esquema nacional seguridad segun microsoft

Esquema Nacional de Seguridad... con Microsoft

Juan Luis G. Rambla Jos Mara Alonso Cebrin

I

Publicado por: Microsoft Ibrica S.R.L. Centro Empresarial La Finca

28223 Pozuelo de Alarcn Madrid (Espaa)

Copyright 2009 Microsoft Ibrica S.R.L.

Aviso Legal: Los autores, colaboradores, organismos pblicos y empresas mencionadas en este libro, no se hacen responsables de que lo contenido en este libro garantice el total cumplimiento de los requisitos establecidos en la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad. Este libro nica y exclusivamente posee un propsito informativo en relacin a la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad. La informacin sobre los productos de Microsoft representa la visin que los autores, colaboradores y empresas mencionadas en este libro tienen sobre los mismos, por lo que no otorgan ninguna garanta, ni expresa ni implcita, en referencia a la informacin incluida en este libro sobre los mencionados productos. Es responsabilidad del usuario el cumplimiento de toda la legislacin sobre el cumplimiento del Esquema Nacional de Seguridad. Sin limitar los derechos que se deriven sobre propiedad intelectual, ninguna parte de este documento puede ser reproducida, almacenada, ni introducida en ningn sistema de recuperacin, ni transmitida de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico por fotocopia, grabacin o de otro tipo, con ningn propsito, sin la autorizacin por escrito de los titulares de los derechos de propiedad intelectual de este libro. Quedan reservados todos los derechos. Los nombres de las compaas y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios.

EJEMPLAR GRATUITO. PROHIBIDA SU VENTA Depsito Legal: M. 20.093-2011 Coordinador Editorial: Hctor Snchez Montenegro. Diseo y maquetacin: Jos Manuel Daz. / Newcomlab S.L.L. Revisin tcnica: Newcomlab S.L.L. Imprime: Pardetres.net Impreso en Espaa Printed in Spain

II

Agradecimientos

HctorSnchezMontenegro,NationalTechnologyOfficerdeMicrosoftIbrica ycoordinadordeestaobra,deseatrasmitirunagradecimientomuyespecial,adems de a los autores y prologuistas, a las siguientes personas: LuisMiguelGarcadelaOliva,DirectordePlataformadeMicrosoftIbrica. JosParadaGimeno,ChiefSecurityAdvisordeMicrosoftIbrica. FrancescadiMassimo,DirectoradeSeguridadeInteroperabilidaddeMicrosoft WE. CarlosdelaIglesia,DirectordeComunicacionesdeMicrosoft. ManuelSnchezChumillas,deInformtica64. NachodeBustosMartn,DirectorGeneraldeNewcomlab.

III

IV

Microsoft Ibrica

LaAdministracinEspaolalideraunencomiableesfuerzohaciaelDesarrollo delaSociedaddelaInformacinenEspaa,ascomoenelusoptimodelastecnologasdelaInformacinenprodeunaprestacindeserviciosmseficientehacia losciudadanos. Aunqueestetipodecontenidosnosiempresonfcilesdetratarsincaerenun excesivodogmatismoylenguajeortodoxo,sesciertoqueenelmarcodelaLey11/2007 del22deJunio,deaccesoelectrnicodelosciudadanosalosServiciosPblicos,se anuncilacreacindelosEsquemasNacionalesdeInteroperabilidadydeSeguridad con la misin de garantizar un derecho ciudadano, como el recogido en dicha ley, lo quesindudaesunretoyunaresponsabilidaddeprimeramagnitud. Peroloesanmselgarantizaresederechoconlasgarantasdeconfidencialidad, seguridad,confianzayprivacidadnecesarias. Nosonasuntosmenores,entantoencuantohablamosdederechosciudadanos. Y, desde luego, si siempre ha sido deseable el mayor alineamiento posible entre la industria tecnolgica y el uso que de la tecnologa hace la Administracin Pblica, en estaocasinresultamsimportantequenunca.Retostanelevadoscomolosdescritos solopuedenconseguirsedesdelamsestrechacolaboracinconlaindustria. MicrosoftIbricalleva25aosacompaandoeldesarrollodelaAdministracin PblicaEspaola.Navegandojuntosporlahistoriadelprogresotecnolgicomsespectaculardelosltimosaos,aprendiendojuntos,yendefinitivasiendocompaeros deviajeenelprocesomodernizadordenuestropas. YsonaquellosproyectosmsestratgicosparalaAdministracinlosquemarcan nuestraestrategiayatencin.Enestaocasinenreascomolaseguridadolaprivacidad, desde donde ya hemos trabajado para acercar y ayudar a las empresas EspaolasV


en el cumplimiento de los requisitos tecnolgicos derivados del cumplimiento del RealDecretodelaLOPD,publicandounexhaustivotrabajosobrecmoacercarnosa sucumplimientoconlaconfiguracinadecuadadetecnologasMicrosoft.Olacomparticindelcdigofuentedenuestrossistemasoperativosyaplicacionesofimticas conelCentroNacionaldeInteligenciaatravsdesuCentroCriptolgicoNacional.Y enesalneapresentamosestetrabajocentradoenelEsquemaNacionaldeSeguridad. Esuntrabajoeminentementedivulgativo,dirigidoalosresponsablestcnicos de las administraciones, encargados de cumplir los requisitos y las recomendaciones delEsquema. Este manual es un nexo entre las medidas con implicaciones tecnolgicas descritasenelEsquema,ysuimplementacinprcticaenaquellosentornoscontecnologa Microsoft.Ellibrotomacomohiloconductorlosgrandesprincipiosqueconforman elesquemaNacionaldeSeguridad,talescomosusprincipios,dimensiones,medidas, implementaciones,explotacin,proteccinetc.,paraacontinuacincomentarlosde formasencillaydetallarculesseranlasconfiguracionesyrecomendacionestcnicas msadecuadasparasucumplimiento. Tenemoslaesperanzadequeestemanualsirvaparafacilitaralosresponsables de seguridad el cumplimiento de los aspectos tecnolgicos derivados del cumplimientodelENS,ascomoservirdevehculodedifusindeunconocimientoimportante como es el relativo a la seguridad de los servicios pblicos de las Administraciones y la garanta de seguridad hacia los ciudadanos en el ejercicio de sus derechos reconocidosporlaLey. Mara Garaa PresidentadeMicrosoftEspaa

VI

INTECO

Imagine que el banco en el que usted deposita sus ahorros, por la noche dejara las puertas sin cerrar y el dinero en los mostradores. Seguramente, esta entidad perdera Las Administraciones Pblicas son tambin depositarias de activos de gran valor, entre los que destacan por su trascendencia para el correcto funcionamiento de la sociedad la informacin y los sistemas que la sustentan. Todos los ciudadanos espaoles que no dejen las puertas abiertas y los activos valiosos al alcance de cualquiera. Que protejan su capacidad para seguir prestndonos servicios y nuestros datos de manera proporcionada al valor que tienen, o al dao que podra causarnos su robo, prdida o falseamiento. Por ello, la sociedad necesita dotarse de los mecanismos que permitan a los responsables pblicos evaluar adecuadamente los riesgos para la informacin y los sistemas que la soportan, y que impongan la obligacin de actuar en consecuencia. La seguridad de los datos que las administraciones tienen de nosotros, y la de los en sus instituciones. El crecimiento econmico y el progreso de la sociedad, as como unas instituY los ciudadanos no harn uso de esas nuevas tecnologas, ni de los servicios de la Sociedad de la Informacin, si no confan en los sistemas y procesos que los sustentan. Por tanto, podemos decir que colaborar para la promocin, entendimiento e implementacin correcta del Esquema Nacional de Seguridad (ENS) equivale a favorecer

VII


elprogresodelasociedad,lamejoraeconmica,elbuengobiernoylaconfianzade losciudadanosensusadministraciones. INTECO, cuya misin es contribuir a reforzar la confianza en la Sociedad de laInformacinyquecomomediopropiodelaAdministracinGeneraldelEstado dedicagranpartedesusrecursosyesfuerzosalaimplantacindelENSenlasAdministracionesPblicas,dalabienvenidaalpresentemanualquesindudacontribuira fomentarlaseguridaddelainformacinenlasAdministracionesPblicas,yportanto laconfianzaenlaSociedaddelaInformacin. Vctor M. Izquierdo Loyola DirectorGeneraldelInstitutoNacionalde TecnologasdelaComunicacin,S.A.(INTECO)

VIII

Ministerio de Poltica Territorial y Administracin Pblica

ElEsquemaNacionaldeSeguridad,materializadoenelRealDecreto3/2010, tiene como objetivo fundamental crear las condiciones necesarias de confianza en elusodelosmedioselectrnicos,atravsdemedidasparagarantizarlaseguridad delainformacinquesemanejaydelosservicioselectrnicosqueseprestan,que permita a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y elcumplimientodedeberesatravsdeestosmedios. Efectivamente,losciudadanosesperanqueelaccesoelectrnicoalosservicios pblicosseproduzcaenunascondicionesdeconfianzaydeseguridadequiparables a las que puedan encontrar si se acercan de manera presencial a las oficinas de la Administracin.ElEsquemaNacionaldeSeguridadseencuentra,endefinitiva,al servicio de la realizacin del derecho de los ciudadanos a relacionarse por medios electrnicosconlasAdministracionespblicas. ElEsquemaNacionaldeSeguridades,portanto,unarespuestaalaobligacin de las Administraciones Pblicas de adoptar medidas de seguridad adecuadas a la naturalezadelainformacinylosserviciosylosriesgosalosqueestnexpuestos. Para ello establece la poltica de seguridad en la utilizacin de medios electrnicos en elmbitodelaLey11/2007yestconstituidoporlosprincipiosbsicosyrequisitos mnimosquepermitanunaproteccinadecuadadelainformacin. Adems,elEsquemaintroduceloselementoscomunesquehandeguiarlaactuacin de las Administraciones Pblicas en materia de seguridad de las tecnologas delainformacinyquehandefacilitarlainteraccinentreellas,ascomolacomunicacindelosrequisitosdeseguridaddelainformacinalaIndustria. ElEsquemaNacionaldeSeguridad,aligualqueelEsquemaNacionaldeInteroperabilidad,eselresultadodeunesfuerzocolectivoenelquehanparticipadotodasIX


lasAdministracionesPblicas,atravsdelosrganoscolegiadosconcompetencia enmateriadeadministracinelectrnica. Tambin la Industria del sector de tecnologas de la informacin y las comunicacioneshacontribuidoalaelaboracindelEsquemaNacionaldeSeguridadcon aportacionesatravsdelasasociacionesdesusector;enrelacinconestaparticipacindelaIndustria,hayqueresearquestahareconocidoentodomomentoel carcter transcendente y necesario del Esquema para proporcionar una seguridad imprescindible. ElpresenteManualsobrecumplimientodelEsquemaNacionaldeSeguridad esuntestimonioconcretodeesteesfuerzoconjuntorealizadoporlaAdministracin y porlaIndustriaparafacilitarquelosserviciosdelasAdministracionesPblicas disponibles por medios electrnicos se encuentren en las adecuadas condiciones de confianzaydeseguridadquelessonexigibles. Fernando de Pablo DirectorGeneralparaelImpulsodelaAdministracin ElectrnicadelMinisteriodePolticaTerritorialyAdministracinPblica

