“Seguridad en la Red de Área Extensa de Propósito General” Logros y desafíos © Unidad de Operaciones de Seguridad USO PÚBLICO 1 Índice de contenidos 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Antecedentes. ¿Qué es CCEA? Creación del CCEA. Nuevo escenario. Los servicios del CCEA. Algunos indicadores del CCEA. Balance de la singladura. El PDCIS y la seguridad. La seguridad para el CCEA. Controles de seguridad en WAN PG. Conclusiones. © Unidad de Operaciones de Seguridad USO PÚBLICO 2 Antecedentes (I) IBM IBM Ejército de Tierra Armada IBM IBM Ejército del Aire Sede Central (OC) © Unidad de Operaciones de Seguridad USO PÚBLICO 3 Antecedentes (II) IMPLICACIONES •Estructuras de Dirección de los Sistemas de Información de carácter departamental. •Gestión de los Recursos Humanos TIC a nivel departamental. © Unidad de Operaciones de Seguridad USO PÚBLICO 4 ¿Qué es CCEA? Orden DEF/315/2002, de 14 de Febrero: Plan Director de Sistemas de Información y Telecomunicaciones del MINISDEF. “Se concentrarán los actuales Centros de Proceso de Datos y Explotación en un único Centro de Explotación y Apoyo, ubicado en dos emplazamientos distintos. Dicho Centro asumirá la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa.” © Unidad de Operaciones de Seguridad USO PÚBLICO 5 Creación del CCEA Instrucción 236/2002, de 7 de Noviembre: Creación del Centro Corporativo de Explotación y Apoyo para los Sistemas de Información y Telecomunicaciones del MINISDEF. “Misión: Asumir la dirección de la gestión y explotación de los sistemas de información, de la plataforma informática y de las telecomunicaciones del Ministerio de Defensa” “Sistemas de mando y control militar: responsabilidad del Jefe del EMAD. CCEA únicamente apoyo cuando se determine.” Queda encuadrado en la SDG de Servicios Técnicos y Telecomunicaciones. Comienza sus actividades el 15 de Julio de 2003. © Unidad de Operaciones de Seguridad USO PÚBLICO 6 Nuevo escenario (I) Fuerzas desplegadas en Misiones de Paz y organizaciones internacionales Emplazamiento en TN IBM Emplazamiento en TN Centro Corporativo de Explotación y Apoyo del Ministerio de Defensa Emplazamiento en TN © Unidad de Operaciones de Seguridad Emplazamiento en TN USO PÚBLICO 7 Nuevo escenario (II) IMPLICACIONES •Voluntad de centralización de la gestión y explotación de la infraestructura tecnológica, con criterios de eficiencia y eficacia al servicio de toda la corporación. •¿Se han adaptado las estructuras TIC del OC para asumir la Dirección de los Sistemas de Información de toda la corporación? •¿Han asumido todos los departamentos ministeriales la nueva visión corporativa de la gestión TIC? •¿Se ha actualizado el modelo de gestión de los RRHH al nuevo escenario corporativo? © Unidad de Operaciones de Seguridad USO PÚBLICO 8 Los servicios del CCEA 1. 2. 3. 4. 5. 6. Procesamiento de datos. Administración de BBDDs. Centro de Atención al Usuario. Comunicaciones de datos. Comunicaciones de voz. Distribución, inventario y gestión de activos TIC del MINISDEF. 7. Administración del correo electrónico corporativo y del entorno de trabajo colaborativo IBM LOTUS. © Unidad de Operaciones de Seguridad USO PÚBLICO 9 Los servicios del CCEA (II) 8. Establecimiento, gestión y mantenimiento del Sistema de Calidad, con definición del catálogo de servicios del Centro. 9. Acceso corporativo centralizado a Internet. 10. Gestión de la publicación de los contenidos web del Ministerio en Internet. 11. Administración y explotación de las plataformas de los diversos Sistemas de Información de la Intranet. 12. Protección de datos y sistemas. Continuidad del servicio. © Unidad de Operaciones de Seguridad USO PÚBLICO 10 Algunos indicadores del CCEA (I) Conectividad (en Territorio Nacional y ZOs): 6 emplazamientos tipo N (aproximadamente 6.000 usuarios). 