ESQUEMA DE SEGURIDAD NACIONAL APLICADO SISTEMAS WINDOWS Juan Luis García Rambla MVP Windows Security Responsable de seguridad Informática 64 jlrambla@informatica64.com

Agenda Antecedentes. El Esquema Nacional de Seguridad. Aplicación de la seguridad. Anexo I. Categoría de los sistemas. Anexo II. Medidas de seguridad. Anexo III. Auditoría de la seguridad. Los productos de seguridad y escenarios Microsoft.

Antecedentes

Antecedentes a nivel europeo La comisión Euratom modifica el 29 de Noviembre de 2001 su reglamento interno para la adopción de normas de seguridad. A través de la decisión 2001/844/CE CECA, se determina la situación tecnológica de las diferentes Administraciones públicas y los servicios electrónicos existentes.

Antecedentes ordenamiento jurídico español La Ley 30/1992, determina la configuración de numerosos ámbitos de confidencialidad y clasificación e la información. Le Ley orgánica 15/1999 Protección de Datos de Carácter Personal. La Ley 37/2007 sobre la reutilización de la información del sector público.

La Ley 11/2007 Aparecida el 22 de junio, regula el acceso electrónico de los ciudadanos a los servicios públicos. Establecía a través de su artículo 42 la necesidad de creación del Esquema Nacional de interoperabilidad y Esquema Nacional de Seguridad.

Articulo 42.2 “El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.”

El Esquema Nacional de Seguridad

La ley El 29 de enero de 2010 hace su aparición en el BOE el RD 3/2010. Con fecha de 8 de Enero, regula el Esquema Nacional de Seguridad en el ámbito de la administración pública. Su objetivo fundamental es el establecimientos de principios y requisitos de una política de seguridad que permite la adecuación de la protección de la información.

Principios de seguridad Fundamentar la confianza en los sistemas electrónicos regulados por la norma. Custodia de la información por parte de la administración pública. Prevención frente a interrupciones o modificaciones fuera de control. Garantizar el acceso frente a personas no autorizadas.

Seguridad de las redes y la información Se entiende como tal la capacidad de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan: La disponibilidad. Autenticidad. Integridad. Confidencialidad.

Estructura de la norma Se divide en 10 capítulos más una serie de disposiciones. Presenta una serie de anexos muy importantes a título técnico, donde se establecen: La categoría de los sistemas. Las medidas de seguridad. La auditoría de seguridad. Glosario de términos.

¿Quién está supeditado? Su ámbito de aplicación lo determina el artículo 2 de la Ley 11/2007. A las Administraciones Públicas, entendiendo por tales la Administración General del Estado, las Administraciones de las Comunidades Autónomas y las Entidades que integran la Administración Local, así como las entidades de derecho público vinculadas o dependientes de las mismas. Quedan exceptuadas las Administraciones Públicas en las actividades que desarrollen en régimen de derecho privado.

Aplicación de la seguridad

Aplicación de la política de seguridad Todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad. Deberá ser aprobada por el titular del órgano superior correspondiente. Se considerarán órganos superiores, los responsables directos de la ejecución de la acción del gobierno, central, autonómico o local, en un sector de actividad específico Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal.

Principios y requisitos mínimos Los principios básicos estimados por el ENS son: a) Organización e implantación del proceso de seguridad. b) Análisis y gestión de los riesgos. c) Gestión de personal. d) Profesionalidad. e) Autorización y control de los accesos. f) Protección de las instalaciones. g) Adquisición de productos. h) Seguridad por defecto. i) Integridad y actualización del sistema. j) Protección de la información almacenada y en tránsito. k) Prevención ante otros sistemas de información interconectados. l) Registro de actividad. m) Incidentes de seguridad. n) Continuidad de la actividad. o) Mejora continua del proceso de seguridad.