X

Centro Criptolgico Nacional

NuestrasociedadactualestenInternet,nuestromododevidayeldenuestros hijoscadavezseencuentramsvinculadoalaRedyasustecnologasasociadas.La AdministracinnoesajenaaestasituacinylaLey11/2007estimpulsandoelempleo deestavayelesfuerzorealizadoporlosdistintosorganismosparaquedesdelas sedeselectrnicaslarelacinconlosciudadanosseamsfluidahasidoimpresionante. Conscientesdequenopodemosgenerarconfianzaenestenuevomododerelacin sindotarnosdelosmediosadecuadosparalaproteccinyelcontroldelainformacin manejadapornuestrosSistemas,estaleyensuartculo42fijlasbasesdeunanecesidad queyademandabanmuchosservidorespblicos,elEsquemaNacionaldeSeguridad. Afinalesdeenerodelao2010seaprobelRD3/2010porelqueseregulael EsquemaNacionaldeSeguridadenelmbitodelaAdministracinElectrnica.Esta norma fija unos principios bsicos y requisitos mnimos, as como un conjunto de medidasquepermitenunaproteccinadecuadadelainformacinylosservicios. ElRDestableceunplazodeimplantacinquepuedellegaralos48mesesreconociendoimplcitamenteladificultaddesuaplicacinespecialmenteenesteescenario derestriccionespresupuestarias. SeestrealizandounesfuerzoenlaserieCCN-STIC800paradarnormas,guas yrecomendacionesenelCMOsolucionarlosretosplanteadosenelesquemayse agradececualquierguaprcticadeaplicacinenlastecnologasdemayorpresencia enlaAdministracin. En este sentido, este libro desde el punto de vista de la empresa intenta proporcionarunaaproximacinprcticaacmorealizaryverificarestecumplimientoen sistemasqueutilicentecnologasdeMICROSOFT. El esquema es una pieza clave para mejorar la seguridad de los sistemas de la Administracin y nos exige adems un mayor esfuerzo de colaboracin y trabajoXI


conjuntoentrelosdiferentesorganismos.Estedocumentoesunejemplodeestacolaboracinyesperoqueconsigadealgunamanerafacilitarlacomprensindealgunos aspectosdesuimplantacin. Javier Garca Candau SubdirectorGeneralAdjuntoenfuncionesdelCentroCriptolgicoNacional

XII

Prefacio

Actualmente, en la vida cotidiana del individuo toda una serie de aspectos y mejorashacenquestaseamscmodaparal.Lastecnologasdelainformacin, los grandes avances en el mundo de las comunicaciones y su generalizacin en todos losmbitossociales,sonfactoresfundamentalesquepropicianestamejoraenlacalidaddevidadelciudadano.Accionesquehacenomuchotiempoimplicabanunserio esfuerzooconsumanuntiempoexcesivo,sonresueltasadadehoydeformagily asequible.Nohanpasadotantosaosdesdequeelsimplehechodesacardinerodel banco implicaba necesariamente ir a una sucursal determinada que mantena los datos delacuentacorrespondiente.Elesfuerzoqueestorequeraparecedesproporcionadoa dadehoy.Sinembargo,yaunquesetengalaimpresindequesehabladeunpasado remoto,nohatranscurridotantotiempodesdeello. Los avances en este sentido son innumerables.Ah est la telefona mvil, la miniaturizacindelossistemasinformticos,laconectividadaInternetenlossistemas domsticosyunlargoetcteradeavancessignificativos.Estasmejorashanimplicado mltiplescambios.Enprimerlugardementalidad,enlaformadeentenderlasactividadesodeadaptarsealarealizacindenuevastareas.Evidentementeestonoesfcil paratodos.Nosedebeolvidarqueestosavancesylasnuevasformasdeactuacin asociadasnosonigualmenteaceptadosportodos. Estoscambiosymejorashanllegadotambinaalgotanhabitualynecesariocomo lostrmitesadministrativos.Esunintentodedejaratrselvuelvaustedmaana que ha trado mltiples complicaciones a la vida de muchos espaoles: horas interminables de colas, papeles que no aparecen o el recorrer una ventanilla tras otra en esperadeunarespuestaaunproblemaqueparecenotenersolucin.Lainformtica tambin ha cambiado esto, la burocracia administrativa. El objetivo es buscar una mayorcomodidadparaelciudadano.Agilizartareasqueantespodanimplicardas completosperdidosylaeternaesperahastaqueserecibaeldeseadopapelfirmado.XIII


Afortunadamente,pocoapocoesostiemposvanquedandoatrs.Trmitesde una cierta complejidad, como la realizacin de la declaracin de la renta o la peticin de la vida laboral, han adquirido una nueva dimensin con las mejoras aportadas por lossistemasinformticos.Lasnuevastecnologassesumanalascapacidadesdelos sistemastradicionales,abriendoconellounabanicodeposibilidadessignificativas.La capacidaddetramitarunprocedimientoadministrativo,fueradelashorasdeaperturas clsicasdeministerios,ayuntamientosouniversidades,esunclaroejemplodeello. UnamuestrasignificativaenestaevolucinlaconstituyeelDNIElectrnico.Este mecanismodevalidacinhaconvertidoaEspaaenunareferenciamundialenlos sistemasdeautenticacinelectrnica.Sehasumadoaotrosmecanismosyapreviamente empleados para la realizacin de tramitaciones, garantizando que el usuario es correctamenteidentificado;porejemplo,loscertificadosquedurantealgunosaosse llevansuministrandoatravsdelproyectoCERES(CERtificacinESpaola).Liderado porlaFbricaNacionaldeMonedayTimbre,estableceunaentidadpblicadecertificacinquepermitegarantizarentreotrascosaslaidentificacindelosciudadanos ylaconfidencialidaddelosdatos. Eltratamientodelainformacin,suaccesooladisponibilidaddelossistemas facilitansensiblementeelacercamientoalaAdministracinPblica.Sinembargoeste cambiollevatambinasociadosnuevosconceptos,afrontandoelusodeterminologas yescenariosquehastalafechaestabanreservadosprcticamentealaempresaprivada. Portalesdeacceso,tratamientoautomatizadodelainformacin,disponibilidad,integridadoautenticidadsonpalabrasqueahoraformantambinpartedelvocabulario delaAdministracinPblica. Eltratamientoyutilizacindesistemasinformticosporpartedelosciudadanosimplicalaaparicindenecesidadesdeseguridad.Deformaoriginalyasehaban realizadoavancessignificativos,comolagarantadelossistemasdeautenticacin. Sinembargo,laseguridadesmuchomsquetodoeso.Nosirvecongarantizarque Juanesquiendiceser.Sinoquetambinsusdatosdebenestarasalvo,nopudiendo sermodificadosdeformaindiscriminadaoaccedidosporquiennodebe.Igualmente, debehacerseunusoeficientedelosmismosyasegurarquelospropsitosyladisponibilidaddelosserviciossonlosadecuados. Laseguridadvamuchomsalldeloquesimplementeseveoseintuye.Es tan importante la visin y apariencia de seguridad del portal de acceso a un servicio, como garantizar que los datos pueden ser recuperados ante una posible incidencia deseguridad.Ascomoqueencasodequestaocurra,sedispondrdemediospara detectarlayprocedimientosparasubsanarlayprevenirlaenfuturasocasiones. La seguridad debe tener en cuenta todos los escenarios posibles.Aunque la visinylaperspectivadeunpotencialataqueparecenprovenirdeInternet,estudios reputados avalanque muchos incidentesseproducen internamente. Pordesidiao desconocimiento,lossistemasdeproteccindefinidosinternamentesoname-nudo ms laxos que los que se plantean perimetralmente para una defensa externa. Sin embargo,losataquesylosatacantesnoconocenfronteras.XIV

