Centro de Operaciones de Seguridad de Madrid Digital
Antecedentes
Madrid Digital, en su plan estratégico 2016-2020 contempló la ciberseguridad como una medida específica de desarrollo, con una línea de actuación concreta orientada a fortalecer las capacidades de prevención, detección y respuesta ante ciberataques, ante el alarmante aumento de amenazas de seguridad dirigidas a administraciones públicas y empresas y a la necesidad, cada vez mayor, de reforzar la seguridad en los servicios TIC ofrecidos.Así, como desarrollo de la línea estratégica, nace el proyecto de creación de un Centro de Operaciones de Seguridad, SOCMD, que concentre las capacidades presentes y futuras en materia de protección de las infraestructuras, los sistemas y los servicios TIC gestionados , y que disponga, no sólo de sistemas y tecnologías de seguridad, sino también de capacidades operativas expertas, y procesos y procedimientos de seguridad específicos, que permitan reportes efectivos sobre el estado de la ciberseguridad TIC.
Retos
El proyecto tiene como objetivo la centralización y fortalecimiento de las capacidades en ciberseguridad de Madrid Digital, en cuatro ámbitos de actuación principales:
• Prevención: facilitar nuevas capacidades orientadas a identificar vulnerabilidades de seguridad, reduciendo así la probabilidad de que se materialicen amenazas.
• Detección: potenciar la monitorización de seguridad de las infraestructuras TIC, incorporando a esta visión interna, una externa con capacidades de vigilancia digital y de identificación y detección temprana de amenazas.
• Análisis: disponer de un equipo experto en ciberseguridad, que estudie y analice cada anomalía detectada, evalúe si se trata de un incidente de seguridad real, y proporcione una primera estimación de impacto.
• Respuesta: reforzar las capacidades de coordinación y tratamiento de los incidentes en Madrid Digital, aportando propuestas concretas para su contención y remediación, y apoyo en las actividades de gestión del incidente.
Fases
El proyecto se ha desarrollado en tres fases principales:
• FASE 1: de análisis y definición de funciones a concentrar y desarrollar en el Centro de Operaciones Seguridad, modelo de gestión, capacidades de ciberseguridad a mejorar y a desarrollar, equipo de trabajo necesario, herramientas mínimas, y elaboración, licitación y adjudicación de contrato público para su puesta en marcha. Esta fase tuvo una duración de 1,5 años.
• FASE 2: o fase de implantación de los servicios, con inicio en julio de 2019 una vez adjudicado el contrato, y duración de seis meses, en la que se implantó y puso en marcha todos los servicios demandados junto con las herramientas soporte de los mismos que componen la plataforma tecnológica del SOCMD.
• FASE 3: o fase de prestación plena de servicios, con una duración de 2,5 años, en un modelo de mejora continua de procesos y servicios, así como de incorporación de nuevas fuentes de eventos de seguridad que enriquezcan la actividad.
Nuevos Servicios
El Centro de Operaciones de Seguridad ha puesto a disposición de la organización los siguientes servicios:
• En el ámbito de la prevención, servicios para la identificación y gestión completa del ciclo de vida de las vulnerabilidades de seguridad en las infraestructuras TIC
• En el ámbito de la detección, análisis y respuesta a incidentes: orientados a la detección de incidentes de seguridad, los servicios de Monitorización de eventos de seguridad, para mantenimiento de la plataforma SIEM; Vigilancia digital e identificación de amenazas; y Detección de incidentes N-1, Análisis de incidentes N-2 y Respuesta a incidentes N-3, en modalidad 24x7, para detección de anomalías de seguridad.Como mejoras en la eficiencia derivadas del proyecto, destacar las obtenidas en la detección de anomalías por la centralización de la monitorización de seguridad, y en el proceso de gestión de incidentes de seguridad, por la centralización de la coordinación de actividades en el SOCMD.
Conclusiones
La puesta en marcha del Centro de Operaciones de Seguridad es el primer paso en la estrategia de ciberseguridad de Madrid Digital, y tiene como retos, además de continuar con la integración de nuevas fuentes de información, como son las soluciones de protección EDR del puesto digital o del correo electrónico, su extensión a los sistemas sanitarios de la Comunidad de Madrid a través de su colaboración con la Dirección General de Sistemas de Información y Equipamientos Sanitarios, y a otros servicios como los impulsados por el PLAN ADAPTA, para mejora de la productividad, o el PROGRAMA CRISOL, para la digitalización de Madrid Digital y de los servicios que ésta presta a la Comunidad de Madrid.