esquema nacional seguridad microsoft

8/6/2019 Esquema Nacional Seguridad Microsoft

1/217


2/217

Esquema Nacional de Seguridad...

con Microsoft

Juan Luis G. Rambla

Chema Alonso Cebrin

Julin Blzquez Garca

I


3/217

Publicado por:

Microsoft Ibrica S.R.L.

Centro Empresarial La Finca

(GLFLR 3DVHRGHO&OXE'HSRUWLYR

28223 Pozuelo de Alarcn Madrid (Espaa)

Copyright 2009 Microsoft Ibrica S.R.L.

Aviso Legal:

Los autores, colaboradores, organismos pblicos y empresas mencionadas en este libro, no se hacen re sponsables de que lo contenido en este libro garantice el total cumplimiento de los requisitos establecidosen la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad. Este libro nica yexclusivamente posee un propsito informativo en relacin a la legislacin espaola sobre el cumplimientodel Esquema Nacional de Seguridad.

La informacin sobre los productos de Microsoft representa la visin que los autores, colaboradores yempresas mencionadas en este libro tienen sobre los mismos, por lo que no otorgan ninguna garanta, niexpresa ni implcita, en referencia a la informacin incluida en este libro sobre los mencionados productos.Es responsabilidad del usuario el cumplimiento de toda la legislacin sobre el cumplimiento del Esquema

Nacional de Seguridad. Sin limitar los derechos que se deriven sobre propiedad intelectual, ninguna partede este documento puede ser reproducida, almacenada, ni introducida en ningn sistema de recuperacin,ni transmitida de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico por fotocopia, gra bacin o de otro tipo, con ningn propsito, sin la autorizacin por escrito de los titulares de los derechos depropiedad intelectual de este libro. Quedan reservados todos los derechos. Los nombres de las compaasy productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios.

EJEMPLAR GRATUITO. PROHIBIDA SU VENTA

Depsito Legal: M. 20.093-2011

Coordinador Editorial: Hctor Snchez Montenegro.

Diseo y maquetacin: Jos Manuel Daz. / Newcomlab S.L.L.

Revisin tcnica: Newcomlab S.L.L.

Imprime:Pardetres.net

Impreso en Espaa Printed in Spain

II
http:///reader/full/Pardetres.nethttp:///reader/full/Pardetres.nethttp:///reader/full/Pardetres.net


4/217

Agradecimientos

HctorSnchezMontenegro,NationalTechnologyOfcerdeMicrosoftIbricaycoordinadordeestaobra,deseatrasmitirunagradecimientomuyespecial,ademsde a los autores y prologuistas, a las siguientes personas:

LuisMiguelGarcadelaOliva,DirectordePlataformadeMicrosoftIbrica.JosParadaGimeno,ChiefSecurityAdvisordeMicrosoftIbrica.FrancescadiMassimo,DirectoradeSeguridadeInteroperabilidaddeMicrosoftWE.CarlosdelaIglesia,DirectordeComunicacionesdeMicrosoft.ManuelSnchezChumillas,deInformtica64.NachodeBustosMartn,DirectorGeneraldeNewcomlab.

III


5/217

IV


6/217

Microsoft Ibrica

LaAdministracinEspaolalideraunencomiableesfuerzohaciaelDesarrollodelaSociedaddelaInformacinenEspaa,ascomoenelusoptimodelastecnologasdelaInformacinenprodeunaprestacindeserviciosmsecientehacialosciudadanos.

Aunqueestetipodecontenidosnosiempresonfcilesdetratarsincaerenunexcesivodogmatismoylenguajeortodoxo,sesciertoqueenelmarcodelaLey11/2007del22deJunio,deaccesoelectrnicodelosciudadanosalosServiciosPblicos,seanuncilacreacindelosEsquemasNacionalesdeInteroperabilidadydeSeguridadcon la misin de garantizar un derecho ciudadano, como el recogido en dicha ley, loquesindudaesunretoyunaresponsabilidaddeprimeramagnitud.

Peroloesanmselgarantizaresederechoconlasgarantasdecondencialidad,seguridad,conanzayprivacidadnecesarias.

Nosonasuntosmenores,entantoencuantohablamosdederechosciudadanos.Y, desde luego, si siempre ha sido deseable el mayor alineamiento posible entre laindustria tecnolgica y el uso que de la tecnologa hace la Administracin Pblica, enestaocasinresultamsimportantequenunca.Retostanelevadoscomolosdescritossolopuedenconseguirsedesdelamsestrechacolaboracinconlaindustria.

MicrosoftIbricalleva25aosacompaandoeldesarrollodelaAdministracinPblicaEspaola.Navegandojuntosporlahistoriadelprogresotecnolgicomsespectaculardelosltimosaos,aprendiendojuntos,yendenitivasiendocompaerosdeviajeenelprocesomodernizadordenuestropas.

YsonaquellosproyectosmsestratgicosparalaAdministracinlosquemarcannuestraestrategiayatencin.Enestaocasinenreascomolaseguridadolaprivacidad, desde donde ya hemos trabajado para acercar y ayudar a las empresas Espaolas

V


7/217

Esquema Nacional de Seguridad... con Microsoft

en el cumplimiento de los requisitos tecnolgicos derivados del cumplimiento delRealDecretodelaLOPD,publicandounexhaustivotrabajosobrecmoacercarnosasucumplimientoconlaconguracinadecuadadetecnologasMicrosoft.OlacomparticindelcdigofuentedenuestrossistemasoperativosyaplicacionesomticasconelCentroNacionaldeInteligenciaatravsdesuCentroCriptolgicoNacional.YenesalneapresentamosestetrabajocentradoenelEsquemaNacionaldeSeguridad.

Esuntrabajoeminentementedivulgativo,dirigidoalosresponsablestcnicosde las administraciones, encargados de cumplir los requisitos y las recomendacionesdelEsquema.

Este manual es un nexo entre las medidas con implicaciones tecnolgicas descritasenelEsquema,ysuimplementacinprcticaenaquellosentornoscontecnologaMicrosoft.EllibrotomacomohiloconductorlosgrandesprincipiosqueconformanelesquemaNacionaldeSeguridad,talescomosusprincipios,dimensiones,medidas,implementaciones,explotacin,proteccinetc.,paraacontinuacincomentarlosdeformasencillaydetallarculesseranlasconguracionesyrecomendacionestcnicasmsadecuadasparasucumplimiento.

Tenemoslaesperanzadequeestemanualsirvaparafacilitaralosresponsablesde seguridad el cumplimiento de los aspectos tecnolgicos derivados del cumplimientodelENS,ascomoservirdevehculodedifusindeunconocimientoimportantecomo es el relativo a la seguridad de los servicios pblicos de las Administraciones yla garanta de seguridad hacia los ciudadanos en el ejercicio de sus derechos recono

cidosporlaLey.Mara Garaa

PresidentadeMicrosoftEspaa

VI


8/217

INTECO

Imagine que el banco en el que usted deposita sus ahorros, por la noche dejara laspuertas sin cerrar y el dinero en los mostradores. Seguramente, esta entidad perderaVXFRQDQ]D


9/217


elprogresodelasociedad,lamejoraeconmica,elbuengobiernoylaconanzadelosciudadanosensusadministraciones.

INTECO,cuyamisinescontribuirareforzarlaconanzaenlaSociedaddelaInformacinyquecomomediopropiodelaAdministracinGeneraldelEstadodedicagranpartedesusrecursosyesfuerzosalaimplantacindelENSenlasAdministracionesPblicas,dalabienvenidaalpresentemanualquesindudacontribuirafomentarlaseguridaddelainformacinenlasAdministracionesPblicas,yportantolaconanzaenlaSociedaddelaInformacin.

Vctor M. Izquierdo Loyola

DirectorGeneraldelInstitutoNacionaldeTecnologasdelaComunicacin,S.A.(INTECO)

VIII


10/217

Ministerio de Poltica Territorialy Administracin Pblica

ElEsquemaNacionaldeSeguridad,materializadoenelRealDecreto3/2010,tienecomoobjetivofundamentalcrearlascondicionesnecesariasdeconanzaenelusodelosmedioselectrnicos,atravsdemedidasparagarantizarlaseguridaddelainformacinquesemanejaydelosservicioselectrnicosqueseprestan,quepermita a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y

elcumplimientodedeberesatravsdeestosmedios.Efectivamente,losciudadanosesperanqueelaccesoelectrnicoalosservicios

pblicosseproduzcaenunascondicionesdeconanzaydeseguridadequiparablesalasquepuedanencontrarsiseacercandemanerapresencialalasocinasdelaAdministracin.ElEsquemaNacionaldeSeguridadseencuentra,endenitiva,alservicio de la realizacin del derecho de los ciudadanos a relacionarse por medioselectrnicosconlasAdministracionespblicas.

ElEsquemaNacionaldeSeguridades,portanto,unarespuestaalaobligacinde las Administraciones Pblicas de adoptar medidas de seguridad adecuadas a lanaturalezadelainformacinylosserviciosylosriesgosalosqueestnexpuestos.Para ello establece la poltica de seguridad en la utilizacin de medios electrnicos enelmbitodelaLey11/2007yestconstituidoporlosprincipiosbsicosyrequisitosmnimosquepermitanunaproteccinadecuadadelainformacin.

Adems,elEsquemaintroduceloselementoscomunesquehandeguiarlaactuacin de las Administraciones Pblicas en materia de seguridad de las tecnologasdelainformacinyquehandefacilitarlainteraccinentreellas,ascomolacomunicacindelosrequisitosdeseguridaddelainformacinalaIndustria.

ElEsquemaNacionaldeSeguridad,aligualqueelEsquemaNacionaldeInteroperabilidad,eselresultadodeunesfuerzocolectivoenelquehanparticipadotodas

IX


11/217


lasAdministracionesPblicas,atravsdelosrganoscolegiadosconcompetenciaenmateriadeadministracinelectrnica.

TambinlaIndustriadelsectordetecnologasdelainformacinylascomunicacioneshacontribuidoalaelaboracindelEsquemaNacionaldeSeguridadconaportacionesatravsdelasasociacionesdesusector;enrelacinconestaparticipacindelaIndustria,hayqueresearquestahareconocidoentodomomentoelcarctertranscendenteynecesariodelEsquemaparaproporcionarunaseguridadimprescindible.

