miércoles, 26 de mayo de 2010

Esquema Nacional de Seguridad

-->
Han pasado ya dos años desde que en el artículo 42 de la “Ley 11/2007 de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos1” se mencionó por vez primera el concepto de “Esquema Nacional de Seguridad (ENS)”, pero no fue hasta el pasado mes de julio, cuando el CSAE (Consejo Superior de Administración Electrónica) publicó una primera propuesta2 para definir y regular dicho ENS en el ámbito de la Administración Pública. Unos meses más tarde, el pasado mes de 29 de enero, la propuesta fue finalmente aceptada y publicada en el BOE, resulando en el Real Decreto 3/2010, de 8 de enero3.
Según se establece en el propio Esquema, su objetivo último es establecer la Política de Seguridad que deberán seguir las Administraciones Públicas en la utilización de medios electrónicos creando las condiciones necesarias para la confianza en el uso de medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los propios servicios electrónicos. Además busca también facilitar el ejercicio de derechos y el cumplimiento de deberes de los ciudadanos a través de medios electrónicos.
Hay que tener en cuenta que dentro del ámbito de este Real Decreto se incluye tanto la Administración Central como las Administraciones Autonómicas y Locales, por lo que es problable que acabe regulando aspectos de seguridad de servicios que, en mayor o menor medida, todos acabaremos por utilizlar. Por este motivo, considero que es importante prestar atención a la línea de trabajo que impone este Esquema y ser consciente de qué hemos de esperar en cuanto a protección de la información y los servicios que usamos o usaremos para interactuar con las administraciones.
El ENS, como todo Sistema de Gestión de Seguridad de la Información (SGSI) que se precie, entiende la seguridad como un proceso y no como un fin. Así, deja fuera de su objeto de manera explícita las actuaciones puntuales o cuyunturales, estableciendo un proceso de mejora continua mediante la evaluación y actualización periódica de las medidas de seguridad. También incide en el análisis y gestión de riesgos y la necesidad de mantenerlo permanentemente actualizado, situándolo como una parte esencial del Proceso de Seguridad.
Por lo tanto, la Gestión de Seguridad que propone el ENS se basa en el análisis y gestión de los riesgos que puedan afectar a la información administrativa, entendiendo siempre la seguridad como un proceso integral consituido por elementos técnicos, humanos, materiales y organizativos.
Los principios básicos que el Esquema establece como necesarios para tener en cuenta en la toma de decisiones en materia de seguridad son los siguientes:

  • Seguridad integral
  • Gestión de riesgos
  • Prevención, reacción y recuperación
  • Líneas de defensa
  • Reevaluación periódica
  • Función diferenciada

Otro aspecto relevante del Real Decreto, es el énfasis que otorga a la importancia que ha de tener la formación, capacitación y concienciación en materia de Seguridad de la Información para los trabajadores de las administraciónes.

Por otro lado, el ENS exige que todos los órganos superiores de las AAPP dispongan de una Política de Seguridad formal que desarrolle puntos clave de la Seguridad, siendo estos, como mínimo, los siguientes:

  • Organización e implementación del proceso de seguridad
  • Análisis y gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Autorización y control de accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto (Hardening de sistemas)
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante otros sistemas de información interconectados
  • Registro de actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua de proceso de seguridad

El ENS exige que la implantación de todas las medidas en el requeridas se realice antes del 1 de febrero del próximo año, salvo aquellas administraciones que puedan justificar la imposibilidad de alcanzar la implantación dentro del plazo, lo cual será sencillo dada la coyuntura económica y presupuestaria en la que nos hayamos inmersos. En estos casos, se exige que para esa fecha se disponga de un Plan de Adecuación en el que se detallen las acciones que la Administración llevará a cabo para cumplir los requisitos del ENS, y en todo caso dichos plazos no se vayan más allá de los próximos 4 años.
En mi opinión, y al margen de plazos y requisitos del Esquema, pienso es una muy buena noticia que la Seguridad de la Información se integre en los procesos de mejora continua de las Administraciones Públicas, como ya lo ha hecho en el sector bancario y en las grandes organizaciones de la industria, y como irremediablemente acabará pasando en las pymes que quieran mantener su productividad en un mercado cada vez más competitivo y exigente.
Ahora sólo nos resta ver si las buenas intenciones que supone este ENS son acompañadas por los recursos presupuestarios necesarios para que se lleve a la práctica, o si por el contrario, continuaremos la dinámica que hasta el momento ha supuesto la Ley 11/2007, de escasa implantación efectiva en nuestras administraciones a pesar de su carácter obligatorio y los años transcurridos desde su publicación