Prefacio

Unhackerpuedeoperardesdefuera,perounvirusinformticodeformainterna puedeprovocarlacadadelosserviciosolaeliminacindeinformacinaltamente sensible.Elusoderedesinalmbricasproporcionamuchamovilidad,peroabrenuevos vectoresdeataquequepuedeutilizarunpotencialatacante.Softwaremaliciosoen constante evolucin, como son los troyanos, se adaptan para evitar los sistemas de proteccinqueoriginalmenteconseguanbloquearlosacertadamente. El uso de las nuevas tecnologas lleva aparejada la palabra adaptabilidad, que enelcasoespecficodelaseguridadescasimsevidentetodava.Tantolossistemas externos, como los internos deben tener en cuenta esa capacidad para adaptarse, para mejoraryevolucionarconlatecnologa.Sistemasomecanismosquehoypuedenser punteros,enuntiemporazonablehanpodidoquedardesfasados.Avecesseplantean mecanismos y sistemas de proteccin que deben ser rediseados en pleno proceso de implantacin,puestoqueunanuevatcnicadescubiertalosconvierteenvulnerables. Laseguridadinformticaseencuentraenconstanteevolucin,aligualquelos sistemasdeataquequeconstantementelaponenaprueba.Enlaactualidad,esdifcil entenderlainformticasinlaseguridad.Portanto,cualquiermecanismoquesedisponga, cualquier proyecto o iniciativa que se lleve a cabo desde la Administracin Pblica,deberacontardesdesubaseconelconcursodelaseguridad.Aunqueenmuchasocasionesprimalafuncionalidadylausabilidad,slosealcanzarnlosobjetivos silasgarantasqueseofrecensonsuficientesparagenerarconfianzaenlasmismas. Porejemplo,noseentenderalabancaelectrnicasinunasgarantasparasuuso. Sicayeralaconfianzadeesteservicioolosataquesconxitofuerantansignificativos quehicieranperdersucredibilidad,acabaraestemodelodenegocio.Portanto,la seguridadesunodesuspilaresfundamentales.Nodebenolvidarseotrosposibles factores,perosteessiempretancrticoomsquelosotros. La relacin de los ciudadanos con la Administracin Pblica debe entenderse tambindesdeestaperspectiva.Laseguridaddebeserunodelospuntosneurlgicos,permitiendoquelosusuariosconfenabiertamenteenelservicio.Estadebeser garantizadadesdelabasedelaprestacindelservicio.Losproyectosyapuestosen marchadebenadaptarseaestapremisa,mientrasquelosnuevosdebernnacerbajo elparaguasdelaseguridad. Asloentiendelacomunidadtcnicayashasidoentendidotambindesdela Administracin.Elao2010suponeunhitoenlaaplicacindesistemasdeseguridad enlarelacindelosciudadanosconlasdiferentesadministracionespblicasyenla colaboracinelectrnicaentreellas.Trasaosdeconsultas,anlisisymodificaciones,ve laluzelEsquemaNacionaldeSeguridad(ENS)quefueyaanticipadoenelao2007. Suaparicininiciaelciclodeadaptacindelossistemasytecnologasdelas entidadespblicasparahacerlasmsseguras.Noslotcnicamente,sinoconceptualmente.Deberndefinirseprocedimientosycasosdeuso.Laseguridadescuestinya detodos,nonicamentedelosinformticos.Todoaquelquerealizauntratamiento delainformacindeberserconscientedelriesgoaasumir.Sernecesariodisponer

XV


deloselementostcnicosparaelcumplimientodelosobjetivos,peroserelcolectivo quelosusaelvaledordelaseguridad.ElEsquemaNacionaldeSeguridadequipara lanecesidaddeproteccindelainformacinconlapropiaprestacindelservicio. Evidentemente,talycomodemostrarellibro,elcaminoarecorrernoestrivial. Se requerirn esfuerzos tcnicos y humanos, y lgicamente en ocasiones tambin econmicos. Sin embargo, los mecanismos para cumplir lo exigido en el Esquema Nacional de Seguridad se encuentran disponibles. Solo habr que utilizarlos adecuadamente.Estelibro,ademsdeintroducirleenlospormenoresdelanormativa, intentarofrecerresolucionestcnicasalasmedidasprevistashaciendousoparaello desolucionesbasadasenproductosMicrosoft.

XVI

ndice de contenidosCaptulo 1. Antecedentes ....................................................................................... 1 Captulo 2. El Esquema Nacional de Seguridad ................................................... 9 2.1. Principios bsicos ....................................................................................... 10 2.2. Requisitos mnimos ..................................................................................... 17 2.3. Comunicaciones electrnicas ..................................................................... 22 2.4. Auditora de seguridad ................................................................................ 24 2.5. Respuesta a incidentes de seguridad ......................................................... 25 2.6. Adecuacin tras la entrada en vigor del ENS ............................................. 26 2.7. Rgimen sancionador ................................................................................. 26 Captulo 3. Principios de seguridad: seguridad por defecto ............................. 29 Captulo 4. Dimensiones de seguridad................................................................ 39 4.1. Disponibilidad.............................................................................................. 40 4.2. Autenticidad ................................................................................................ 42 4.3. Integridad .................................................................................................... 43 4.4. Confidencialidad ......................................................................................... 44 4.5. Trazabilidad ................................................................................................. 46 4.6. Niveles de la dimensin de seguridad ........................................................ 47 Captulo 5. Medidas de seguridad. Naturaleza de las medidas ........................ 51 5.1. Marco organizativo ...................................................................................... 54 5.2. Marco operacional ...................................................................................... 56 5.3. Medidas de proteccin ............................................................................... 59XVII


Captulo 6. La implementacin del ENS con tecnologa Microsoft .................. 63 6.1. Control de acceso ....................................................................................... 70 6.1.1. Identificacin ....................................................................................... 71 6.1.2. Requisitos de acceso .......................................................................... 79 6.1.3. Segregacin de funciones y tareas ..................................................... 86 6.1.4. Proceso de gestin de derechos de acceso....................................... 88 6.1.5. Mecanismos de autenticacin ............................................................ 95 6.1.6. Acceso local ..................................................................................... 106 6.1.7. Acceso remoto .................................................................................. 111 6.2. Explotacin................................................................................................ 113

6.2.1. Gestin y configuracin de activos ..............................114 6.2.2. Proteccin y prevencin frente a incidencias ...............123 6.2.3. Sistemas de registros y gestin de logs .......................1266.3. Proteccin de los equipos......................................................................... 133 6.4. Proteccin de los soportes de informacin .............................................. 143 6.5. Proteccin de las comunicaciones ........................................................... 149 6.5.1. Permetro seguro ............................................................................... 149 6.5.2. Proteccin de la confidencialidad ..................................................... 151 6.5.3. Proteccin de la autenticidad y la integridad .................................... 153 6.5.4. Segregacin de redes ....................................................................... 159 6.5.5. Medios alternativos ........................................................................... 163 6.6. Proteccin de las aplicaciones informticas ............................................. 164 6.7. Proteccin de la informacin .................................................................... 169 6.8. Proteccin de los servicios ....................................................................... 178 6.8.1. Proteccin del correo electrnico ..................................................... 179 6.8.2. Proteccin de servicios y aplicaciones web [mp.s.2] ....................... 188 6.8.3. Proteccin frente a la denegacin de servicios ................................ 191 6.8.4. Medios alternativos ........................................................................... 191 Captulo 7. Premios, reconocimientos y certificaciones de los productos Microsoft .............................................................................................................. 193

XVIII

ndice de contenidos

Captulo 8. Seguridad y privacidad en la nube ................................................. 197 8.1. Seguridad y privacidad: un proceso integral y continuo.......................... 197 8.2. Sistemas de gestin de Microsoft y control de acceso ............................ 198 8.3. Eventos y actividades de registro ............................................................. 198 8.4. Certificados estndar de cumplimiento .................................................... 199 8.5. Gua de cliente para polticas de cumplimiento ........................................ 199 8.6. Data centers, procesador y controlador de datos .................................... 200

XIX

1

Antecedentes

Aunque el Esquema Nacional de Seguridad vio la luz en el ao 2010, su concepcin es mucho anterior. El 22 de Julio del ao 2007, con la aparicin en el Boletn Oficial del Estado de la Ley 11/2007 de Acceso Electrnico de los Ciudadanos a la Administracin Pblica (LAE), se sentaban las bases para su aparicin. Entre el articulado de la ley destacaba el nmero 42 sobre el Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad. 1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criterios y recomendaciones en materia de seguridad, conservacin y normalizacin de la informacin, de los formatos y de las aplicaciones que debern ser tenidos en cuenta por las Administraciones Pblicas para la toma de decisiones tecnolgicas que garanticen la interoperabilidad. 2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de seguridad en la utilizacin de medios electrnicos en el mbito de la presente Ley, y est constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin. 3. Ambos Esquemas se elaborarn con la participacin de todas las Administraciones y se aprobarn por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de Administracin Pblica y previo informe de la Comisin Nacional de Administracin Local, debiendo mantenerse actualizados de manera permanente.

4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomendaciones de la Unin Europea, la situacin tecnolgica de las diferentes Administraciones Pblicas, as como los servicios electrnicos ya existentes. A estos efectos considerarn la utilizacin de estndares abiertos as como, en su caso y de forma complementaria, estndares que sean de uso generalizado por los ciudadanos.1


Para entender en qu consiste tanto la Ley 11/2007 como el Esquema Nacional de Seguridad (ENS), es necesario conocer primeramente sus motivaciones, qu objetivos persiguen y cules son sus fundamentos. Los primeros antecedentes se recogen en la Ley 30/1992 del 26 Noviembre de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn (LRJAP-PAC). En su primera versin ya recogi, a travs de su artculo 45, el impulso al empleo y la aplicacin de las tcnicas y medios electrnicos, informticos y telemticos, por parte de la Administracin. Su objetivo era desarrollar su actividad y el ejercicio de sus competencias, permitiendo a los ciudadanos relacionarse con las Administraciones cuando fuese compatible con los medios tcnicos de que los que dispusieran. Esa previsin, junto con la de la informatizacin de registros y archivos que corresponden al artculo 38 de esa misma ley, abra el paso a la utilizacin de los sistemas electrnicos para relacionarse con la Administracin. Esta circunstancia fue corroborada en la redaccin que le dio la Ley 24/2001 de 27 de diciembre del ao 2001 sobre Medidas Fiscales, Administrativas y del Orden Social, al permitir el establecimiento de registros telemticos para la recepcin o salida de solicitudes, escritos y comunicaciones por medios telemticos. La misma Ley 24/2001 modific el artculo 59 de la LRJAP-PAC, permitiendo la notificacin por medios telemticos si el interesado hubiera sealado dicho medio como preferente o consentido expresamente.Artculo 68. Modificaciones de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn para impulsar la administracin electrnica.