ElpresenteManualsobrecumplimientodelEsquemaNacionaldeSeguridadesuntestimonioconcretodeesteesfuerzoconjuntorealizadoporlaAdministracinyporlaIndustriaparafacilitarquelosserviciosdelasAdministracionesPblicasdisponibles por medios electrnicos se encuentren en las adecuadas condiciones de

conanzaydeseguridadquelessonexigibles.Fernando de Pablo

DirectorGeneralparaelImpulsodelaAdministracinElectrnicadelMinisteriodePolticaTerritorialyAdministracinPblica

X


12/217

Centro Criptolgico Nacional

NuestrasociedadactualestenInternet,nuestromododevidayeldenuestroshijoscadavezseencuentramsvinculadoalaRedyasustecnologasasociadas.LaAdministracinnoesajenaaestasituacinylaLey11/2007estimpulsandoelempleodeestavayelesfuerzorealizadoporlosdistintosorganismosparaquedesdelassedeselectrnicaslarelacinconlosciudadanosseamsuidahasidoimpresionante.

Conscientesdequenopodemosgenerarconanzaenestenuevomododerelacinsin

dotarnos

de

los

medios

adecuados

para

la

proteccin

y

el

control

de

la

informacinmanejadapornuestrosSistemas,estaleyensuartculo42jlasbasesdeunanecesidad

queyademandabanmuchosservidorespblicos,elEsquemaNacionaldeSeguridad.Analesdeenerodelao2010seaprobelRD3/2010porelqueseregulael

EsquemaNacionaldeSeguridadenelmbitodelaAdministracinElectrnica.Estanormajaunosprincipiosbsicosyrequisitosmnimos,ascomounconjuntodemedidasquepermitenunaproteccinadecuadadelainformacinylosservicios.

ElRDestableceunplazodeimplantacinquepuedellegaralos48mesesreconociendoimplcitamenteladicultaddesuaplicacinespecialmenteenesteescenarioderestriccionespresupuestarias.

SeestrealizandounesfuerzoenlaserieCCN-STIC800paradarnormas,guasyrecomendacionesenelCMOsolucionarlosretosplanteadosenelesquemayseagradececualquierguaprcticadeaplicacinenlastecnologasdemayorpresenciaenlaAdministracin.

En este sentido, este libro desde el punto de vista de la empresa intenta proporcionarunaaproximacinprcticaacmorealizaryvericarestecumplimientoensistemasqueutilicentecnologasdeMICROSOFT.

El esquema es una pieza clave para mejorar la seguridad de los sistemas de laAdministracinynosexigeademsunmayoresfuerzodecolaboraciny trabajo

XI


13/217


conjuntoentrelosdiferentesorganismos.Estedocumentoesunejemplodeestacolaboracinyesperoqueconsigadealgunamanerafacilitarlacomprensindealgunosaspectosdesuimplantacin.

Javier Garca Candau

SubdirectorGeneralAdjuntoenfuncionesdelCentroCriptolgicoNacional

XII


14/217

Prefacio

Actualmente, en la vida cotidiana del individuo toda una serie de aspectos ymejorashacenquestaseamscmodaparal.Lastecnologasdelainformacin,los grandes avances en el mundo de las comunicaciones y su generalizacin en todoslosmbitossociales,sonfactoresfundamentalesquepropicianestamejoraenlacalidaddevidadelciudadano.Accionesquehacenomuchotiempoimplicabanunserioesfuerzo

o

consuman

un

tiempo

excesivo,

son

resueltas

a

da

de

hoy

de

forma

gil

yasequible.Nohanpasadotantosaosdesdequeelsimplehechodesacardinerodel

banco implicaba necesariamente ir a una sucursal determinada que mantena los datosdelacuentacorrespondiente.Elesfuerzoqueestorequeraparecedesproporcionadoadadehoy.Sinembargo,yaunquesetengalaimpresindequesehabladeunpasadoremoto,nohatranscurridotantotiempodesdeello.

Losavancesenestesentidosoninnumerables.Ahestlatelefonamvil,laminiaturizacindelossistemasinformticos,laconectividadaInternetenlossistemasdomsticosyunlargoetcteradeavancessignicativos.Estasmejorashanimplicadomltiples

cambios.

En

primer

lugar

de

mentalidad,

en

la

forma

de

entender

las

actividadesodeadaptarsealarealizacindenuevastareas.Evidentementeestonoesfcil

paratodos.Nosedebeolvidarqueestosavancesylasnuevasformasdeactuacinasociadasnosonigualmenteaceptadosportodos.

Estoscambiosymejorashanllegadotambinaalgotanhabitualynecesariocomolostrmitesadministrativos.Esunintentodedejaratrselvuelvaustedmaanaque ha trado mltiples complicaciones a la vida de muchos espaoles: horas interminables de colas, papeles que no aparecen o el recorrer una ventanilla tras otra enesperadeunarespuestaaunproblemaqueparecenotenersolucin.Lainformticatambin

ha

cambiado

esto,

la

burocracia

administrativa.

El

objetivo

es

buscar

unamayorcomodidadparaelciudadano.Agilizartareasqueantespodanimplicardas

completosperdidosylaeternaesperahastaqueserecibaeldeseadopapelrmado.

XIII


15/217


Afortunadamente,pocoapocoesostiemposvanquedandoatrs.Trmitesdeuna cierta complejidad, como la realizacin de la declaracin de la renta o la peticinde la vida laboral, han adquirido una nueva dimensin con las mejoras aportadas porlossistemasinformticos.Lasnuevastecnologassesumanalascapacidadesdelossistemastradicionales,abriendoconellounabanicodeposibilidadessignicativas.Lacapacidaddetramitarunprocedimientoadministrativo,fueradelashorasdeaperturasclsicasdeministerios,ayuntamientosouniversidades,esunclaroejemplodeello.

UnamuestrasignicativaenestaevolucinlaconstituyeelDNIElectrnico.EstemecanismodevalidacinhaconvertidoaEspaaenunareferenciamundialenlossistemasdeautenticacinelectrnica.Sehasumadoaotrosmecanismosyapreviamente empleados para la realizacin de tramitaciones, garantizando que el usuario escorrectamenteidenticado;porejemplo,loscerticadosquedurantealgunosaossellevansuministrandoatravsdelproyectoCERES(CERticacinESpaola).LideradoporlaFbricaNacionaldeMonedayTimbre,estableceunaentidadpblicadecerticacinquepermitegarantizarentreotrascosaslaidenticacindelosciudadanosylacondencialidaddelosdatos.

Eltratamientodelainformacin,suaccesooladisponibilidaddelossistemasfacilitansensiblementeelacercamientoalaAdministracinPblica.Sinembargoestecambiollevatambinasociadosnuevosconceptos,afrontandoelusodeterminologasyescenariosquehastalafechaestabanreservadosprcticamentealaempresaprivada.Portalesdeacceso,tratamientoautomatizadodelainformacin,disponibilidad,integridadoautenticidadsonpalabrasqueahoraformantambinpartedelvocabulariodelaAdministracinPblica.

Eltratamientoyutilizacindesistemasinformticosporpartedelosciudadanosimplicalaaparicindenecesidadesdeseguridad.Deformaoriginalyasehabanrealizadoavancessignicativos,comolagarantadelossistemasdeautenticacin.Sinembargo,laseguridadesmuchomsquetodoeso.NosirvecongarantizarqueJuanesquiendiceser.Sinoquetambinsusdatosdebenestarasalvo,nopudiendosermodicadosdeformaindiscriminadaoaccedidosporquiennodebe.Igualmente,debehacerseunusoecientedelosmismosyasegurarquelospropsitosyladisponibilidaddelosserviciossonlosadecuados.

Laseguridadvamuchomsalldeloquesimplementeseveoseintuye.Estan importante la visin y apariencia de seguridad del portal de acceso a un servicio,como garantizar que los datos pueden ser recuperados ante una posible incidenciadeseguridad.Ascomoqueencasodequestaocurra,sedispondrdemediosparadetectarlayprocedimientosparasubsanarlayprevenirlaenfuturasocasiones.

Laseguridaddebe tenerencuenta todos losescenariosposibles.Aunque lavisinylaperspectivadeunpotencialataqueparecenprovenirdeInternet,estudiosreputadosavalanquemuchosincidentesseproduceninternamente.Pordesidiaodesconocimiento,

los

sistemas

de

proteccin

denidos

internamente

son

a

me-nudomslaxosquelosqueseplanteanperimetralmenteparaunadefensaexterna.Sin

embargo,losataquesylosatacantesnoconocenfronteras.

XIV


16/217

Prefacio

Unhackerpuedeoperardesdefuera,perounvirusinformticodeformainternapuedeprovocarlacadadelosserviciosolaeliminacindeinformacinaltamentesensible.Elusoderedesinalmbricasproporcionamuchamovilidad,peroabrenuevosvectoresdeataquequepuedeutilizarunpotencialatacante.Softwaremaliciosoenconstante evolucin, como son los troyanos, se adaptan para evitar los sistemas deproteccinqueoriginalmenteconseguanbloquearlosacertadamente.

El uso de las nuevas tecnologas lleva aparejada la palabra adaptabilidad, queenelcasoespeccodelaseguridadescasimsevidentetodava.Tantolossistemasexternos, como los internos deben tener en cuenta esa capacidad para adaptarse, paramejoraryevolucionarconlatecnologa.Sistemasomecanismosquehoypuedenserpunteros,enuntiemporazonablehanpodidoquedardesfasados.Avecesseplanteanmecanismos y sistemas de proteccin que deben ser rediseados en pleno proceso deimplantacin,puestoqueunanuevatcnicadescubiertalosconvierteenvulnerables.

Laseguridadinformticaseencuentraenconstanteevolucin,aligualquelossistemasdeataquequeconstantementelaponenaprueba.Enlaactualidad,esdifcilentenderlainformticasinlaseguridad.Portanto,cualquiermecanismoquesedisponga, cualquier proyecto o iniciativa que se lleve a cabo desde la AdministracinPblica,deberacontardesdesubaseconelconcursodelaseguridad.Aunqueenmu-chasocasionesprimalafuncionalidadylausabilidad,slosealcanzarnlosobjetivossilasgarantasqueseofrecensonsucientesparagenerarconanzaenlasmismas.