Implementación de seguridad Los requisitos mínimos se exigirán en proporción a los riesgos identificados en cada sistema. La seguridad deberá comprometer a todos los miembros de la organización. Se deberán identificar los responsables y deberá ser conocida por todos. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones deberá realizar su propia gestión de riesgos.

La seguridad por defecto Los sistemas deberán diseñarse y configurarse para garantizar la seguridad por defecto. Mínima funcionalidad en base a objetivos. Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, siendo sólo n accesibles por las personas, o desde equipos, autorizados. En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, innecesarias o inadecuadas. El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

Seguridad en evolución Se deberá conocer en todo momento el estado de seguridad de los sistemas. En este sentido es especialmente crítico la relación a las especificaciones de los fabricantes, en lo que a las vulnerabilidades y a las actualizaciones les afecten. Se reaccionará con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

Escenario de protección de la información Se deberá proteger la información, tanto en los escenarios: Datos almacenados. Datos en tránsito. Se deberán extremar las medidas en aquellas circunstancias en las que la información viaje a través de redes públicas.

Aplicación de la seguridad La disposición transitoria estipula los tiempos para la aplicación de la normativa. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. La entrada en vigor se establece al día siguiente al de su publicación en el Boletín Oficial del Estado.

Anexo I Categoría de los sistemas

Fundamentos Los sistemas serán categorizados en base a una serie de criterios: Impacto que tendría sobre la organización un incidente de seguridad. Repercusión de la organización para: Alcanzar sus objetivos. Proteger los activos a su cargo. Cumplir sus obligaciones diarias de servicio. Respetar la legalidad vigente. Respetar los derechos de las personas.

Dimensiones de seguridad Las dimensiones determinan el impacto de seguridad de una organización. Quedan identificadas por sus iniciales: Disponibilidad [D]. Autenticidad [A]. Integridad [I]. Confidencialidad [C]. Trazabilidad [T]. La dimensión de la seguridad se circunscribe en diferentes niveles: Bajo. Medio. Alto. Un servicio puede verse afectado por una o varias dimensiones de la seguridad.

Nivel Bajo Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio limitado. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose. El sufrimiento de un daño menor por los activos de la organización. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable. Otros de naturaleza análoga.

Nivel Medio Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio grave. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose. El sufrimiento de un daño significativo por los activos de la organización. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable. Causar un perjuicio significativo a algún individuo, de difícil reparación. Otros de naturaleza análoga.

Nivel Alto Se utilizará cuando las consecuencias de un incidente de seguridad causen un perjuicio muy grave. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización. El incumplimiento grave de alguna ley o regulación. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación. Otros de naturaleza análoga.

Determinación de categorías Un sistema de información será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO. Un sistema de información será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel superior. Un sistema de información será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

Anexo II Medidas de seguridad

Agrupamiento de medidas En función de las naturalezas de medidas, estas pueden diferenciarse en: Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad. Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

Aplicación de medidas Las organizaciones deberán realizar un análisis de activos y riesgos. La aplicación de medidas se aplicarán en base a estos análisis. A los efectos de facilitar el cumplimiento de lo dispuesto en el anexo, cuando en un sistema de información existan sistemas que requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último. La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad

Medidas de seguridad

Ejemplo práctico MP Info-6. Medidas de protección para la limpieza de documentos. Solución técnica de ejemplo: Metashield Protector http://www.metashieldprotector.com/

Anexo III Auditoría de seguridad

Principios de auditoría Los sistemas de seguridad deberán ser auditados en base a estos principios: Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información. Que existen procedimientos para resolución de conflictos entre dichos responsables. Que se han designado personas para dichos roles a la luz del principio de «separación de funciones». Que se ha realizado un análisis de riesgos, con revisión y aprobación anual. Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

¿Cuándo realizarla? Según lo estipula el artículo 34 deberá realizarse con carácter ordinario cada dos años. Con carácter extraordinaria cuando se produzcan modificaciones sustanciales en el sistema de la información. Esta última iniciará de nuevo el cómputo del cálculo bienal de la auditoría ordinaria.

