Upload
william-forero-cruz
View
9
Download
1
Embed Size (px)
DESCRIPTION
E pulpo - oswc
Citation preview
e-PULPO: Software libre
para la gestión de LOPD,
SGSI, ENS, ITIL
Página 2 de 9
Autor Andrés Méndez Barco <amendez @ ingenia.es>
Responsable de la Unidad de Producción de Estrategias de Seguridad
y Sistemas
Licencia Creative Commons Reconocimiento-CompartirIgual 3.0 España
<http://creativecommons.org/licenses/by-sa/3.0/es/>
1 Legislación y sistemas de gestión para IT
Hoy día las organizaciones se apoyan fuertemente en los sistemas de información
para realizar o soportar sus actividades. Esto provoca una dependencia de las
organizaciones con los sistemas de información.
Esta dependencia de la tecnología ha conllevado la regulación de su uso con
legislación, tenemos ejemplos de ello en España con la Ley Orgánica de
Protección de Datos de Carácter Personal (L.O. 15/1999), su Reglamento de
Desarrollo (R.D. 1720/2007), la Ley de Acceso Electrónico de los Ciudadanos
a los Servicios Públicos (L. 11/2007) o el nuevo Esquema Nacional de
Seguridad (R.D. 3/2010).
Paralelamente al desarrollo de esta legislación, se han ido creando modelos de
gestión para las tecnologías, de forma que se apliquen las mejores prácticas y se
pueda acreditar frente al cliente la aplicación de las mismas, como es el caso de un
Sistema de Gestión de Seguridad de la Información (certificable bajo la norma
ISO 27001), un Sistema de Gestión de Servicios de Tecnologías de la
Información (certificable bajo la norma ISO 20000-1), etc.
Página 3 de 9
Si analizamos los requisitos que imponen la legislación y las mejores prácticas nos
encontramos con muchas similitudes:
Módulo SGSI ENS LOPD ITIL (SGTI)
Activos Activos con valor (desde sistemas hasta servicios)
Activos con valor (desde sistemas hasta servicios)
Ficheros con DCP1 Sistemas (HW y SW)
Análisis de riesgos
Sí Sí Lo proporciona en función del nivel del DCP
No
Documentación Política, Normativa, Procedimientos
Política, Normativa, Procedimientos
Documento de Seguridad
Procedimientos
Incidencias Incidencias de seguridad
Incidencias de seguridad
Restauración de backup, etc.
Incidencias de sistemas, solicitudes
Formación Difusión SGSI Formación del personal involucrado
Aceptación de los responsables
Difusión procedimientos
Indicadores Métricas e indicadores Sistema de métricas SLA
Auditoría Anual (ISO 27001) Bienal Bienal Anual (ISO 20000-1)
2 El reto del cumplimiento
Llegados a este punto tenemos que responder a una serie de preguntas que se
hace cualquier organización:
1) ¿Cómo puede abordar una organización el cumplimiento de la legislación y la
aplicación de las mejores prácticas sin incurrir en una burocratización
excesiva o una alta dedicación al mantenimiento de la misma?
Utilizando herramientas software que alivien y automaticen las labores de su
mantenimiento y control.
1 DCP: Dato de Carácter Personal (nombre, dirección, teléfono, e-mail, creencias religiosas,
estado de salud, afiliación sindical, etc.).
Página 4 de 9
2) ¿Cómo evitamos aumentar el gasto en software?
No desarrollando nuestras propias aplicaciones, sino utilizando las existentes.
3) ¿Cómo evitamos aumentar el gasto en licencias de software?
¡Empleando software libre!
4) ¿Cómo evitamos la duplicidad y obsolescencia de los datos?
Reaprovechando los datos existentes y manteniéndolos actualizados, en la medida
de lo posible, automáticamente.
3 Software libre para el cumplimiento de LOPD, ENS, SGSI y SGTI
Gracias al conocimiento que tenemos en proyectos de consultoría y adaptación
(LOPD, SGSI, etc.), teníamos ya identificados cuáles eran los procesos que debía
soportar la aplicación que necesitábamos.
A continuación buscamos cuáles eran las herramientas de software libre más
adecuadas para cubrir cada necesidad, buscando que cumplieran estas premisas:
- Estuvieran basadas en proyectos de varios años y con una fuerte comunidad
de desarrolladores
- Fueran herramientas conocidas entre los potenciales clientes, para reducir la
curva de aprendizaje
Esta tarea no fue compleja gracias a la experiencia que teníamos en el uso e
implantación de herramientas de software libre, no obstante nos encontramos con
dos hándicaps:
1.- Las herramientas de software libre necesarias para cubrir cada campo se
encontraban inconexas unas con otras en la mayoría de los casos.
Página 5 de 9
2.- No existían herramientas de software libre públicas para todo lo que requería el
cumplimiento de los objetivos que nos habíamos propuesto: Poder gestionar los
requisitos de LOPD, ENS, SGSI y SGTI.
Para resolver estos escollos, Ingenia abordó este proyecto como una labor tanto de
integración como de desarrollo.
Finalmente nos encontramos con un conjunto de procesos administrativos (desde el
punto de vista del usuario) y herramientas (desde el punto de vista tecnológico) a
integrar, lo que dio como resultado el nombre del producto que íbamos a liberar:
e-PULPO
Plataforma de Unificación Lógica de los Procesos Organizativos
3.1 Herramientas de software libre en las que se basa e-PULPO
NOTA: En este apartado se muestran en negrita las aplicaciones empleadas, y
sombreadas en amarillo las etapas de un proyecto de adecuación.
Se montó la solución sobre un sistema operativo base, de forma que se pudiera
desplegar en un cliente como una instalación única, y no como la instalación de
múltiples componentes. El elegido fue CentOS.