Porejemplo,noseentenderalabancaelectrnicasinunasgarantasparasuuso.Si

cayera

la

conanza

de

este

servicio

o

los

ataques

con

xito

fueran

tan

signicativosquehicieranperdersucredibilidad,acabaraestemodelodenegocio.Portanto,la

seguridadesunodesuspilaresfundamentales.Nodebenolvidarseotrosposiblesfactores,perosteessiempretancrticoomsquelosotros.

La relacin de los ciudadanos con la Administracin Pblica debe entendersetambindesdeestaperspectiva.Laseguridaddebeserunodelospuntosneurlgicos,permitiendoquelosusuariosconfenabiertamenteenelservicio.Estadebesergarantizadadesdelabasedelaprestacindelservicio.Losproyectosyapuestosenmarchadebenadaptarseaestapremisa,mientrasquelosnuevosdebernnacerbajoelparaguasdelaseguridad.

Asloentiendelacomunidadtcnicayashasidoentendidotambindesdela

Administracin.Elao2010suponeunhitoenlaaplicacindesistemasdeseguridadenlarelacindelosciudadanosconlasdiferentesadministracionespblicasyenlacolaboracinelectrnicaentreellas.Trasaosdeconsultas,anlisisymodicaciones,velaluzelEsquemaNacionaldeSeguridad(ENS)quefueyaanticipadoenelao2007.

Suaparicininiciaelciclodeadaptacindelossistemasytecnologasdelasentidadespblicasparahacerlasmsseguras.Noslotcnicamente,sinoconceptualmente.Deberndenirseprocedimientosycasosdeuso.Laseguridadescuestinyadetodos,nonicamentedelosinformticos.Todoaquelquerealizauntratamientodelainformacindeberserconscientedelriesgoaasumir.Sernecesariodisponer

XV


17/217


deloselementostcnicosparaelcumplimientodelosobjetivos,peroserelcolectivoquelosusaelvaledordelaseguridad.ElEsquemaNacionaldeSeguridadequiparalanecesidaddeproteccindelainformacinconlapropiaprestacindelservicio.

Evidentemente,talycomodemostrarellibro,elcaminoarecorrernoestrivial.Se requerirnesfuerzos tcnicosyhumanos,y lgicamenteenocasiones tambineconmicos.Sinembargo,losmecanismosparacumplirloexigidoenelEsquemaNacionaldeSeguridadseencuentrandisponibles.Solohabrqueutilizarlosadecuadamente.Estelibro,ademsdeintroducirleenlospormenoresdelanormativa,intentarofrecerresolucionestcnicasalasmedidasprevistashaciendousoparaellodesolucionesbasadasenproductosMicrosoft.

XVI


18/217

ndice de contenidosCaptulo 1. Antecedentes ....................................................................................... 1Captulo 2. El Esquema Nacional de Seguridad ................................................... 9

2.1. Principios bsicos ....................................................................................... 102.2. Requisitos mnimos..................................................................................... 172.3. Comunicaciones electrnicas ..................................................................... 222.4. Auditora de seguridad ................................................................................ 242.5. Respuesta a incidentes de seguridad......................................................... 252.6. Adecuacin tras la entrada en vigor del ENS ............................................. 262.7. Rgimen sancionador ................................................................................. 26

Captulo 3. Principios de seguridad: seguridad por defecto............................. 29Captulo 4. Dimensiones de seguridad................................................................ 39

4.1. Disponibilidad.............................................................................................. 404.2. Autenticidad ................................................................................................ 424.3. Integridad .................................................................................................... 434.4. Confdencialidad ......................................................................................... 444.5. Trazabilidad ................................................................................................. 464.6. Niveles de la dimensin de seguridad ........................................................ 47

Captulo 5. Medidas de seguridad. Naturaleza de las medidas........................ 515.1. Marco organizativo ...................................................................................... 545.2. Marco operacional ...................................................................................... 565.3. Medidas de proteccin ............................................................................... 59

XVII


19/217


Captulo 6. La implementacin del ENS con tecnologa Microsoft .................. 636.1. Control de acceso ....................................................................................... 70

6.1.1. Identifcacin ....................................................................................... 716.1.2. Requisitos de acceso.......................................................................... 796.1.3. Segregacin de funciones y tareas ..................................................... 866.1.4. Proceso de gestin de derechos de acceso ....................................... 886.1.5. Mecanismos de autenticacin ............................................................ 956.1.6. Acceso local..................................................................................... 106

6.1.7. Acceso remoto .................................................................................. 1116.2. Explotacin................................................................................................ 113

6.2.1. Gestin y confguracin de activos ..............................114 6.2.2. Proteccin y prevencin frente a incidencias ...............1236.2.3. Sistemas de registros y gestin de logs .......................126

6.3. Proteccin de los equipos......................................................................... 1336.4. Proteccin de los soportes de informacin .............................................. 1436.5. Proteccin de las comunicaciones ........................................................... 149

6.5.1. Permetro seguro ............................................................................... 1496.5.2. Proteccin de la confdencialidad ..................................................... 1516.5.3. Proteccin de la autenticidad y la integridad .................................... 1536.5.4. Segregacin de redes ....................................................................... 1596.5.5. Medios alternativos ...........................................................................163

6.6. Proteccin de las aplicaciones informticas ............................................. 1646.7. Proteccin de la informacin .................................................................... 1696.8. Proteccin de los servicios ....................................................................... 178

6.8.1. Proteccin del correo electrnico ..................................................... 1796.8.2. Proteccin de servicios y aplicaciones web [mp.s.2] ....................... 1886.8.3. Proteccin frente a la denegacin de servicios ................................ 1916.8.4. Medios alternativos ...........................................................................191

Captulo 7. Premios, reconocimientos y certifcaciones de los productos

Microsoft .............................................................................................................. 193

XVIII


20/217

ndice de contenidos

Captulo 8. Seguridad y privacidad en la nube ................................................. 1978.1. Seguridad y privacidad: un proceso integral y continuo.......................... 1978.2. Sistemas de gestin de Microsoft y control de acceso ............................ 1988.3. Eventos y actividades de registro ............................................................. 1988.4. Certifcados estndar de cumplimiento .................................................... 1998.5. Gua de cliente para polticas de cumplimiento ........................................ 1998.6. Data centers, procesador y controlador de datos .................................... 200

XIX


21/217

1Antecedentes

Aunque el Esquema Nacional de Seguridad vio la luz en el ao 2010, su con cepcin es mucho anterior. El 22 de Julio del ao 2007, con la aparicin en el BoletnOcial del Estado de la Ley 11/2007 de Acceso Electrnico de los Ciudadanos a laAdministracin Pblica (LAE), se sentaban las bases para su aparicin. Entre el articulado de la ley destacaba el nmero 42 sobre el Esquema Nacional de Interoperabilidady Esquema Nacional de Seguridad.

1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criteriosy recomendaciones en materia de seguridad, conservacin y normalizacin dela informacin, de los formatos y de las aplicaciones que debern ser tenidos encuenta por las Administraciones Pblicas para la toma de decisiones tecnolgicasque garanticen la interoperabilidad.

2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de se guridad en la utilizacin de medios electrnicos en el mbito de la presente Ley,y est constituido por los principios bsicos y requisitos mnimos que permitanuna proteccin adecuada de la informacin.

3. Ambos Esquemas se elaborarn con la participacin de todas las Adminis traciones y se aprobarn por Real Decreto del Gobierno, a propuesta de laConferencia Sectorial de Administracin Pblica y previo informe de la Co misin Nacional de Administracin Local, debiendo mantenerse actualizadosde manera permanente.

4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomen daciones de la Unin Europea, la situacin tecnolgica de las diferentesAdministraciones Pblicas, as como los servicios electrnicos ya existen

tes. A estos efectos considerarn la utilizacin de estndares abiertos ascomo, en su caso y de forma complementaria, estndares que sean de usogeneralizado por los ciudadanos.

1


22/217


Para entender en qu consiste tanto la Ley 11/2007 como el Esquema Nacional deSeguridad (ENS), es necesario conocer primeramente sus motivaciones, qu objetivospersiguen y cules son sus fundamentos. Los primeros antecedentes se recogen en laLey 30/1992 del 26 Noviembre de Rgimen Jurdico de las Administraciones Pblicas

y del Procedimiento Administrativo Comn (LRJAP-PAC). En su primera versin yarecogi, a travs de su artculo 45, el impulso al empleo y la aplicacin de las tcnicasy medios electrnicos, informticos y telemticos, por parte de la Administracin. Suobjetivo era desarrollar su actividad y el ejercicio de sus competencias, permitiendoa los ciudadanos relacionarse con las Administraciones cuando fuese compatible conlos medios tcnicos de que los que dispusieran.

Esa previsin, junto con la de la informatizacin de registros y archivos que corresponden al artculo 38 de esa misma ley, abra el paso a la utilizacin de los sistemaselectrnicos para relacionarse con la Administracin. Esta circunstancia fue corroborada

en la redaccin que le dio la Ley 24/2001 de 27 de diciembre del ao 2001 sobre MedidasFiscales, Administrativas y del Orden Social, al permitir el establecimiento de registrostelemticos para la recepcin o salida de solicitudes, escritos y comunicaciones pormedios telemticos.

La misma Ley 24/2001 modic el artculo 59 de la LRJAP-PAC, permitiendola noticacin por medios telemticos si el interesado hubiera sealado dicho mediocomo preferente o consentido expresamente.

Artculo 68.Modicaciones de la Ley 30/1992, de Rgimen Jurdico de las Admi

nistraciones Pblicas y del Procedimiento Administrativo Comn para impulsar laadministracin electrnica.

Uno. Se aade un nuevo apartado nueve al artculo 38 de la Ley 30/1992, deRgimen Jurdico de las Administraciones Pblicas y del Procedimiento Ad ministrativo Comn, con la siguiente redaccin:

Se podrn crear registros telemticos para la recepcin o salida de solicitudes,escritos y comunicaciones que se transmitan por medios telemticos, con suje cin a los requisitos establecidos en el apartado 3 de este artculo. Los registrostelemticos slo estarn habilitados para la recepcin o salida de las solicitudes,

escritos y comunicaciones relativas a los procedimientos y trmites de la compe tencia del rgano o entidad que cre el registro y que se especifiquen en la normade creacin de ste, as como que cumplan con los criterios de disponibilidad,autenticidad, integridad, confidencialidad y conservacin de la informacin queigualmente se sealen en la citada norma.

