Abrir sesión
logo

DEFENSA FRENTE A LAS CIBERAMENAZAS

barra-separadora

I. Alcance

1. ¿Cuál es el alcance del Centro de Operaciones de Ciberseguridad (SOC de la AGE)? ¿Sólo AGE, o también otras administraciones?

El alcance del Centro de Operaciones de Ciberseguridad es la AGE y sus organismos públicos.

2. El Centro de Operaciones de Ciberseguridad, ¿abarca solo la seguridad perimetral? ¿Incluye aspectos de seguridad interna, seguridad en puesto de trabajo, seguridad en LAN, etc.?

El Centro de Operaciones de Ciberseguridad persigue la protección de la seguridad perimetral de la Administración General del Estado y sus Organismos Públicos frente a amenazas externas, mediante la prestación de servicios horizontales de Ciberseguridad. Se concibe como una infraestructura global y única complementaria al servicio compartido de Telecomunicaciones.

Supone la evolución del modelo actual hacia un modelo integral que favorezca la coordinación interdepartamental, permitiendo a cada entidad establecer sus propias políticas de seguridad y facilitando el intercambio de información.

A medio plazo se podrá hacer cargo de la gestión de ciertos elementos de seguridad interna, es decir de dispositivos de seguridad que protegen los servicios internos y segmentan la red de las entidades, como cortafuegos internos; y operará otros elementos de seguridad que puedan tener las entidades en su red interna como por ejemplo sistemas de detección o prevención de intrusiones (excluyendo dispositivos especializados en seguridad de LAN).

No se descarta en fases futuras, una vez establecido el servicio, la posibilidad de gestión de puntos finales (end points).

Por otra parte, un subconjunto notable de las medidas de seguridad contempladas en el anexo II del Esquema Nacional de Seguridad puede ser satisfecho mediante los servicios de seguridad que se prestan en el catálogo del Centro de Operaciones de Ciberseguridad. Se trata, principalmente, de medidas relativas a la protección de las comunicaciones, a la protección de los servicios (navegación por Internet, correo seguro, acceso remoto, etc.), la detección de intrusiones, la gestión de incidentes de seguridad, la continuidad de los servicios, entre otras.

II. Adhesión

3. ¿Cuál es el modo de adhesión al Centro de Operaciones de Ciberseguridad? ¿Es opcional adherirse o se van a parar contratos de seguridad de las Entidades?

Se contempla que la adhesión al Centro de Operaciones de Ciberseguridad se realice mediante una manifestación de interés.

Se trataría de un modelo ya aplicado en el servicio de alerta temprana (SAT) del CCN-CERT sobre la base de una carta o un documento de compromiso firmado.

Inicialmente, se comenzaría con un primer conjunto de entidades voluntarias que expresen su interés por adherirse al servicio.

4. ¿Es posible de adscripción parcial al servicio del Centro de Operaciones de Ciberseguridad?

La seguridad perimetral se aplica en bloque.

La parte de seguridad interna es opcional, pero si se elige se aplicaría de forma incremental.

5. ¿Cuáles son los requisitos de adhesión? ¿Es necesario estar adscrito al Lote 3 del concurso de comunicaciones centralizado?

Sí, es necesario estar adscrito al lote 3 del concurso centralizado de comunicaciones, es decir, a la salida centralizada a Internet de la AGE.

En efecto, el servicio de acceso a Internet debe ser provisto por el Lote 3 del contrato de Servicios consolidados de telecomunicaciones de la Administración General del Estado Fase 1 (expediente 05/14) y las futuras evoluciones de éste.

6. ¿Es posible la adaptación de funcionalidades a lo requerido por Entidades? ¿Es posible la inclusión de algunas funcionalidades no inicialmente incluidas en catálogo de servicios del Centro de Operaciones de Ciberseguridad?

En primer lugar, hay que decir que los servicios se proporcionarán desde una perspectiva multi-cliente.

Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Ciberseguridad de la AGE y sus Organismos Públicos.

Habrá un catálogo con servicios estandarizados que permita economías de escala. Si se actualiza con nuevos servicios, estarán disponibles para los usuarios.

Estos servicios se implantarán de manera progresiva, ampliándose gradualmente el alcance del servicio ofrecido, de acuerdo con su proyecto de desarrollo.

Además, según la demanda de las entidades y la evolución del escenario de Ciberamenazas en el tiempo, se realizará una evolución progresiva del servicio durante su fase de explotación, con el objetivo de obtener una mejora continua del nivel de seguridad ofrecido.

