Congreso DINTEL – CLOUD Computing 2011Virtualización en la Red

Sesión Tecnológica 2: “Seguridad en la nube”

“La seguridad en las clouds de las Administraciones Públicas”

Víctor M. Izquierdo LoyolaDirector general de INTECO

Madrid, 8 de febrero de 2011

2

ENFOQUE DE LA PRESENTACIÓN

1. ¿Qué es INTECO? 2. ¿Cuáles son sus proyectos y

actuaciones en Seguridad de la Información?

3. En concreto, ¿cu ál es el papel de INTECO en relación con la seguridad en las clouds de las AAPP?

1- El Instituto Nacional de Tecnolog ías de la Comunicación, INTECO

4

¿Qué es INTECO?

En pocas palabras…• Sociedad estatal adscrita al MITYC a través de la SETSI. El 100% de sus

acciones es propiedad de la E. P. E. red.es.

• Instrumento desarrollo de la Sociedad de la Información.

• Gestión, asesoramiento, promoción y difusión de proyectos.

• Medio propio y servicio técnico de la Administración General del Estado y sus Organismos Públicos.

MISIÓN

La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional.

5

Líneas de actividad de INTECO

• Centro de Respuesta a Incidentes TI para ciudadanía y empresas –INTECO-CERT.

• Oficina de Seguridad al Internauta (OSI).

• Observatorio de Seguridad de la Información.

• Servicios a AAPP.

Seguridad

• Accesibilidad Web, de acuerdo con estándares.

• Accesibilidad a la TDT.

• Servicios Públicos Interactivos TDT.

• Apoyo al Centro Nacional de Tecnologías de la Accesibilidad (CENTAC).

Accesibilidad

• Oficina Técnica de Calidad en Proyectos de Desarrollo/ Adquisición de Software.

• Atracción y promoción de proyectos empresariales (Polo TIC de León).

• Promoción de estándares y certificación.

Calidad TIC

FORMACIÓN

6

Foros y grupos especializados

Seguridad:

Estándares y Otros:

7

¿Para quién trabaja INTECO?

¿Quiénes son sus “clientes”?

� Las Administraciones Públicas, en particular, la Administración General del Estado, de la que INTECO es “medio propio y servicio técnico”.

� Las PYME.

� Las empresas españolas del sector TIC, especialmente las que trabajan en las líneas de actividad de INTECO.

� Los ciudadanos en general.

2- Proyectos y servicios de INTECO en materia de Seguridad TIC

9

Área de Seguridad Tecnológica

¿Qué tipo de actividades desarrolla en materia de seguridad?

INTECO - CERTCENTRO DEMOSTRADOR

DE TECNOLOGÍAS

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

� Desarrolla proyectos en ejecución de políticas públ icas en torno a la Seguridad de la Información (gratuitos para sus destinatarios finales).

� Promueve la investigación aplicada y la formación especializada en el ámbito de la seguridad de la in formación.

� Presta servicios de Seguridad de la Información a s us clientes (de acuerdo con tarifas que tiene aprobadas).

Oficina de Seguridad

del Internauta

10

El Centro de Respuesta a Incidentes de Seguridad (INTECO – CERT)

11

Objetivos

Impulsar la confianza en las TIC promoviendo su uso de forma segura y responsableMinimizar los perjuicios ocasionados por incidentes d e seguridad , accidentes o fallos facilitando mecanismos de preve nción y reacción adecuadosPrevenir, informar, concienciar y formar a la PYME y al c iudadanoproporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet.

INTECO-CERT

12

Servicios de Información:• Suscripción a boletines y alertas• Actualidad, noticias y eventos• Avisos online sobre nuevos virus, vulnerabilidades, virus más

extendidos por correo electrónico, información sobr e correo electrónico no deseado.