Los registros telemticos permitirn la presentacin de solicitudes, escritos y comuni caciones todos los das del ao durante las veinticuatro horas. A efectos del cmputo deplazos, la recepcin en un da inhbil para el rgano o entidad se entender efectuadaen el primer da hbil siguiente.

Dos. Se aade un nuevo apartado 3 al artculo 59 de la Ley 30/1992, de RgimenJurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn,

2


23/217

Antecedentes

con la redaccin que a continuacin se seala, pasando los actuales apartados 3, 4 y5 del citado artculo a numerarse como 4, 5 y 6.

Para que la noticacin se practique utilizando medios telemticos se requerir que

el interesado haya sealado dicho medio como preferente o consentido expresamentesu utilizacin, identicando adems la direccin electrnica correspondiente, quedeber cumplir con los requisitos reglamentariamente establecidos. En estos casos, lanoticacin se entender practicada a todos los efectos legales en el momento en quese produzca el acceso a su contenido en la direccin electrnica. Cuando, existiendoconstancia de la recepcin de la noticacin en la direccin electrnica, transcurrierandiez das naturales sin que se acceda a su contenido, se entender que la noticacin hasido rechazada con los efectos previstos en el siguiente apartado, salvo que de ocio o ainstancia del destinatario se compruebe la imposibilidad tcnica o material del acceso.

Estos cambios adaptativos en las normas iban sentando las bases para la aplicacinde medidas tcnicas asociadas a las nuevas tecnologas. Sin embargo, el desarrollode la administracin electrnica era todava insuciente. La causa de ello en buenamedida era que segn la Ley de Rgimen Jurdico de las Administraciones Pblicasy del Procedimiento Administrativo Comn, estas implicaciones son meramente facultativas. Es decir, dejan en manos de las propias Administraciones determinar si losciudadanos van a poder de modo efectivo o no, relacionarse por medios electrnicoscon ellas. Nada exiga la puesta en marcha de medios informticos para la relacin conlos ciudadanos. Esta sera factible en funcin de que las diferentes administracionesquisieran poner en marcha aquellos instrumentos necesarios para permitir este tipo

de comunicacin,

La puesta en marcha de normativas como la Ley Orgnica 15/1999 de Proteccinde Datos de Carcter Personal y la Ley 59/2003, de 19 de diciembre de Firma Electrnica, abran tambin un importante camino a la necesidad de uso de las tecnologasen la Administracin Pblica. La informtica empezaba a establecer los diferentes vnculos entre la ciudadana y las diferentes operaciones administrativas. Tambin desdeEuropa se estableca la necesidad de fomentar el uso de la tecnologa en la relacin delos usuarios con las diferentes administraciones. A travs de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo del 12 de diciembre de 2006 relativa a los

servicios en el mercado interior, se incentivaba el uso de los sistemas telemticos parael acceso de los ciudadanos.

Artculo 5. Simplicacin de los procedimientos.

1. Los Estados miembros vericarn los procedimientos y trmites aplicables al accesoa una actividad de servicios y a su ejercicio. Cuando los procedimientos y forma lidades estudiados de conformidad coneste apartado no sean lo sucientementesimples, los Estados miembros los simplicarn.

Artculo 6. Ventanilla nica

1. Los Estados miembros garantizarn que los prestadores puedan llevar a cabo lossiguientes procedimientos y trmites a travs de ventanillas nicas:

3


24/217


a) todos los procedimientos y trmites necesarios para acceder a sus actividadesde servicios, en especial las declaraciones, noticaciones o solicitudes necesariaspara la autorizacin por parte de las autoridades competentes, incluidas lassolicitudes de inscripcin en registros, listas ociales, bases de datos o colegios

o asociaciones profesionales;

b) las solicitudes de autorizacin necesarias para el ejercicio de sus actividadesde servicios.

2. La creacin de ventanillas nicas no supone una interferencia en el reparto defunciones o competencias entre las autoridades competentes dentro de cada sistemanacional.

Artculo 7. Derecho de informacin

1. Los Estados miembros harn lo necesario para que los prestadores y los destinatariospuedan acceder fcilmente a la informacin por medio de ventanillas nicas.

Artculo 8. Procedimientos por va electrnica

Los Estados miembros harn lo necesario para que todos los procedimientos y trmi tes relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizarfcilmente, a distancia y por va electrnica, a travs de la ventanilla nica de que setrate y ante las autoridades competentes.

El apartado 1 no se aplicar a las inspecciones del lugar en que se presta el servicio odel equipo utilizado por el prestador ni al examen fsico de la capacidad o de la inte gridad personal del prestador o del personal responsable.

Con arreglo al procedimiento contemplado en el artculo 40, apartado 2, la Comisinadoptar normas de desarrollo para la aplicacin del apartado 1 del presente artculo,con el n de facilitar la interoperabilidad de los sistemas de informacin y la utilizacinde los procedimientos electrnicos entre los Estados miembros, teniendo en cuenta lasnormas comunes desarrolladas a escala comunitaria.

Esta importante directiva marcaba las bases fundamentales para el establecimien

to de dos tipos de relaciones. La de los ciudadanos con las diferentes administracionespblicas de los estados miembros, as como la relacin entre ellas. Tambin creabanguras administrativas como las de la ventanilla nica, que son ya una realidad enel estado espaol.

Con las metas ya jadas, slo quedaba esperar la salida de la normativa quepermitiera cumplir las prerrogativas exigidas. Estas vieron la luz nalmente el 22 deJulio del ao 2007 con la publicacin de la Ley 11/2007. La Ley de Acceso Electrnicose encuentra articulada en 4 ttulos principales ms uno preliminar y una serie dedisposiciones. El objetivo principal de la norma consiste en reconocer el derecho de los

ciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos.Tambin regula los aspectos bsicos de la utilizacin de las tecnologas de la informacin en la actividad administrativa y en las relaciones entre Administraciones. De igual

4


25/217

Antecedentes

modo pasa a regular tambin las relaciones de los ciudadanos con stas. Se presentacomo nalidad la de garantizar sus derechos, un tratamiento comn ante ellas y lavalidez y ecacia de la actividad administrativa en condiciones de seguridad jurdica.

Las diferentes Administraciones Pblicas debern para ello utilizar las tecnologasde la informacin de acuerdo a una serie de normas denidas en la Ley. Las mximaspara ello son asegurar la disponibilidad, el acceso, la integridad, la autenticidad, lacondencialidad y la conservacin de los datos, informaciones y servicios que segestionen en el ejercicio de sus competencias. Estas premisas son procedimientos yterminologas ampliamente utilizadas entre los profesionales de TI, siendo objeto dedesarrollo en cualquier proyecto informtico. Muchas partes de la ley vienen a precisarcules son estas garantas, aunque sern desarrolladas tcnicamente en el EsquemaNacional de Seguridad.

Para la resolucin de los objetivos se establecen a travs de la ley una serie deprincipios. Estos regulan los derechos reconocidos en otras normas como la LOPD olos propiamente marcados por la Constitucin. Los principios ms signicativos quese encuentran en la norma son:

l Principio de accesibilidad a la informacin y a los servicios por medioselectrnicos. Se proporcionarn mecanismos, que a travs de sistemas quepermitan su utilizacin de manera segura y comprensible, garanticen especialmente la accesibilidad universal y el diseo para todos de los soportes,canales y entornos.

l Principio de legalidad. Presenta como base al mantenimiento de la integri dad de las garantas jurdicas de los ciudadanos ante las AdministracionesPblicas. Estas fueron establecidas en la Ley 30/1992, de Rgimen Jurdico delas Administraciones Pblicas y del Procedimiento Administrativo Comn.

l Principio de seguridad. La implantacin y utilizacin de los medios electrnicos exigir al menos el mismo nivel de garantas y seguridad que se requierepara la utilizacin de medios no electrnicos en la actividad administrativa.

l Principio de proporcionalidad. Slo se exigirn las garantas y medidas de

seguridad adecuadas atendiendo a la naturaleza y las circunstancias especcas de los distintos trmites y actuaciones. Asimismo, slo se requerirn alos ciudadanos aquellos datos que sean estrictamente necesarios en atencina la nalidad para la que se soliciten.

l Principio de neutralidad tecnolgica y de adaptabilidad al progreso de lastcnicas y sistemas de comunicaciones electrnicas. Deber garantizarse laindependencia en la eleccin de las alternativas tecnolgicas tanto por partede los ciudadanos, como por parte de las Administraciones Pblicas. Deigual modo, ser necesario garantizar la libertad de desarrollar e implantarlos avances tecnolgicos en un mbito de libre mercado. A estos efectos, lasAdministraciones Pblicas utilizarn estndares abiertos, as como, de formacomplementaria, tecnologas que sean de uso generalizado por los ciudadanos.

5


26/217


De los diferentes ttulos que conforman la ley, y en lo concerniente a aspectostcnicos, es el II sobre Rgimen Jurdico de la Administracin Electrnica el ms signicativo. A travs de ste se establecen importantes guras como las de sede electrnica,identicacin, autenticacin, registros y seguridad de las comunicaciones.

Dentro de las guras jurdicas denidas por la ley, uno de los mecanismos msimportantes es el de sede electrnica. La misma ayudar con posterioridad a entenderel Esquema Nacional de Seguridad y en qu entornos ste ser de aplicacin. La sedeelectrnica es aquella direccin electrnica disponible para los ciudadanos. Su accesose realizar a travs de redes de telecomunicaciones cuya titularidad, gestin y administracin corresponde a una Administracin Pblica, rgano o entidad administrativaen el ejercicio de sus competencias.

La norma implica que el establecimiento de una sede electrnica conlleva la res

ponsabilidad por parte de su titular respecto de la integridad, veracidad y actualizacin,tanto de la informacin como de los servicios a los que pueda accederse a travs de lamisma. Las sedes electrnicas dispondrn de sistemas que permitan el establecimientode comunicaciones seguras siempre que stas sean necesarias. Por tanto, la prestacinde un servicio a travs de un acceso web con el objeto de llevar a efecto un procedimiento administrativo dene dicho sistema como una sede electrnica.