Si se solicita algo nuevo adicional se estudiará. Se tratará de un catálogo vivo y se actualizará, aunque en principio habrá que concentrarse en las funcionalidades más concretas.

Se tratará de ofrecer servicios adaptados a las necesidades específicas de las distintas Entidades que se adhieran al servicio.

Por su naturaleza centralizada, el Centro de Operaciones de Ciberseguridad facilitará tanto la implantación de las herramientas y/o tecnologías más adecuadas en cada momento, como la adopción de las medidas oportunas para una defensa eficiente.

7. ¿Se contemplan entornos de preproducción del Centro de Operaciones de Ciberseguridad para pruebas de nuevos aplicativos de la entidad o cambios en aplicativos existentes?

, está previsto. El Centro de Operaciones de Ciberseguridad tendrá entornos de preproducción.

El entorno de preproducción continuará perteneciendo al organismo. Desde el Centro de Operaciones de Ciberseguridad se podrán monitorizar las conexiones a los entornos de preproducción expuestos en Internet.

8. ¿Es posible la integración en el Centro de Operaciones de Ciberseguridad cuando se utilizan modelos de CPD en hosting propios de cada entidad, o de distribución de contenidos?

Si se tiene el CPD en hosting también se puede tener el servicio del Centro de Operaciones de Ciberseguridad, siempre que el hosting esté adscrito al Lote 3.

10. ¿Cuáles son los plazos de disponibilidad del Centro de Operaciones de Ciberseguridad?

FASE 1 (2018 – 31 de julio de 2018). Implantación y consolidación del servicio.

  • Actividad 1.1: Creación de la División de Planificación y Coordinación de Ciberseguridad.
  • Actividad 1.2: Definición de los parámetros y niveles de servicio.
  • Actividad 1.3: Adquisición e instalación de la infraestructura técnica.
  • Actividad 1.4: Implantación de servicios básicos de Ciberseguridad.
  • Actividad 1.5: Incorporación de primeras entidades.

FASE 2 (2019, 1 de enero de 2019). Extensión del servicio.

  • Actividad 2.1: Extensión del servicio a todo el ámbito de aplicación del Acuerdo de Consejo de Ministros.
  • Actividad 2.2: Inclusión de nuevos servicios avanzados de Ciberseguridad.

III. Interlocución

11. ¿Cuáles son los datos de contacto a los que dirigirse para solicitar más información o la adhesión al Centro de Operaciones de Ciberseguridad?

Se ofrecerá dentro del soporte un punto de contacto, un buzón al cual dirigirse para solicitar la adhesión o más información: Mail SOC-AGE

13. ¿Cuál es el modelo de gestión y el método de interlocución de las Entidades con el Centro de Operaciones de Ciberseguridad?

La interlocución es conjunta de SGAD y CCN a través del punto de contacto o buzón Mail SOC-AGE.

En la entidad, el Responsable de Seguridad y el personal técnico filtrarán y escalarán las cuestiones a trasladar.

IV. Responsabilidad

14. ¿Quién hace qué en el Centro de Operaciones de Ciberseguridad?

La responsabilidad sobre el Centro de Operaciones de Ciberseguridad corresponde a la Secretaría General de Administración Digital (SGAD), en desarrollo de las competencias atribuidas por el artículo 14.2.a) del Real Decreto 769/2017, de 28 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio de Hacienda y Función Pública*, que ejercerá la dirección estratégica del Centro de Operaciones de Ciberseguridad a través de la División de Planificación y Coordinación de Ciberseguridad.

La operación del servicio del Centro de Operaciones de Ciberseguridad correrá a cargo del CCN-CERT, según las competencias atribuidas por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Corresponden a la Secretaría General de Administración Digital las siguientes funciones:

  • Definición del marco estratégico de actuación, que incluirá entre otras actuaciones: definición del servicio (parámetros, procesos asociados, etc.), del marco de relaciones con las entidades usuarias, de los canales de comunicación e informativos, etc. Tanto para el servicio inicial como para su evolución y ampliación posteriores.
  • Dirección técnica del proyecto de implantación, de los proyectos de evolución del servicio y de los proyectos de integración de entidades. Realización de un plan anual de actuaciones que incluirá actividades a realizar y recursos asociados.
  • Seguimiento y gestión del servicio, incluyendo la coordinación con los Responsables de Seguridad de las entidades y otros actores involucrados, y la gestión de las incorporaciones de nuevas entidades al servicio.
  • Coordinación técnica de los proyectos de integración con las infraestructuras técnicas de terceros, tanto las de las entidades que se adhieren al servicio, como las infraestructuras compartidas y transversales que ofrece la SGAD al resto de la AGE.
  • Coordinación de la respuesta ante incidentes de seguridad entre los diferentes agentes afectados, y de las posteriores labores de apoyo a las entidades que han padecido un incidente. Esta función deberá poder realizarse en horario ininterrumpido, con el fin de poder coordinar respuestas inmediatas a los incidentes detectados.
  • Difusión y promoción del servicio.

