Centro de Operación de Ciberseguridad multientidad para el Cabildo y Ayuntamientos de la Isla de Tenerife
Antecedentes
La mejora de la Ciberseguridad en las Administraciones Locales se ha convertido en una cuestión ineludible y urgente dado que se han convertido, cada vez con más intensidad, en un objetivo habitual para los ciberdelincuentes. Esta mejora de la Ciberseguridad requiere una aproximación holística lo que implica además de la mejora de su operación la implantación de un conjunto amplio de medidas técnicas, procedimentales y organizativas que aseguren el establecimiento de un sistema de gobernanza y de mejora continua que asegure su sostenibilidad y eficacia.
Los municipios con menos recursos tienen dificultades importantes para poder asumir de forma individual los retos asociados sin el apoyo y el soporte directo de las Diputaciones y/o Cabildos que deben asumir un liderazgo claro en este sentido.
La cooperación y la reutilización se convierten en aliados fundamentales para asegurar la viabilidad y simplificar el proceso de mejora de la Ciberseguridad en las Administraciones Locales.
Retos
El objetivo principal del proyecto es mejorar de forma eficiente, eficaz y sostenible la Ciberseguridad de las distintas entidades locales adheridas al SOC. Esta mejora se pretende conseguir a través de la ampliación de las capacidades asociadas a la operación de la Ciberseguridad y, al mismo tiempo, gracias a la incorporación de un conjunto amplio de medidas técnicas, procedimentales y organizativas que permita asegurar su gobernanza.
Un objetivo fundamental es superar los problemas asociados a la escasez de personal en los municipios, por lo que la asistencia es lo más intensa posible y los cambios a realizar tienen el menor impacto posible e incluso mejoran la gestión del día a día.
El proyecto se ejecutará bajo un modelo basado en herramientas, procedimientos y roles sencillos y comunes, sometidos a mejora continua, lo permite la incorporación del mayor número posible de entidades.
Fases
El proyecto se estableció con un horizonte de 4 años, iniciando en el 2021.
Durante su primer año (2021): se trabajó en la integración de los 5 primeros ayuntamientos, realizando la adecuación y certificación con el ENS, así como, la implantación de las soluciones de mejora de la seguridad perimetral y del punto final y el inicio de la operación del SOC.
Para el segundo año (2022): se ha operado el SOC y se ha realizado la incorporación de otros 12 Ayuntamientos y del Cabildo.
Para el tercer año (2023): está prevista la operación del SOC, y la incorporación otras 3 Administraciones Públicas así como el inicio de la implantación de una solución SIEM multientidad.
Para el cuarto año (2024): está prevista la operación del SOC y su extensión a otras 4 Administraciones Públicas.
Nuevos Servicios
La protección del punto final se ha basado en las soluciones de WatchGuard-Cytomic, lo que ha permitido obtener información de los equipos de una forma sencilla y logrando una protección muy efectiva. Esta solución además, ha aportado como mejoras; el inventario automático de equipos, la actualización de aplicaciones, el uso de una consola única, y su servicio de threat hunting con expertos que analizan la telemetría de los equipos (alcmacenada 1 año) para detectar potenciales ataques.
La mejora de la seguridad perimetral se ha basado en la implantación del firewall de nueva generación FortiGate, del fabricante Fortinet y el uso de sus servicios en la nube: FortiManager (permite la administración centralizada y ágil de los equipos), FortiAnalyzer (permite una total visibilidad, con correlación de eventos y detección de amenazas con su servicio de IOC) y FortiCloud SOCaaS (para la monitorización y detección en tiempo real de las alertas (24x7), investigar eventos y dar respuesta).
Conclusiones
Al haber aplicado un enfoque integral de mejora de la operación y de la gobernanza de la Ciberseguridad, se ha creado un entorno adecuado para asegurar una mejora eficiente, eficaz y sostenible a través del tiempo.
La implantación de soluciones comunes de seguridad, acompañada de la centralización de los CPD y de los accesos a Internet, está permitiendo mejorar de forma importante la eficiencia en costes y tiempos del despliegue así como la operación de la seguridad a múltiples entidades locales.
La motivación de las partes se ha visto muy favorecida, y por tanto los resultados del proyecto, al generar resultados iterativos y con visibilidad (como la certificación con el ENS) y al emplear metodologías ágiles y colaborativa.
Durante las últimas jornadas STIC-CCN este proyecto ha sido nombrado como referencia por el CCN para su extensión a otros Cabildos/Diputaciones y se han realizado ya varias ponencias en este sentido.