De cara al acceso a las sedes electrnicas, se establecen las formas relativas a laidenticacin y autenticacin. Se admitirn como vlidas aquellas conformadas atravs de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. En este sentido,

las personas fsicas podrn hacer uso del Documento Nacional de Identidad electrnico y otros sistemas autorizados. Por su parte, las sedes electrnicas podrn utilizar,para identicarse y garantizar una comunicacin segura con las mismas, sistemas derma electrnica basados en certicados de dispositivo seguro o medios equivalentes.

Los sistemas de rma electrnica reconocidos ocialmente son aquellas provenientes de las siguientes entidades:

l DNIe. Documento Nacional de Identidad Electrnico.

l Camerrma. Servicio de certicacin digital de las cmaras de comercio,

industria y navegacin de Espaa.

l Izenpe. Proyecto impulsado por el Gobierno Vasco y las Diputaciones Forales.Constituida a travs de sus sociedades informticas: EJIE, LANTIK, IZFE yCCASA.

l CATCert. Agencia Catalana de Certicacin.

l ANF AC. Sistema abierto de certicacin electrnica.

l SCR. Servicio de Certicacin de los Registradores.

l ACA. Autoridad de Certicacin de la Abogaca espaola.

l ACCV Autoridad de Certicacin de la Comunidad Valenciana.

6


27/217

Antecedentes

l ANCERT. Agencia Notarial de Certicacin.

l FNMT. Fbrica Nacional de Moneda y Timbre.

l Firma profesional. Primer prestador privado de servicios de certicacin en

Espaa.

l BANESTO CA. Entidad certicadora del Banco Nacional Espaol de Crdito,homologado por la Agencia Tributaria.

Los objetivos perseguidos por la ley y que son inherentes al uso de los certicadoselectrnicos son:

l La autenticidad de las personas y entidades que intervienen en el intercambiode informacin.

l La condencialidad. Tan solo el emisor y el receptor deben ser capaces devisualizar la informacin que se est manejando en el proceso administrativo.

l La integridad de la informacin intercambiada. Asegurar que no se produceningn tipo de manipulacin sobre los datos manejados. Aunque la informacin vaya cifrada, esto no impedira que se pudiera realizar algn cambioaleatorio que modique y por lo tanto altere la validez del contenido de losdatos a asegurar.

l El no repudio. Garantiza al titular del certicado que nadie ms que l puedegenerar una rma vinculada a su certicado. Por otra, le imposibilita a negarsu titularidad en los mensajes que haya rmado.

Para la resolucin de estos objetivos y a travs del certicado digital, podrnrealizarse las siguientes operaciones:

l Autenticar la identidad del usuario de forma electrnica ante otros.

l Cifrar datos para que slo el destinatario del documento pueda acceder asu contenido.

l Firmar electrnicamente, de forma que se garantice la integridad de los datos

trasmitidos y la legitimidad de su procedencia.

La Ley permite que los ciudadanos opten por los sistemas electrnicos comomecanismos de comunicacin para sus trmites administrativos, con excepcin deaquellos casos en los que una norma con rango de ley establezca la utilizacin de unmedio no electrnico de forma especca. La opcin de uso de uno u otro correspondeal ciudadano, pudiendo modicar su eleccin y optar por un medio distinto del inicialmente elegido. Las Administraciones Pblicas utilizarn medios electrnicos en suscomunicaciones con los ciudadanos siempre que as lo hayan solicitado o consentidostos expresamente.

Las comunicaciones a travs de medios electrnicos sern vlidas siempre queexista constancia de la transmisin y recepcin, de sus fechas, del contenido ntegro

7


28/217


de las comunicaciones y se identique dedignamente al remitente y al destinatariode las mismas. Las Administraciones publicarn, en el correspondiente diario ocial yen la propia sede electrnica, aquellos medios electrnicos que los ciudadanos podrnutilizar en cada supuesto administrativo, para el ejercicio de su derecho a comunicarse

con stas.

Para garantizar la comunicacin electrnica, los requisitos de seguridad e integri dad de las comunicaciones se establecern de forma apropiada en funcin del carcterde los datos. Estos quedarn determinados de acuerdo a los criterios de proporcionalidad, conforme a lo dispuesto en la legislacin vigente en materia de proteccinde datos de carcter personal. Reglamentariamente, las Administraciones Pblicaspodrn establecer la obligatoriedad de comunicarse con ellas utilizando slo medioselectrnicos, siempre y cuando los interesados se correspondan con personas jurdicaso colectivos de personas fsicas que por razn de su capacidad econmica o tcnica,

dedicacin profesional u otros motivos acreditados tengan garantizado el acceso y ladisponibilidad de los medios tecnolgicos necesarios.

Las Administraciones Pblicas debern utilizar preferentemente medios electrnicos en sus comunicaciones con otras Administraciones. Las condiciones queregirn stas se determinarn entre las Administraciones Pblicas participantes en lacomunicacin.

Otra gura importante, denida a travs de la norma para el tratamiento deinformacin por parte de las administraciones, la constituye el archivo electrnico. Se

permite el almacenamiento por medios electrnicos de todos los documentos utilizadosen las actuaciones administrativas. Los archivos informticos que contengan actos administrativos que afecten a derechos o intereses de los ciudadanos debern conservarseen soportes de esta naturaleza, ya sea en el mismo formato a partir del que se originel documento inicialmente o en otro, siempre que ste permita asegurar la identidade integridad de la informacin necesaria para reproducirlo. En todo caso, es necesarioasegurar la posibilidad de trasladar los datos de un formato y soporte a otro distinto,que garantice el acceso desde las diferentes aplicaciones que son proporcionadas parala prestacin de servicios.

Los medios en los que se almacenan los documentos debern contar con medidasde seguridad que garanticen la integridad, autenticidad, condencialidad, calidad, proteccin y conservacin de los documentos almacenados. En particular, deben asegurarla identicacin de los usuarios y el control de accesos, as como el cumplimiento delas garantas previstas en la legislacin de proteccin de datos personales.

8


29/217

El Esquema Nacional de Seguridad

2El Esquema Nacional

de Seguridad

Aunque no existe realmente una equiparacin directa entre la Ley de AccesoElectrnico y la Ley Orgnica de Proteccin de Datos de Carcter Personal, a menudosurgirn las comparaciones entre ambas. Un hecho comn lo constituye el que en ambascircunstancias, las leyes no establecen tcnicamente qu acciones o medios especcosdebern utilizarse para garantizar la proteccin de la informacin. La LOPD tuvo queesperar hasta la salida del Real Decreto 1720/2007 sobre el Reglamento de Desarrollode la Ley. Por su parte, la LAE ha debido esperar tambin a la aparicin del RD 3/2010para su desarrollo tcnico.

Tal y como se indicaba en pginas anteriores, es la propia ley la que marcaba laespera para la aparicin de otra normativa que regulara las medidas de seguridad. Ensu artculo 42, se designaba que sera el Esquema Nacional de Seguridad (ENS) el queestablecera la poltica de seguridad a aplicar en la utilizacin de medios electrnicosen el mbito de la Administracin Pblica.

El Esquema Nacional de Seguridad (ENS) es publicado en el Boletn Ocial delEstado, el 29 de Enero del ao 2010. Entrando en vigor el da despus, inicializa el

cmputo de tiempo para la adecuacin a la normativa y condiciones que quedan establecidas. La dimensin del ENS no es exclusivamente tcnica, aunque gran parte desu desarrollo s lo sea. Las partes organizativas y funcionales tambin dan contenidoa importantes pginas del Real Decreto 3/2010.

El Esquema Nacional de Seguridad se estructura en diez captulos, ms una seriede disposiciones y anexos. Aunque este captulo abordar principalmente el desarrollode los captulos y las disposiciones, la parte fundamental, en lo que a las cuestionestcnicas, estructurales y organizativas se reere, son tratadas en los cinco anexos queacompaan al Real Decreto.

Hay que comentar que aunque la salida del texto se realiza en el BOE el 29 deEnero del 2010, el 11 de Marzo del mismo ao se publica en el Boletn una serie de

9


30/217


recticaciones sobre errores que se han advertido en la norma. Aquel que desee teneracceso al texto consolidado, podr realizarlo a travs de la siguiente direccin URLperteneciente al Consejo Superior de Administracin Electrnica:

http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf2.1. Principios bsicos

La nalidad ltima del Esquema Nacional de Seguridad (ENS) es la creacinde las condiciones de conanza para el uso de los medios electrnicos. Para ello sedenen las medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos. El ENS persigue fundamentar la conanza atravs de una serie de preceptos:

l Que los sistemas de informacin prestarn sus servicios sin interrupcioneso modicaciones fuera de control.

l Que la informacin ser custodiada de acuerdo con sus especicacionesfuncionales sin que sta pueda llegar al conocimiento de personas no autorizadas.

Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose los requisitos de los mismos y de las infraestructurasque les dan soporte. Hay que tener en cuenta respecto de este hecho que las relaciones

entre las diferentes administraciones pblicas son a menudo muy complejas. Debernser tambin evaluadas las relaciones existentes con entidades de mbito privado yno exclusivamente pblico. El concepto de seguridad debe observar tambin la noexistencia de parcelas de accin que puedan quedar descubiertas, en tierra de nadie, permitiendo as la aparicin de brechas y carencias de seguridad en los serviciosprestados.

En la elaboracin del texto del Esquema Nacional de Seguridad han participadomuchas organizaciones. En este proceso, y coordinado por el Ministerio de la Presidencia, han participado tanto el Centro Criptolgico Nacional (CCN) como todas

las Administraciones Pblicas del Estado. Entre ellas se incluyen las universidadespblicas (CRUE) a travs de los rganos colegiados con competencias en materia deadministracin electrnica: Consejo Superior de Administracin Electrnica, ComitSectorial de Administracin Electrnica y Comisin Nacional de Administracin Local.Para su elaboracin, tambin han sido importantes los preceptivos emitidos por otrasinstituciones: Ministerio de Poltica Territorial, Ministerio de la Presidencia, AgenciaEspaola de Proteccin de Datos y Consejo de Estado. Finalmente, se han tenidotambin presentes la opinin de las asociaciones de la industria del sector TIC y lasaportaciones recibidas tras la publicacin, el 3 de septiembre de 2009, del borrador enel sitio web del Consejo Superior de Administracin Electrnica.