Uno. Se aade un nuevo apartado nueve al artculo 38 de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, con la siguiente redaccin: Se podrn crear registros telemticos para la recepcin o salida de solicitudes, escritos y comunicaciones que se transmitan por medios telemticos, con sujecin a los requisitos establecidos en el apartado 3 de este artculo. Los registros telemticos slo estarn habilitados para la recepcin o salida de las solicitudes, escritos y comunicaciones relativas a los procedimientos y trmites de la competencia del rgano o entidad que cre el registro y que se especifiquen en la norma de creacin de ste, as como que cumplan con los criterios de disponibilidad, autenticidad, integridad, confidencialidad y conservacin de la informacin que igualmente se sealen en la citada norma. Los registros telemticos permitirn la presentacin de solicitudes, escritos y comunicaciones todos los das del ao durante las veinticuatro horas. A efectos del cmputo de plazos, la recepcin en un da inhbil para el rgano o entidad se entender efectuada en el primer da hbil siguiente. Dos. Se aade un nuevo apartado 3 al artculo 59 de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn,2

Antecedentes

con la redaccin que a continuacin se seala, pasando los actuales apartados 3, 4 y 5 del citado artculo a numerarse como 4, 5 y 6. Para que la notificacin se practique utilizando medios telemticos se requerir que el interesado haya sealado dicho medio como preferente o consentido expresamente su utilizacin, identificando adems la direccin electrnica correspondiente, que deber cumplir con los requisitos reglamentariamente establecidos. En estos casos, la notificacin se entender practicada a todos los efectos legales en el momento en que se produzca el acceso a su contenido en la direccin electrnica. Cuando, existiendo constancia de la recepcin de la notificacin en la direccin electrnica, transcurrieran diez das naturales sin que se acceda a su contenido, se entender que la notificacin ha sido rechazada con los efectos previstos en el siguiente apartado, salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad tcnica o material del acceso. Estos cambios adaptativos en las normas iban sentando las bases para la aplicacin de medidas tcnicas asociadas a las nuevas tecnologas. Sin embargo, el desarrollo de la administracin electrnica era todava insuficiente. La causa de ello en buena medida era que segn la Ley de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, estas implicaciones son meramente facultativas. Es decir, dejan en manos de las propias Administraciones determinar si los ciudadanos van a poder de modo efectivo o no, relacionarse por medios electrnicos con ellas. Nada exiga la puesta en marcha de medios informticos para la relacin con los ciudadanos. Esta sera factible en funcin de que las diferentes administraciones quisieran poner en marcha aquellos instrumentos necesarios para permitir este tipo de comunicacin, La puesta en marcha de normativas como la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal y la Ley 59/2003, de 19 de diciembre de Firma Electrnica, abran tambin un importante camino a la necesidad de uso de las tecnologas en la Administracin Pblica. La informtica empezaba a establecer los diferentes vnculos entre la ciudadana y las diferentes operaciones administrativas. Tambin desde Europa se estableca la necesidad de fomentar el uso de la tecnologa en la relacin de los usuarios con las diferentes administraciones. A travs de la Directiva 2006/123/ CE del Parlamento Europeo y del Consejo del 12 de diciembre de 2006 relativa a los servicios en el mercado interior, se incentivaba el uso de los sistemas telemticos para el acceso de los ciudadanos. Artculo 5. Simplificacin de los procedimientos. 1. Los Estados miembros verificarn los procedimientos y trmites aplicables al acceso a una actividad de servicios y a su ejercicio. Cuando los procedimientos y formalidades estudiados de conformidad coneste apartado no sean lo suficientemente simples, los Estados miembros los simplificarn. Artculo 6. Ventanilla nica 1. Los Estados miembros garantizarn que los prestadores puedan llevar a cabo los siguientes procedimientos y trmites a travs de ventanillas nicas:3


a) todos los procedimientos y trmites necesarios para acceder a sus actividades de servicios, en especial las declaraciones, notificaciones o solicitudes necesarias para la autorizacin por parte de las autoridades competentes, incluidas las solicitudes de inscripcin en registros, listas oficiales, bases de datos o colegios o asociaciones profesionales; b) las solicitudes de autorizacin necesarias para el ejercicio de sus actividades de servicios.

2. La creacin de ventanillas nicas no supone una interferencia en el reparto de funciones o competencias entre las autoridades competentes dentro de cada sistema nacional. Artculo 7. Derecho de informacin 1. Los Estados miembros harn lo necesario para que los prestadores y los destinatarios puedan acceder fcilmente a la informacin por medio de ventanillas nicas. Artculo 8. Procedimientos por va electrnica Los Estados miembros harn lo necesario para que todos los procedimientos y trmites relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizar fcilmente, a distancia y por va electrnica, a travs de la ventanilla nica de que se trate y ante las autoridades competentes. El apartado 1 no se aplicar a las inspecciones del lugar en que se presta el servicio o del equipo utilizado por el prestador ni al examen fsico de la capacidad o de la integridad personal del prestador o del personal responsable. Con arreglo al procedimiento contemplado en el artculo 40, apartado 2, la Comisin adoptar normas de desarrollo para la aplicacin del apartado 1 del presente artculo, con el fin de facilitar la interoperabilidad de los sistemas de informacin y la utilizacin de los procedimientos electrnicos entre los Estados miembros, teniendo en cuenta las normas comunes desarrolladas a escala comunitaria. Esta importante directiva marcaba las bases fundamentales para el establecimiento de dos tipos de relaciones. La de los ciudadanos con las diferentes administraciones pblicas de los estados miembros, as como la relacin entre ellas. Tambin creaban figuras administrativas como las de la ventanilla nica, que son ya una realidad en el estado espaol. Con las metas ya fijadas, slo quedaba esperar la salida de la normativa que permitiera cumplir las prerrogativas exigidas. Estas vieron la luz finalmente el 22 de Julio del ao 2007 con la publicacin de la Ley 11/2007. La Ley de Acceso Electrnico se encuentra articulada en 4 ttulos principales ms uno preliminar y una serie de disposiciones. El objetivo principal de la norma consiste en reconocer el derecho de los ciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos. Tambin regula los aspectos bsicos de la utilizacin de las tecnologas de la informacin en la actividad administrativa y en las relaciones entre Administraciones. De igual4

Antecedentes

modo pasa a regular tambin las relaciones de los ciudadanos con stas. Se presenta como finalidad la de garantizar sus derechos, un tratamiento comn ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurdica. Las diferentes Administraciones Pblicas debern para ello utilizar las tecnologas de la informacin de acuerdo a una serie de normas definidas en la Ley. Las mximas para ello son asegurar la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservacin de los datos, informaciones y servicios que se gestionen en el ejercicio de sus competencias. Estas premisas son procedimientos y terminologas ampliamente utilizadas entre los profesionales de TI, siendo objeto de desarrollo en cualquier proyecto informtico. Muchas partes de la ley vienen a precisar cules son estas garantas, aunque sern desarrolladas tcnicamente en el Esquema Nacional de Seguridad. Para la resolucin de los objetivos se establecen a travs de la ley una serie de principios. Estos regulan los derechos reconocidos en otras normas como la LOPD o los propiamente marcados por la Constitucin. Los principios ms significativos que se encuentran en la norma son:l

Principio de accesibilidad a la informacin y a los servicios por medios electrnicos. Se proporcionarn mecanismos, que a travs de sistemas que permitan su utilizacin de manera segura y comprensible, garanticen especialmente la accesibilidad universal y el diseo para todos de los soportes, canales y entornos. Principio de legalidad. Presenta como base al mantenimiento de la integridad de las garantas jurdicas de los ciudadanos ante las Administraciones Pblicas. Estas fueron establecidas en la Ley 30/1992, de Rgimen Jurdico delas Administraciones Pblicas y del Procedimiento Administrativo Comn.

l

l

Principio de seguridad. La implantacin y utilizacin de los medios electrnicos exigir al menos el mismo nivel de garantas y seguridad que se requiere para la utilizacin de medios no electrnicos en la actividad administrativa. Principio de proporcionalidad. Slo se exigirn las garantas y medidas de seguridad adecuadas atendiendo a la naturaleza y las circunstancias especficas de los distintos trmites y actuaciones. Asimismo, slo se requerirn a los ciudadanos aquellos datos que sean estrictamente necesarios en atencin a la finalidad para la que se soliciten. Principio de neutralidad tecnolgica y de adaptabilidad al progreso de las tcnicas y sistemas de comunicaciones electrnicas. Deber garantizarse la independencia en la eleccin de las alternativas tecnolgicas tanto por parte de los ciudadanos, como por parte de las Administraciones Pblicas. De igual modo, ser necesario garantizar la libertad de desarrollar e implantar los avances tecnolgicos en un mbito de libre mercado. A estos efectos, las Administraciones Pblicas utilizarn estndares abiertos, as como, de forma complementaria, tecnologas que sean de uso generalizado por los ciudadanos.5

l

l


De los diferentes ttulos que conforman la ley, y en lo concerniente a aspectos tcnicos, es el II sobre Rgimen Jurdico de la Administracin Electrnica el ms significativo. A travs de ste se establecen importantes figuras como las de sede electrnica, identificacin, autentificacin, registros y seguridad de las comunicaciones. Dentro de las figuras jurdicas definidas por la ley, uno de los mecanismos ms importantes es el de sede electrnica. La misma ayudar con posterioridad a entender el Esquema Nacional de Seguridad y en qu entornos ste ser de aplicacin. La sede electrnica es aquella direccin electrnica disponible para los ciudadanos. Su acceso se realizar a travs de redes de telecomunicaciones cuya titularidad, gestin y administracin corresponde a una Administracin Pblica, rgano o entidad administrativa en el ejercicio de sus competencias. La norma implica que el establecimiento de una sede electrnica conlleva la responsabilidad por parte de su titular respecto de la integridad, veracidad y actualizacin, tanto de la informacin como de los servicios a los que pueda accederse a travs de la misma. Las sedes electrnicas dispondrn de sistemas que permitan el establecimiento de comunicaciones seguras siempre que stas sean necesarias. Por tanto, la prestacin de un servicio a travs de un acceso web con el objeto de llevar a efecto un procedimiento administrativo define dicho sistema como una sede electrnica. De cara al acceso a las sedes electrnicas, se establecen las formas relativas a la identificacin y autentificacin. Se admitirn como vlidas aquellas conformadas a travs de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. En este sentido, las personas fsicas podrn hacer uso del Documento Nacional de Identidad electrnico y otros sistemas autorizados. Por su parte, las sedes electrnicas podrn utilizar, para identificarse y garantizar una comunicacin segura con las mismas, sistemas de firma electrnica basados en certificados de dispositivo seguro o medios equivalentes. Los sistemas de firma electrnica reconocidos oficialmente son aquellas provenientes de las siguientes entidades:l l

