9
e-PULPO: Software libre para la gestión de LOPD, SGSI, ENS, ITIL

Oswc Ponencia E-pulpo

Embed Size (px)

DESCRIPTION

E pulpo - oswc

Citation preview

Page 1: Oswc Ponencia E-pulpo

e-PULPO: Software libre

para la gestión de LOPD,

SGSI, ENS, ITIL

Page 2: Oswc Ponencia E-pulpo

Página 2 de 9

Autor Andrés Méndez Barco <amendez @ ingenia.es>

Responsable de la Unidad de Producción de Estrategias de Seguridad

y Sistemas

Licencia Creative Commons Reconocimiento-CompartirIgual 3.0 España

<http://creativecommons.org/licenses/by-sa/3.0/es/>

1 Legislación y sistemas de gestión para IT

Hoy día las organizaciones se apoyan fuertemente en los sistemas de información

para realizar o soportar sus actividades. Esto provoca una dependencia de las

organizaciones con los sistemas de información.

Esta dependencia de la tecnología ha conllevado la regulación de su uso con

legislación, tenemos ejemplos de ello en España con la Ley Orgánica de

Protección de Datos de Carácter Personal (L.O. 15/1999), su Reglamento de

Desarrollo (R.D. 1720/2007), la Ley de Acceso Electrónico de los Ciudadanos

a los Servicios Públicos (L. 11/2007) o el nuevo Esquema Nacional de

Seguridad (R.D. 3/2010).

Paralelamente al desarrollo de esta legislación, se han ido creando modelos de

gestión para las tecnologías, de forma que se apliquen las mejores prácticas y se

pueda acreditar frente al cliente la aplicación de las mismas, como es el caso de un

Sistema de Gestión de Seguridad de la Información (certificable bajo la norma

ISO 27001), un Sistema de Gestión de Servicios de Tecnologías de la

Información (certificable bajo la norma ISO 20000-1), etc.

Page 3: Oswc Ponencia E-pulpo

Página 3 de 9

Si analizamos los requisitos que imponen la legislación y las mejores prácticas nos

encontramos con muchas similitudes:

Módulo SGSI ENS LOPD ITIL (SGTI)

Activos Activos con valor (desde sistemas hasta servicios)

Activos con valor (desde sistemas hasta servicios)

Ficheros con DCP1 Sistemas (HW y SW)

Análisis de riesgos

Sí Sí Lo proporciona en función del nivel del DCP

No

Documentación Política, Normativa, Procedimientos

Política, Normativa, Procedimientos

Documento de Seguridad

Procedimientos

Incidencias Incidencias de seguridad

Incidencias de seguridad

Restauración de backup, etc.

Incidencias de sistemas, solicitudes

Formación Difusión SGSI Formación del personal involucrado

Aceptación de los responsables

Difusión procedimientos

Indicadores Métricas e indicadores Sistema de métricas SLA

Auditoría Anual (ISO 27001) Bienal Bienal Anual (ISO 20000-1)

2 El reto del cumplimiento

Llegados a este punto tenemos que responder a una serie de preguntas que se

hace cualquier organización:

1) ¿Cómo puede abordar una organización el cumplimiento de la legislación y la

aplicación de las mejores prácticas sin incurrir en una burocratización

excesiva o una alta dedicación al mantenimiento de la misma?

Utilizando herramientas software que alivien y automaticen las labores de su

mantenimiento y control.

1 DCP: Dato de Carácter Personal (nombre, dirección, teléfono, e-mail, creencias religiosas,

estado de salud, afiliación sindical, etc.).

Page 4: Oswc Ponencia E-pulpo

Página 4 de 9

2) ¿Cómo evitamos aumentar el gasto en software?

No desarrollando nuestras propias aplicaciones, sino utilizando las existentes.

3) ¿Cómo evitamos aumentar el gasto en licencias de software?

¡Empleando software libre!

4) ¿Cómo evitamos la duplicidad y obsolescencia de los datos?

Reaprovechando los datos existentes y manteniéndolos actualizados, en la medida

de lo posible, automáticamente.