  1. [http://www.csae.map.es/csi/pg5e42.htm]
  2. [http://www.csae.map.es/csi/pdf/20090715_Proyecto_RD_ENS_cn.pdf]
  3. [http://www.boe.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-2007-12352]

Gestión de Eventos de Seguridad

Todos somos conscientes de la creciente importancia que la información y su tratamiento está adquiriendo para las organizaciones. Esta importancia deriva del aumento exponencial del volumen de datos con el que han de lidiar los Responsables de Sistemas de Información. Las necesidades de almacenamiento y procesado de datos se siguen multiplicando, al igual que las necesidades de asegurar la información en términos de Confidencialidad, Integridad y Disponibilidad.

Actualmente, nos hayamos inmersos en un cambio de paradigma en el que la seguridad está pasando a tratarse como un proceso continuo totalmente integrada con el resto de procesos de las organizaciones. Para que este cambio se pueda llevar a cabo, es imprescindible que se implementen sistemas o plataformas que permitan analizar, comprender y reaccionar ante los eventos de seguridad que se produzcan en nuestra compañía.

Sin embargo, llevar a cabo estas tareas de análisis es realmente complejo, ya que el número de fuentes que pueden generar eventos de seguridad es cada vez mayor; Firewalls, IPS/IDS, VPN, Servidores Web, Logs de aplicaciones, Sistemas centrales, Sistemas distribuidos, PC de usuarios, portátiles, dispositivos móviles, cámaras de videovigilancia, registros de entrada física a los edificios, y un largo etcétera…

Por lo tanto, las organizaciones se enfrentan en la actualidad a volúmenes ingentes de eventos que no pueden ser controlados de una forma manual. Atrás quedaron los tiempos en los que bastaba con uno o varios operadores visualizando una consola de logs para controlar lo que ocurría en los sistemas de una instalación.
Por otro lado, muchos de estos eventos no tienen sentido por sí mismos, sino que han de contextualizarse con eventos provenientes de otras fuentes. Es decir, nuestro sistema de análisis ha de ser capaz de aplicar inteligencia y correlacionar eventos entre sí. Además es imprescindible realizarlo en tiempo real, ya que en la mayoría de los casos la velocidad de detección será clave para que podamos reaccionar a tiempo ante una amenaza o incidente grave de seguridad.

Son muchas las herramientas que se han desarrollado para ayudar a las organizaciones en este ámbito, y suelen agruparse bajo la denominación genérica de SIEM (Security Information Event Management). Sin embargo, nos encontramos con que las diferentes soluciones abordan la misma problemática desde múltiples perspectivas.

Así, podemos dividir las soluciones SIEM en dos grandes grupos: aquellas que consolidan todos los eventos de seguridad en una o varias bases de datos, y las que, por el contrario, guardan los eventos respetando el formato nativo de los mismos.

En el primer caso, el hecho de utilizar una base de datos, redunda en un mejor rendimiento a la hora de realizar consultas a posteriori, lo que se suele conocer como “análisis forense” de los datos. Además, facilita la correlación entre los diferentes eventos mediante el uso del motor de búsqueda de la propia base de datos. No obstante, la inserción de nuevos eventos y el mantenimiento del almacenaje pueden verse seriamente penalizados por el mismo motivo.

Por el contrario, las soluciones que no se apoyan en una base de datos para almacenar los eventos, sino que los guardan en su formato nativo, son capaces de manejar volúmenes de eventos muy superiores sin ver su rendimiento tan severamente afectado como en el caso anterior. Además, al no cambiar el formato de los datos, pueden tener mayor fuerza probatoria en caso de tener que ser presentados como evidencia electrónica llegado el caso.
Otro aspecto clave a tener en cuenta al realizar una comparativa de sistemas SIEM es su escalabilidad, ya que deberemos asegurarnos que la solución pueda crecer sin problemas al mismo ritmo que lo haga nuestra organización y sus Sistemas de Información.

Por último, cabe analizar las funciones adicionales que pueda presentar la solución, como pueden ser cuadros de mandos técnicos o de cumplimiento normativo, alertas o automatización de acciones y facilidad de implementación, uso y gestión de la plataforma.

La concienciación en lo que se refiere a temas de seguridad se va incrementando y consolidando en la sociedad y, poco a poco, es de esperar que se establezcan nuevos requisitos legales y normativos. Todo esto generará un aumento en la demanda de soluciones de calidad alineadas con los objetivos de negocio de las organizaciones.