DNIe. Documento Nacional de Identidad Electrnico. Camerfirma. Servicio de certificacin digital de las cmaras de comercio, industria y navegacin de Espaa. Izenpe. Proyecto impulsado por el Gobierno Vasco y las Diputaciones Forales. Constituida a travs de sus sociedades informticas: EJIE, LANTIK, IZFE y CCASA. CATCert. Agencia Catalana de Certificacin. ANF AC. Sistema abierto de certificacin electrnica. SCR. Servicio de Certificacin de los Registradores. ACA. Autoridad de Certificacin de la Abogaca espaola. ACCV Autoridad de Certificacin de la Comunidad Valenciana.

l

l l l l l

6

Antecedentes

l l l

ANCERT. Agencia Notarial de Certificacin. FNMT. Fbrica Nacional de Moneda y Timbre. Firma profesional. Primer prestador privado de servicios de certificacin en Espaa. BANESTO CA. Entidad certificadora del Banco Nacional Espaol de Crdito, homologado por la Agencia Tributaria.

l

Los objetivos perseguidos por la ley y que son inherentes al uso de los certificados electrnicos son:l

La autenticidad de las personas y entidades que intervienen en el intercambio de informacin. La confidencialidad. Tan solo el emisor y el receptor deben ser capaces de visualizar la informacin que se est manejando en el proceso administrativo. La integridad de la informacin intercambiada. Asegurar que no se produce ningn tipo de manipulacin sobre los datos manejados. Aunque la informacin vaya cifrada, esto no impedira que se pudiera realizar algn cambio aleatorio que modifique y por lo tanto altere la validez del contenido de los datos a asegurar. El no repudio. Garantiza al titular del certificado que nadie ms que l puede generar una firma vinculada a su certificado. Por otra, le imposibilita a negar su titularidad en los mensajes que haya firmado.

l

l

l

Para la resolucin de estos objetivos y a travs del certificado digital, podrn realizarse las siguientes operaciones:l l

Autentificar la identidad del usuario de forma electrnica ante otros. Cifrar datos para que slo el destinatario del documento pueda acceder a su contenido. Firmar electrnicamente, de forma que se garantice la integridad de los datos trasmitidos y la legitimidad de su procedencia.

l

La Ley permite que los ciudadanos opten por los sistemas electrnicos como mecanismos de comunicacin para sus trmites administrativos, con excepcin de aquellos casos en los que una norma con rango de ley establezca la utilizacin de un medio no electrnico de forma especfica. La opcin de uso de uno u otro corresponde al ciudadano, pudiendo modificar su eleccin y optar por un medio distinto del inicialmente elegido. Las Administraciones Pblicas utilizarn medios electrnicos en sus comunicaciones con los ciudadanos siempre que as lo hayan solicitado o consentido stos expresamente. Las comunicaciones a travs de medios electrnicos sern vlidas siempre que exista constancia de la transmisin y recepcin, de sus fechas, del contenido ntegro7


de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas. Las Administraciones publicarn, en el correspondiente diario oficial y en la propia sede electrnica, aquellos medios electrnicos que los ciudadanos podrn utilizar en cada supuesto administrativo, para el ejercicio de su derecho a comunicarse con stas. Para garantizar la comunicacin electrnica, los requisitos de seguridad e integridad de las comunicaciones se establecern de forma apropiada en funcin del carcter de los datos. Estos quedarn determinados de acuerdo a los criterios de proporcionalidad, conforme a lo dispuesto en la legislacin vigente en materia de proteccin de datos de carcter personal. Reglamentariamente, las Administraciones Pblicas podrn establecer la obligatoriedad de comunicarse con ellas utilizando slo medios electrnicos, siempre y cuando los interesados se correspondan con personas jurdicas o colectivos de personas fsicas que por razn de su capacidad econmica o tcnica, dedicacin profesional u otros motivos acreditados tengan garantizado el acceso y la disponibilidad de los medios tecnolgicos necesarios. Las Administraciones Pblicas debern utilizar preferentemente medios electrnicos en sus comunicaciones con otras Administraciones. Las condiciones que regirn stas se determinarn entre las Administraciones Pblicas participantes en la comunicacin. Otra figura importante, definida a travs de la norma para el tratamiento de informacin por parte de las administraciones, la constituye el archivo electrnico. Se permite el almacenamiento por medios electrnicos de todos los documentos utilizados en las actuaciones administrativas. Los archivos informticos que contengan actos administrativos que afecten a derechos o intereses de los ciudadanos debern conservarse en soportes de esta naturaleza, ya sea en el mismo formato a partir del que se origin el documento inicialmente o en otro, siempre que ste permita asegurar la identidad e integridad de la informacin necesaria para reproducirlo. En todo caso, es necesario asegurar la posibilidad de trasladar los datos de un formato y soporte a otro distinto, que garantice el acceso desde las diferentes aplicaciones que son proporcionadas para la prestacin de servicios. Los medios en los que se almacenan los documentos debern contar con medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, proteccin y conservacin de los documentos almacenados. En particular, deben asegurar la identificacin de los usuarios y el control de accesos, as como el cumplimiento de las garantas previstas en la legislacin de proteccin de datos personales.

8

El Esquema Nacional de Seguridad

2


Aunque no existe realmente una equiparacin directa entre la Ley de Acceso Electrnico y la Ley Orgnica de Proteccin de Datos de Carcter Personal, a menudo surgirn las comparaciones entre ambas. Un hecho comn lo constituye el que en ambas circunstancias, las leyes no establecen tcnicamente qu acciones o medios especficos debern utilizarse para garantizar la proteccin de la informacin. La LOPD tuvo que esperar hasta la salida del Real Decreto 1720/2007 sobre el Reglamento de Desarrollo de la Ley. Por su parte, la LAE ha debido esperar tambin a la aparicin del RD 3/2010 para su desarrollo tcnico. Tal y como se indicaba en pginas anteriores, es la propia ley la que marcaba la espera para la aparicin de otra normativa que regulara las medidas de seguridad. En su artculo 42, se designaba que sera el Esquema Nacional de Seguridad (ENS) el que establecera la poltica de seguridad a aplicar en la utilizacin de medios electrnicos en el mbito de la Administracin Pblica. El Esquema Nacional de Seguridad (ENS) es publicado en el Boletn Oficial del Estado, el 29 de Enero del ao 2010. Entrando en vigor el da despus, inicializa el cmputo de tiempo para la adecuacin a la normativa y condiciones que quedan establecidas. La dimensin del ENS no es exclusivamente tcnica, aunque gran parte de su desarrollo s lo sea. Las partes organizativas y funcionales tambin dan contenido a importantes pginas del Real Decreto 3/2010. El Esquema Nacional de Seguridad se estructura en diez captulos, ms una serie de disposiciones y anexos. Aunque este captulo abordar principalmente el desarrollo de los captulos y las disposiciones, la parte fundamental, en lo que a las cuestiones tcnicas, estructurales y organizativas se refiere, son tratadas en los cinco anexos que acompaan al Real Decreto. Hay que comentar que aunque la salida del texto se realiza en el BOE el 29 de Enero del 2010, el 11 de Marzo del mismo ao se publica en el Boletn una serie de9


rectificaciones sobre errores que se han advertido en la norma. Aquel que desee tener acceso al texto consolidado, podr realizarlo a travs de la siguiente direccin URL perteneciente al Consejo Superior de Administracin Electrnica:http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf

2.1. Principios bsicosLa finalidad ltima del Esquema Nacional de Seguridad (ENS) es la creacin de las condiciones de confianza para el uso de los medios electrnicos. Para ello se definen las medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos. El ENS persigue fundamentar la confianza a travs de una serie de preceptos:l

Que los sistemas de informacin prestarn sus servicios sin interrupciones o modificaciones fuera de control. Que la informacin ser custodiada de acuerdo con sus especificaciones funcionales sin que sta pueda llegar al conocimiento de personas no autorizadas.

l

Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose los requisitos de los mismos y de las infraestructuras que les dan soporte. Hay que tener en cuenta respecto de este hecho que las relaciones entre las diferentes administraciones pblicas son a menudo muy complejas. Debern ser tambin evaluadas las relaciones existentes con entidades de mbito privado y no exclusivamente pblico. El concepto de seguridad debe observar tambin la no existencia de parcelas de accin que puedan quedar descubiertas, en tierra de nadie, permitiendo as la aparicin de brechas y carencias de seguridad en los servicios prestados. En la elaboracin del texto del Esquema Nacional de Seguridad han participado muchas organizaciones. En este proceso, y coordinado por el Ministerio de la Presidencia, han participado tanto el Centro Criptolgico Nacional (CCN) como todas las Administraciones Pblicas del Estado. Entre ellas se incluyen las universidades pblicas (CRUE) a travs de los rganos colegiados con competencias en materia de administracin electrnica: Consejo Superior de Administracin Electrnica, Comit Sectorial de Administracin Electrnica y Comisin Nacional de Administracin Local. Para su elaboracin, tambin han sido importantes los preceptivos emitidos por otras instituciones: Ministerio de Poltica Territorial, Ministerio de la Presidencia, Agencia Espaola de Proteccin de Datos y Consejo de Estado. Finalmente, se han tenido tambin presentes la opinin de las asociaciones de la industria del sector TIC y las aportaciones recibidas tras la publicacin, el 3 de septiembre de 2009, del borrador en el sitio web del Consejo Superior de Administracin Electrnica. Sin embargo, las bases de funcionalidad del ENS son anteriores. En este sentido se tienen en cuenta las recomendaciones de la Unin Europea al respecto:10


l

Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre de 2001, por la que se modifica su Reglamento Interno. Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo. Proteger la informacin clasificada de la Unin Europea frente al espionaje, las situaciones de peligro o la divulgacin no autorizada de la misma. Proteger la informacin de la UE tratada en los sistemas y redes de comunicacin e informacin frente a las amenazas contra su confidencialidad, integridad y disponibilidad. Proteger los locales de la Comisin en los que se encuentra informacin de la UE frente al sabotaje y los daos intencionados. En caso de fallo, evaluar el perjuicio causado, limitar sus consecuencias y adoptar las medidas necesarias para remediarlo.

l

La seguridad de la informacin perseguir los siguientes objetivos principales:l

l

l

l

Para establecer los mecanismos de proteccin, se designan determinadas reas de la seguridad que debern ser atendidas:l l l

Seguridad personal. Seguridad fsica. Seguridad de la informacin.