3 Software libre para el cumplimiento de LOPD, ENS, SGSI y SGTI

Gracias al conocimiento que tenemos en proyectos de consultoría y adaptación

(LOPD, SGSI, etc.), teníamos ya identificados cuáles eran los procesos que debía

soportar la aplicación que necesitábamos.

A continuación buscamos cuáles eran las herramientas de software libre más

adecuadas para cubrir cada necesidad, buscando que cumplieran estas premisas:

- Estuvieran basadas en proyectos de varios años y con una fuerte comunidad

de desarrolladores

- Fueran herramientas conocidas entre los potenciales clientes, para reducir la

curva de aprendizaje

Esta tarea no fue compleja gracias a la experiencia que teníamos en el uso e

implantación de herramientas de software libre, no obstante nos encontramos con

dos hándicaps:

1.- Las herramientas de software libre necesarias para cubrir cada campo se

encontraban inconexas unas con otras en la mayoría de los casos.

Page 5: Oswc Ponencia E-pulpo

Página 5 de 9

2.- No existían herramientas de software libre públicas para todo lo que requería el

cumplimiento de los objetivos que nos habíamos propuesto: Poder gestionar los

requisitos de LOPD, ENS, SGSI y SGTI.

Para resolver estos escollos, Ingenia abordó este proyecto como una labor tanto de

integración como de desarrollo.

Finalmente nos encontramos con un conjunto de procesos administrativos (desde el

punto de vista del usuario) y herramientas (desde el punto de vista tecnológico) a

integrar, lo que dio como resultado el nombre del producto que íbamos a liberar:

e-PULPO

Plataforma de Unificación Lógica de los Procesos Organizativos

3.1 Herramientas de software libre en las que se basa e-PULPO

NOTA: En este apartado se muestran en negrita las aplicaciones empleadas, y

sombreadas en amarillo las etapas de un proyecto de adecuación.

Se montó la solución sobre un sistema operativo base, de forma que se pudiera

desplegar en un cliente como una instalación única, y no como la instalación de

múltiples componentes. El elegido fue CentOS.

Para unificar los usuarios se utilizó una única fuente basada en CentOS Directory

Server.

Para aportar una experiencia única de usuario, se integraron todos los usuarios

bajo el gestor de contenidos Drupal.

Page 6: Oswc Ponencia E-pulpo

Página 6 de 9

Para unificar el inicio de sesión se utilizó Central Authentication Service de

Jasig.

Una vez se han puesto los mimbres de e-PULPO, iremos mostrando cómo, desde el

punto de vista de un usuario final, se han ido integrando las distintas herramientas

de software libre para dar soporte, por ejemplo, a la gestión de los requisitos del

Esquema Nacional de Seguridad, que se asemeja mucho con los de un Sistema de

Gestión de Seguridad de la Información.

A continuación, lo primero que se necesita en un proyecto de adecuación de este

tipo es un inventario de activos. Para ello se optó por OCS Inventory Next

Generation.

Esta solución permite inventariar todo el hardware y software de cada equipo,

proporcionando entre otros información sobre la capacidad de almacenamiento para

la gestión de la capacidad.

No obstante, OCS Inventory NG simplemente inventaría, aunque también permite

identificar equipos que no hayan sido inventariados y desplegar paquetes software.

Esto significa que no aporta información de gestión. Para cubrir esa carencia se

integró con GLPI (Gestionnaire Libre de Parc Informatique), que aporta:

- Gestión de responsables técnicos

- Gestión de proveedores y contactos

- Gestión de contratos

- Gestión de tickets

- Gestión de reservas y planificaciones

- Gestión de notas y FAQ

Otra carencia de OCS Inventory NG es que se basa en el despliegue de agentes

para realizar el inventario, lo que impide su uso para inventariar dispositivos en los

que no se pueda instalar el agente, como son los switches, routers, firewalls,

Page 7: Oswc Ponencia E-pulpo

Página 7 de 9

impresoras de red, SAIs, etc. Para cubrir esa carencia apostamos por el plugin de

GLPI Tracker.

