguridad

aparece primero en AUDERTIS.

El Cloud Computing en el Esquema Nacional de Seguridad

audertis — Tue, 30 May 2017 07:00:40 +0000

Auditorías para reducir riesgos de seguridad: Cloud Computing

Hasta que el 13 de octubre de 2016 se promulgó por la Secretaría de Estado de Administraciones Públicas la Resolución que obliga a la ITS de Certificación de la Conformidad, los proveedores que querían trabajar con una Administración Pública debían adoptar una serie de medidas de seguridad que, en el mejor de los casos, establecía la administración contratante en el pliego de condiciones de contratación.

Ahora, según dispone la citada Resolución, es obligación de la Administración que contrata exigir en el pliego al futuro adjudicatario que esté en posesión del correspondiente certificado de conformidad con las disposiciones del Esquema Nacional de Seguridad (ENS).

Ya no basta con que el proveedor afirme en la oferta que está en disposición de cumplir determinadas medidas de seguridad en los servicios que se le contratan, sino que debe acreditarlo mediante el correspondiente Certificado de Conformidad con el ENS.

Las auditorías de conformidad son el proceso para garantizar una evaluación precisa del entorno de seguridad del proveedor, de sus controles, de sus procesos y de su efectividad actual para proporcionar productos o prestar servicios al Sector Público.

A través de esta auditoría se pueden identificar vulnerabilidades, y carencias en los controles necesarios para mitigarlas, evidenciando que no han sido tratadas adecuadamente para reducir el riesgo respecto a la seguridad.

Tanto los elementos de tratamiento, como las redes a través de las que circula la información, deberán estar adecuadamente protegidos, asegurándose de que no existen accesos no controlados ni conexiones cuyos riesgos no estén apropiadamente gestionados y supervisados por el proveedor de los servicios.

La protección del cloud computing

Las empresas prestadoras de servicios de Cloud Computing que trabajen para la Administración han de cuidar especialmente la seguridad. Pero, ¿qué es el Cloud Computing o, como popularmente se le conoce, la Nube? Dicho de una manera sencilla, son los servicios informáticos que se prestan cumpliendo cinco características esenciales simultáneamente: Acceso desde Internet, permitir una rápida elasticidad en la capacidad contratada, servicio medible que permita el “pago por uso”, autoservicio bajo demanda desde un portal y que el proveedor disponga de un amplio “pool de recursos” para satisfacer la demanda de todos sus clientes dando la sensación de capacidad infinita.

Entre los servicios más habituales tenemos: servidores virtuales, bases de datos, almacenamiento, correo electrónico y otras aplicaciones especializadas bajo el modelo de SaaS, etc.

Este tipo de empresas están obligadas a mantener la seguridad de la información en todas sus dimensiones, incidiendo en la integridad, la confidencialidad y la disponibilidad de la misma. Esto es así debido a que el Cloud Computing es un modelo de entrega de servicios basado en un entorno virtual al que se accede a través de Internet y eso implica que las amenazas sean constantes.

Un mal uso del Cloud Computing, sin las debidas garantías de seguridad por parte del proveedor, y del cliente en su acceso, puede dar lugar a ciberataques por parte de cibercriminales que tienen en Internet su campo de operaciones. Los interfaces deben diseñarse de forma segura, evitando así los problemas de seguridad, tanto los que son intencionados como los que se producen de forma accidental. Incibe nos da una serie de recomendaciones en este sentido.

Cloud pública, privada e híbrida

Existen tres posibles modelos de despliegue de Cloud, que en su caso hay que proteger: la pública, la privada y la híbrida.

La Cloud pública se refiere a que el “pool de recursos” del prestador del servicio, es compartido por todos los clientes. En la Cloud privada, ese “pool de recursos” es específico para determinado cliente y no es compartido con nadie más. Una Cloud hibrida es un entorno mixto entre los dos anteriores.

Además existen tres modelos de entrega de servicios por parte del prestador de servicios de Cloud: La Infraestructura como Servicio (IaaS) que consiste, simplificándolo mucho, aprovisionar máquinas virtuales vacías (únicamente con el sistema operativo); La Plataforma como Servicio (PaaS) que consiste en proporcionar adicionalmente a la IaaS herramientas de desarrollo, bases de datos, etc. en un entorno especializado; Y el Software como Servicio (SaaS) que es el acceso a determinadas aplicaciones que corren en la Nube, como es el caso de Gmail.

La infraestructura contratada para trabajar en la nube debe ser segura, ya sea una nube privada o pública, o un servicio SaaS, PaaS o IaaS. Es importante conseguir:

Seguridad de los componentes: la nube debe estar diseñada por parte del proveedor para ser segura, creada con componentes seguros y certificados, con interfaces sólidas y con procesos de evaluación que creen confianza.
Debe disponer de un estudiado diseño en las interfaces específicas para los accesos de los clientes, minimizando los riesgos mediante las correspondientes capas de seguridad.
A medida que las necesidades de un cliente se modifican, el proveedor de servicios debe ofrecer la posibilidad de aumentar o desactivar esos recursos (ancho de banda, procesadores, almacenamiento y memoria en cada máquina virtual, o reducir el número de éstas) según corresponda a los requisitos del cliente.
Esta gestión del ciclo de vida del servicio debe administrarse con la responsabilidad por parte del proveedor para crear confianza. Por ejemplo, borrando completamente el área de datos ya no requerida por un cliente, de modo que no pueda ser accedida por el nuevo cliente al que se le reasigne ese recurso de almacenamiento del “pool general”.
El prestador de servicios de Cloud debe garantizar también la portabilidad de los datos, de modo que al finalizar el servicio le sean retornados al cliente en un formato estándar o convenido.

Las soluciones de seguridad pasan por medidas técnicas como la protección de la red virtual, el control de los accesos a los recursos, el aislamiento del software, la protección de datos de forma segura, etc., y otras organizativas y jurídicas como el establecimiento de específicas cláusulas contractuales.

La contratación de servicios de Cloud Computing exige la realización de auditorías de seguridad ordinarias y extraordinarias, tal y como contempla el artículo 34 del ENS. Este artículo exige requisitos específicos sobre los criterios y métodos de trabajo empleados. En este proceso AUDERTIS es la entidad 100% especializada en el Esquema de Seguridad que ofrece un proceso independiente y riguroso que transmite la máxima confianza.

La entrada El Cloud Computing en el Esquema Nacional de Seguridad aparece primero en AUDERTIS.