Sin embargo, las bases de funcionalidad del ENS son anteriores. En este sentidose tienen en cuenta las recomendaciones de la Unin Europea al respecto:

10
http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdfhttp://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf


31/217


l Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembrede 2001, por la que se modica su Reglamento Interno.

l Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se

adoptan las normas de seguridad del Consejo.La seguridad de la informacin perseguir los siguientes objetivos principales:

l Proteger la informacin clasicada de la Unin Europea frente al espionaje,las situaciones de peligro o la divulgacin no autorizada de la misma.

l Proteger la informacin de la UE tratada en los sistemas y redes de comunicacin e informacin frente a las amenazas contra su condencialidad,integridad y disponibilidad.

l Proteger los locales de la Comisin en los que se encuentra informacin dela UE frente al sabotaje y los daos intencionados.

l En caso de fallo, evaluar el perjuicio causado, limitar sus consecuencias yadoptar las medidas necesarias para remediarlo.

Para establecer los mecanismos de proteccin, se designan determinadas reasde la seguridad que debern ser atendidas:

l Seguridad personal.

l Seguridad fsica.

l Seguridad de la informacin.

Este ltimo punto es el elemento ms crtico en el desarrollo del ENS. Aunquela clasicacin por niveles establecida por la Decisin 2001/884 EU TOP SECRET, EUSECRET, EU CONFIDENTIAL y EU RESTRICTED, diere de las marcadas por el ENS,la aplicacin de medidas presentan mltiples coincidencias. Las medidas de seguridad,en ambas circunstancias, se aplican en funcin de la clasicacin, teniendo previstopara ello el establecimiento de las dimensiones de seguridad. Pero, qu entidadesestn supeditadas al Esquema Nacional de Seguridad? La informacin recogida en el

Artculo 3 sobre el mbito de aplicacin de ste, remite al Artculo 2 de la Ley 11/2007.En l se hace una exclusin del mbito de aplicacin de la normativa, para aquellossistemas que tratan informacin clasicada y regulada por Ley de 5 de abril 9/1968,de Secretos Ociales y normas de desarrollo.

Artculo 2. mbito de aplicacin.

1. LapresenteLey,enlostrminosexpresadosensudisposicinnalprimera,serde aplicacin:

a) A las Administraciones Pblicas, entendiendo por tales la Administracin

General del Estado, las Administraciones de las Comunidades Autnomas ylas Entidades que integran la Administracin Local, as como las entidadesde derecho pblico vinculadas o dependientes de las mismas.

11


32/217

EsquemaEsquema NacionalNacional dede Seguridad...Seguridad... concon MicrMicrosoftosoft

b) A los ciudadanos en sus relaciones con las Administraciones Pblicas.

c) A las relaciones entre las distintas Administraciones Pblicas.

2.La

presente

Ley

no

ser

de

aplicacin

alas

Administraciones

Pblicas

en

lasactividades que desarrollen en rgimen de derecho privado.

En un anlisis general del Esquema Nacional de Seguridad, su aplicacin pareceestar bastante relacionada con la aplicacin de la norma de calidad ISO 27000. Aunas, el ENS es ms preciso, aunque es cierto que algunas de las medidas de seguridaddel mismo coinciden con controles de ISO/IEC 27002. De este modo, el Esquema establece un sistema de proteccin para la informacin y servicios a proteger. La normaISO/IEC 27002 carece de esta proporcionalidad en lo que a aplicacin de medidas sereere, quedando este apartado a la mejor opinin del auditor que certica la conformidad con ISO/IEC 27001. Determinados aspectos fundamentales como la rma o laautenticacin electrnica no estn recogidos en la norma ISO/IEC 27002.

El principio fundamental que regula el Esquema Nacional de la Seguridad es elde la seguridad integral. As queda establecido a travs del Artculo 5.

1.Laseguridadseentendercomounprocesointegralconstituidoportodosloselementos tcnicos, humanos, materiales y organizativos, relacionados con elsistema.LaaplicacindelEsquemaNacionaldeSeguridadestarpresididaporeste principio, que excluye cualquier actuacin puntual o tratamiento coyuntural.

2. Seprestarlamximaatencinalaconcienciacindelaspersonasqueintervienenenelprocesoyasusresponsablesjerrquicos,paraque,nilaignorancia,nilafalta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentesde riesgo para la seguridad.

Este artculo establece esa necesidad de entender la seguridad como una tareade todos. La totalidad de los usuarios, que de una u otra forma estn vinculados altratamiento de datos sujetos a la aplicacin del ENS, son parte importante de esa seguridad. En este sentido, no pueden ser argumentados como eximentes ni la falta deconocimiento de un hecho, ni el desconocimiento en el uso de la tecnologa.

La seguridad debe ser vista como uno de los principios rectores fundamentalesen el tratamiento de los datos. Tanto la tecnologa como el factor humano deben sertenidos en cuenta para ello. Este aspecto es tan preceptivo que se promueve la formacin de todos los involucrados, para asegurar as el cumplimiento de sus funciones.

La implementacin de un sistema de seguridad pasa inicialmente por realizar unanlisis de riesgos. La premisa es, por tanto, conocerse primeramente antes de realizaresfuerzos que podran ser infructuosos. Lagestinderiesgospermitirelmantenimientode un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin deestosnivelesserealizarmedianteeldesplieguedemedidasdeseguridad,queestablecerunequilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestosy las medidas de seguridad.

12


33/217


Para la realizacin de los anlisis de riesgos, la Administracin Pblica cuentacon una herramienta signicativa: EAR/PILAR. Est basada en el sistema de anlisisde riesgos MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemasde Informacin) que gura en el inventario de mtodos de anlisis y gestin de riesgos

de ENISA (European Network and Information Security Agency). En su versin 2 se haestructurado en tres libros: Mtodo, Catlogo de Elementos y Gua de Tcnicas:

l Mtodo. Describe los pasos y las tareas bsicas para realizar un proyecto deanlisis y gestin de riesgos. Esta descripcin observa la metodologa desdetres visones distintas:

n Describir los pasos para realizar un anlisis del estado de riesgo y gestionar su mitigacin.

n Describir las tareas bsicas para realizar un proyecto de anlisis y gestin

de riesgos, estableciendo las pautas, roles, actividades y documentacinasociada.

n Aplicar la metodologa a los casos del desarrollo de sistemas de informacin. Los proyectos de desarrollo de sistemas deben tener en cuentalos riesgos desde el primer momento. Tanto aquellos a los que se estexpuesto de forma directa, como otros riesgos que las propias aplicaciones pueden llegar a introducir en el sistema.

l Catlogo de Elementos. Ofrece pautas y elementos estndar en cuanto al

tratamiento de los activos. Para ello se tendrn en cuenta los distintos tiposde activos, las dimensiones de valoracin de stos, los criterios de valoracinde los mismos y las amenazas tpicas sobre los sistemas de informacin, juntoa salvaguardas a considerar para proteger los sistemas de informacin.

l Gua de Tcnicas. Trata de una gua de consulta que proporciona algunastcnicas que se emplean habitualmente para llevar a cabo proyectos deanlisis y gestin de riesgos. Entre ellas, tcnicas especcas para el anlisisde riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque,tcnicas generales o anlisis coste-benecio, junto a otros.

Microsoft, por su parte, tambin ha desarrollado su propia herramienta de evaluacin de seguridad: MSAT (Microsoft Security Assessment Tool). Est diseada paraayudar a identicar y abordar los riesgos de seguridad en un entorno tecnolgicodeterminado. Su utilizacin ofrece una visin general de la seguridad, permitiendocon ello la cuanticacin de la misma.

La herramienta utiliza un enfoque integral para medir el nivel de seguridady cubre aspectos tales como usuarios, procesos y tecnologa. Consta de ms de 200preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores

prcticas comnmente aceptadas, en estndares tales como las normas ISO 27000y NIST-800.x, as como las recomendaciones y orientaciones normativas del GrupoTrustworthy Computing de Microsoft y otras fuentes externas de seguridad.

13


34/217


Para la obtencin de resultados, la herramienta hace diversos tipos de preguntasque permiten diferenciar e identicar diversos aspectos de la organizacin. El primergrupo de ellas presenta como objetivo establecer el modelo de negocio de la misma.Para ello se crea un Perl de Riesgos de Negocio (BRP), calculando el riesgo de la

entidad en sus acciones de negocio segn el modelo empresarial denido por el BRP.

Figura 2.1. MSAT 4.0.

El segundo grupo de preguntas tienen como objetivo elaborar un listado de lasmedidas de seguridad que se han puesto en produccin. Se realiza una evaluacinde la seguridad en funcin de las capas de defensa. Estas proporcionan una mayorproteccin contra los riesgos de seguridad y vulnerabilidades especcas. Cada capacontribuye a una estrategia combinada que permite implementar una proteccin en

profundidad. Ejemplos de ello son la capa de seguridad perimetral o la seguridad localde las estaciones de trabajo. La suma de todas ellas se conoce como Defense-in-DepthIndex (DiDI).Microsoft Security Assessment Tool (MSAT) se divide en cuatro reas deanlisis (AoAs):

l Infraestructura.

l Aplicaciones.

l Operaciones.

l Personal.

La Figura 2.2 muestra la fase de preguntas sobre las cuatro reas de anlisismencionadas.

14


35/217


Figura 2.2. Fase de preguntas AoAs en MSAT 4.0.

BRP y DiDI se comparan entonces para medir la distribucin del riesgo a travsde las diferentes reas de anlisis. Adems de valorar la equivalencia entre riesgos de

seguridad y defensas, esta herramienta mide tambin la madurez de la seguridad dela organizacin. Esta se reere a la evolucin del fortalecimiento de la seguridad y lastareas de mantenimiento de la misma. En el extremo inferior, son pocas las medidasde seguridad empleadas, y las acciones llevadas a cabo son simplemente reaccionesa los acontecimientos. En el extremo superior se prueban y establecen procesos quepermiten a la compaa una mayor proactividad y una respuesta ms eciente y consistente cuando sta es necesaria.