Para unificar los usuarios se utilizó una única fuente basada en CentOS Directory
Server.
Para aportar una experiencia única de usuario, se integraron todos los usuarios
bajo el gestor de contenidos Drupal.
Página 6 de 9
Para unificar el inicio de sesión se utilizó Central Authentication Service de
Jasig.
Una vez se han puesto los mimbres de e-PULPO, iremos mostrando cómo, desde el
punto de vista de un usuario final, se han ido integrando las distintas herramientas
de software libre para dar soporte, por ejemplo, a la gestión de los requisitos del
Esquema Nacional de Seguridad, que se asemeja mucho con los de un Sistema de
Gestión de Seguridad de la Información.
A continuación, lo primero que se necesita en un proyecto de adecuación de este
tipo es un inventario de activos. Para ello se optó por OCS Inventory Next
Generation.
Esta solución permite inventariar todo el hardware y software de cada equipo,
proporcionando entre otros información sobre la capacidad de almacenamiento para
la gestión de la capacidad.
No obstante, OCS Inventory NG simplemente inventaría, aunque también permite
identificar equipos que no hayan sido inventariados y desplegar paquetes software.
Esto significa que no aporta información de gestión. Para cubrir esa carencia se
integró con GLPI (Gestionnaire Libre de Parc Informatique), que aporta:
- Gestión de responsables técnicos
- Gestión de proveedores y contactos
- Gestión de contratos
- Gestión de tickets
- Gestión de reservas y planificaciones
- Gestión de notas y FAQ
Otra carencia de OCS Inventory NG es que se basa en el despliegue de agentes
para realizar el inventario, lo que impide su uso para inventariar dispositivos en los
que no se pueda instalar el agente, como son los switches, routers, firewalls,
Página 7 de 9
impresoras de red, SAIs, etc. Para cubrir esa carencia apostamos por el plugin de
GLPI Tracker.
Gracias a ese plugin se pueden inventariar de forma automática dichos elementos
mediante SNMP, y asociar de forma automática las conexiones de red entre los
dispositivos, lo que unido al plugin de GLPI Arquitectura de Red nos permite
generar automáticamente la arquitectura de seguridad.
Existen otro tipo de activos, fundamentales en un análisis de riesgos, que no son
automática o fácilmente inventariables, como los servicios, las personas, los
lugares, etc. Para poder inventariarlos Ingenia desarrolló el plugin de GLPI Activo
genérico de forma que se cubriera dicha carencia.
Una vez con el inventario de activos levantado se puede dar el siguiente paso, el
análisis de riesgos.
Para cubrir este aspecto nos basamos en una integración con la herramienta PILAR
(Proceso Informático Lógico de Análisis y gestión de Riesgos). Dicha herramienta no
es de software libre, pero su desarrollo se encuentra controlado por el Centro
Criptológico Nacional, lo que le proporciona confiabilidad en el código y gratuidad
para las administraciones públicas españolas.
PILAR nos proporciona, entre otros:
- Valoración de los activos
- Valoración del grado de madurez de las salvaguardas
- Gestión de los riesgos
- Análisis de impacto en la continuidad del negocio
- Visión del nivel de madurez con respecto al ENS, LOPD, o ISO 27002 sin
aumentar el esfuerzo
Página 8 de 9
Como resultado de la gestión de riesgos, será necesario poner en marcha distintas
líneas de actuación, cuyo control y responsabilidad podremos gestionar mediante
dotProject, una herramienta para la gestión de proyectos de toda índole.
Uno de esos proyectos puede ser el elaborar o gestionar documentos, como la
política de seguridad, normativa, procedimientos, etc. Para ello contamos con el
gestor documental Alfresco, que nos permite gestionar versiones de documentos,
su aprobación y difusión entre otros.
Gracias a su potente motor de workflow, también permite la gestión de
expedientes, como es el caso de las solicitudes ARCO2.
Para la generación automática de informes, como sería el Documento de Seguridad
exigido por la LOPD, nos basamos en nuevos desarrollos generados por Ingenia
para la recolección de la información requerida específicamente por la LOPD.
Posteriormente, mediante el uso de plantillas de iReport, se generan los informes
mediante JasperReports.
Para la correcta difusión de esos documentos será necesario proporcionar formación
y concienciación a los usuarios, aspecto este que queda cubierto por la herramienta
de tele formación Moodle.
Para el control de la consecución de los objetivos, Ingenia ha desarrollado una
solución de métrica e indicadores que permite la alimentación manual o automática
de los mismos, para la elaboración posterior de cuadros de mando por los propios
usuarios a la medida de sus necesidades. Este desarrollo se encuentra basado en
Drupal.
Finalmente, para la coordinación de equipos de trabajo, se utiliza un foro basado en
Drupal.
2 ARCO: Derechos de las personas al Acceso, Rectificación, Cancelación y Oposición al
tratamiento de sus DCP.
Página 9 de 9
4 Futuro de e-PULPO
Desde Ingenia se está trabajando en la integración de más herramientas de
software libre que nos van a permitir ampliar el número de funcionalidades
cubiertas por e-PULPO.
5 Sobre Ingenia
Ingenia es una empresa de servicios en Tecnologías de la Información,
Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico
de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga.
Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con
delegaciones comerciales en México, Argentina y Jordania y una marcada
experiencia profesional en proyectos europeos y en el norte de África.
La experiencia de dieciocho años que nos avala nos ha permitido diversificar
nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que
nos permite acercar la tecnología, innovación, experiencia y resultados a las
necesidades de nuestros clientes.
Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado
a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes
tanto al sector público como al privado, así como hospitales, universidades,
fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello
cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor
servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia
estudiamos cuidadosamente las soluciones a implementar para conseguir los
mejores resultados.
Más información en www.e-pulpo.es