Servicios de Formación: guías, manuales, cursos onl ineServicios de Protección: útiles gratuitos y actuali zaciones de softwareServicios de Respuesta y Soporte:• Gestión y resolución de Incidencias• Gestión de malware o código malicioso• Fraude electrónico• Asesoría Legal• Foros

http://cert.inteco.es

INTECO-CERT. Servicios en materia de seguridad:

13

Oficina de Seguridad del Internauta (OSI)

14

Servicios de la Oficina de Seguridad del Internauta

� Portal Web de fácil acceso con herramientas, información útil y sistemas de ayuda al internauta sobre temas de seguridad: www.osi.es

� Contenidos en materia de seguridad (guías, manuales, buenas prácticas, preguntas frecuentes, etc.).

� Catálogo de herramientas y útiles de seguridad.

� Actualidad, noticias y eventos.

� Servicio online de consultas guiadas y formularios de consulta.

� Foros de seguridad.

� Atención de consultas al internauta :

� Telefónicas (901 111 121).

� WEB: foros y correo electrónico.

OSI

15

Centro Demostrador de Tecnolog ías de la Seguridad

16

Objetivos

Fomentar y difundir el uso de tecnologías de segurid ad de la información

Centro Demostrador de Tecnologías de la Seguridad

Catálogo de Empresas y Soluciones de Seguridad TIC.

Basado en una Taxonom ía consensuada con la industria.

Formación a la PYME.

Difusión e impulso de la tecnología de seguridad.

http://demostrador.inteco.es

17

Catálogo de empresas y soluciones

Catalogación de todos los actores del mercado: datos de los proveedores.

Catalogación de los productos que ofrecen: datos de los productos (bienes o servicios).

Centro Demostrador de Tecnologías de la Seguridad

Catálogo impreso

18

Observatorio de la Seguridad de la Información

19

Estudios:

� Estudio sobre el fraude a través de Internet (3T201 0).

� Estudio sobre la seguridad de la información y e-co nfianza de los hogares españoles (3T2010).

� Estudio sobre el estado de la pyme española ante lo s riesgos y la implantación de Planes de Continuidad de Negocio.

� Estudio sobre la seguridad de las comunicaciones mó viles e inalámbricas (2T2010).

� Estudio sobre la privacidad y la seguridad de los d atos personales en el sector sanitario español.

Guías y Manuales:

� Guía de introducción a la Web 2.0: aspectos de segu ridad y privacidad en las plataformas colaborativas.

� Guía sobre seguridad y privacidad en el Comercio Electrónico .

� Guía para padres y madres sobre uso de videojuegos por menores.

Observatorio de la Seguridad de la Información

20

Servicios de Seguridad

1. Auditorías Técnicas de Seguridad : perimetral, interna, Web, de código de aplicaciones, sobre activos de Información móviles, sobre redes y protocolos de comunicación, etc.

2. Bastionado de SistemasFortificación de un sistema de la organización. Incluye procedimiento para futuras revisiones de seguridad del

sistema.

3. Análisis Forense de SistemasAnálisis del incidente y recopilación de evidencias.

4. Análisis de Riesgos

Identificación y valoración del riesgo asociado a un grupo de activos.

AUDITORÍA PERIMETRAL

Auditoría de seguridad sobre los activos expuesto en Internet. Incluye servicio de consultoría para la mitigación del riesgo detectado. Posibilidad de modalidad periódica.

AUDITORÍA INTERNA

Auditoría de seguridad sobre los activos internos de la organización. Incluye servicio de consultoría para la mitigación del riesgo detectado. Posibilidad de modalidad periódica.

Servicios de Seguridad de la Información para la AG E y otros agentes

21

Servicios de Seguridad

5. SGSI y Planes Directores de SeguridadDiseño e implantación de estrategia de seguridad en la organización (adaptación al Esquema Nacional de Seguridad).

6. Seguridad Gestionada (I-COS)

Monitorización de seguridad y gestión de vulnerabilidades.

7. Pre-evaluación para Certificación CC

Orientado a pymes.8. Cloud CERT

Orientado a agentes que deseen ofrecer servicios CERT a sus usuarios. P.ej. CCAA.

9. Formación y capacitaciónIncluye:

Máster Profesional de la ULE en Tecnologías de la Seguridad

Cursos de especialización para profesionales de la Seguridad

Cursos para profesionales de otros ámbitos.

Servicios de Seguridad de la Información para la AG E y otros agentes

3- INTECO y las clouds de las AAPP

23

Servicio CLOUD CERT

¿Qué es CLOUD CERT?� Es un servicio que se apoya en una plataforma de conocimiento,

información y servicios para una eficiente puesta en marcha y operación de un centro de respuesta a incidentes.

FORMACIÓN

PLATAFORMAServicios

Herramientas

ASESORAMIENTOPuesta en marcha

Políticas Procedimientos

OBJETIVOS� Facilitar la creación, puesta en marcha y operación de

forma rápida y eficaz de nuevos centros de respuesta a incidentes de seguridad, para lo cual INTECO pone a disposición el conocimiento adquirido en INTECO-CERT.

� Ofrecer los servicios necesarios para la explotación de los nuevos centros de respuesta, incluyendo servicios preventivos, reactivos, así como las herramientas de seguridad ya disponibles en INTECO-CERT y que los nuevos centros de respuesta tendrán a su disposición a través de dicha infraestructura.

� Crear un repositorio colaborativo de información de seguridad integrando las aportaciones de los CERT’s participantes con la supervisión de INTECO-CERT.

24

CLOUD CERT

CERT 2 CERT 1

Consola Administración

Virus, Vulnerabilidades CONAN

ANALISIS MW

Herramientas CERT

Respuesta Incidentes

Sensores

Servicios INTECO-CERT

25

Guía para empresas sobre cloud computing : implicaciones de seguridad y privacidad

CONTENIDOS DE LA GUÍA

� Introducción: desarrollo del modelo, niveles de servicio, implantación y proveedores

� Características principales

� Riesgos relacionados con cloud computing

� Seguridad en la nube

� Privacidad en la nube

� Aspectos legales y marco jurídico

� ¿Por qué y cómo entrar en la nube?

Fecha de publicación prevista: marzo 2011

26

Colaboración con el Capítulo español de la Cloud Security Alliance

www.cloudsecurityalliance.es

Grupos de Trabajo:

� Privacidad y cumplimiento normativo. � SGSI y gestión de riesgos: cuenta con

participación de INTECO.� Contratación, Evidencias y Auditoría.

27

Colaboración con ENISA, la Agencia Europea de Seguridad en las Redes y los Sistemas de Informació n

Security & Resilience in Governmental clouds

� Contribución de INTECO en su elaboración a través de Marcos Gómez, Subdirector de Programas de INTECO y miembro del PSG de ENISA.

� Conversión a documento pdf accesible.

� Traducción al español .

Fecha prevista de publicación en español: marzo 2011

28

Security & Resilience in Governmental clouds

Recomendaciones para los Organismos Públicos� Evaluar sus riesgos y definir sus requisitos a fin de identificar qué solución cloud

satisface sus necesidades. Considerar también el f actor humano y el marco legal.

� Revisar las políticas y procedimientos de gestión d e la seguridad de la información y evaluar cómo se abordarían o se soportarían en dife rentes modelos de cloud .

� Definir SLA (disponibilidad, tiempo de respuesta…) adecuados a sus requisitos.

� Asegurarse de que los requisitos esenciales de segu ridad, capacidad de resistencia y legales quedan adecuadamente recogidos en los requi sitos de nivel de servicio y en los SLA.

� Disponer de herramientas, metodología y estructuras de gobernanza (p. ej. para garantizar la diligencia debida).

� Asegurarse de que las infraestructuras de comunicac iones, las dependencias críticas (suministro eléctrico, p. ej.), la capacidad de pro ceso y de almacenamiento quedan garantizadas y mantenidas.

� Poner a prueba el Plan de Continuidad de Negocio a lo largo de toda la cadena de provisión de servicios.

29

Security & Resilience in Governmental clouds

Escenarios

1.Cloud para sanidad: uso del cloud computing en la implementación de un servicio de Historias clínicas, a nivel nacional, regional y local.

2.Administraciones locales: Servicios p úblicos electrónicos.

3.Cloud de la Administración como incubadora de empresas.

Muchas gracias por su atención

www.inteco.es