Este ltimo punto es el elemento ms crtico en el desarrollo del ENS. Aunque la clasificacin por niveles establecida por la Decisin 2001/884 EU TOP SECRET, EU SECRET, EU CONFIDENTIAL y EU RESTRICTED, difiere de las marcadas por el ENS, la aplicacin de medidas presentan mltiples coincidencias. Las medidas de seguridad, en ambas circunstancias, se aplican en funcin de la clasificacin, teniendo previsto para ello el establecimiento de las dimensiones de seguridad. Pero, qu entidades estn supeditadas al Esquema Nacional de Seguridad? La informacin recogida en el Artculo 3 sobre el mbito de aplicacin de ste, remite al Artculo 2 de la Ley 11/2007. En l se hace una exclusin del mbito de aplicacin de la normativa, para aquellos sistemas que tratan informacin clasificada y regulada por Ley de 5 de abril 9/1968, de Secretos Oficiales y normas de desarrollo. Artculo 2. mbito de aplicacin. 1. LapresenteLey,enlostrminosexpresadosensudisposicinfinalprimera,ser de aplicacin: a) A las Administraciones Pblicas, entendiendo por tales la Administracin General del Estado, las Administraciones de las Comunidades Autnomas y las Entidades que integran la Administracin Local, as como las entidades de derecho pblico vinculadas o dependientes de las mismas.11


b) A los ciudadanos en sus relaciones con las Administraciones Pblicas. c) A las relaciones entre las distintas Administraciones Pblicas. 2. La presente Ley no ser de aplicacin a las Administraciones Pblicas en las actividades que desarrollen en rgimen de derecho privado. En un anlisis general del Esquema Nacional de Seguridad, su aplicacin parece estar bastante relacionada con la aplicacin de la norma de calidad ISO 27000. Aun as, el ENS es ms preciso, aunque es cierto que algunas de las medidas de seguridad del mismo coinciden con controles de ISO/IEC 27002. De este modo, el Esquema establece un sistema de proteccin para la informacin y servicios a proteger. La norma ISO/IEC 27002 carece de esta proporcionalidad en lo que a aplicacin de medidas se refiere, quedando este apartado a la mejor opinin del auditor que certifica la conformidad con ISO/IEC 27001. Determinados aspectos fundamentales como la firma o la autenticacin electrnica no estn recogidos en la norma ISO/IEC 27002. El principio fundamental que regula el Esquema Nacional de la Seguridad es el de la seguridad integral. As queda establecido a travs del Artculo 5. 1.La seguridad se entender como un proceso integral constituido por todos los elementos tcnicos, humanos, materiales y organizativos, relacionados con el sistema.LaaplicacindelEsquemaNacionaldeSeguridadestarpresididapor este principio, que excluye cualquier actuacin puntual o tratamiento coyuntural. 2. Seprestarlamximaatencinalaconcienciacindelaspersonasqueintervienen enelprocesoyasusresponsablesjerrquicos,paraque,nilaignorancia,nila falta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad. Este artculo establece esa necesidad de entender la seguridad como una tarea de todos. La totalidad de los usuarios, que de una u otra forma estn vinculados al tratamiento de datos sujetos a la aplicacin del ENS, son parte importante de esa seguridad. En este sentido, no pueden ser argumentados como eximentes ni la falta de conocimiento de un hecho, ni el desconocimiento en el uso de la tecnologa. La seguridad debe ser vista como uno de los principios rectores fundamentales en el tratamiento de los datos. Tanto la tecnologa como el factor humano deben ser tenidos en cuenta para ello. Este aspecto es tan preceptivo que se promueve la formacin de todos los involucrados, para asegurar as el cumplimiento de sus funciones. La implementacin de un sistema de seguridad pasa inicialmente por realizar un anlisis de riesgos. La premisa es, por tanto, conocerse primeramente antes de realizar esfuerzos que podran ser infructuosos. Lagestinderiesgospermitirelmantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estosnivelesserealizarmedianteeldesplieguedemedidasdeseguridad,queestablecerun equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos y las medidas de seguridad.12


Para la realizacin de los anlisis de riesgos, la Administracin Pblica cuenta con una herramienta significativa: EAR/PILAR. Est basada en el sistema de anlisis de riesgos MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) que figura en el inventario de mtodos de anlisis y gestin de riesgos de ENISA (European Network and Information Security Agency). En su versin 2 se ha estructurado en tres libros: Mtodo, Catlogo de Elementos y Gua de Tcnicas:l

Mtodo. Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos. Esta descripcin observa la metodologa desde tres visones distintas:n

Describir los pasos para realizar un anlisis del estado de riesgo y gestionar su mitigacin. Describir las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos, estableciendo las pautas, roles, actividades y documentacin asociada. Aplicar la metodologa a los casos del desarrollo de sistemas de informacin. Los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento. Tanto aquellos a los que se est expuesto de forma directa, como otros riesgos que las propias aplicaciones pueden llegar a introducir en el sistema.

n

n

l

Catlogo de Elementos. Ofrece pautas y elementos estndar en cuanto al tratamiento de los activos. Para ello se tendrn en cuenta los distintos tipos de activos, las dimensiones de valoracin de stos, los criterios de valoracin de los mismos y las amenazas tpicas sobre los sistemas de informacin, junto a salvaguardas a considerar para proteger los sistemas de informacin. Gua de Tcnicas. Trata de una gua de consulta que proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos de anlisis y gestin de riesgos. Entre ellas, tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque, tcnicas generales o anlisis coste-beneficio, junto a otros.

l

Microsoft, por su parte, tambin ha desarrollado su propia herramienta de evaluacin de seguridad: MSAT (Microsoft Security Assessment Tool). Est diseada para ayudar a identificar y abordar los riesgos de seguridad en un entorno tecnolgico determinado. Su utilizacin ofrece una visin general de la seguridad, permitiendo con ello la cuantificacin de la misma. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnologa. Consta de ms de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prcticas comnmente aceptadas, en estndares tales como las normas ISO 27000 y NIST-800.x, as como las recomendaciones y orientaciones normativas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.13


Para la obtencin de resultados, la herramienta hace diversos tipos de preguntas que permiten diferenciar e identificar diversos aspectos de la organizacin. El primer grupo de ellas presenta como objetivo establecer el modelo de negocio de la misma. Para ello se crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de la entidad en sus acciones de negocio segn el modelo empresarial definido por el BRP.

Figura 2.1. MSAT 4.0.

El segundo grupo de preguntas tienen como objetivo elaborar un listado de las medidas de seguridad que se han puesto en produccin. Se realiza una evaluacin de la seguridad en funcin de las capas de defensa. Estas proporcionan una mayor proteccin contra los riesgos de seguridad y vulnerabilidades especficas. Cada capa contribuye a una estrategia combinada que permite implementar una proteccin en profundidad. Ejemplos de ello son la capa de seguridad perimetral o la seguridad local de las estaciones de trabajo. La suma de todas ellas se conoce como Defense-in-Depth Index (DiDI). Microsoft Security Assessment Tool (MSAT) se divide en cuatro reas de anlisis (AoAs):l l l l

Infraestructura. Aplicaciones. Operaciones. Personal.

La Figura 2.2 muestra la fase de preguntas sobre las cuatro reas de anlisis mencionadas.14


Figura 2.2. Fase de preguntas AoAs en MSAT 4.0.

BRP y DiDI se comparan entonces para medir la distribucin del riesgo a travs de las diferentes reas de anlisis. Adems de valorar la equivalencia entre riesgos de seguridad y defensas, esta herramienta mide tambin la madurez de la seguridad de la organizacin. Esta se refiere a la evolucin del fortalecimiento de la seguridad y las tareas de mantenimiento de la misma. En el extremo inferior, son pocas las medidas de seguridad empleadas, y las acciones llevadas a cabo son simplemente reacciones a los acontecimientos. En el extremo superior se prueban y establecen procesos que permiten a la compaa una mayor proactividad y una respuesta ms eficiente y consistente cuando sta es necesaria. Finalizadas las preguntas, la herramienta de anlisis muestra los diferentes informes de estado de seguridad para la organizacin. Estos pueden ser de tipo resumen, completo o comparativo. Este ltimo permitira visualizar la comparacin del estado de seguridad de la organizacin, con respecto a otras con similares perfiles de negocio. Por su parte, el informe resumen muestra el perfil de riesgos frente al ndice de defensa en profundidad. La siguiente imagen muestra el resultado del anlisis del perfil de una empresa tipo, concienciada con la seguridad de sus sistemas y que en este sentido ha aplicado medidas de ndole tcnico. Los informes se acompaan tambin de una serie de mejoras. Las recomendaciones sugeridas para la gestin de riesgos tienen en cuenta la tecnologa existente, la presente situacin de la seguridad y las estrategias de defensa en profundidad. Las sugerencias van dirigidas a reconocer y aplicar las buenas prcticas ms recomendadas en materias de seguridad.15


Figura 2.3. Informe resumen.

Figura 2.4. Detalle informe completo.