Gracias a ese plugin se pueden inventariar de forma automática dichos elementos

mediante SNMP, y asociar de forma automática las conexiones de red entre los

dispositivos, lo que unido al plugin de GLPI Arquitectura de Red nos permite

generar automáticamente la arquitectura de seguridad.

Existen otro tipo de activos, fundamentales en un análisis de riesgos, que no son

automática o fácilmente inventariables, como los servicios, las personas, los

lugares, etc. Para poder inventariarlos Ingenia desarrolló el plugin de GLPI Activo

genérico de forma que se cubriera dicha carencia.

Una vez con el inventario de activos levantado se puede dar el siguiente paso, el

análisis de riesgos.

Para cubrir este aspecto nos basamos en una integración con la herramienta PILAR

(Proceso Informático Lógico de Análisis y gestión de Riesgos). Dicha herramienta no

es de software libre, pero su desarrollo se encuentra controlado por el Centro

Criptológico Nacional, lo que le proporciona confiabilidad en el código y gratuidad

para las administraciones públicas españolas.

PILAR nos proporciona, entre otros:

- Valoración de los activos

- Valoración del grado de madurez de las salvaguardas

- Gestión de los riesgos

- Análisis de impacto en la continuidad del negocio

- Visión del nivel de madurez con respecto al ENS, LOPD, o ISO 27002 sin

aumentar el esfuerzo

Page 8: Oswc Ponencia E-pulpo

Página 8 de 9

Como resultado de la gestión de riesgos, será necesario poner en marcha distintas

líneas de actuación, cuyo control y responsabilidad podremos gestionar mediante

dotProject, una herramienta para la gestión de proyectos de toda índole.

Uno de esos proyectos puede ser el elaborar o gestionar documentos, como la

política de seguridad, normativa, procedimientos, etc. Para ello contamos con el

gestor documental Alfresco, que nos permite gestionar versiones de documentos,

su aprobación y difusión entre otros.

Gracias a su potente motor de workflow, también permite la gestión de

expedientes, como es el caso de las solicitudes ARCO2.

Para la generación automática de informes, como sería el Documento de Seguridad

exigido por la LOPD, nos basamos en nuevos desarrollos generados por Ingenia

para la recolección de la información requerida específicamente por la LOPD.

Posteriormente, mediante el uso de plantillas de iReport, se generan los informes

mediante JasperReports.

Para la correcta difusión de esos documentos será necesario proporcionar formación

y concienciación a los usuarios, aspecto este que queda cubierto por la herramienta

de tele formación Moodle.

Para el control de la consecución de los objetivos, Ingenia ha desarrollado una

solución de métrica e indicadores que permite la alimentación manual o automática

de los mismos, para la elaboración posterior de cuadros de mando por los propios

usuarios a la medida de sus necesidades. Este desarrollo se encuentra basado en

Drupal.

Finalmente, para la coordinación de equipos de trabajo, se utiliza un foro basado en

Drupal.

2 ARCO: Derechos de las personas al Acceso, Rectificación, Cancelación y Oposición al

tratamiento de sus DCP.

Page 9: Oswc Ponencia E-pulpo

Página 9 de 9

4 Futuro de e-PULPO

Desde Ingenia se está trabajando en la integración de más herramientas de

software libre que nos van a permitir ampliar el número de funcionalidades

cubiertas por e-PULPO.

5 Sobre Ingenia

Ingenia es una empresa de servicios en Tecnologías de la Información,

Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico

de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga.

Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con

delegaciones comerciales en México, Argentina y Jordania y una marcada

experiencia profesional en proyectos europeos y en el norte de África.

La experiencia de dieciocho años que nos avala nos ha permitido diversificar

nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que

nos permite acercar la tecnología, innovación, experiencia y resultados a las

necesidades de nuestros clientes.

Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado

a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes

tanto al sector público como al privado, así como hospitales, universidades,

fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello

cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor

servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia

estudiamos cuidadosamente las soluciones a implementar para conseguir los

mejores resultados.

