Charla impartida por Juan Luis G. Rambla, de informática 64 para el III Curso de Verano de Seguridad Informática de la UEM en Valencia

1. ESQUEMA NACIONAL DE SEGURIDADJuan Luis García RamblaConsultor de Seguridad y SistemasMVP Consumer Securityjlrambla@informatica64.com

2. Agenda Antecedentes. El Esquema Nacional de Seguridad. Aplicación de la seguridad. Algunos artículos interesantes. Anexo I. Categoría de los sistemas. Anexo II. Medidas de seguridad. Anexo III. Auditoría de la seguridad.

3. Antecedentes

4. Antecedentes a nivel europeo La comisión Euratom modifica el 29 de Noviembre de 2001 su reglamento interno para la adopción de normas de seguridad. A través de la decisión 2001/844/CE CECA, se determina la situación tecnológica de las diferentes Administraciones públicas y los servicios electrónicos existentes.

5. Antecedentes en el ordenamiento jurídico español La Ley 30/1992, determina la configuración de numerosos ámbitos de confidencialidad y clasificación e la información. Le Ley orgánica 15/1999 Protección de Datos de Carácter Personal. La Ley 37/2007 sobre la reutilización de la información del sector público.

6. La Ley 11/2007 Aparecida el 22 de junio, regula el acceso electrónico de los ciudadanos a los servicios públicos. Establecía a través de su artículo 42 la necesidad de creación del Esquema Nacional de interoperabilidad y Esquema Nacional de Seguridad.

7. Articulo 42.2 “El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.”

8. El Esquema Nacional de Seguridad

9. La ley El 29 de enero de 2010 hace su aparición en el BOE el RD 3/2010. Con fecha de 8 de Enero, regula el Esquema Nacional de Seguridad en el ámbito de la administración pública. Su objetivo fundamental es el establecimientos de principios y requisitos de una política de seguridad que permite la adecuación de la protección de la información.

10. Principios de seguridad Fundamentar la confianza en los sistemas electrónicos regulados por la norma. Custodia de la información por parte de la administración pública. Prevención frente a interrupciones o modificaciones fuera de control. Garantizar el acceso frente a personas no autorizadas.

11. Seguridad de las redes y la información Se entiende como tal la capacidad de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan: La disponibilidad. Autenticidad. Integridad. Confidencialidad.

12. Estructura de la norma Se divide en 10 capítulos más una serie de disposiciones. Presenta una serie de anexos muy importantes a título técnico, donde se establecen: La categoría de los sistemas. Las medidas de seguridad. La auditoría de seguridad. Glosario de términos.

13. ¿Quién está supeditado? Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.

14. Aplicación de la seguridad

15. Aplicación de la política de seguridad Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. Deberá ser aprobada por el titular del órgano superior correspondiente. Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.

16. Principios y requisitos mínimos Los principios básicos estimados por el ENS son: a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos. h) Seguridad por defecto. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de actividad. m) Incidentes de seguridad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad.

17. Implementación de seguridad Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. La seguridad deberá comprometer a todos los miembros de la organización. Se deberán identificar los responsables y deberá ser conocida por todos. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.

18. La seguridad por defecto Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. Mínima funcionalidad en base a objetivos. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo n accesibles por las personas, o desde equipos, autorizados. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

19. Seguridad en evolución Se deberá conocer en todo momento el estado de seguridad de los sistemas. En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

20. Escenario de protección de la información Se deberá proteger la información, tanto en los escenarios: Datos almacenados. Datos en tránsito. Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.

21. Aplicación de la seguridad La disposición transitoria estipula los tiempos para la aplicación de la normativa. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado.

22. Algunos Artículos interesantes

23. Artículo 6. Gestión de la seguridad basado en los riesgos El análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.

24. 1. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará su propia gestión de riesgos. 2. Esta gestión se realizará por medio del análisis y tratamiento de los riesgos a los que está expuesto el sistema. Sin perjuicio de lo dispuesto en el anexo II, se empleará alguna metodología reconocida internacionalmente. Ejemplo de uso: Herramienta Pilar Artículo 13. Análisis y gestión de los riesgos

25. Art. 18 Adquisición productos seguridad En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

26. Artículo 24. Incidentes de seguridad 1. Se establecerá un sistema de detección y reacción frente a código dañino. 2. Se registrarán los incidentes de seguridad que se produzcan y las acciones de tratamiento que se sigan. Estos registros se emplearán para la mejora continua de la seguridad del sistema.

27. Anexo ICategoría de los sistemas

28. Fundamentos Los sistemas serán categorizados en base a una serie de criterios: Impacto que tendría sobre la organización un incidente de seguridad. Repercusión de la organización para: Alcanzar sus objetivos. Proteger los activos a su cargo. Cumplir sus obligaciones diarias de servicio. Respetar la legalidad vigente. Respetar los derechos de las personas.

29. Dimensiones de seguridad Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: Disponibilidad [D]. Autenticidad [A]. Integridad [I]. Confidencialidad [C]. Trazabilidad [T]. La dimensión de la seguridad se circunscribe en diferentes niveles: Bajo. Medio. Alto. Un servicio puede verse afectado por una o varias dimensiones de la seguridad.

30. Nivel Bajo Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. El sufrimiento de un daño menor por los activos de la organización. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. Otros de naturaleza análoga.

31. Nivel Medio Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. El sufrimiento de un daño significativo por los activos de la organización. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. Causar un perjuicio significativo a algún individuo, de difícil reparación. Otros de naturaleza análoga.

32. Nivel Alto Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. El incumplimiento grave de alguna ley o regulación. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. Otros de naturaleza análoga.

33. Determinación de categorías Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

34. Anexo IIMedidas de seguridad

35. Agrupamiento de medidas En función de las naturalezas de medidas, estas pueden diferenciarse en: Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

36. Aplicación de medidas Las organizaciones deberán realizar un análisis de activos y riesgos. La aplicación de medidas se aplicarán en base a estos análisis. A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad

37. Medidas de seguridad

38. Ejemplo práctico MP Info-6. Medidas de protección para la limpieza de documentos. Solución técnica de ejemplo: Metashield Protector http://www.metashieldprotector.com/

39. PRESENTACIÓN DE LAS MEDIDAS TÉCNICAS

40. Anexo IIIAuditoría de seguridad

41. Principios de auditoría Los sistemas de seguridad deberán ser auditados en base a estos principios: Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. Que existen procedimientos para resolución de conflictos entre dichos responsables. Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

42. ¿Cuándo realizarla? Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.

43. Niveles de auditoría Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. Deberán generar un informe de auditoría.

44. Informe de auditoría Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

45. PREGUNTAS

46. Campaña HOL ahora también en modalidad virtual http://www.microsoft.com/spain/seminarios/hol.mspx

47. Semana de Hand On Lab en Valencia