Niveles de auditoría Los sistemas de categoría básica no necesitará realizar una auditoría basta con una autoevaluación. No obstante esta deberá estar documentado. Las categorías de tipo medio y alto se realizarán según lo dispuesto en el artículo 34. Deberán generar un informe de auditoría.

Informe de auditoría Deberá, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría. Dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias. Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

Los productos de seguridad y escenarios Microsoft

Art. 18 Adquisición productos seguridad En la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones públicas se valorarán positivamente aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. La certificación deberá estar de acuerdo con las normas y estándares de mayor reconocimiento internacional, en el ámbito de la seguridad funcional.

OC ENECSTI http://www.oc.ccn.cni.es Es el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información. Constituido al amparo de lo dispuesto en el artículo 2.2.c) del Real Decreto 421/2004, de 12 de marzo, y regulado por la orden PRE/2740/2007, de 19 de septiembre. Dentro de sus competencias, se encuentran determinar el criterio a cumplir en función del uso previsto del producto a que se refiera, en relación con el nivel de evaluación, otras certificaciones de seguridad adicionales que se requieran normativamente, así como, excepcionalmente, en los casos en que no existan productos certificados. http://www.oc.ccn.cni.es

Common Criteria http://www.commoncriteriaportal.org/ Reconocida mundialmente, presenta un acuerdo de colaboración con la OC ENECSTI. Evalúa productos en base a su seguridad quedando establecidos por niveles denominador EAL (Evaluation Assurance Level). Se dividen en 7 niveles, siendo los 4 primeros los destinados principalmente a productos de tipo comercial. http://www.commoncriteriaportal.org/

Reconocimiento de productos Los productos Microsoft han obtenido reconocimientos en materia de seguridad. Un ejemplo circunstancial lo constituyen los productos de la Suite Forefront. Han adquirido múltiples premios y certificaciones. http://www.microsoft.com/forefront/en/us/awards.aspx http://www.forefront-es.com/post/2010/05/14/Soluciones-de-Identidad-de-Microsoft-premiadas-en-la-European-Identity-Conference-2010.aspx http://www.forefront-es.com/post/2010/03/14/Cuatro-Premio-consecutivo-VBAntiSpam100-para-Forefront-Protection-for-Exchange-Fue-el-mejor-en-los-tests.aspx

Adquisición de la certificación Common Criteria Numerosos productos Microsoft han adquirido o están en proceso de adquirir la certificación CC EAL 4+ Esta constituye la de mayor nivel para productos de tipo comercial. Tanto los sistemas operativos como productos servidores y de desarrollo cubren las necesidades exigidas por el ENS.

Escenarios de seguridad Múltiples de los escenarios, se verán involucrados por productos Microsoft: Estaciones de trabajo. Servicios y servidores. Productos de seguridad. Aplicaciones cliente. Cualquier sistema actualizado cumple los requisitos y medidas solicitadas. SDL http://www.microsoft.com/security/sdl/default.aspx

Contacto Juan Luis García Rambla jlrambla@informatica64.com Informática64 www.informatica64.com Seguros con Forefront www.forefront-es.com Windows técnico www.windowstecnico.com

Campaña Hand On Lab ahora también en modalidad virtual http://www.microsoft.com/spain/seminarios/hol.mspx 5 y 6 de Julio– VHOL ENS

Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: http://www.microsoft.es/technet/jornadas/webcasts/webcasts_ant.asp Para información y registro de Futuros Webcast de éste y otros temas diríjase a: http://www.microsoft.es/technet/jornadas/webcasts/default.asp Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: http://www.microsoft.es/technet/boletines/default.mspx Descubra los mejores vídeos para TI gratis y a un solo clic: http://www.microsoft.es/technet/itsshowtime/default.aspx Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.es/technet/recursos/cd/default.mspx