Foro de seguridad RedIRIS 2012

X Foro de seguridad RedIRIS

El Esquema Nacional de Seguridad y la seguridad en las Sedes Electrónicas

ENS. Estado de situación y retos próximos

El objetivo de la exposición es tratar el estado de situación del Esquema Nacion al de Seguridad a la fecha, exponer los retos principales que se presentan al ab ordar la adecuación al mismo, informar sobre las guías CCN-STIC y otros instrum entos ofrecidos para facilitar su implantación y, finalmente, tratar la relación del Esquema Nacional de Seguridad con las normas UNE/ISO 27001 y 27002.

Servicios CCN-CERT

El objetivo de la exposición es presentar los servicios que proporciona el CCN-CERT para dar cumplimiento a lo establecido en los Art 36 y 37 del ENS, centrando la exposición en la respuesta ante incidentes, la publicación de mejores prácticas de seguridad, el plan de formación presencial y on-line y las vulnerabilidades y amenazas disponibles en el portal. Asimismo se presentarán las conclusiones del informe “Amenazas 2011 Tendencias 2012” que publica a principios de año el CERT gubernamental español.

Análisis y tratamiento de Riesgos con PILAR

Ante la necesidad de adaptación de las Administraciones Públicas al ENS (Esquema Nacional de Seguridad), el CCN (Centro Criptológico Nacional) a través del CCN-CERT (Computer Emergency Reaction Team) está desarrollando una programación que incluye información, formación, recomendaciones y herramientas para facilitar la adaptación al ENS. Entre las herramientas propuestas se encuentra PILAR que sirve como apoyo para la realización de la fase de análisis y gestión de riesgos siguiendo la metodología Magerit V2.
El hecho de decidirnos en la UPCT por el uso de esta herramienta viene justificado por varios motivos. Por un lado nos ha permitido evaluar el estado de seguridad de de nuestros sistemas así como su modelado, identificando y valorando sus activos e identificando y valorando las amenazas que se ciernen sobre ellos. A partir de este modelado se ha realizado una estimación del riesgo potencial al que estaban expuestos estos sistemas así como el riesgo residual asumible.
Por otro lado nuestra institución es consciente de que el análisis y tratamiento de riesgos de nuestros sistemas debe mantenerse actualizado de forma permanente ya que a lo largo del ciclo de vida de dichos sistemas surgen nuevos activos y amenazas. En este sentido la herramienta PILAR nos ha proporcionado funcionalidades que nos permiten reflejar la adaptación de nuestros modelos a esta evolución.
El objetivo del taller es describir el uso práctico y real de la herramienta PILAR de forma que sirva de complemento a la presentación realizada por el Jefe de la Unidad de Informática de la UPCT. Se mostrarán pues ejemplos prácticos de sistemas reales ilustrando cada una de las fases del proceso de modelado, análisis y gestión de riesgos con PILAR que incluye:

  • Análisis de Riesgos
    • Identificación
    • Clases de activos
    • Dependencias
    • Valoración de activos
  • Amenazas
    • Vulnerabilidad de los dominios
    • Identificación y valoración de las amenazas
  • Impacto y Riesgo

En conclusión queremos compartir desde un punto de vista práctico la experiencia de nuestra Universidad en el uso de la herramienta Pilar para el análisis y gestión de la seguridad en nuestros sistemas con la esperanza que sirva de ayuda para otras instituciones.

Intercambios seguros de datos en la Universidad de Murcia

En esta presentación se desglosará la estrategia de interoperabilidad de la Universidad de Murcia y se describirán las diferentes iniciativas de intercambios seguros de datos abiertas con diferentes entidades, prestando especial atención a diferentes aspectos tecnológicos y a la adaptación a los principios del ENS y ENI.
El índice de esta presentación tratará los siguientes temas:

  • Infraestructura tecnológica de interoperabilidad
  • Obtención de datos personales a través de la plataforma de intermediación de la Red SARA
  • Obtención/envío de datos personales desde/hacia la Comunidad Autónoma de la Región de Murcia
  • Explotación interna de los datos: Portal Volantes de Datos Personales
  • Retos y vías futuras

RedIRIS y el Esquema Nacional de Seguridad

En esta presentación se expondrá el papel que RedIRIS querría jugar para apoyar a las instituciones afiliadas, que así lo necesiten, en la implantación del ENS. Se presentará también el estado de implantación actual del ENS en la comunidad como resultado de la encuesta sobre el tema lanzada durante este último mes, así como las inicitivas surgidas en el seno del Grupo de Trabajo sobre el Esquema Nacional de Seguridad en RedIRIS.