Corresponde al Centro Criptológico Nacional (CCN) adscrito al Centro Nacional de Inteligencia, en coordinación con la Secretaría General de Administración Digital y en el marco de la estrategia de acción definida, las funciones de operaciones e inteligencia de Ciberseguridad, que incluirán las siguientes:

  • Implantación de la infraestructura técnica y servicios de seguridad.
  • Definición de procedimientos de operación de Ciberseguridad.
  • Operación de Ciberseguridad, incluida la operación, monitorización y actualización de dispositivos de defensa perimetrales.
  • Detección, respuesta coordinada y soporte a la resolución de incidentes de seguridad.
  • Soporte a la investigación de ciberataques y ciberamenazas.
  • Análisis de vulnerabilidades de aplicaciones y servicios.
  • Servicios anti-abuso de identidad digital

* …y se modifica el Real Decreto 424/2016, de 11 de noviembre, por el que se establece la estructura orgánica básica de los departamentos ministeriales

15. ¿Cuál es la asunción de responsabilidades en caso de incidente? ¿Qué corresponde al Centro de Operaciones de Ciberseguridad y qué al responsable de seguridad/sistema/información de cada entidad?

La entidad a través de su responsable de seguridad mantiene su responsabilidad en cuanto a la protección de la información y servicios a su cargo.

El Centro de Operaciones de Ciberseguridad aplica las medidas previstas en el servicio. Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Ciberseguridad de la AGE y sus Organismo Públicos.

El personal del Centro de Operaciones de Ciberseguridad podrá encargarse de la gestión de los incidentes de seguridad de las Entidades, incluyendo los diversos niveles.

Así, podrá gestionar tanto los incidentes considerados de prioridad baja o media, como los considerados de muy alta prioridad o críticos.

Quedará a criterio de la Entidad si el personal del Centro de Operaciones de Ciberseguridad realiza la gestión completa incluyendo la interlocución a través de LUCIA o se limita a la gestión puramente operativa del mismo.

16. ¿Qué ocurre con la obligación de notificación de incidentes? ¿La asume el Centro de Operaciones de Ciberseguridad o la entidad?

La entidad tiene la obligación de realizar la notificación de los incidentes que le afecten.

18. En la actuación ante emergencias, ¿cuál es el grado de independencia o autonomía del Centro de Operaciones de Ciberseguridad?

Habrá una matriz de escalado.

Cada entidad verá qué delega y qué no (qué pre autoriza y qué no).

Como se ha dicho, el personal del Centro de Operaciones de Ciberseguridad podrá encargarse de la gestión de los incidentes de seguridad de las Entidades, incluyendo los diversos niveles. Así, podrá gestionar tanto los incidentes considerados de prioridad baja o media, como los considerados de muy alta prioridad o críticos.

Quedará a criterio de la Entidad si el personal del Centro de Operaciones de Ciberseguridad realiza la gestión completa incluyendo la interlocución a través de LUCIA o se limita a la gestión puramente operativa del mismo.

19. En cuanto a la responsabilidad del Centro de Operaciones de Ciberseguridad sobre calidad de servicio (tiempos de respuesta, disponibilidad, etc.) percibida por los usuarios finales. ¿Habrá acuerdos de nivel de servicio (ANS)?

Se definirán unos acuerdos de nivel de servicio (ANS) para garantizar la calidad de los servicios ofrecidos.

Se contempla la existencia de indicadores del servicio que se compartirán con las entidades usuarias.

Se definirán ANS para poder garantizar un servicio ágil en la resolución de las necesidades de las Entidades, considerando los distintos niveles de criticidad o urgencia que pueda tener cada incidencia/incidente.

Se establecerán canales ágiles de comunicación para las consideradas muy urgentes. El enfoque de la arquitectura es multitenant, por lo que podrán implementarse configuraciones diferentes ante necesidades específicas de una Entidad.

