Certificación ENS (Esquema Nacional de Seguridad) de la Universidad de Valencia (UV)

ens-uv

CASO DE ÉXITO  > IMPLANTACIÓN ENS

CERTIFICACIÓN EN EL ESQUEMA NACIONAL DE SEGURIDAD DE LA UV

Impulsado por el Servicio de Informática, e involucrando a todos los actores relevantes desde la Universidad, se ha conseguido mejorar la gestión de la seguridad, incrementando los niveles inicialmente establecidos hasta conseguir su certificación por el Esquema Nacional de Seguridad (ENS).

ANÁLISIS

La Universidad de Valencia, consciente de la necesidad de proteger y garantizar los derechos de los alumnos, del personal de administración y servicios, y del personal docente e investigador, y de la información sensible que maneja, está siempre a la vanguardia tecnológica, dotándose de los mejores medios técnicos, a través del SIUV (“Servei d’Informàtica”), y jurí- dicos, mediante su área de Protección de Datos Personales.

Tras la publicación de la Ley de Acceso Electrónico de los Ciudadanos a la Administración Electrónica, Ley 11/2007, y posteriormente el ENS (RD 3/2010) y el ENI (RD 4/2010), la Universitat se planteó el reto de ser de las primeras Universidades en adecuarse a la normativa vigente, y para tal fin convocó, entre otros, un concurso público para dotarse de los servicios especializados de consultoría para garantizar el éxito del proyecto.

El concurso fue adjudicado en 2012 al actual equipo de trabajo de Nunsys, con el cual se ha evolucionado el Sistema de Gestión de Seguridad de la Información hasta la certificación de la Universidad en diciembre del 2018.

 

Enfoque particular y común

La valoración de los activos esenciales, y por tanto de los Sistemas de Información de la Universidad, se hizo recogiendo todas las sensibilidades de los responsables, y posteriormente se validó contra criterios de la CRUE, sien- do pioneros en la adopción del ENS y en la gestión de la RGPD en este entorno.

Los Sistemas se consideraron por defecto de nivel bajo, y sólo aquellos subsistemas más críticos (atendiendo a las dimensiones del ENS) se valoraron como de nivel medio, entre los que se encuentran los siguientes: Subsistema de Gestión de Actas, Subsistema de Automatrícula, Subsistema de Gestión de Títulos y Subsistema de “Sede Electrónica».

SOLUCIÓN

Desde el principio, se realizó un mentorización y formación a los miembros responsables de la seguridad y a los responsables de los Sistemas de Información, Servicios y Datos nombrados a raíz de la adecuación al ENS. Se han realizado periódicamente formaciones específicas “in situ” a personal del SIUV en varios ámbitos:

  • Formación al CAU para respuesta a incidentes de
  • Realización de análisis de vulnerabilidades, interpretación de resultados y res- puesta a las
  • Formación en Ciclo de Vida de Desarrollo Seguro, basado en metodología

La última iniciativa ha sido la realización de encuestas de concienciación al personal del Servicio de Informática de la Universidad (SIUV).

 

ENS en la U¡niversidad de Valencia

RESULTADOS

  • Automatización de tareas
    Desde el principio, se pensó en una plataforma de gestión para el seguimiento fácil e intuitivo de sus fases. Se eligió GConsulting Compliance, que entre otras ventajas nos permitía importar activos de varias fuentes, para asegurar que ninguno se quedase fuera del análisis de riesgos y de las posteriores medidas y controles a implantar.
  • Seguridad avanzada
    La Universidad realiza con asiduidad test de intrusión externo y análisis de vulnerabilidades internos para detectar posibles agujeros de seguridad en los servicios expuestos de la universidad.Si bien el requisito que exige el ENS es “supervisión servicios web” y “auditoría de intrusión sobre sistemas de nivel medio”, lo cierto es que todos los sistemas en una organización comparten servicios habituales que hay que revisar para poder introducir vulnerabilidades en los sistemas críticos.La gestión de un SIEM permite registrar la actividad de los usuarios (estudiantes, PAS-PDI, otro personal), y la correlación de eventos de sistemas críticos. La Universidad de Valencia dispone de un sistema de sondas desplegadas por Nunsys para monitorizar toda la actividad de la universidad, y un sistema de correlación para despertar alertas ante cualquier evento de seguridad, investigación forense, etc.

 

  • Certificación del ENS
    En diciembre del 2018 se afrontó con éxito la certificación del ENS, mediante una auditoría de seguridad completa de los Sistemas Información dentro del alcance de éste, obteniendo como resultado un informe favorable. El proceso concluyó exitosamente, garantizando con ello que la Universidad realiza una correcta gestión de la seguridad.

 

  • Futuros pasos
    La situación actual garantiza un marco idóneo para la mejora continua de la Seguridad, y no son pocos los retos que se plantean en el futuro, mejorando la gestión y la infraestructura actual. Existen múltiples líneas a abordar en este camino, entre las que se pueden considerar:

    • Mayores acciones de formación y con- cienciación.
    • Bastionado de equipos ampliando el al- cance
    • Mejorar la detección de incidencias, au- mentando fuentes de información, reglas de co- rrelación y sistemas bajo el
    • Profundizar en las auditorías de seguridad técnica con nuevos vectores de ataque y siste- mas
    • Automatizar la comunicación de incidentes a través de LUCIA y

    Y, por supuesto, reaccionando ante los retos que plantea la enseñanza en el siglo XXI.

Formulario de contacto

   Llámenos: 960 500 631

   WhatsApp: 960 500 631