El anlisis de riesgos permitir evaluar el estado de situacin de la organizacin en lo que a seguridad de sus sistemas se refiere. Pero ello slo supone el inicio del pro16


ceso. Este deber contemplar los aspectos de prevencin, deteccin y correccin, para conseguir que las amenazas no se lleguen a producir. En caso de que se materialicen, deber minimizarse su impacto e intentar paliarlas lo ms rpidamente posible. Para ello debern disponerse medidas tanto reactivas como restaurativas. Estas ltimas permitirn la recuperacin de la informacin y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los sistemas o determinados servicios de stos. Dentro del anlisis de seguridad, un aspecto muy importante tratado en el ENS es el de la segregacin de funciones. Ocurre a menudo, que los encargados de analizar el estado de seguridad de una organizacin son los mismos que deben poner en marcha los sistemas productivos. Este desaconsejable hecho puede producir parcialidad en la actuacin de los profesionales, priorizando la produccin frente a la aplicacin de mecanismos de seguridad. Con objeto de evitar este tipo de problemas de asignacin de funciones, el ENS diferencia en el proceso de segregacin de roles los siguientes: responsable de la informacin, responsable del servicio, responsable del sistema y responsable de la seguridad. El responsable de informacin determina los requisitos que deben cumplir la informacin y los objetivos que se persiguen para su mantenimiento. El responsable del servicio, por su parte, determina los requisitos, las caractersticas y las condiciones de los servicios prestados. Este ltimo suele estar supeditado jerrquicamente al responsable de la informacin. Frente a ambos el responsable de seguridad presenta un perfil mucho ms tcnico. De l se espera que establezca los requisitos y condiciones de seguridad de la informacin y los servicios. Su objetivo fundamental es asegurar que las medidas de seguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la informacin y los servicios. La relacin entre todas las figuras la constituye el responsable del sistema. Este ser el encargado de las operaciones del mismo y deber conocer todos los elementos que lo constituyen. Relaciona, a travs del sistema, la informacin, los servicios y la seguridad. Su rol y el del responsable de seguridad deben estar completamente segregados. Ambos sern complementarios, pero sus labores sern diferentes y en ocasiones sus posturas contrarias. Inicialmente es difcil establecer una norma nica de quin debera asumir los diferentes roles y funciones. Cada administracin es diferente, tanto en infraestructura como en diseo y personal. Por tanto,m la ocupacin de cada rol debera adecuarse a las particularidades de cada entidad o escenario.

2.2. Requisitos mnimosPara el cumplimiento de las medidas de seguridad, todos los rganos superiores de las Administraciones Pblicas debern contar con una poltica de seguridad. Esta17


presentar unos requisitos mnimos que debern ser implementados por todas las organizaciones sujetas al Esquema Nacional de Seguridad. La definicin de los rganos superiores viene establecida en el Real Decreto 3/2010 a travs de su artculo 11 en el punto 2: Alosefectosindicadosenelapartadoanterior,seconsiderarnrganossuperiores los responsables directos de la ejecucin de la accin del gobierno, central, autonmicoolocal,enunsectordeactividadespecfico,deacuerdoconloestablecidoenla Ley 6/1997, de 14 de abril, de organizacin y funcionamiento de la Administracin General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonoma correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las bases del Rgimen Local, respectivamente. Losmunicipiospodrndisponerdeunapolticadeseguridadcomnelaboradaporla Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellasotrascorporacionesdecarcterrepresentativoalasquecorrespondaelgobierno y la administracin autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan. La poltica de seguridad tendr como objetivos fundamentales establecer roles, funciones y procedimientos de designacin, definir los criterios para la categorizacin e identificacin de servicios y sistemas, as como plantear los mecanismos de seguridad previstos en el Anexo II. Para ello se exigen una serie de requisitos mnimos que debern quedar definidos en la poltica de seguridad: a) Organizacin e implantacin del proceso de seguridad.l l l l l l l l l l l l l

Anlisis y gestin de los riesgos. Gestin de personal. Profesionalidad. Autorizacin y control de los accesos. Proteccin de las instalaciones. Adquisicin de productos. Seguridad por defecto. Integridad y actualizacin del sistema. Proteccin de la informacin almacenada y en trnsito. Prevencin ante otros sistemas de informacin interconectados. Registro de actividad. Incidentes de seguridad. Continuidad de la actividad.

18


b)

Mejora continua del proceso de seguridad.

El captulo III define cada uno de estos principios mnimos, que deben ser tenidos en cuenta por las Administraciones Pblicas. Muchas de las figuras descritas son ampliamente utilizadas tambin en los sistemas de seguridad de las empresas privadas, formando parte de los sistemas SGSI (Sistema de Gestin de Seguridad de la Informacin) de las mismas. Se recogen a continuacin algunos de los requisitos ms notables. Otros sern tratados en mayor profundidad a lo largo de los diferentes captulos de este libro. Artculo 16. Autorizacinycontroldelosaccesos.Elaccesoalsistemadeinformacindeberser controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de informacin, debidamente autorizados, restringiendo el acceso a las funciones permitidas. Los procesos de autorizacin determinan uno de los procedimientos ms significativos de cara a la seguridad. En este sentido debern valorarse en dos circunstancias diferentes:l

Garantizar el acceso de los ciudadanos para la realizacin de operaciones, tras procesos de autentificacin que aseguren la correcta identificacin de los mismos. Garantizar que a los sistemas internos, slo el personal autorizado tendr permitido el acceso.

l

Una vez que un usuario ha sido autenticado correctamente, se podr garantizar, mediante los controles pertinentes, el acceso a los recursos asociados. Artculo 20. Integridad y actualizacin del sistema. 1. Todoelementofsicoolgicorequerirautorizacinformalpreviaasuinstalacin en el sistema. 2. Sedeberconocerentodomomentoelestadodeseguridaddelossistemas,en relacinalasespecificacionesdelosfabricantes,alasvulnerabilidadesyalasactualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos. La seguridad planteada a travs del ENS slo puede ser observada bajo un prisma de permanente evolucin y actualizacin. Un problema habitualmente planteado por las organizaciones es que una vez implementado un sistema, ste no se altera para evitar la posibilidad de perder su funcionalidad. Sin embargo, desde el punto de vista de la seguridad sta es una mala prctica. Los sistemas evolucionan, detectndose potenciales fallos de seguridad que los fabricantes corrigen oportunamente y que demandan la actualizacin de los sistemas. La generacin de actualizaciones de seguridad viene normalmente precedida por la aparicin de un expediente de seguridad. La aplicacin19


de soluciones de mejora es por tanto una constante al tratar con elementos software, independientemente de cul sea su procedencia. El enunciado del Esquema Nacional de Seguridad no es ajeno a este hecho y lo recoge consecuentemente. Cuando un fabricante haga pblica la correccin de determinada vulnerabilidad, se deber actuar conforme a un procedimiento estipulado para corregir el fallo detectado. No obstante, hay que tener en cuenta que una potencial solucin podra afectar negativamente al funcionamiento normal del servicio. Para ello habr de disponerse de algn procedimiento para la realizacin de las pruebas previas oportunas que permitan aplicar las actualizaciones de seguridad sin por ello alterar el servicio. Este tema es tratado en el Anexo II, en los apartados referidos a los sistemas de mantenimiento. Artculo 21.Proteccindeinformacinalmacenadayentrnsito. 1. Enlaestructurayorganizacindelaseguridaddelsistema,seprestarespecial atencinalainformacinalmacenadaoentrnsitoatravsdeentornosinseguros. Tendrnlaconsideracindeentornosinseguroslosequiposporttiles,asistentes personales (PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil. 2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo plazo de los documentos electrnicos producidos por las Administracionespblicasenelmbitodesuscompetencias. 3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia directadelainformacinelectrnicaalaqueserefiereelpresenterealdecreto,deber estarprotegidaconelmismogradodeseguridadquesta.Paraelloseaplicarn las medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos. La salvaguarda de la informacin es un elemento principal en cualquier valoracin respecto de la seguridad informtica. No lo es menos para el Esquema Nacional de Seguridad. No se debe olvidar que en la prestacin de un servicio lo que realmente aporta valor son los datos manejados por encima de la continuidad del mismo. El acceso de los ciudadanos presentar como objetivo principal el desarrollo de procedimientos administrativos, bien solicitando o bien aportando informacin. Debe existir la constancia de que ante una prdida de informacin asociada al servicio, es posible su recuperacin. Por tanto, se establece como garanta fundamental asociada a la labor de la Administracin Pblica que los datos existentes podrn ser recuperados y mantenidos. La evolucin de la tecnologa es atendida por el Esquema Nacional de Seguridad, y claro ejemplo de ello son los dispositivos mviles. Fciles de manejar y de portar, no estn exentos de fallos de seguridad. Su portabilidad incrementa el nmero de amenazas y se hace por ello especial hincapi en las tecnologas de cifrado para los mismos. Artculo 23. Registro de actividad. Conlafinalidadexclusivadelograrelcumplimientodelobjetodelpresenterealdecreto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y20


a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccin dedatospersonales,defuncinpblicaolaboral,ydemsdisposicionesqueresulten deaplicacin,seregistrarnlasactividadesdelosusuarios,reteniendolainformacin necesaria para monitorizar, analizar, investigar y documentar actividades indebidas onoautorizadas,permitiendoidentificarencadamomentoalapersonaqueacta. Como en otras normativas existentes en el ordenamiento jurdico espaol constituye una necesidad registrar los sucesos relativos a acciones sobre los servicios y la informacin. Estos datos permitirn principalmente depurar responsabilidades cuando sea necesario, as como detectar fallos o incidencias de seguridad que hayan tenido lugar en los servicios prestados. Este objetivo es probablemente uno de los ms complicados de cumplimentar. No obstante, no ser requerido en todos los escenarios de aplicacin del Esquema Nacional de Seguridad, sino exclusivamente en aquellos donde se exigen los niveles de seguridad ms altos. Los sistemas a utilizar debern contar con metodologas de registro, y utilizar procedimientos para la consolidacin y correlacin de los datos. El servicio sera ineficaz si no tuviera capacidad de alertar frente a una posible incidencia. Artculo 24. Incidentes de seguridad. 1. Seestablecerunsistemadedeteccinyreaccinfrenteacdigodaino. 2. Se registrarn los incidentes de seguridad que se produzcan y las acciones de tratamientoquesesigan.Estosregistrosseemplearnparalamejoracontinua de la seguridad del sistema. Los ataques derivados del descubrimiento de una vulnerabilidad, constituyen uno de los mecanismos ms ampliamente utilizado por los hackers para introducirse en un sistema. Para garantizar la seguridad no basta solamente con su planteamiento, sino tambin es necesario evaluar si las medidas son eficaces. Los sistemas de deteccin de intrusiones intentan evaluar si un sistema est siendo objeto de ataque. Los intentos de ataque, aunque no se materialicen o tengan xito en sus objetivos, deben ser detectados e identificados como medida fundamental para mantener niveles apropiados de seguridad. Un sistema de deteccin de intrusiones podra ser reactivo mediante la presentacin de alertas o acciones que indiquen los intentos de ataque. Esto permitir que los administradores, adems de estar alertados, puedan calibrar el inters como foco de ataque que presentan determinados servicios. Aquellos en los que se observen intentos de ataques ms frecuentes, deberan ser considerados ms crticos en lo que respecta a su seguridad. Artculo 25. Continuidad de la actividad. Lossistemasdispondrndecopiasdeseguridadyestablecernlosmecanismosnecesarios para garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.21