Finalizadas las preguntas, la herramienta de anlisis muestra los diferentes informes de estado de seguridad para la organizacin. Estos pueden ser de tipo resumen,

completo o comparativo. Este ltimo permitira visualizar la comparacin del estadode seguridad de la organizacin, con respecto a otras con similares perles de negocio.

Por su parte, el informe resumen muestra el perl de riesgos frente al ndice dedefensa en profundidad. La siguiente imagen muestra el resultado del anlisis delperl de una empresa tipo, concienciada con la seguridad de sus sistemas y que eneste sentido ha aplicado medidas de ndole tcnico.

Los informes se acompaan tambin de una serie de mejoras. Las recomendaciones sugeridas para la gestin de riesgos tienen en cuenta la tecnologa existente, la

presente situacin de la seguridad y las estrategias de defensa en profundidad. Lassugerencias van dirigidas a reconocer y aplicar las buenas prcticas ms recomendadasen materias de seguridad.

15


36/217


Figura 2.3. Informe resumen.

Figura 2.4. Detalle informe completo.

El anlisis de riesgos permitir evaluar el estado de situacin de la organizacinen lo que a seguridad de sus sistemas se reere. Pero ello slo supone el inicio del pro

16


37/217


ceso. Este deber contemplar los aspectos de prevencin, deteccin y correccin, paraconseguir que las amenazas no se lleguen a producir. En caso de que se materialicen,deber minimizarse su impacto e intentar paliarlas lo ms rpidamente posible. Paraello debern disponerse medidas tanto reactivas como restaurativas. Estas ltimas

permitirn la recuperacin de la informacin y los servicios, de forma que se puedahacer frente a las situaciones en las que un incidente de seguridad inhabilite los sistemas o determinados servicios de stos.

Dentro del anlisis de seguridad, un aspecto muy importante tratado en el ENS esel de la segregacin de funciones. Ocurre a menudo, que los encargados de analizar elestado de seguridad de una organizacin son los mismos que deben poner en marchalos sistemas productivos. Este desaconsejable hecho puede producir parcialidad enla actuacin de los profesionales, priorizando la produccin frente a la aplicacin demecanismos de seguridad.

Con objeto de evitar este tipo de problemas de asignacin de funciones, el ENSdiferencia en el proceso de segregacin de roles los siguientes: responsable de la informacin, responsable del servicio, responsable del sistema y responsable de la seguridad.

El responsable de informacin determina los requisitos que deben cumplir lainformacin y los objetivos que se persiguen para su mantenimiento. El responsabledel servicio, por su parte, determina los requisitos, las caractersticas y las condiciones de los servicios prestados. Este ltimo suele estar supeditado jerrquicamente alresponsable de la informacin.

Frente a ambos el responsable de seguridad presenta un perl mucho ms tcnico. De l se espera que establezca los requisitos y condiciones de seguridad de lainformacin y los servicios. Su objetivo fundamental es asegurar que las medidas deseguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la informacin y los servicios.

La relacin entre todas las guras la constituye el responsable del sistema. Esteser el encargado de las operaciones del mismo y deber conocer todos los elementos que lo constituyen. Relaciona, a travs del sistema, la informacin, los serviciosy la seguridad. Su rol y el del responsable de seguridad deben estar completamentesegregados. Ambos sern complementarios, pero sus labores sern diferentes y enocasiones sus posturas contrarias.

Inicialmente es difcil establecer una norma nica de quin debera asumir losdiferentes roles y funciones. Cada administracin es diferente, tanto en infraestructuracomo en diseo y personal. Por tanto,m la ocupacin de cada rol debera adecuarse alas particularidades de cada entidad o escenario.

2.2. Requisitos mnimos

Para el cumplimiento de las medidas de seguridad, todos los rganos superioresde las Administraciones Pblicas debern contar con una poltica de seguridad. Esta

17


38/217


presentar unos requisitos mnimos que debern ser implementados por todas lasorganizaciones sujetas al Esquema Nacional de Seguridad.

La denicin de los rganos superiores viene establecida en el Real Decreto

3/2010 a travs de su artculo 11 en el punto 2:

Alosefectosindicadosenelapartadoanterior,seconsiderarnrganossuperioreslos responsables directos de la ejecucin de la accin del gobierno, central, autonmicoolocal,enunsectordeactividadespecco,deacuerdoconloestablecidoenlaLey 6/1997, de 14 de abril, de organizacin y funcionamiento de la AdministracinGeneral del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos deautonoma correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril,reguladora de las bases del Rgimen Local, respectivamente.

Losmunicipios

podrn

disponer

de

una

poltica

de

seguridad

comn

elaborada

por

laDiputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aque

llasotrascorporacionesdecarcterrepresentativoalasquecorrespondaelgobiernoy la administracin autnoma de la provincia o, en su caso, a la entidad comarcalcorrespondiente a la que pertenezcan.

La poltica de seguridad tendr como objetivos fundamentales establecer roles,funciones y procedimientos de designacin, denir los criterios para la categorizacine identicacin de servicios y sistemas, as como plantear los mecanismos de seguridad previstos en el Anexo II. Para ello se exigen una serie de requisitos mnimos quedebern quedar denidos en la poltica de seguridad:

a) Organizacin e implantacin del proceso de seguridad.

l Anlisis y gestin de los riesgos.l Gestin de personal.l Profesionalidad.l Autorizacin y control de los accesos.l Proteccin de las instalaciones.l Adquisicin de productos.l Seguridad por defecto.l Integridad y actualizacin del sistema.l Proteccin de la informacin almacenada y en trnsito.l Prevencin ante otros sistemas de informacin interconectados.l Registro de actividad.l Incidentes de seguridad.l Continuidad de la actividad.

18


39/217


b) Mejora continua del proceso de seguridad.El captulo III dene cada uno de estos principios mnimos, que deben ser te

nidos en cuenta por las Administraciones Pblicas. Muchas de las guras descritas

son ampliamente utilizadas tambin en los sistemas de seguridad de las empresasprivadas, formando parte de los sistemas SGSI (Sistema de Gestin de Seguridad dela Informacin) de las mismas.

Se recogen a continuacin algunos de los requisitos ms notables. Otros sern

tratados en mayor profundidad a lo largo de los diferentes captulos de este libro.

Artculo 16.

Autorizacinycontroldelosaccesos.Elaccesoalsistemadeinformacindebersercontrolado y limitado a los usuarios, procesos, dispositivos y otros sistemas de informacin, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

Los procesos de autorizacin determinan uno de los procedimientos ms signicativos de cara a la seguridad. En este sentido debern valorarse en dos circunstanciasdiferentes:

l Garantizar el acceso de los ciudadanos para la realizacin de operaciones,tras procesos de autenticacin que aseguren la correcta identicacin delos mismos.

l

Garantizar que a los sistemas internos, slo el personal autorizado tendrpermitido el acceso.

Una vez que un usuario ha sido autenticado correctamente, se podr garantizar,mediante los controles pertinentes, el acceso a los recursos asociados.

Artculo 20. Integridad y actualizacin del sistema.

1. Todoelementofsicoolgicorequerirautorizacinformalpreviaasuinstalacinen el sistema.

2. Sedeberconocerentodomomentoelestadodeseguridaddelossistemas,enrelacinalasespecicacionesdelosfabricantes,alasvulnerabilidadesyalasactualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgoa la vista del estado de seguridad de los mismos.

La seguridad planteada a travs del ENS slo puede ser observada bajo un prismade permanente evolucin y actualizacin. Un problema habitualmente planteado porlas organizaciones es que una vez implementado un sistema, ste no se altera para evitarla posibilidad de perder su funcionalidad. Sin embargo, desde el punto de vista de laseguridad sta es una mala prctica. Los sistemas evolucionan, detectndose potenciales fallos de seguridad que los fabricantes corrigen oportunamente y que demandanla actualizacin de los sistemas. La generacin de actualizaciones de seguridad vienenormalmente precedida por la aparicin de un expediente de seguridad. La aplicacin

19


40/217


de soluciones de mejora es por tanto una constante al tratar con elementos software,independientemente de cul sea su procedencia. El enunciado del Esquema Nacionalde Seguridad no es ajeno a este hecho y lo recoge consecuentemente. Cuando un fabricante haga pblica la correccin de determinada vulnerabilidad, se deber actuar

conforme a un procedimiento estipulado para corregir el fallo detectado. No obstante,hay que tener en cuenta que una potencial solucin podra afectar negativamente alfuncionamiento normal del servicio. Para ello habr de disponerse de algn procedimiento para la realizacin de las pruebas previas oportunas que permitan aplicar lasactualizaciones de seguridad sin por ello alterar el servicio. Este tema es tratado en elAnexo II, en los apartados referidos a los sistemas de mantenimiento.

Artculo 21.Proteccindeinformacinalmacenadayentrnsito.1. Enlaestructurayorganizacindelaseguridaddelsistema,seprestarespecial

atencinalainformacinalmacenadaoentrnsitoatravsdeentornosinseguros.Tendrnlaconsideracindeentornosinseguroslosequiposporttiles,asistentespersonales (PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil.

2. Forman parte de la seguridad los procedimientos que aseguren la recuperaciny conservacin a largo plazo de los documentos electrnicos producidos por lasAdministracionespblicasenelmbitodesuscompetencias.

3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia directadelainformacinelectrnicaalaquesereereelpresenterealdecreto,deberestarprotegidaconelmismogradodeseguridadquesta.Paraelloseaplicarnlas medidas que correspondan a la naturaleza del soporte en que se encuentren,de conformidad con las normas de aplicacin a la seguridad de los mismos.