16 emplazamientos tipo 1 (aproximadamente 9.000 usuarios). 120 emplazamientos tipo 2 (aproximadamente 23.000 usuarios). 268 emplazamientos tipo 3 (aproximadamente 10.000 usuarios). 292 emplazamientos tipo 4 (aproximadamente 2.000 usuarios) © Unidad de Operaciones de Seguridad USO PÚBLICO 11 Algunos indicadores del CCEA (II) Atención al usuario: 11.402 llamadas recibidas (Sep-06) © Unidad de Operaciones de Seguridad USO PÚBLICO 12 Algunos indicadores del CCEA (III) Usuarios con acceso a Internet y correo Notes 40.000 35.000 30.000 25.000 20.000 15.000 10.000 2004 2005 2006 Usuarios del sistema Lotus Domino administrados: • • • Usuarios Lotus Notes con cuenta de correo interno: 80.000 Usuarios Lotus Notes con cuenta de correo externo: 35.893 Aplicaciones “workflow” de trabajo colaborativo administradas: 89 © Unidad de Operaciones de Seguridad USO PÚBLICO 13 Algunos indicadores del CCEA (IV) Plataformas en explotación: • • • Mainframe OS/390-z/OS Sistemas Operativos Windows/UNIX-Linux: 250 aprox. SGBDs: ADABAS, DB2, SYBASE, ORACLE, SQL 2000, Tamino Implantación y administración de PKI: • • • Fase I: 1.500 usuarios (en ejecución). Próximas fases: Extensión a toda la organización. Centro de Personalización de Tarjetas del Ministerio. © Unidad de Operaciones de Seguridad USO PÚBLICO 14 Algunos indicadores del CCEA (V) Conectividad voz: • • • • • • Gestión de 8.000 líneas móviles. Gestión de 87.000 líneas en territorio nacional. Gestión de 300 equipos para comunicaciones satélite. Gestión de 650 centrales. Gestión de 80 proyectos de mejora de cobertura en emplazamientos MINISDEF. Gestión de Guía Telefónica Unificada y control de gasto telefónico. © Unidad de Operaciones de Seguridad USO PÚBLICO 15 Balance de la singladura (I) Nuestra vocación “Ofrecer un servicio TIC de calidad a toda la organización MINISDEF y, en particular, a las Fuerzas Armadas.” 24 x 7 x 365 24 x 7 x 365 © Unidad de Operaciones de Seguridad USO PÚBLICO 16 Balance de la singladura (II) Nuestras prioridades 1. “Garantizar, conforme a unos Acuerdos de Nivel de Servicio, todas las actividades TIC que soportan los procesos de la organización MINISDEF y, especialmente, aquellos de carácter crítico”. 2. Generar confianza en el usuario: “Disponibilidad permanente”. © Unidad de Operaciones de Seguridad USO PÚBLICO 17 ¡¡¡Un poquito de … (seguridad) … por favor!!! Implicaciones “seguras” de las líneas generales del PDCIS: • Sistema de Información específico del Área funcional de Seguridad: Sistema de Identificación y Control de Acceso Físico. • Infraestructura tecnológica: – Implantación de 2 WAN: Propósito General y Mando y Control Militar. – Dominio único para la WAN de Propósito General. – Gestión de identidades: Directorio Corporativo único. – Infraestructura de Clave Pública. – Tarjeta Electrónica del Ministerio de Defensa (TEMD). © Unidad de Operaciones de Seguridad USO PÚBLICO 18 “Lectura de cabecera” • Orden Ministerial 76/2006: Política de Seguridad de la Información del Ministerio de Defensa. • Orden Ministerial 76/2002: Política de Seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por SI,s y telecomunicaciones (en proceso de revisión). Definición del concepto de AOS (Autoridad Operacional del Sistema): Responsable del desarrollo, operación y mantenimiento del Sistema durante su ciclo de vida: de sus especificaciones, de su instalación y de la verificación de su correcto funcionamiento. • Real Decreto 421/2004: Regulación del Centro Criptológico Nacional. Series CCN-STIC (normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas TIC de la Administración) • Criterios de Seguridad, Normalización y Conservación para las aplicaciones utilizadas para el ejercicio de potestades (MAP). © Unidad de Operaciones de Seguridad USO PÚBLICO 19 La seguridad para el CCEA Responsabilidades: • Supervisión y análisis de las actividades de usuarios y administradores de la WAN PG: SOs y software malicioso. Infraestructura de red. BDs y aplicaciones. • Administración de Sistemas de Seguridad. Gestión PKI. Seguridad de las instalaciones y personal CCEA. © Unidad de Operaciones de Seguridad USO PÚBLICO 20 Controles de seguridad en WAN PG (1) Consideraciones previas: • El SEDEF ha nombrado al Inspector General CIS como AOS de la WAN PG. • La Inspección General CIS ha determinado que en la WAN PG se manejará información hasta nivel DIFUSIÓN LIMITADA (clasificación que se aplicará a activos de información cuya revelación no autorizada pudiera ir en contra de los intereses y la misión del Ministerio de Defensa). © Unidad de Operaciones de Seguridad USO PÚBLICO 21 Controles de seguridad en WAN PG (2) Implantación de un dominio único para todas las LAN de Propósito General: Beneficios: • Control de inventario. • Control de configuración. • Actualización permanente del SW de las estaciones. • Distribución centralizada de software. • Administración remota. • Implantación de directivas de seguridad. © Unidad de Operaciones de Seguridad USO PÚBLICO 22 Controles de seguridad en WAN PG (3) Directorio Corporativo de Defensa Beneficios: • Gestión de identidades de los usuarios de los diferentes servicios de la WAN PG. © Unidad de Operaciones de Seguridad USO PÚBLICO 23 Controles de seguridad en WAN PG (4) Infraestructura de Clave Pública (PKI) y Tarjeta Electrónica (TEMD) del Ministerio de Defensa Beneficios: • Servicios básicos: Autenticación en Sistemas, cifrado y firma electrónica. • Otros servicios: credencial de acceso a instalaciones. • En el futuro: fusión con la Tarjeta Militar de Identidad. © Unidad de Operaciones de Seguridad USO PÚBLICO 24 Controles de seguridad en WAN PG (5) Revisión del Plan de Contingencias de los SIs Beneficios: • Continuidad de los procesos críticos del Ministerio soportados por SIs • Definido en los nuevos sistemas que se implantan. • En proceso de adaptación para los sistemas heredados. © Unidad de Operaciones de Seguridad USO PÚBLICO 25 Controles de seguridad en WAN PG (6) Soluciones a las necesidades de interconexión con el exterior: Beneficios: • Hasta 2006: – gestión de una DMZ para servicios de correo electrónico, navegación a Internet y alojamiento de los principales sitios web publicados. – Soluciones a medida para interconexión con entidades colaboradoras y personal propio desplazado © Unidad de Operaciones de Seguridad USO PÚBLICO 26 Controles de seguridad en WAN PG (6) Soluciones a las necesidades de interconexión con el exterior desde 2007: Nodo INET MDEF MDEF – Servicios Internet/Extranet Exterior Internet Nodo Servicios Web Externos Nodo Servicios Web Internos ISP Usuarios Externos • Actual Servicio Hosting •Servicios Web Intranet • B.O.E. • mdef.es • EMAD • etc. • Nuevos servicios Web corporativos a ciudadanos Red Remota PG Nodo Internet Corporativa Red Corporativa WAN PG • Servicios de Correo Corporativo • Acceso a Internet Corporativo Usuarios MINISDEF Distribución PSTN Nodo Redes Remotas • Acceso VPN/IPSec a WAN PG • Modelo de Arquitectura para Redes Remotas de Propósito General FR/ATM Terceros NETMA Nodo Extranet • Modelo de Arquitectura para el Nodo Extranet del MINISDEF Intranet Administrativa AGE • Terceros, VPN SSL, Móviles, PDA, Intranet Administrativa, RDSI/RTB © Unidad de Operaciones de Seguridad USO PÚBLICO 27 