Puesto que la prestacin de un servicio constituye una de las prioridades de la Administracin Pblica, el Esquema Nacional de Seguridad persigue tambin como objetivo mantener en todo momento la continuidad del servicio. Por tanto, y a travs de las polticas de seguridad, debern disponerse de mecanismos que permitan tanto la recuperacin de los datos como de los propios sistemas, en caso de una potencial incidencia. No obstante, no hay que olvidar que el valor reside en los datos, y su conservacin debe prevalecer incluso sobre la prestacin del servicio. Artculo 29. Guas de seguridad. Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, elCentroCriptolgicoNacional,enelejerciciodesuscompetencias,elaborarydifundirlascorrespondientesguasdeseguridaddelastecnologasdelainformacin y las comunicaciones. Para manejar eficazmente los sistemas con los que cuenta la Administracin Pblica, el Centro Criptogrfico Nacional ha elaborado, y continuar hacindolo, un conjunto de guas para el uso de diferentes tecnologas. En este sentido, Microsoft participa junto con el CCN en la elaboracin de las mismas en lo que respecta a sus tecnologas y soluciones especficas. La serie CCN-STIC-500 (Centro Criptogrfico Nacional - Seguridad de las Tecnologas de la Informacin) recoge las diferentes guas desarrolladas conjuntamente para entornos Windows. Adicionalmente a los documentos, se proporcionan una serie de scripts que permiten, a travs de las polticas de seguridad, mejorar determinados escenarios atendiendo a la normativa existente.

2.3. Comunicaciones electrnicasUno de los peligros potenciales que presenta el tratamiento de datos lo constituye el ataque a la informacin en trnsito. Existen numerosas tcnicas que presentan como objetivo el ataque en redes de datos. A travs de las mismas, un tercero intentar bien suplantar a una de las dos entidades participantes en la comunicacin, o bien obtener la informacin que se estuviera intercambiando. La alteracin en trnsito de una comunicacin para el desarrollo de un procedimiento administrativo podra conllevar su anulacin, o lo que es peor, si el sistema permite aceptar una autenticacin falsa por imposibilidad de validar correctamente un certificado digital, se inutilizara uno de los mecanismos fundamentales en los que est basado el Esquema Nacional de Seguridad. Los sistemas de certificacin electrnica cumplen una labor muy importante. Hay que recordar que a travs del uso de los servicios tipo PKI (Public Key Infraestructure) se persiguen dos objetivos fundamentales:l

El firmado, con objeto de garantizar la autenticidad, el no repudio y la integridad de los datos.

22


l

El cifrado, para garantizar la confidencialidad de los datos.

En un proceso de comunicacin se persiguen precisamente estos objetivos, por lo que los sistemas de certificacin electrnica resultan indispensables: bien sea para autenticar a un ciudadano, como para garantizar una comunicacin cifrada mediante SSL (Secure Socket Layer) o hacer un uso eficiente del correo electrnico mediante la utilizacin de S-MIME (Secure / Multipurpose Internet Mail Extensions). Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas. 1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integrodelascomunicacionesylaidentificacinfidedignadelremitenteydestinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio, sernimplementadasdeacuerdoconloestablecidoenelEsquemaNacionalde Seguridad. 2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior tendrnelvalorylaeficaciajurdicaquecorrespondaasurespectivanaturaleza, de conformidad con la legislacin que resulte de aplicacin. Artculo 32.Requerimientostcnicosdenotificacionesypublicacioneselectrnicas. 1. Lasnotificacionesypublicacioneselectrnicasderesolucionesyactosadministrativosserealizarndeformaquecumplan,deacuerdoconloestablecidoenel presente real decreto, las siguientes exigencias tcnicas: a) Aseguren la autenticidad del organismo que lo publique. b) Aseguren la integridad de la informacin publicada. c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado delaresolucinoactoobjetodepublicacinonotificacin,ascomodelacceso a su contenido. d) Asegurenlaautenticidaddeldestinatariodelapublicacinonotificacin. El uso de los sistemas de certificacin electrnicos se considera de obligado cumplimiento. Segn lo estipulado por la normativa, ser el mecanismo principal para garantizar la autenticidad de los ciudadanos que acceden a los servicios que prestan las administraciones pblicas. Pero tambin pueden ser utilizados para garantizar el acceso del personal interno para el tratamiento de los datos. Hay que tener presente en este sentido la importancia que implican los procedimientos de comunicacin administrativos. Sern factibles y tendrn tanta validez como los sistemas tradicionales, siempre y cuando cumplan con una serie de preceptos. En todos ellos la poltica de firma y certificado electrnico presenta una labor muy importante:l

Cifrado de los datos.23


l l

Firma digital de la informacin. Firma de marca tiempo para el sellado electrnico.

En el desarrollo de los procedimientos administrativos el cumplimiento temporal es crtico a la hora del establecimiento de resoluciones. Por ello, el uso de sistemas de certificacin electrnica para la implementacin del Time Stamp es otra de las necesidades a cubrir por los certificados digitales.

2.4. Auditora de seguridadPara garantizar la aplicacin de medidas y evaluar el debido funcionamiento de los sistemas implementados, el Esquema Nacional de Seguridad (ENS) define la necesidad de realizar peridicamente auditoras de seguridad. El sistema de auditora queda definido a travs del Captulo V y el Anexo III. Artculo 34. Auditora de la seguridad. 1. Lossistemasdeinformacinalosqueserefiereelpresenterealdecretosernobjetodeunaauditoraregularordinaria,almenoscadadosaos,queverifiqueel cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. Con carcter extraordinario, deber realizarse dicha auditora siempre que se produzcanmodificacionessustancialesenelsistemadeinformacin,quepuedan repercutir en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinariadeterminarlafechadecmputoparaelclculodelosdosaos, establecidos para la realizacin de la siguiente auditora regular ordinaria, indicados enelprrafoanterior.

Los sistemas de auditora deben servir como el mecanismo catalizador que determine que las medidas tcnicas aplicadas son como mnimo suficientes, que cumplen sus cometidos y que los procedimientos se realizan de acuerdo a lo estipulado en la poltica de seguridad. No obstante, su realizacin depende del tipo de categora de seguridad que queda determinada en el Anexo I. Aunque este tema ser tratado con posterioridad, es importante indicar en este momento que existen tres categoras en funcin de la criticidad: bsica, media y alta. En el caso de las categoras media y alta, la auditora deber realizarla un equipo independiente a la organizacin. En el caso de categora bsica, la auditora podr ser de tipo auto evaluativo. Un equipo interno determinar el cumplimiento y las medidas correctoras que deberan aplicarse si hubiera lugar a ello. Puesto que el ENS no regula completamente los procedimientos de auditora, el CCN ha emitido una gua para ello. La gua 802 de Auditoria del Esquema Nacional de Seguridad desarrolla las materias necesarias para dar cumplimiento a lo establecido en el artculo 34 y en el Anexo III del RD 3/2010. Entre estas medidas podrn encontrarse los mecanismos para la realizacin de las auditoras, los requisitos que debern cumplir el equipo de auditores o la elaboracin y presentacin de resultados.24


Con objeto de garantizar la independencia, las tareas de auditora no incluirn en ningn caso la ejecucin de acciones que puedan ser consideradas como responsabilidades de consultora o similares. Tampoco deber proponerse la implantacin de un determinado software o solucin especfica. El auditor ser el responsable de las opiniones y conclusiones vertidas en el informe de auditora. Los informes de auditora sern presentados al responsable del sistema y al responsable de seguridad competente. Estos sern valorados por este ltimo, que enviar sus conclusiones al responsable del sistema. Ser ste el que deber dictaminar y aplicar las medidas correctoras oportunas.

2.5. Respuesta a incidentes de seguridadDe cara a la coordinacin de tareas frente a incidencias que pudieran darse, el CCN a travs de su estructura CCN-CERT (Centro Criptolgico Nacional - Computer Emergency Reaction Team), ser el encargado de articular las respuestas de las diferentes administraciones pblicas. Sus acciones se realizarn sin perjuicio de las capacidades de respuesta propias con las que pueden contar cada administracin y de la funcin de coordinacin a nivel nacional e internacional del CCN. Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las Administraciones pblicas. 1. Deacuerdoconloprevistoenelartculo36,elCCN-CERTprestaralasAdministraciones pblicas los siguientes servicios: a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin de incidentes de seguridad que tengan la Administracin General del Estado, las Administraciones de las comunidades autnomas, las entidades que integran la Administracin Local y las Entidades de Derecho pblico con personalidad jurdica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, actuarconlamximaceleridadantecualquieragresinrecibidaenlossistemas de informacin de las Administraciones pblicas. Paraelcumplimientodelosfinesindicadosenlosprrafosanterioressepodrn recabar los informes de auditora de los sistemas afectados.

b) Investigacinydivulgacindelasmejoresprcticassobreseguridaddelainformacin entre todos los miembros de las Administraciones pblicas. Con esta finalidad,lasseriesdedocumentosCCN-STIC(CentroCriptolgicoNacional - Seguridad de las Tecnologas de Informacin y Comunicaciones), elaboradas porelCentroCriptolgicoNacional,ofrecernnormas,instruccionesguas y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologas de la informacin en la Administracin.25


Tal y como se coment previamente, existen guas de seguridad relacionadas con productos Microsoft que garantizan el cumplimiento de medidas exigidas a nivel normativo. Pero no solamente en esto existe colaboracin en

esquema nacional seguridad segun microsoft

Documents