En conclusión, para elegir un sistema SIEM (Security Information Event Management) idóneo, hay que tener en cuenta múltiples factores entre los que destacan el volumen de datos a tratar; la complejidad de nuestros sistemas de información; la identificación de los diferentes roles que utilizarán la aplicación o el uso concreto que se va hacer de la misma. Solamente teniendo en cuenta todas las variables implicadas podremos estar seguros de implementar con éxito la solución SIEM más adecuada y que ofrezca un mejor servicio a nuestra organización.

El Cifrado de tarjetas de crédito

Aunque hace 5 años que se redactó y se publicó la versión 1.0 del estándar PCI-DSS, no ha sido hasta recientemente cuando hemos empezado a notar cierta urgencia en la industria de nuestro país por cumplir con dicho estándar.
Parece que finalmente tanto VISA como Mastecard han empezado a presionar a las entidades bancarias para lograr que el cumplimiento de la PCI-DSS se generalice y los bancos a su vez, están trasladando dicha presión a los comercios y proveedores de servicios afectados..
PCI-DSS es un modelo desarrollado e impulsado por las principales compañías de tarjetas que afecta a las organizaciones que procesan, guardan o transmiten datos de tarjetas de crédito o débito.
Los controles y medidas de seguridad que propone PCI-DSS están encaminados a evitar el robo o la exposición pública de los datos de las tarjetas con el objetivo de prevenir cualquier tipo de fraude que pueda hacer uso ilícito de estos datos.

Si profundizamos un poco en los requisitos que se han de contemplar para cumplir adecuadamente con el estándar, una de las medidas exigidas es la de proteger los números de tarjetas almacenados mediante un cifrado sólido. Además, el acceso a dichos números deberá estar controlado, no permitiéndose la manipulación de los datos sin cifrar a ningún usuario o empleado que no lo requiera por motivos de negocio.
Para cumplir este requisito, podemos utilizar diferentes métodos o arquitecturas de cifrado:
Una primera opción es utilizar cifrado a nivel de disco. El principal problema de este método reside en que deberemos implementar los controles lógicos necesarios para garantizar que sólo el personal autorizado pueda tener acceso a los datos de la tarjeta.
Otra opción, y en principio más adecuada si los datos se guardan en bases de datos, es utilizar mecanismos de cifrado de los datos residentes en ellas. Se puede optar por cifrar toda la base de datos, o por el contrario, realizar un cifrado selectivo de determinados campos o columnas.
Esta puede ser una opción válida, pero hay que tener en cuenta que también necesitarán del establecimiento de controles lógicos adicionales, ya que en la mayoría de los casos los administradores de las bases de datos no se deberían contar entre los usuarios autorizados para acceder a los datos. No obstante, por su propia condición de administrador, puede resultar complejo establecer un nivel de protección adecuado que nos permita cumplir debidamente con el estándar.
Por otro lado, si el almacenaje de los datos de tarjetas se realiza utilizando diferentes plataformas o gestores de bases de datos, nos encontraremos con la necesidad de instalar y mantener diferentes tecnologías de cifrado de bases de datos para cada una de ellas.
También, si los datos se transfieren o se guardan en cualquier formato externo, deberán aplicarse nuevos métodos, controles o tecnologías, ya que el cifrado no se mantendrá al extraer la información de la base de datos donde se haya almacenado.
Para solventar estos inconvenientes, podemos realizar el cifrado en la propia capa de datos, esto es, a nivel de la aplicación que guarda o lee los datos. Existen en el mercado tecnologías que además de ofrecer las librerías y herramientas necesarias para que nuestras aplicaciones puedan cifrar/descifrar los datos fácilmente, se encargan también de llevar a cabo toda la gestión de claves y permisos de accesos. Por otro lado, este tipo de tecnologías suelen poder integrarse fácilmente con cualquier LDAP (Protocolo ligero de acceso a directorios) corporativo que utilice nuestra organización.
Este enfoque, nos permite garantizar que los administradores de sistemas o bases de datos no sean capaces en ningún caso de descifrar los datos, garantizando además que el cifrado persista con independencia del dispositivo o plataforma en la que residan. La independencia tecnológica, su versatilidad y escalabilidad, así como su relativamente sencilla implementación, convierten esta opción en la más adecuada en la mayoría de casos.
En cualquier caso, es conveniente ser cuidadoso y buscar el asesoramiento adecuado por parte de expertos especialistas durante el proceso de decisión, considerando la elección del método que mejor se adecue a cada organización, con el objetivo de cumplir el estándar PCI-DSS con una inversión mínima y buscando siempre el mayor retorno de la inversión posible.