Más información en www.e-pulpo.es

http://www.e-pulpo.es/

Introduction Pulpo Network Monitoring System Pulpo System

Introduction Pulpo Network Monitoring System Pulpo System

Documents
Platillos Restaurant Bar El Pulpo

Platillos Restaurant Bar El Pulpo

Documents
Pulpo Casero

Pulpo Casero

Documents
Pulpo y Pulpec

Pulpo y Pulpec

Documents
Pulpo | Pulpo | Pulpo | OśmiornicaAngeboten als Frischware, gefroren, getrocknet oder gesalzen lebt der Pulpo in Tiefen von bis zu 200m und ernährt sich von Krebs- und Weichtieren

Pulpo | Pulpo | Pulpo | OśmiornicaAngeboten als Frischware, gefroren, getrocknet oder gesalzen lebt der Pulpo in Tiefen von bis zu 200m und ernährt sich von Krebs- und Weichtieren

Documents
Cultivo de Pulpo

Cultivo de Pulpo

Documents
OSWC 2012: Modeling non-financial constraints in the development and adoption of new technologies

OSWC 2012: Modeling non-financial constraints in the development and adoption of new technologies

Technology
Recetario Pulpo y Calamar

Recetario Pulpo y Calamar

Documents
Refrigerado Escandallo Pulpo - Prodesco

Refrigerado Escandallo Pulpo - Prodesco

Documents
Open pyme selibre-oswc-2012

Open pyme selibre-oswc-2012

Documents
PULPO DE SERIGRAFÍA SEMIAUTOMÁTICO

PULPO DE SERIGRAFÍA SEMIAUTOMÁTICO

Documents
Le restaurant vous propose. TAPAS Pulpo gallegoPoulpe à la galicienne Pulpo gallego con patatasPoulpe à la galicienne avec des pommes de terre Pulpo

Le restaurant vous propose. TAPAS Pulpo gallegoPoulpe à la galicienne Pulpo gallego con patatasPoulpe à la galicienne avec des pommes de terre Pulpo

Documents
protecţia Pulpo Dentinară

protecţia Pulpo Dentinară

Documents
Pulpo congelado en españa

Pulpo congelado en españa

Services
Pobre Pulpo Bailarin

Pobre Pulpo Bailarin

Documents
CURIOSIDADES MARINAS - Palma Aquarium€¦ · CURIOSIDADES MARINAS. El Pulpo ¿Cuántos corazones tiene un pulpo? El pulpo tiene tres corazones, dos de ellos bombean sangre sin oxigeno

CURIOSIDADES MARINAS - Palma Aquarium€¦ · CURIOSIDADES MARINAS. El Pulpo ¿Cuántos corazones tiene un pulpo? El pulpo tiene tres corazones, dos de ellos bombean sangre sin oxigeno

Documents
pulpo de cultivo

pulpo de cultivo

Documents
Memoria Festa do Pulpo

Memoria Festa do Pulpo

Documents
Manual preliminar pulpo

Manual preliminar pulpo

Travel
EL PULPO PHOTO BOOK

EL PULPO PHOTO BOOK

Documents
PULPO - Marfish · 2012. 11. 24. · PULPO DENOMINACIÓN COMERCIAL Pulpo NOMBRE DEL PRODUCTO Pulpo / Poulpe / Octopus DENOMINACIÓN CIENTÍFICA Octopus vulgaris CALADERO / ZONA DE

PULPO - Marfish · 2012. 11. 24. · PULPO DENOMINACIÓN COMERCIAL Pulpo NOMBRE DEL PRODUCTO Pulpo / Poulpe / Octopus DENOMINACIÓN CIENTÍFICA Octopus vulgaris CALADERO / ZONA DE

Documents
Construir Pulpo Para Serigrafía

Construir Pulpo Para Serigrafía

Documents
hombre pulpo

hombre pulpo

Documents
El lio del pulpo

El lio del pulpo

Education
Salpicón de pulpo

Salpicón de pulpo

Documents
Pulpo Region IV.pdf

Pulpo Region IV.pdf

Documents
Compu Empresa El Pulpo

Compu Empresa El Pulpo

Documents
Golfo oNeGw osWc

Golfo oNeGw osWc

Documents
El pulpo paco

El pulpo paco

Technology
Pulpo eduvino, Eduving Porras

Pulpo eduvino, Eduving Porras

Documents