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad (SIM): Beneficios: • Conocimiento en tiempo real de lo que ocurre en los sistemas de la WAN de PG. • Toma de decisiones para prevenir y, en su caso, defenderse. • Entorno con elevado grado de automatización. • Obtención y conservación de evidencias. © Unidad de Operaciones de Seguridad USO PÚBLICO 28 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA Análisis Análisis de de situación situación Conocimiento Descubrimiento Descubrimientode depatrones patrones Consolidación Consolidación//Prioritización Prioritización Correlación Correlación Datos Filtrado Filtrado Recogida Recogida © Unidad de Operaciones de Seguridad USO PÚBLICO Recolección Normalización Normalización Centralización Valor para la Organización Información Análisis Análisis de de amenazas amenazas Explotación Incidente Incidente 29 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA © Unidad de Operaciones de Seguridad USO PÚBLICO 30 Controles de seguridad en WAN PG (7) Gestión y monitorización de eventos de seguridad: LogICA © Unidad de Operaciones de Seguridad USO PÚBLICO 31 Controles de seguridad en WAN PG (8) Ejecución de auditorías externas: Beneficios: • Verificación independiente de los niveles de seguridad. • En 2004 y 2005, ejecutadas sobre DMZ Nodo Internet y sobre servicios web publicados en Internet. © Unidad de Operaciones de Seguridad USO PÚBLICO 32 Controles de seguridad en WAN PG (9) Control y gestión de las redes WIRELESS desplegadas: Beneficios: • Carácter restrictivo. • Concesión de autorización por la AOS de la WAN. • Configuración conforme a la Guía de Seguridad CCN-STIC-406 “Seguridad en redes inalámbricas basadas en el estándar 802.11”. © Unidad de Operaciones de Seguridad USO PÚBLICO 33 Controles de seguridad en WAN PG (10) Securización de todos los dispositivos TIC de la WAN (servidores, WS, electrónica de red, …): Beneficios: • Establecimiento de una configuración segura de los dispositivos más allá de las configuraciones comerciales “de serie”. • Conforme a las guías elaboradas por el Centro Criptológico Nacional.. © Unidad de Operaciones de Seguridad USO PÚBLICO 34 Controles de seguridad en WAN PG (11) Gestión y control de terminales móviles (portátiles y PDAs): Beneficios: • La información de la WAN PG no debe “bajar” a ningún dispositivo móvil o portable que no implemente mecanismo de cifrado certificado a nivel nacional. • Configuración conforme a la Instrucción Técnica CCN-STIC-301 (Requisitos STIC). © Unidad de Operaciones de Seguridad USO PÚBLICO 35 Controles de seguridad en WAN PG (12) Revisión de las directrices de declaración de ficheros sujetos a LOPD: Beneficios: • Aportar una visión corporativa, más allá de las visiones departamentales, que aporte sencillez y funcionalidad al elevado número de ficheros declarados. © Unidad de Operaciones de Seguridad USO PÚBLICO 36 Conclusiones: “Balance de 3 años” Seg urid a dT IC TECNOLOGÍA NORMATIVA ORGANIZACIÓN © Unidad de Operaciones de Seguridad USO PÚBLICO 37 Conclusiones: “Tareas pendientes” Gestión de la impresión en la WAN de PG: Evitar la copia indiscriminada de información del Ministerio (cuando el carácter de la información lo aconseje). Imbricar todas las iniciativas descritas en un Sistema de Gestión de Seguridad de la Información (ciclo PDCA: ISO 27001). Implantar un Centro de Operaciones de Seguridad (SOC). Proseguir en la concienciación y sensibilización de los usuarios de la WAN de PG (la primera y más sencilla puerta de entrada). © Unidad de Operaciones de Seguridad USO PÚBLICO 38 Muchas gracias por su atención Cte. Jesús Gómez Ruedas [email protected] © Unidad de Operaciones de Seguridad USO PÚBLICO 39