21. En cuanto al soporte del Centro de Operaciones de Ciberseguridad a aplicativos con vulnerabilidades detectadas. ¿Se dará apoyo en la corrección?

Se dispondrá de herramientas automáticas de análisis de vulnerabilidades en diversos sistemas operativos que analizarán entre otras cosas, puertos, servicios, y que intentarán la explotación de las vulnerabilidades encontradas, realizando un informe que será remitido a las Entidades.

Pero no se contempla el apoyo a la corrección de vulnerabilidades detectadas en aplicativos.

22. ¿En quién recae la decisión sobre la seguridad aplicada a cada Entidad, en el responsable de seguridad de las Entidades o es centralizada?

Lo que aplica en cada entidad es decisión de la propia entidad de acuerdo con su política, en función de sus necesidades.

Cada Entidad podrá prescribir sus propias políticas de seguridad, que serán implementadas y gestionadas por personal especializado del Centro de Operaciones de Seguridad de la AGE y sus Organismo Públicos.

El Centro de Operaciones de Ciberseguridad aplica lo solicitado.

25. ¿Cuál es el modelo de apoyo del Centro de Operaciones de Ciberseguridad a investigaciones judiciales o de otro tipo mediante evidencias almacenadas en los sistemas del mismo?

Mediante orden judicial.

Los logs que pueda custodiar el Centro de Operaciones de Ciberseguridad son propiedad de la entidad.

Se pondrá también a disposición de las Entidades la posibilidad de realización, previa justificación de la petición, de análisis forenses en aquellos casos que vayan a requerir actuación judicial.

La compra de los soportes informáticos para ser entregados al juzgado o a una de las partes implicadas en el proceso, así como la custodia de los mismos por un tercero, correrá a cuenta de la Entidad.

V. Presupuesto y contratación

26. ¿Presupuesto? ¿Se detrae del presupuesto de las Entidades interesadas en adscribirse?

Los servicios centralizados no dan lugar a que se detraiga del presupuesto.

Si se asumen ciertos aspectos de seguridad interna, como la adquisición de equipamiento no contemplado entre el soportado por el Centro de Operaciones de Ciberseguridad correría a cargo de la entidad (tú lo adquieres yo lo opero).

27. ¿Será compatible con otros servicios que presta actualmente el CCN? (por ejemplo, SAT-INET, herramientas del CCN, etc.)

Sí, en general.

Además, se puede ofrecer un mejor servicio al posibilitar una mayor interoperabilidad entre diferentes elementos de seguridad.

VI. Otras cuestiones

28. Las referencias a los sistemas anti-spam y similares asociados al correo no dejan claro cómo funcionarían: ¿Una MTA común? ¿Sólo para el correo multidominio?

Los organismos adscritos pueden delegar toda su seguridad en el Centro de Operaciones de Ciberseguridad de la AGE o contemplarlo como un sistema de seguridad perimetral. Por ello, el análisis de los protocolos de correo electrónico se realizará de modo transparente. Si el organismo se adscribe al correo multidominio se le podrá realizar un mayor análisis.

La arquitectura planteada es multitenant en todos sus elementos, también en los sistemas de protección del correo, por lo que, si fuera necesario, podrían aplicarse distintas configuraciones para cada entidad.

Téngase en cuenta que si bien la idea del proyecto es uniformizar en lo posible la seguridad aplicada a las Entidades adscritas para aplicar la que se considera óptima, el diseño está enfocado a poder implementar para cada Entidad aquellos aspectos en los que se necesiten políticas diferentes. Para ello, se plantea toda la arquitectura como multitenant.

29. La arquitectura en dos capas plantea dudas sobre qué va a haber en el primer nivel común, pues ni puede reducirse a un "modo escucha" ni puede suponer un problema para el funcionamiento de los sistemas.

Es un sistema de análisis de seguridad de las conexiones salientes y entrantes con la incorporación de la seguridad perimetral de los organismos que se adscriban. El sistema contempla varias capas y grupos de funcionamiento.

30. El descifrado SSL es especialmente delicado ¿quién va a tener acceso a esa información? ¿Cómo se va a hacer, acumulando los certificados de todos los servidores? ¿Qué garantías hay de qué se hace con los datos descifrados?

El descifrado se realizará para dar protección a los servicios expuestos por los organismos adscritos al programa y en las salidas a Internet. Se exceptuarán salidas a programas financieros o de salud y más categorías. Actualmente, se está trabajando en las excepciones a tratar en el protocolo SSL.