La salvaguarda de la informacin es un elemento principal en cualquier valoracin respecto de la seguridad informtica. No lo es menos para el Esquema Nacionalde Seguridad. No se debe olvidar que en la prestacin de un servicio lo que realmenteaporta valor son los datos manejados por encima de la continuidad del mismo. Elacceso de los ciudadanos presentar como objetivo principal el desarrollo de procedimientos administrativos, bien solicitando o bien aportando informacin. Debe

existir la constancia de que ante una prdida de informacin asociada al servicio, esposible su recuperacin. Por tanto, se establece como garanta fundamental asociada ala labor de la Administracin Pblica que los datos existentes podrn ser recuperadosy mantenidos. La evolucin de la tecnologa es atendida por el Esquema Nacional deSeguridad, y claro ejemplo de ello son los dispositivos mviles. Fciles de manejary de portar, no estn exentos de fallos de seguridad. Su portabilidad incrementa elnmero de amenazas y se hace por ello especial hincapi en las tecnologas de cifradopara los mismos.

Artculo 23. Registro de actividad.

Conlanalidadexclusivadelograrelcumplimientodelobjetodelpresenterealdecreto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y

20


41/217


a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccindedatospersonales,defuncinpblicaolaboral,ydemsdisposicionesqueresultendeaplicacin,seregistrarnlasactividadesdelosusuarios,reteniendolainformacinnecesaria para monitorizar, analizar, investigar y documentar actividades indebidasonoautorizadas,permitiendoidenticarencadamomentoalapersonaqueacta.Como en otras normativas existentes en el ordenamiento jurdico espaol cons

tituye una necesidad registrar los sucesos relativos a acciones sobre los servicios y lainformacin. Estos datos permitirn principalmente depurar responsabilidades cuandosea necesario, as como detectar fallos o incidencias de seguridad que hayan tenidolugar en los servicios prestados.

Este objetivo es probablemente uno de los ms complicados de cumplimentar.No obstante, no ser requerido en todos los escenarios de aplicacin del Esquema

Nacional de Seguridad, sino exclusivamente en aquellos donde se exigen los nivelesde seguridad ms altos. Los sistemas a utilizar debern contar con metodologas deregistro, y utilizar procedimientos para la consolidacin y correlacin de los datos. Elservicio sera inecaz si no tuviera capacidad de alertar frente a una posible incidencia.

Artculo 24. Incidentes de seguridad.

1. Seestablecerunsistemadedeteccinyreaccinfrenteacdigodaino.2. Seregistrarnlosincidentesdeseguridadqueseproduzcanylasaccionesde

tratamientoquesesigan.Estosregistrosseemplearnparalamejoracontinuade la seguridad del sistema.

Los ataques derivados del descubrimiento de una vulnerabilidad, constituyenuno de los mecanismos ms ampliamente utilizado por los hackers para introducirseen un sistema. Para garantizar la seguridad no basta solamente con su planteamiento,sino tambin es necesario evaluar si las medidas son ecaces. Los sistemas de deteccin de intrusiones intentan evaluar si un sistema est siendo objeto de ataque. Losintentos de ataque, aunque no se materialicen o tengan xito en sus objetivos, debenser detectados e identicados como medida fundamental para mantener nivelesapropiados de seguridad.

Un sistema de deteccin de intrusiones podra ser reactivo mediante la presentacin de alertas o acciones que indiquen los intentos de ataque. Esto permitir quelos administradores, adems de estar alertados, puedan calibrar el inters como focode ataque que presentan determinados servicios. Aquellos en los que se observenintentos de ataques ms frecuentes, deberan ser considerados ms crticos en lo querespecta a su seguridad.

Artculo 25. Continuidad de la actividad.

Lossistemas

dispondrn

de

copias

de

seguridad

y

establecern

los

mecanismos

necesarios para garantizar la continuidad de las operaciones, en caso de prdida de los

medios habituales de trabajo.

21


42/217


Puesto que la prestacin de un servicio constituye una de las prioridades de laAdministracin Pblica, el Esquema Nacional de Seguridad persigue tambin comoobjetivo mantener en todo momento la continuidad del servicio. Por tanto, y a travsde las polticas de seguridad, debern disponerse de mecanismos que permitan tanto

la recuperacin de los datos como de los propios sistemas, en caso de una potencialincidencia. No obstante, no hay que olvidar que el valor reside en los datos, y su conservacin debe prevalecer incluso sobre la prestacin del servicio.

Artculo 29. Guas de seguridad.

Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad,elCentroCriptolgicoNacional,enelejerciciodesuscompetencias,elaborarydifundirlascorrespondientesguasdeseguridaddelastecnologasdelainformaciny las comunicaciones.

Para manejar ecazmente los sistemas con los que cuenta la AdministracinPblica, el Centro Criptogrco Nacional ha elaborado, y continuar hacindolo, unconjunto de guas para el uso de diferentes tecnologas. En este sentido, Microsoftparticipa junto con el CCN en la elaboracin de las mismas en lo que respecta a sustecnologas y soluciones especcas.

La serie CCN-STIC-500 (Centro Criptogrco Nacional - Seguridad de las Tecnologas de la Informacin) recoge las diferentes guas desarrolladas conjuntamentepara entornos Windows. Adicionalmente a los documentos, se proporcionan una seriede scripts que permiten, a travs de las polticas de seguridad, mejorar determinadosescenarios atendiendo a la normativa existente.

2.3. Comunicaciones electrnicas

Uno de los peligros potenciales que presenta el tratamiento de datos lo constituyeel ataque a la informacin en trnsito. Existen numerosas tcnicas que presentan comoobjetivo el ataque en redes de datos. A travs de las mismas, un tercero intentar biensuplantar a una de las dos entidades participantes en la comunicacin, o bien obtenerla informacin que se estuviera intercambiando.

La alteracin en trnsito de una comunicacin para el desarrollo de un procedimiento administrativo podra conllevar su anulacin, o lo que es peor, si el sistemapermite aceptar una autenticacin falsa por imposibilidad de validar correctamenteun certicado digital, se inutilizara uno de los mecanismos fundamentales en los queest basado el Esquema Nacional de Seguridad.

Los sistemas de certicacin electrnica cumplen una labor muy importante. Hayque recordar que a travs del uso de los servicios tipo PKI (Public Key Infraestructure)se persiguen dos objetivos fundamentales:

l El rmado, con objeto de garantizar la autenticidad, el no repudio y la integridad de los datos.

22


43/217


l El cifrado, para garantizar la condencialidad de los datos.

En un proceso de comunicacin se persiguen precisamente estos objetivos, porlo que los sistemas de certicacin electrnica resultan indispensables: bien sea para

autenticar a un ciudadano, como para garantizar una comunicacin cifrada medianteSSL (Secure Socket Layer) o hacer un uso eciente del correo electrnico mediante lautilizacin de S-MIME (Secure / Multipurpose Internet Mail Extensions).

Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.

1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lorelativo a la constancia de la transmisin y recepcin, de sus fechas, del contenidointegrodelascomunicacionesylaidenticacindedignadelremitenteydestinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio,sernimplementadasdeacuerdoconloestablecidoenelEsquemaNacionaldeSeguridad.

2. Las comunicaciones realizadas en los trminos indicados en el apartado anteriortendrnelvalorylaecaciajurdicaquecorrespondaasurespectivanaturaleza,de conformidad con la legislacin que resulte de aplicacin.

Artculo 32.Requerimientostcnicosdenoticacionesypublicacioneselectrnicas.1. Lasnoticacionesypublicacioneselectrnicasderesolucionesyactosadminis

trativosserealizarndeformaquecumplan,deacuerdoconloestablecidoenelpresente real decreto, las siguientes exigencias tcnicas:a) Aseguren la autenticidad del organismo que lo publique.

b) Aseguren la integridad de la informacin publicada.

c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesadodelaresolucinoactoobjetodepublicacinonoticacin,ascomodelaccesoa su contenido.

d)Asegurenlaautenticidaddeldestinatariodelapublicacinonoticacin.El uso de los sistemas de certicacin electrnicos se considera de obligado cum

plimiento. Segn lo estipulado por la normativa, ser el mecanismo principal paragarantizar la autenticidad de los ciudadanos que acceden a los servicios que prestanlas administraciones pblicas. Pero tambin pueden ser utilizados para garantizar elacceso del personal interno para el tratamiento de los datos.

Hay que tener presente en este sentido la importancia que implican los procedimientos de comunicacin administrativos. Sern factibles y tendrn tanta validezcomo los sistemas tradicionales, siempre y cuando cumplan con una serie de preceptos.En todos ellos la poltica de rma y certicado electrnico presenta una labor muy

importante:

l Cifrado de los datos.

23


44/217


l Firma digital de la informacin.

l Firma de marca tiempo para el sellado electrnico.

En el desarrollo de los procedimientos administrativos el cumplimiento temporal

es crtico a la hora del establecimiento de resoluciones. Por ello, el uso de sistemas decerticacin electrnica para la implementacin del Time Stamp es otra de las necesidades a cubrir por los certicados digitales.

2.4. Auditora de seguridad

Para garantizar la aplicacin de medidas y evaluar el debido funcionamientode los sistemas implementados, el Esquema Nacional de Seguridad (ENS) dene lanecesidad de realizar peridicamente auditoras de seguridad. El sistema de auditora

queda denido a travs del Captulo V y el Anexo III.

Artculo 34. Auditora de la seguridad.

1. Lossistemasdeinformacinalosquesereereelpresenterealdecretosernobjetodeunaauditoraregularordinaria,almenoscadadosaos,queveriqueelcumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Con carcter extraordinario,deber realizarsedichaauditora siempreque seproduzcanmodicacionessustancialesenelsistemadeinformacin,quepuedanrepercutir en las medidas de seguridad requeridas. La realizacin de la auditoriaextraordinariadeterminarlafechadecmputoparaelclculodelosdosaos,establecidos para la realizacin de la siguiente auditora regular ordinaria, indicadosenelprrafoanterior.

Los sistemas de auditora deben servir como el mecanismo catalizador que determine que las medidas tcnicas aplicadas son como mnimo sucientes, que cumplensus cometidos y que los procedimientos se realizan de acuerdo a lo estipulado en lapoltica de seguridad. No obstante, su realizacin depende del tipo de categora deseguridad que queda determinada en el Anexo I. Aunque este tema ser tratado conposterioridad, es importante indicar en este momento que existen tres categoras en

funcin de la criticidad: bsica, media y alta.

En el caso de las categoras media y alta, la auditora deber realizarla un equipoindependiente a la organizacin. En el caso de categora bsica, la auditora podr serde tipo auto evaluat

esquema nacional seguridad microsoft

Documents