Mesa redonda: Esquema Nacional de Seguridad: Experiencias reales de implantación

Se mostrarán diferentes experiencias de implantación, valorando la situación de partida, la planificación inicial del proyecto y los recursos disponibles puestos a su disposición. Comentaremos la situación actual de cada uno de los proyectos y debatiremos sobre las dificultades encontradas en el proceso, tanto tecnológicas como organizativas, y las posibles alternativas para superarlas.

Inteligencia Operacional: Del grep al cuadro de mandos

El análisis en tiempo real del comportamiento de los sistemas permite disponer de un alto grado de visibilidad, facilita la detección proactiva de anomalías, como de posibles incidentes de seguridad y/o intrusiones.
Entre las diferentes soluciones posibles, exploraremos las ventajas que ofrece la combinación de herramientas de correlación de eventos de seguridad con herramientas de preservación y catalogación de logs.

Framework DNIe

Framework DNIe, es una iniciativa, lanzada, desarrollada y financiada por la entidad pública empresarial Red.es, con el objetivo de realizar una solución software, de fuentes abiertas, que facilite el uso y la creación de nuevas aplicaciones y soluciones con el DNI electrónico, de manera rápida y sencilla.
El objetivo principal del proyecto es impulsar el desarrollo de soluciones con DNI electrónico, a través de una completa plataforma en software de fuentes abiertas (SFA) para el desarrollo rápido y sencillo de aplicaciones basadas en el uso del DNI electrónico (> 25 Millones de DNIe ya expedidos), con el objetivo de:

  • Facilitar la rápida incorporación al mercado de nuevas soluciones y servicios que potencien el uso de las capacidades electrónicas del DNIe.
  • Reducir el gap tecnológico y de inversión que actualmente existe para la incorporación de este tipo de soluciones.
De cara a este objetivo es clave que la plataforma sea open source, de forma que la comunidad de programadores tenga todas las facilidades para incorporar mejoras a la plataforma y nuevas soluciones que trabajen sobre ella.
El proyecto Framework DNIe es un conjunto de librerías, componentes y, en general, distintos módulos software que implementan las funcionalidades del DNIe en diferentes plataformas y lenguajes, abstrayendo la complejidad de los drivers, facilitando el desarrollo de nuevos aplicativos y servicios o ayudando a su integración por parte de las empresas, investigadores y programadores. Asimismo, se han desarrollado Aplicativos de ejemplo basados en el Framework que ilustren el uso del mismo, en el ámbito de la autenticación y la firma electrónica.
Todo el software desarrollado se ha implementado conforme a las directrices y reglas de los Perfiles de Protección del DNIe, para facilitar, en su caso, la posterior certificación.

Cómo acometer un proyecto de adecuación al ENS en tiempos de crisis

Todas las administraciones públicas tienen el deber de adecuarse al ENS. La dificultad de encarar dicho proyecto, ya de por sí exigente, se está viendo incrementada en los últimos tiempos por los recortes presupuestarios que se están aplicando de manera generalizada en todas las administraciones públicas. Sin embargo, incluso en estas condiciones es posible llevar a cabo una adecuación efectiva a las exigencias del Esquema Nacional de Seguridad, diseñando un proyecto que exprima las posibilidades que ofrece el ENS y aproveche todo su potencial para lograr una gestión de la seguridad austera y eficaz al mismo tiempo. Con el fin de demostrar esta afirmación, a lo largo de la ponencia se presentarán algunas de las experiencias más destacables vividas por Nextel en los proyectos de adecuación al ENS que actualmente está realizando y se indicará cómo se han abordado las diferentes dificultades hasta lograr un proceso de gestión de la seguridad eficiente y eficaz.

PKCS#11 for fun an nonprofit

En la presente charla se muestra un ejemplo práctico de un ataque contra arquitecturas de autenticación de usuario usando dipositivos externos. En este caso, se presentará la implementación sobre PKCS#11 usado para la autorización y firma de soluciones basadas en el DNIe.

Impacto en recursos y presupuesto en el despliegue de las medidas de protección del ENS

En esta presentación se dará una visión del esfuerzo necesario en cuanto a recursos humanos, tiempo invertido y presupuestos que conllevan el Marco Organizativo, el Marco Operacional y las Medidas de Protección del ENS, basado en la experiencia de proyectos similares acometidos por una empresa de servicios como GMV.