Los certificados de los organismos adscritos se encontrarán en los HSM del Centro de Operaciones de Ciberseguridad de la AGE; el mismo promoverá un certificado a los organismos adscritos para realizar la supervisión del SSL e interceptar el tráfico de código dañino y malware sobre SSL.

Serán los dispositivos de seguridad los que hagan principalmente el tratamiento de tráfico en claro, para aplicar las protecciones que tengan previstas.

Lógicamente, el personal del Centro de Operaciones de Ciberseguridad deberá tener también acceso a ese tráfico para poder resolver problemas u optimizar configuraciones, de igual manera que lo tienen en la actualidad los técnicos de seguridad de las Entidades que se adscriban, a los que el personal del Centro de Operaciones de Ciberseguridad reemplaza.

Por supuesto, a todo el personal del Centro de Operaciones de Ciberseguridad se le exige absoluta confidencialidad, y habrán firmado los consiguientes acuerdos para ello. Los administradores utilizarán usuarios que los identifiquen plenamente y se activarán en general mecanismos de auditoría de acceso a los logs de los dispositivos de seguridad.

Será necesario que el elemento de la arquitectura que realice el descifrado del acceso SSL a las aplicaciones de aquellas Entidades que así lo quieran, tenga instalados los certificados de todas las aplicaciones a las que protege, por supuesto, custodiados con las suficientes garantías. En cuanto al descifrado del tráfico de navegación de las Entidades, con toda probabilidad será necesario distribuir un certificado raíz de confianza a todos los clientes de cada Entidad. Se tratará en todo caso con las entidades de manera previa a su migración. Se podrán exceptuar de análisis las categorías que se consideren más conflictivas para cada Entidad, como salud, accesos a datos financieros, etc.

32. El Centro de Operaciones de Ciberseguridad ha de tener una visión tecnológica abierta porque se trabaja con una visión para dentro de tres años y no puede ser rígida ante un entorno en rápida evolución. Por ejemplo: ¿dentro de tres años seguirá hablándose de WAF o habrá otra tecnología sustitutiva?

Se quiere que el proyecto sea lo más genérico posible y a la vez cuente con las capacidades para ceñirse a las especificaciones de cada organismo adscrito. El trabajo actual se enfoca a tener un dimensionamiento de tráfico y tecnologías del mayor número de organismos. Por ejemplo, se tiene en cuenta que los aceleradores de SSL pueden trabajar con nuevas especificaciones criptográficas.

La idea es que el Centro de Operaciones de Ciberseguridad pueda evolucionar para seguir ofreciendo siempre las que se consideren mejores protecciones disponibles en el mercado.

33. Hay elementos, como WAF, que aún en entornos más pequeños resultan de difícil configuración

Ciertamente es uno de los elementos más difíciles de configurar para evitar que afecte a las aplicaciones de las Entidades. Por ello, se deberá contar con la colaboración de personal de las Entidades afectadas, incluyendo responsables de aplicaciones.

Será una interlocución tanto en la primera implantación como cuando se evolucionen las aplicaciones. Las herramientas de gestión de incidencias permitirán esa comunicación fluida.

34. Las referencias al DNS propio ¿se refieren al DNS externo o sólo al interno?

Es un DNS externo para los organismos, para tener una fuente de información en la detección de ciberataques y contactos de “Command and Control” procedentes de códigos dañinos. El servicio de DNS realizará tareas de proxy con los DNS de Externo, sin dar un servicio de publicación de nombres en Internet.

No se refieren a los DNS externos, entendiendo como tales los que albergan los dominios publicados en Internet, ya que esta gestión se realiza desde el Lote 3 del concurso de comunicaciones centralizado.

Lo que se ofrece en este servicio es una nueva plataforma DNS adicional que ejercerá como proxy en aquellas peticiones DNS realizadas en navegación de usuarios. De esta manera, se podrán habilitar protecciones adicionales que permitan impedir conexiones con servidores de "Command and Control" conocidos y permitirá además disponer de una fuente de información en la detección de ataques y de código dañino en las Entidades para su posterior tratamiento.

36. ¿La integración de una entidad en el Centro de Operaciones de Ciberseguridad supone el despliegue de equipamiento en la misma?

No, el equipamiento se ubica en la zona de protección perimetral del acceso centralizado a Internet de la AGE.

Volver

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración