análisis de cumplimiento de normativas en ipad

8/6/2019 Anlisis de cumplimiento de normativas en ipad

1/45

Anlisis de cumplimiento de normativasespaolas en dispositivos iPad

White Paper

Publicado: Enero 2011

Autor: Juan Luis Garca Rambla (Consultor de Seguridad. Informtica 64)


2/45

Anlisis de cumplimiento de normativas espaolas en dispositivos iPad Pg. 2 de 45

NDICE DE CONTENIDOS

1.- Introduccin ........................................................................................................ 3

2.- iPad y la LOPD ..................................................................................................... 52.1.- Autenticacin ........................................................................................................... 7

2.2.- Control de acceso ................................................................................................... 10

2.3.- Gestin de soportes y documentos ......................................................................... 13

2.4.- Registro de accesos ................................................................................................ 18

3.- iPad y el Esquema Nacional de Seguridad........................................................... 19

3.1.- Marco operacional ................................................................................................. 24

3.1.1.- Identificacin ............................................................................................................ 24

3.1.2.- Mecanismos de autenticacin ................................................................................. 25

3.1.3.- Acceso local .............................................................................................................. 27

3.1.4.- Configuracin de la seguridad.................................................................................. 29

3.1.5.- Mantenimiento ........................................................................................................ 30

3.1.6.- Proteccin frente a cdigo daino ........................................................................... 32

3.2.- Medidas de proteccin ........................................................................................... 33

3.2.1.- Bloqueo del puesto de trabajo ................................................................................. 33

3.2.2.- Proteccin de porttiles ........................................................................................... 34

3.2.3.- Proteccin de la confidencialidad, autenticidad e integridad ................................. 36

3.2.4.- Borrado y destruccin .............................................................................................. 38

4.- Conclusiones ..................................................................................................... 39

5.-Referencias. ....................................................................................................... 44

5.1.- Normativa. .................................................................................................................. 44

5.2.- Libros. .......................................................................................................................... 44

5.3.- Referencia tcnica Apple. ........................................................................................... 44

5.4.- Otras referencias tcnicas. .......................................................................................... 45


3/45


1.- Introduccin

El auge en los sistemas de movilidad, la miniaturizacin de componentes y la extensin de los

sistemas informticos ms all del centro de trabajo, han motivado la aparicin de nuevos

elementos y componentes que facilitan el trabajo diario de cualquier persona. El desarrollo de

estas nuevas tecnologas es ms que evidente y su uso se ha escalado ms all del entorno

profesional puramente tecnolgico para el que en sus orgenes iba enfocado. Hasta hace unos

aos los departamentos tecnolgicos de las empresas eran el objetivo principal del mercado,

pero esta tendencia cambi drsticamente, abriendo nuevos caminos en las ventas y a la

aparicin de nuevos dispositivos electrnicos. Cambiaron las necesidades y esto provoc que

se modificaran tambin los planteamientos de uso de los nuevos dispositivos: ms simples,

ms fciles de utilizar y vistosos. Para toda persona no especialista en el mundo de la

informtica, inicialmente un sistema tecnolgico complejo le aportar pocos beneficios y por

lo tanto es probable que lo acabe rechazando.

Sin embargo esta evolucin implica tambin connotaciones a veces no tan positivas. Hay que

considerar que detrs de todo elemento informtico, se plantean una serie de necesidades.

Indiscutiblemente la usabilidad es una de ellas pero ni mucho menos la nica. Aspectos como

la seguridad en el uso de estos nuevos dispositivos no son menos importantes.

Desafortunadamente la comodidad o la rapidez se enfrentan en ocasiones a un uso seguro,

tanto de los medios como de la propia informacin que se maneja a travs de stos. La

seguridad en los sistemas de la informacin se ha considerado muy a menudo como una traba

para la realizacin de las tareas diarias. Quiz no se quiere entender todava su importancia en

las operaciones cotidianas, a menudo por la complejidad que introduce en ellas.

Son muchas personas las acostumbradas a introducir usuario y contrasea para acceder a su

sistema informtico. Sin embargo esta accin se realiza de forma mecnica, sin pararse

habitualmente a pensar en por qu es necesaria esta medida. Esto a veces trae consigo las

reticencias al cambio de contraseas o a medidas corporativas de seguridad que impliquen

ampliar su longitud mnima. No se acaba de entender el porqu de esta necesidad. La

preservacin de la identidad y la trazabilidad de las acciones constituyen alguna de las

maneras que tiene la organizacin para salvaguardar, tanto sus intereses como los del

trabajador que utiliza sus medios. Si dos personas diferentes utilizaran un mismo equipo sin

tener garantas de qu usuario ha realizado una u otra accin puede plantearse una duda de

difcil resolucin. La seguridad reside tambin est en este tipo de hechos. La comparticin de

medios es algo frecuente y ser necesario garantizar la seguridad incluso en estas

circunstancias. Las acciones de un usuario en una determinada organizacin nada tienen que

ver con las que puede desarrollar otro y por lo tanto la informacin manejada para cada uno

de ellos puede ser muy diferente.

Como puede apreciarse stas nuevas tecnologas presentan muchas caras y el impacto que

estn teniendo en las organizaciones puede resultar significativo. Sin embargo, no se controla


4/45


su uso o bien no se hace eficientemente, permitiendo incluso su utilizacin para acciones para

las que no se haban observado originalmente. Un claro ejemplo de estas nuevas tecnologas lo

constituye el iPad de Apple, atractivo dispositivo, de fcil utilizacin y sobre el que podran

aplicarse muchas de las observaciones ya realizadas en prrafos anteriores.

Muchas empresas se encuentran abocadas a la compra de nuevas tecnologas sin a veces

medir los riesgos que pueden conllevar la utilizacin de las mismas. En muchas ocasiones no se

dispone de medios para evaluarlas y por lo tanto se adquieren en funcin de una necesidad

que les viene impuesta. Calibrar su uso no afecta nicamente a la seguridad que impone la

propia organizacin, sino tambin al cumplimiento de la legislacin vigente. En este sentido,

hay que tener en cuenta que muchos pases se encuentran regulados por diferentes

normativas que de una u otra forma exigen el cumplimiento de ciertas medidas de seguridad,

tanto a nivel tcnico como puramente operacional.

En el caso de la legislacin aplicable al tratamiento electrnico de la informacin en Espaa,

son ya significativas las normativas que a da de hoy deben ser observadas por muchas

entidades presentes en el territorio nacional. Probablemente la ms significativa la constituye

la Ley Orgnica 15/1999 de Proteccin de Datos de Carcter Personal (LOPD), junto con el Real

Decreto 1720/2007 que la desarrolla. Esta norma, sienta en muchas circunstancias la base de

aplicacin de medidas seguridad de numerosas empresas y organizaciones espaolas. Aquellas

que en la actualidad la cumplen, cuentan con un documento de seguridad, que expresa cuanto

menos unos mnimos dentro del marco legal establecido. Evidentemente todos aquellos

sistemas tecnolgicos que traten informacin de carcter personal sujeto a la ley, debern ser

considerados dentro de los parmetros de seguridad de la organizacin. El incumplimiento de

estos mnimos supone un problema para la empresa, puesto que existe un rgimen de

sanciones que se aplica a aquellas organizaciones que no cumplen adecuadamente las medidas

establecidas para cada circunstancia.

La LOPD ha sido desde hace ya bastantes aos una norma sujeta a diferentes estudios, siendo

por lo tanto bien conocida a ttulo general. Una norma ms reciente y aplicable a las

Administraciones Pblicas influir en mayor medida sobre las condiciones de seguridad

general de estas entidades. De este modo, la aparicin en el BOE del Esquema Nacional de

Seguridad en el mbito de la Administracin Electrnica el 8 de Enero de 2010 como Real

Decreto 3/2010, implica modificaciones ostensibles en el uso de los medios informticos. Es

previsible por lo tanto que las entidades pblicas se vean bastante afectadas en sus

operaciones y uso de medios informticos por esta nueva normativa, bastante ms estricta en

la aplicacin de medidas de seguridad que la propia LOPD.

Este documento evala por lo tanto el impacto del uso de nuevos medios tecnolgicos como eliPad en lo que concierne a legislacin y cumplimiento de la seguridad impuesta por las


5/45


normativas espaolas vigentes. Se tendr para ello en cuenta lo dispuesto por la Ley Orgnica

de Proteccin de Datos de Carcter Personal y su Reglamento de desarrollo, as como el

cumplimiento del Esquema Nacional de Seguridad en el mbito de la Administracin

electrnica.

El anlisis se realiza desde el punto de vista del uso convencional del dispositivo. Por lo tanto

no se considera ninguna modificacin sobre el mismo que pueda vulnerar las caractersticas

que proporcionaba originalmente el fabricante. Las situaciones que se plantean constituyen

acciones que podran afectar a cualquier trabajador de una organizacin en el tratamiento de

la informacin sensible que maneje. Se entiende que las empresas cuentan con documentos

de seguridad y medidas sujetas a la legislacin vigente. Como tal las conclusiones derivadas

del anlisis realizado parten de dicho planteamiento, el cumplimiento de los mnimos exigidos.

2.- iPad y la LOPD

La Ley Orgnica de Proteccin de Datos de Carcter Personal debe entenderse como un

derecho fundamental de los espaoles, para que las empresas y organizaciones hagan un uso

correcto y eficiente de sus datos personales. Desde el punto de vista regulatorio constituye la

salvaguarda de la informacin as como el asegurar un adecuado uso de la misma. Por lo tanto

la LOPD debe entenderse siempre desde el tratamiento de los datos independientemente del

mecanismo que se emplee para ello, siempre y cuando dicho tratamiento sea de datos

tipificados como de carcter personal.

Los datos como tal, an recibiendo la denominacin de fichero como figura bsica, se

extienden a toda aquel conjunto de informaciones de carcter personal, independientemente

de la forma o modalidad en la que fueron creadas, almacenadas, organizadas o tratadas.

Tiende a creerse errneamente que el tratamiento referenciado en la LOPD se realiza de forma

exclusiva sobre la informacin existente en bases de datos. Documentos sueltos, hojas de

clculos u otros elementos como el correo electrnico, pueden tambin encontrarse

directamente afectados por la Ley Orgnica de Proteccin de Datos de Carcter Personal.

A menudo la informacin mantenida por una organizacin, sale de la empresa y an fuera desu alcance debe ser protegida si cabe con mayor ms rigor. Por lo tanto en el tratamiento de

los datos personales no se debe discriminar ni la situacin, ni los medios utilizados. Un informe

mdico, que trate temas de salud, puede ser enviado por correo electrnico y almacenado en

un dispositivo externo, que bien podra ser sacado fuera de la clnica, teniendo como objetivo

un anlisis posterior del mismo por parte de un empleado. Este tipo de datos, los de salud, son

tratados por la LOPD como datos altamente sensibles, siendo por ello categorizados como de

nivel alto. Las medidas por lo tanto que deben imponerse son las ms restrictivas. La LOPD no

prohbe que estos datos sean tratados fuera de la organizacin, pero s exige para ellos unas

medidas de proteccin en consonancia con la importancia de ese tipo de informacin.


6/45


Evidentemente la LOPD no evala la comodidad para realizar algunas operaciones o la

disponibilidad para el tratamiento de la informacin. Mide, regula y exige el cumplimiento de

unas medidas tcnicas mnimas a llevar a efecto dentro de un marco de seguridad.

No son inusuales el empleo de argumentos como el de que un fichero o documento va a ser

utilizado fuera del entorno corporativo por poco tiempo, y que es ms cmodo su uso en casa

que en el trabajo, garantizndose adems su posterior eliminacin, bien en el dispositivo

utilizado para su desplazamiento o bien en los correos electrnicos emitidos para su envo al

exterior. Sin embargo a menudo esa persona desconoce el funcionamiento y normativa que

exige el marco legal correspondiente. Qu pasara si cuando se abre el documento el sistema

genera un fichero temporal? Y si al eliminar el fichero ese temporal no se borra tambin? Son

posibles circunstancias que raramente se evalan pero hay que contar con ellas puesto que la

norma as lo establece.

Tiende a pensarse que la aplicacin de la LOPD no va ms all del tratamiento de los datos en

su fichero de origen como puede ser una base de datos. Sin embargo si se valora la

informacin contenida en la norma, se tiene tanta responsabilidad sobre las copias generadas

como sobre los datos originales que deben ser protegidos. El artculo 87 del RD 1720/2007,

informa de la seguridad aplicable sobre informacin temporal:

1. Aquellos ficheros temporales o copias de documentos que se hubiesen creado

exclusivamente para la realizacin de trabajos temporales o auxiliares debern cumplir el nivel

de seguridad que les corresponda conforme a los criterios establecidos en el Artculo 81.

La importancia de este artculo radica en la equiparacin que a nivel de seguridad se establece

entre el fichero original y la informacin extrada de l. En muchas circunstancias se ha

interpretado este artculo como el relativo a las operaciones que una aplicacin de tipo

informtico puede hacer sobre un fichero para su tratamiento, creando por ejemplo una copia

de tipo temporal. Pero no es slo aplicable a este tipo de circunstancias. Para aclararlo, lo

mejor es conocer la propia definicin que de fichero temporal que proporciona el propio

Reglamento de Seguridad de Desarrollo de la LOPD a travs de su artculo 5 punto 2:

g) Ficheros temporales: ficheros de trabajo creados por usuarios o procesos que son

necesarios para un tratamiento ocasional o como paso intermedio durante la realizacin de un

tratamiento

Esta temporalidad de la informacin, reviste de una gran importancia en el tratamiento de

datos de carcter personal en dispositivos como el iPad. No ser frecuente, aunque puede

darse el caso, que el iPad se convierta en el sistema de almacenamiento final de un fichero

sujeto a LOPD. Sin embargo s puede ser habitual que las organizaciones utilicen este tipo de

perifricos como un sistema para portar ficheros o realizar sobre ellos un tratamiento

posterior. Estos datos se convierten por lo tanto, desde el punto de vista de la LOPD, en


7/45


ficheros temporales o copias de documentos segn lo indicado en la norma. Por lo tanto, la

aplicacin de medidas tcnicas debe seguir las mismas premisas de seguridad que para

cualquier otro sistema informtico que emplea la organizacin para el tratamiento de datos de

carcter personal.

Tampoco hay que descartar que debido al auge del uso de sistemas en Internet, como las

aplicaciones en la nube, determinadas pequeas o medianas empresas acaben utilizando este

tipo de dispositivos como puestos habituales de trabajo. En estas circunstancias elementos

como el iPad no debern ser evaluados exclusivamente como sistemas de gestin temporal

para el tratamiento de los datos de carcter personal, sino como mecanismos de tratamiento

habitual de la informacin sujeta a proteccin. En este caso el nfasis en la seguridad y la

aplicacin de medidas tcnicas deberan ser an ms exigentes.

Se valorarn a continuacin aquellas medidas previstas para el tratamiento automatizado de

datos de carcter personal segn se refieren en el RD 1720/2007. Las medidas analizadas sern

aquellas puramente tcnicas. Las correspondientes a aspectos organizativos no sern tratadas

al no ser al objeto de anlisis del presente artculo.

2.1.- Autenticacin

Dentro de las medidas previstas por la Ley Orgnica de Proteccin de Datos de Carcter

Personal la correspondiente a autenticacin e identificacin, constituye una de las

fundamentales. Hay que tener en cuenta que esta medida, regulada por el artculo 93 del RD

1720/2007, ha modificado significativamente las pautas de tratamiento de los datos en las

organizaciones. El antiguo reglamento de desarrollo RD 994/1999 estableca la necesidad de

garantizar la correcta autenticacin de los usuarios a partir de datos de nivel medio. Sin

embargo la aparicin del nuevo reglamente cambi esta circunstancia.

A partir de su puesta en vigor, el tratamiento para cualquier dato de carcter personal exige la

autentificacin de los usuarios que acceden y traten la informacin sujeta a normativa, incluso

para aquellos datos personales ms bsicos. Este hecho ha implicado cambios en muchas

organizaciones. Por ejemplo el uso de usuarios genricos no se encuentra ya permitido. Cada

elemento utilizado por una persona diferente, exige esa diferenciacin. No se puede por lo

tanto hacer uso de cuentas genricas y por extensin, esto permitir que exista la posibilidad

de realizar una trazabilidad en el uso de medios.

Artculo 93. Identificacin y autenticacin.

1. El responsable del fichero o tratamiento deber adoptar las medidas que garanticen la

correcta identificacin y autenticacin de los usuarios.


8/45


2. El responsable del fichero o tratamiento establecer un mecanismo que permita la

identificacin de forma inequvoca y personalizada de todo aquel usuario que intente

acceder al sistema de informacin y la verificacin de que est autorizado.

3. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existirun procedimiento de asignacin, distribucin y almacenamiento que garantice su

confidencialidad e integridad.

4. El documento de seguridad establecer la periodicidad, que en ningn caso ser

superior a un ao, con la que tienen que ser cambiadas las contraseas que, mientras

estn vigentes, se almacenarn de forma ininteligible.

Uno de los aspectos ms significativos cuando se enciende por primera vez un dispositivo iPad,

es la inexistencia por defecto de un mecanismo de control de acceso al dispositivo. Este hecho

puede ser no obstante modificado a travs de los parmetros de ajustes que proporciona el

mismo. Para ello se proporciona la posibilidad de utilizar un cdigo de acceso en el inicio o

cuando el sistema se encuentre bloqueado.

Fig. 1.- Configuracin de cdigo en iPad.


9/45


La configuracin de dicho cdigo proporciona variantes, bien a travs de un sistema de cdigo

simple de 4 dgitos o bien a travs de uno ms complejo que permite la mezcla de diferentes

tipos de caracteres. Adicionalmente esta configuracin permite tambin el borrado de datos

tras 10 intentos fallidos de introducir el cdigo. Un problema al que se podran enfrentar los

administradores sera el de de querer realizar una administracin centralizada de mltiplesdispositivos, para la configuracin de las medidas de acceso. No obstante Apple ha

proporcionado mecanismos para el despliegue de esta configuracin. Por lo tanto es posible

realizarla bien a travs de la configuracin de perfiles desde la herramienta de Apple o bien a

travs de administracin centralizada con Ms Exchange Server. A travs de la consola de Ms

Exchange Server o la herramienta de administracin web de Ms Exchange ActiveSync podra

forzarse el despliegue de polticas al iPad sin intervencin del usuario.

Los parmetros de configuracin son significativos y la siguiente figura muestra algunos de

ellos.

Fig. 2.- Parmetros de configuracin de dispositivo iPad a travs de aplicacin.

No obstante a travs de los parmetros de configuracin, con la excepcin del mencionado

acceso basado en cdigo, no se aprecia ninguna referencia al proceso de autenticacin de

acceso al dispositivo. Dicho cdigo ser invariable para cualquier usuario que acceda al mismo,

sin posibilidad de que existan varios en funcin del perfil de usuario que accede en cada

momento.

En definitiva, y en relacin al propsito del artculo 93 del RD 1720/2007 de identificacin

inequvoca del usuario, un dispositivo iPad no tendra la capacidad de autenticar y por lo tanto

diferenciar usuarios. Esto determinar otras condiciones, como la trazabilidad, igualmente


10/45


reguladas por el Reglamento de desarrollo. El hecho de no poder identificar a un usuario,

implicar la incapacidad de auditar las condiciones de acceso que al dispositivo se realicen por

parte de mltiples personas.

Fig. 3.- Acceso a iPad con cdigo de acceso.

La imposibilidad de identificar el acceso de los usuarios condiciona en gran medida el

cumplimiento de la normativa. De hecho, muchas organizaciones han tenido que adaptar sus

sistemas informticos para garantizar que los usuarios pudieran ser correctamente

identificados. Ha sido necesario evitar el uso de cuentas genricas, as como la modificacin de

aplicaciones y sistemas para posibilitar el control de acceso, si previamente no se haca.

2.2.- Control de acceso

Uno de los fundamentales problemas que se pueden dar en el tratamiento de datos de

carcter personal, es el hecho de que informacin sujeta a normativa, puede caer en manos

indebidas. La Ley determina la necesidad de establecer una relacin de acceso de usuario, as

como los permisos que se otorgan a cada uno de ellos. Independientemente del soporte sobre

el que se encuentre, la LOPD establece la necesidad de aplicacin de esta medida y por

extensin del artculo 87 para cualquier elemento considerado como temporal o copia.


11/45


Artculo 91. Control de acceso.

1. Los usuarios tendrn acceso nicamente a aquellos recursos que precisen para el

desarrollo de sus funciones.

2. El responsable del fichero se encargar de que exista una relacin actualizada de

usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecer mecanismos para evitar que un usuario pueda

acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podr

conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los

criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los

recursos deber estar sometido a las mismas condiciones y obligaciones de seguridad

que el personal propio.

Un aspecto significativo de sistemas y aplicaciones consiste en la capacidad de asignar

permisos sobre los ficheros u otros elementos. El control de acceso que argumenta la Ley

Orgnica de Proteccin de Datos de Carcter Personal se centra precisamente en hacer uso de

estos mecanismos para garantizar un acceso controlado y evitar aquellos indebidos, segn lo

dispuesto por el documento de seguridad.

Aunque originalmente la funcionalidad principal que se planteaba para el sistema iOS, era la de

un dispositivo de comunicacin para el acceso a Internet y visualizacin de informacin, los

planteamientos para su uso han cambiado con el paso del tiempo. La aparicin de la versin

3.2, aportaba la capacidad del sistema compartido de archivos. Esto permita que desde

cualquier otro equipo pudiera enviarse informacin al iPad, como si fuera un dispositivo de

tipo externo. Este hecho faculta la posibilidad de que una persona pueda almacenar en su

dispositivo cualquier tipo de fichero para verlo, tratarlo o analizarlo posteriormente.

Junto a las propias funcionalidades que aporta iTunes, existen numerosas aplicaciones que

permiten intercambiar datos entre un PC o Mac y un dispositivo iPad. A travs de las mismas, y

de una forma cmoda, es posible desplazar ficheros de un sistema a otro. La siguiente imagen

muestra la aplicacin USB Disk que permite el intercambio de informacin a travs de iTunes.


12/45


Fig. 4.- Intercambio de ficheros a travs de iTunes.

La informacin intercambiada puede ser vista y tratada directamente en el iPad, a travs de las

aplicaciones correspondientes.

Fig. 5.- Visualizacin de ficheros en iPad.


13/45


Esta posibilidad puede promover un uso de este tipo de dispositivos para el que originalmente

se empleaban otros mecanismos. Los ejemplos sera innumerables: un comercial que lleve

informacin de clientes o contratos, o tal y como se haba comentado previamente, un mdico

que pudiera estudiar determinados informes fuera de las instalaciones habituales de su

trabajo seran alguna de las mltiples posibilidades. Evidentemente, este hecho cada vez msextendido por evidentes cuestiones de comodidad, requerir tambin de las autorizaciones

correspondientes. No es ni mucho menos descartable que determinadas personas, consciente

o inconscientemente, desplacen informacin de la organizacin sin contar con la autorizacin

o la comunicacin necesaria. En estas circunstancias se requiere siempre de un ejercicio de

autorresponsabilidad, sin olvidar que todos aquellos trabajadores sujetos a la normativa del

tratamiento de datos de carcter personal deben conocer y estar informados sobre sus

deberes y responsabilidades. No obstante, la empresa no queda indemne de la situacin

cuando se permite el hecho y no se dispone del control de la informacin, o bien los medios

aportados no son los convenientes.

Desde un punto de vista operacional, la portabilidad de la informacin constituye un

mecanismo significativo para extender posibilidades de uso ms all del puesto de trabajo,

pero tambin implica unas cuestiones que hay que controlar en lo referente a la seguridad de

los datos. El sistema de ficheros es normalmente el que proporciona los mecanismos para

garantizar el control de los accesos no autorizados. La aplicacin de listas de control de acceso

o la disposicin de mecanismos para el cifrado de la informacin son algunos de las medidas

posibles en este sentido.

Las funcionalidades del sistema de ficheros que proporciona iPad no permite el empleo de las

listas de control de acceso sobre los ficheros. Este hecho evidentemente no tiene ninguna

significacin, cuando no se emplea ningn mecanismo de autenticacin local de usuarios y por

lo tanto no es necesario dicha extensin sobre el sistema. Se entiende que todo usuario que

accede al dispositivo tendr la capacidad total para el tratamiento de cualquier informacin

existente en el mismo.

2.3.- Gestin de soportes y documentos

Una de las ventajas fundamentales de un dispositivo como el iPad, reside en la movilidad que

aporta al usuario. Tal y como se ha comentado previamente, ste es uno de sus puntos fuertes

y como tal ser empleado por algunas empresas para proporcionar mayor movilidad a sus

trabajadores. Estos podrn hacer uso de sus capacidades para desplazar datos de carcter

personal fuera de las instalaciones habituales donde la empresa ha declarado la existencia del

fichero. En caso de salida, la Ley Orgnica de Proteccin de Datos exige extremar las

precauciones para la salvaguarda de la informacin.


14/45


En estas circunstancias las medidas tcnicas definidas por el Reglamento de Desarrollo varan

ligeramente en lo que concierne a datos de nivel bsico o datos de nivel alto. En su aplicacin a

nivel medio el RD 1720/2007, establece lo siguiente:

Artculo 92. Gestin de soportes y documentos.

2. La salida de soportes y documentos que contengan datos de carcter personal,

incluidos los comprendidos y/o anejos a un correo electrnico fuera de los locales bajo

el control del responsable del fichero o tratamiento deber ser autorizada por el

responsable del fichero o encontrarse debidamente autorizada en el documento de

seguridad.

3. En el traslado de la documentacin se adoptarn las medidas dirigidas a evitar la

sustraccin, prdida o acceso indebido a la informacin durante su transporte.

En el caso de datos de nivel alto, las medidas a aplicar referidas en el Real Decreto 1720/2007

sern las siguientes:

Artculo 101. Gestin y distribucin de soportes.

2. La distribucin de los soportes que contengan datos de carcter personal se realizar

cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha

informacin no sea accesible o manipulada durante su transporte.

Asimismo se cifrarn los datos que contengan los dispositivos porttiles cuando estosse encuentren fuera de las instalaciones que estn bajo el control del responsable del

fichero.

3. Deber evitarse el tratamiento de datos de carcter personal en dispositivos porttiles

que no permitan su cifrado. En caso de que sea estrictamente necesario se har constar

motivadamente en el documento de seguridad y se adoptarn medidas que tengan en

cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Por lo tanto, en la gestin de soportes pueden darse dos casos diferentes:

- Utilizacin de un dispositivo externo para el tratamiento de la informacin fuera de la

organizacin.

- Envo de adjuntos en los correos electrnicos sujetos a normativas LOPD, bien para su

intercambio, tratamiento externo o cesin de datos entre organizaciones.

El objetivo que se persigue no es otro que prevenir que la informacin caiga en manos

inadecuadas. La LOPD es clara en lo que concierne a la salvaguarda de la informacin. La


15/45


cesin de datos de carcter personal, se realiza hacia una empresa exclusivamente. En el caso

de que dichos datos quieran ser cedidos a otra entidad, deber comunicarse y solicitarse dicha

cesin a las personas correspondientes. En otras circunstancias, como la prdida de la

informacin, las consecuencias podran ser significativas. Los artculos 9 y 10 de la Ley Orgnica

de Proteccin de Datos de Carcter Personal establecen lo siguiente:

Artculo 9. Seguridad de los datos.

1. El responsable del fichero y en su caso, el encargado del tratamiento, debern adoptar

las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad

de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso

no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos

almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o

del medio fsico o natural.

Artculo 10. Deber de secreto.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos

de carcter personal estn obligados al secreto profesional respecto de los mismos y al deber

de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con el titular

del fichero o, en su caso, con el responsable del mismo.

En consecuencia, y debido a la naturaleza de los dispositivos mviles, deber extremarse la

aplicacin de medidas de seguridad. La prdida o sustraccin de uno de estos dispositivos

conteniendo datos de carcter personal, podran tener unas consecuencias muy negativas para

la organizacin, tanto en su prestigio y relacin con sus clientes, como en las sanciones mismas

tipificadas en la normativa.

En el anlisis realizado sobre los ficheros que se han almacenado sobre un iPad, no existen

propiedades especficas aportadas por el propio sistema operativo que permitan el cifrado de

la informacin. No hay que obviar que aunque el acceso al dispositivo se encuentre protegido

por un cdigo de acceso, existira la posibilidad tecnolgica de acceder de forma offline al disco

fsico flash que incorpora el iPad. A lo anterior, hay que aadirle el hecho de que para datos de

nivel alto se exige el cifrado de los mismos, por lo que es exigible en esta circunstancia el

tratamiento especial de la informacin almacenada.

Por otro lado, otro de los temas significativos tratados en el Reglamento de seguridad, lo

constituye el del intercambio de correos electrnicos con ficheros adjuntos que contengan

datos de carcter personal. De forma predeterminada, el trfico de correo electrnico entre

diferentes servidores se realiza sin ningn sistema de proteccin que garantice la

confidencialidad de los datos. Debido a este hecho, los adjuntos existentes en un correo


16/45


electrnico podran ser vistos por cualquier sistema intermedio por el que transitara dicho

correo. Para garantizar la seguridad de la informacin se hace necesario aplicar mecanismos

que cifren dicho contenido.

El estndar para el cifrado de correo, lo constituye el uso de la tecnologa S/Mime (Secure

Multipurpose Internet mail Extensions). Este mecanismo emplea los sistemas de

infraestructura de clave pblica y privada con dos propsitos significativos:

- Firmar y garantizar la procedencia del correo electrnico.

- Cifrar el contenido.

A travs del sistema de S/MIME se garantizar que el intercambio de informacin entre dos

entidades diferentes se realiza cifrando tanto el cuerpo del mensaje como los adjuntos

correspondientes. Este mecanismo ampliamente difundido y soportado por mltiples sistemas

y clientes de correo electrnico, constituye uno de los mecanismos fundamentales para el

intercambio seguro de informacin atendiendo a lo establecido en la norma.

Con objeto de probar esta funcionalidad en iPad, se realizan pruebas con un buzn residente

en un servidor Ms Exchange Server y los mecanismos que proporciona el dispositivo para el

acceso al mismo: navegacin web a travs de Ms Outlook Web Access y la conectividad Active

Sync. Ambos mecanismos probados en otros entornos aportan la funcionalidad S/MIME,

soportando tanto el intercambio de firmas, como el cifrado del correo electrnico.

En las pruebas realizadas a travs de una conexin establecida con el navegador Safari(aportado por iPad) a travs de MS Outlook Web Access, la aplicacin no permite el uso de

S/MIME ni para el firmado ni para el cifrado de correo. Los controles vlidos para S/MIME no

se encuentran disponibles en Safari. Por lo tanto, aunque un correo solamente firmado se

encuentre visible no es posible validar la procedencia del mismo.

Fig. 6.- Acceso a un correo firmado a travs de Outlook Web Access.


17/45


En el caso de los correos cifrados, el trfico no es visible y se muestra como dato adjunto el

correo electrnico en su formato p7m.

Fig. 7.- Acceso a un correo cifrado a travs de Outlook Web Access.

En el caso de la conexin Active Sync que

aporta iPad para Ms Exchange Server, el

resultado es bastante similar. Los correosfirmados no muestran ningn resultado, ni

siquiera aquel en el que se especifique

que el correo presenta una firma digital

para la verificacin de su procedencia.

Cuando el correo se encuentre cifrado, el

sistema lo mostrar en blanco con la

posibilidad de descargar el mensaje en

formato cifrado. Sin embargo esta

operacin no ser factible cuando intenta

llevarse a efecto.

Fig.- 8.- Acceso a un correo electrnico

cifrado S/MIME con ActiveSync.


18/45


Los mecanismos con los que cuenta iPad para el soporte externo, y segn lo exigido por la Ley

Orgnica de Proteccin de Datos, no van a garantizar la seguridad de la informacin para un

tratamiento de la misma fuera de la organizacin. Ser necesario el uso de otro tipo de

aplicaciones que permitan el cifrado de los ficheros que vayan a ser tratados en este tipo de

dispositivos. En la actualidad, aplicaciones ampliamente extendidas como PGP (Pretty GoodPrivacy) o TrueCrypt no se encuentran disponibles para iPad. El propio sistema de cifrado que

proporciona FileVault en los sistemas MacOS X tampoco se puede utilizar en los sistemas

basados en iOS.

2.4.- Registro de accesos

Dentro de las medidas dispuestas para los datos de nivel alto, la trazabilidad de los accesos es

de una gran importancia. Los datos pertenecientes a esta categora presentan una sensibilidad

extrema, y por lo tanto se hace muy importante dotar a los sistemas informticos de todas las

medidas posibles para identificar quin est accediendo a esta informacin.

Artculo 103. Registro de accesos.

1. De cada intento de acceso se guardarn como mnimo, la identificacin del usuario, la

fecha y hora en que se realiz, el ficho accedido, el tipo de acceso y si ha sido

autorizado o denegado.

2. En el caso de que el acceso haya sido autorizado, ser preciso guardar la informacin

que permita identificar el registro accedido.

3. Los mecanismos que permiten el registro de accesos estarn bajo el control directo del

responsable de seguridad competente sin que deban permitir la desactivacin ni la

manipulacin de los mismos.

4. El perodo mnimo de conservacin de los datos registrados ser de dos aos.

5. El responsable de seguridad se encargar de revisar al menos una vez al mes la

informacin de control registrada y elaborar un informe de las revisiones realizadas y

los problemas detectados.

6. No ser necesario el registro de accesos definido en este artculo en caso de que

concurran las siguientes circunstancias:

a. Que el responsable del fichero o del tratamiento sea una persona fsica.

b. Que el responsable del fichero o del tratamiento garantice que nicamente l

tiene acceso y trata los datos personales.


19/45


La concurrencia de las dos circunstancias a las que se refiere el apartado

anterior deber hacerse constar expresamente en el documento de seguridad.

Hay que tener en cuenta que el mecanismo de registro recae principalmente sobre el sistema

de almacenamiento de la informacin original. Aunque difcilmente este tipo de medidas debe

recaer sobre un sistema como iPad, es posible la existencia de casos en el que ficheros como

currculos con datos sensibles, informes de salud o ficheros de filiacin sindical o religiosa

puedan ser almacenados y tratados directamente en el dispositivo.

Si concurre la circunstancia que la persona que aloja dicha informacin en el dispositivo tenga

acceso al mismo junto a otras, se har necesario establecer la trazabilidad. Es necesario

recordar que la configuracin de iPad permite una configuracin centralizada de sus

propiedades. Existen as mismo mecanismos para garantizar un acceso remoto a dicho

dispositivo desde una red inalmbrica. En el caso de que datos sensibles almacenados en el

dispositivo sean accesibles de forma remota, ser necesario contar tambin con este

mecanismo de registro de acceso.

La trazabilidad permitir por parte de la empresa depurar responsabilidades ante una posible

incidencia, como puede ser un uso indebido de la informacin o la filtracin de los datos

sujetos a responsabilidad. Si no se establecen los registros adecuados, no se podr evaluar la

existencia de posibles incidencias, as como tampoco ser posible conocer quien accede o no a

la informacin existente. Ante un fallo en la creacin de los permisos, la organizacin no sera

consciente de esos hechos si no dispone de los logs requeridos.

El sistema iOS utilizado por los dispositivos iPad no soporta mecanismos de trazabilidad. Esta

no se realiza ni sobre el sistema de almacenamiento, ni sobre el propio acceso al dispositivo.

No existe ninguna funcionalidad, a travs de la configuracin del dispositivo, que permita el

mantenimiento de un log con la informacin existente en el iPad.

Por lo tanto, el almacenamiento de la informacin de nivel alto sobre este tipo de dispositivos

supone un incumplimiento de la normativa, ante la circunstancia de que los datos tratados son

accesibles por ms de una persona. Deben extremarse otras medidas de seguridad que

proporciona iPad, debido a la incapacidad nativa para advertir a un usuario de posibles

incidencias de seguridad que pueden darse en el uso del dispositivo.

3.- iPad y el Esquema Nacional de Seguridad

El Esquema Nacional de Seguridad (ENS) nace en su concepcin el 22 de Julio del ao 2007,

con la aparicin en el Boletn Oficial del Estado de la Ley 11/2007 de Acceso Electrnico de los

Ciudadanos a la Administracin Pblica (LAE). El objetivo fundamental era dar una respuesta

de seguridad al incipiente uso de la tecnologa por parte de los ciudadanos del Estado Espaol


20/45


para el acceso a las diferentes Administraciones Pblicas. El artculo 42 de la LAE establece las

bases de funcionalidad del Esquema Nacional de Seguridad y del de Interoperabilidad.

1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criterios y

recomendaciones en materia de seguridad, conservacin y normalizacin de la informacin, delos formatos y de las aplicaciones que debern ser tenidos en cuenta por las Administraciones

Pblicas para la toma de decisiones tecnolgicas que garanticen la interoperabilidad.

2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de seguridad en la

utilizacin de medios electrnicos en el mbito de la presente Ley, y est constituido por los

principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la

informacin.

3. Ambos Esquemas se elaborarn con la participacin de todas las Administraciones y seaprobarn por Real Decreto del Gobierno, a propuesta de la Conferencia Sectorial de

Administracin Pblica y previo informe de la Comisin Nacional de Administracin Local,

debiendo mantenerse actualizados de manera permanente.

4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomendaciones de la

Unin Europea, la situacin tecnolgica de las diferentes Administraciones Pblicas, as como

los servicios electrnicos ya existentes. A estos efectos considerarn la utilizacin de estndares

abiertos as como, en su caso y de forma complementaria, estndares que sean de uso

generalizado por los ciudadanos.

La Ley de Acceso Electrnico tiene como misin fundamental el reconocer el derecho de los

ciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos. Regula

los aspectos bsicos de la utilizacin de las tecnologas de la informacin en la actividad

administrativa y en las relaciones entre las diferentes Administraciones. Para ello, stas

debern utilizar las tecnologas de la informacin de acuerdo a una serie de normas definidas

en la Ley. Las mximas sern asegurar la disponibilidad, el acceso, la integridad, la

autenticidad, la confidencialidad y la conservacin de los datos, informaciones y servicios que

se gestionen en el ejercicio de sus competencias.

El Esquema Nacional de Seguridad (ENS) es publicado en el Boletn Oficial del Estado el 29 de

Enero del ao 2010, entrando en vigor un da despus. La base del mismo es la creacin de

condiciones de confianza para el uso de los medios electrnicos. Para ello se definen las

medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones, y los

servicios. El ENS persigue fundamentar la confianza a travs de una serie de preceptos:

- Los sistemas de informacin prestarn sus servicios sin interrupciones o

modificaciones fuera de control.


21/45


- La informacin ser custodiada de acuerdo con sus especificaciones funcionales sin

que sta pueda llegar al conocimiento de personas no autorizadas.

- La seguridad y uso de los sistemas se desarrollarn y perfeccionarn en paralelo a la

evolucin de los servicios, y a medida que vayan consolidndose los requisitos de los

mismos y de las infraestructuras que les dan soporte.

Para el cumplimiento de dicho objetivo se genera el principio fundamental que regula el

Esquema Nacional de la Seguridad y que no es otro que el de la seguridad integral. As queda

establecido a travs del Artculo 5.

1. La seguridad se entender como un proceso integral constituido por todos los elementos

tcnicos, humanos, materiales y organizativos, relacionados con el sistema. La aplicacin del

Esquema Nacional de Seguridad estar presidida por este principio, que excluye cualquier

actuacin puntual o tratamiento coyuntural.

2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen en el

proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la falta de organizacin

y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

El cumplimiento del Esquema Nacional de Seguridad, al igual que suceda con Ley Orgnica de

Proteccin de Datos de Carcter Personal, basa la seguridad en la aplicacin de medidas.

Evidentemente los objetivos a perseguir son diferentes dado que la orientacin tambin es

distinta, pero nuevamente las medidas puramente tcnicas y las organizativas se mezclan para

materializar la mxima de la seguridad integral.

Es necesario mencionar que el Esquema Nacional de Seguridad no exime del cumplimiento de

lo dispuesto en la Ley Orgnica de Proteccin de Datos. Por lo tanto sera preceptivo aplicar

ambos tipos de medidas cuando sea necesario y en base al tratamiento de la informacin que

la organizacin correspondiente lleve a efecto.

Cuando un sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley

Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir,

adems las medidas establecidas por este real decreto.

Lo indicado en el prrafo anterior tambin se aplicar, cuando una disposicin con rango de ley

se remita a las normas sobre datos de carcter personal en la proteccin de informacin.

El ENS determina la necesidad de seguridad de una organizacin en funcin del impacto que

un potencial incidente tuviera sobre los servicios que estuviera proporcionando o los datos

que manejase. La capacidad para dar continuidad al funcionamiento de la organizacin ser el

tercer factor determinante. Atendiendo a la importancia de la capacidad organizativa de la

Administracin Pblica correspondiente, se define la figura de las dimensiones de seguridad.

Estas diferencian y determinan el tipo de impacto que una amenaza podra efectuar sobre un

servicio determinado. Las dimensiones definen figuras ampliamente utilizadas en el mbito de


22/45


la seguridad y que son reconocidas a lo largo de todo el Esquema Nacional de Seguridad por

sus iniciales:

- Disponibilidad [D].

- Autenticidad [A].

- Integridad [I].

- Confidencialidad [C].

- Trazabilidad [T].

El conjunto de un servicio prestado por una Administracin Pblica, lo configuran diferentes

elementos sujetos a dimensiones de seguridad. Cada una de ellas se adscribir a diferentes

niveles en funcin de su criticidad y en consecuencia se aplicarn las diferentes medidas

previstas en el ENS. Si una determinada dimensin no se aplicara sobre un servicio, las

medidas asociadas tampoco debern aplicarse.

Las diferentes medidas exigidas por el ENS estn basadas en el cumplimiento de las

dimensiones de seguridad. Para ello las medidas se agrupan en funcin de su naturaleza:

- Las medidas de marco organizativo.

- Las medidas de marco operacional.

- Las medidas de proteccin.

Las medidas de tipo organizativo son aquellas de carcter genrico que definen los

procedimientos iniciales a tenerse en cuenta para la gestin de la seguridad. Son de carcterno tcnico y observan aquellos aspectos de gestin afectados por el ENS. Por el contrario los

otros dos grupos, aglutinan tanto medidas organizativas y estructurales como tcnicas. Estas

ltimas sern aplicadas sobre todos los sistemas tecnolgicos sin importar cual sea su ndole,

siempre y cuando sirvan como propsito al cumplimiento de operaciones reguladas por el ENS.

Dispositivos como iPad se encontrarn por lo tanto supeditadas a las medidas tcnicas. Hay

que tener en cuenta que el uso de estos dispositivos se puede evaluar desde el punto de vista

de uso local o desde un uso de red que permita el acceso a los medios que proporcione la

organizacin. El objetivo es medir y dimensionar ambos aspectos de uso. No hay que obviarque un usuario podra hacer uso de ambos medios, por ejemplo acceder por red a un servidor

de ficheros y descargar archivos para su anlisis local.

La seguridad requerida por las organizaciones que se encuentren bajo el paraguas del Esquema

Nacional de seguridad no es la misma en todos los casos. Existen mltiples factores que

podran determinar que una entidad tuviera que aplicar mecanismos de seguridad ms

estrictos que otras. Para ello el ENS establece la seguridad en tres niveles. Estas se valoran por

el perjuicio que una incidencia podra ocasionar a las dimensiones de seguridad sobre las

funciones de la organizacin, sus activos o los individuos afectados.

Atendiendo a esa criticidad estos son los tres niveles existentes:


23/45


a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de seguridad que

afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre

las funciones de la organizacin, sobre sus activos o sobre los individuos afectados.

Se entender por perjuicio limitado:

1 La reduccin de forma apreciable de la capacidad de la organizacin para atender

eficazmente con sus obligaciones corrientes, aunque estas sigan desempendose.

2 El sufrimiento de un dao menor por los activos de la organizacin.

3 El incumplimiento formal de alguna ley o regulacin, que tenga carcter de

subsanable.

4 Causar un perjuicio menor a algn individuo, que an siendo molesto pueda ser

fcilmente reparable.

5 Otros de naturaleza anloga.

b) Nivel MEDIO. Se utilizar cuando las consecuencias de un incidente de seguridad que

afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las

funciones de la organizacin, sobre sus activos o sobre los individuos afectados.

Se entender por perjuicio grave:

1 La reduccin significativa la capacidad de la organizacin para atender eficazmente

a sus obligaciones fundamentales, aunque estas sigan desempendose.

2 El sufrimiento de un dao significativo por los activos de la organizacin.

3 El incumplimiento material de alguna ley o regulacin, o el incumplimiento formal

que no tenga carcter de subsanable.

4 Causar un perjuicio significativo a algn individuo, de difcil reparacin.


c) Nivel ALTO. Se utilizar cuando las consecuencias de un incidente de seguridad que

afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy gravesobre las funciones de la organizacin, sobre sus activos o sobre los individuos

afectados.

Se entender por perjuicio muy grave:

1 La anulacin de la capacidad de la organizacin para atender a alguna de sus

obligaciones fundamentales y que stas sigan desempendose.

2 El sufrimiento de un dao muy grave, e incluso irreparable, por los activos de la

organizacin.

3 El incumplimiento grave de alguna ley o regulacin.


24/45


4 Causar un perjuicio grave a algn individuo, de difcil o imposible reparacin.


Para un mejor entendimiento en la aplicacin de medidas, en el anlisis posterior se citarn

aquellas condiciones de ndole tcnico que debern implementarse para cada uno de los

niveles. Esto puede implicar que determinadas caractersticas pudieran ser compatibles con un

nivel pero no con otro.

3.1.- Marco operacional

Las medidas de tipo operacional, tienen como planteamiento el proteger las operaciones del

sistema desde un punto de vista global, as como la proteccin de cada uno de sus

componentes individualmente. El conjunto de medidas dentro de marco operacional se han

dividido en las siguientes subcategoras:

- Planificacin.

- Control de acceso.

- Explotacin.

- Servicios externos.

- Continuidad del servicio.

- Monitorizacin del sistema.

El conjunto de medidas incluye la aplicacin de acciones tcnicas as como otras de carcter

funcional. Dentro del anlisis de cumplimiento de medidas por parte de un dispositivo como el

iPad, pasan a referenciarse a continuacin aquellas estrictamente tcnicas que pudieran ser de

aplicacin para el mismo.

3.1.1.- Identificacin

Un punto invariable en todo el Esquema Nacional de Seguridad es la necesidad de una correcta

identificacin de los usuarios que utilizan los medios informticos. Dicho control permitir

conocer quin hace uso de qu medio, facilitando de esta forma un seguimiento de los

procedimientos que tuvieran lugar en relacin al ENS. Desde el punto de vista formal el

Esquema Nacional de Seguridad no diferencia entre entidades y procesos, solicitando

claramente su identificacin. Por lo tanto esta exigencia es una de las mximas de la seguridad

integral que se persigue como fin ltimo por parte del ENS.

La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se indica a

continuacin:

a) Se asignar un identificador singular para cada entidad (usuario o proceso) que

accede al sistema, de tal forma que:

1. Se puede saber quin recibe y qu derechos de acceso recibe.


25/45


2. Se puede saber quin ha hecho algo y qu ha hecho.

b) Las cuentas de usuario se gestionarn de la siguiente forma:

1. Cada cuenta estar asociada a un identificador nico.

2. Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuariodeja la organizacin; cuando el usuario cesa en la funcin para la cual se requera

la cuenta de usuario; o, cuando la persona que la autoriz, da orden en sentido

contrario.

3. Las cuentas se retendrn durante el periodo necesario para atender a las

necesidades de trazabilidad de los registros de actividad asociados a las mismas. A

este periodo se le denominar periodo de retencin.

Uno de los problemas ya mencionados con anterioridad en el punto correspondiente a la LOPD

es la no disponibilidad de acceso a un iPad a travs de un mecanismo de identificacin deusuarios. El iPad permite solamente el uso de un cdigo de acceso, sistema en el que no es

posible la utilizacin de credenciales (usuario/contrasea) para controlar el acceso al

dispositivo. Las limitaciones en este sentido son por lo tanto significativas en lo que concierne

a la utilizacin de los medios en un entorno de seguridad integral.

No obstante, s es cierto que en determinados casos como el acceso a sistemas web o en la

implementacin de VPNs, s ser posible el uso de autenticaciones, pero la limitacin se

mantiene en el uso del dispositivo en modo local. Por otra parte, como se podr observar en

las medidas del Esquema Nacional de Seguridad analizadas a continuacin se alude de nuevo a

la necesidad ineludible de disponer de procesos de autenticacin de usuarios.

3.1.2.- Mecanismos de autenticacin

Los sistemas de autenticacin, tal y como se han comentado, constituyen el primer mecanismo

de control que presenta una organizacin para la trazabilidad de las operaciones. La correcta

utilizacin de los medios es responsabilidad de los usuarios y como tal es necesaria su

identificacin. Si en el acceso a un sistema, no pudiera identificarse correctamente quin ha

originado una incidencia de seguridad se perdera la premisa de control que se persigue con el

ENS.

Desde el punto de vista de la autenticacin, existen mltiples mecanismos para su

implementacin, de los cuales el ms conocido es el de usuario y contrasea. No obstante en

algunos entornos se considera que el uso de este modelo debera quedar minimizado por las

problemticas que pueden llegar a generar. Usuarios que no recuerdan las contraseas, otros

que para evitar perderlas las escriben en algn lugar que pudiera ser visible o contraseas

fciles para recordar y que por ingeniera social podran llegar a descubrirse son algunos

ejemplos de ello. En funcin de ello, en algunos entornos se ha visto la necesidad de utilizar


26/45


sistemas que admiten el uso de mecanismos ms robustos que el par usuario y contrasea,

tales como son el uso de tarjetas inteligentes o sistemas de biometra con doble factor.

Este hecho tambin se encuentra recogido en el Esquema Nacional de Seguridad. En funcin

de la criticidad del servicio el uso de uno u otros mecanismos se ver restringido. En los casos

de organizaciones que tenga valoracin de nivel medio, se aconseja no utilizar el mecanismo

de claves concertadas, sistema que directamente no podr utilizarse cuando la valoracin sea

de nivel alto. Un ejemplo posible lo constituira el uso del DNI-e como mecanismo de

autenticacin.

Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema

atendiendo a las consideraciones que siguen.

Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados a cada nivel.

Nivel BAJO

a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas, o

dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales

como certificados software u otros equivalentes o mecanismos biomtricos.

b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas.

c) Se atender a la seguridad de los autenticadores de forma que:

1. Los autenticadores se activarn una vez estn bajo el control efectivo del

usuario.

2. Los autenticadores estarn bajo el control exclusivo del usuario.

3. El usuario reconocer que los ha recibido y que conoce y acepta las

obligaciones que implica su tenencia, en particular el deber de custodia diligente,

proteccin de su confidencialidad e informacin inmediata en caso de prdida.

4. Los autenticadores se cambiarn con una periodicidad marcada por la

poltica de la organizacin, atendiendo a la categora del sistema al que se

accede.

5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad(persona, equipo o proceso) que autentican termina su relacin con el sistema.

Nivel MEDIO

a) No se recomendar el uso de claves concertadas.

b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos o

componentes lgicos tales como certificados software u otros equivalentes o

biomtricos.

c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la

contrasea y renovacin frecuente.


27/45


Nivel ALTO

a) Los autenticadores se suspendern tras un periodo definido de no utilizacin.

b) No se admitir el uso de claves concertadas.

c) Se exigir el uso de dispositivos fsicos personalizados o biometra.

d) En el caso de utilizacin de dispositivos fsicos se emplearn algoritmos acreditados por

el Centro Criptolgico Nacional.

e) Se emplearn, preferentemente, productos certificados.

Tal y como se ha reflejado anteriormente, los mecanismos proporcionados por el iPad no

permiten la autenticacin local en el dispositivo con diferenciacin de usuarios. No obstante

sta s podra utilizarse para procedimientos de acceso en red. Sin embargo, los sistemas

actuales con los que cuenta iPad no proporcionan mecanismos para autenticacin en red

como los exigidos para niveles altos, basados en el uso de dispositivos fsicos tales como

tarjetas inteligentes o sistemas de biometra con doble factor. Aunque los sistemas de nivel

medio aconsejan no utilizar usuarios y contraseas para el acceso a los servicios, no lo

prohben especficamente. S admiten el uso de mecanismos de autenticacin basados en

certificados que podran ser empleados en el iPad. La limitacin fundamental vendra por lo

tanto impuesta por la incapacidad de utilizar sistemas fsicos para estos procesos de

autenticacin.

Mltiples organizaciones, cuentan ya con mecanismos de autenticacin basados en el uso de

tarjetas inteligentes, puesto que se ha visto que ofrecen mejores garantas de seguridad y

pueden resultar ms cmodas para un usuario que los sistemas basados en claves

concertadas. El uso de dispositivos como iPad forzara a que estas organizaciones tuvieran que

mantener un doble sistema de gestin de identificaciones, basados en sistemas fsicos y otros

de clave concertada. En el caso de los sistemas de nivel alto, donde ste requisito es una

exigencia, el uso de iPad para el acceso a recursos de red presentara graves limitaciones y

carencias.

3.1.3.- Acceso local

La seguridad local de un sistema global parte desde el propio puesto de trabajo de losusuarios. Desde aqu se realizarn las operaciones, tratamientos de la informacin y acceso a

los servicios. El puesto de trabajo se convierte por lo tanto en uno de los puntos neurlgicos de

la seguridad y sobre l deben extremarse las precauciones, pues puede constituir uno de los

eslabones ms dbiles del proceso de gestin integral de la seguridad.

Hay que tener en cuenta que un puesto de trabajo inseguro permitira que un potencial

atacante pudiera hacer uso del mismo para acceder a informacin a la que originalmente no

debera hacerlo. Se podra as suplantar a una persona haciendo caer responsabilidades sobre

ella en funcin de acciones que realmente no ha cometido. No debe olvidarse que latrazabilidad de las acciones parte precisamente desde la operativa en el puesto de trabajo.


28/45


Se considera acceso local al realizado desde puestos de trabajo dentro de las propias

instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las dimensiones de

seguridad:

Nivel BAJO

a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar a

acceder al mismo. La informacin revelada a quien intenta acceder, debe ser la

mnima imprescindible (los dilogos de acceso proporcionarn solamente la

informacin indispensable).

b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de

acceso una vez efectuados un cierto nmero de fallos consecutivos.

c) Se registrarn los accesos con xito, y los fallidos.

d) El sistema informar al usuario de sus obligaciones inmediatamente despus de

obtener el acceso.

Nivel MEDIO

Se informar al usuario del ltimo acceso efectuado con su identidad.

Nivel ALTO

a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.

b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la

autenticacin del usuario, mediante identificacin singular, no bastando con la sesin

establecida.

Desde el punto de vista local, la informacin de accesos a un dispositivo iPad es limitada. El

doble factor observado en este tipo de dispositivos que no registran sucesos de forma

predeterminada y que tampoco trabajan con usuarios localmente, condiciona muchas de las

acciones y medidas de seguridad local de necesaria aplicacin.

Un matiz diferente se dara utilizando el dispositivo para el acceso a recursos de red. Desdeeste punto de vista, hay que tener en cuenta que para aquellos accesos que se establezcan de

tipo web hacia servicios de la organizacin, s podra ser factible por parte del servidor la

obtencin de la informacin necesaria.

No ser as en los casos de acceso a sistemas de ficheros u otros que por su forma de operar

no admiten dichas posibilidades. Por ejemplo, en los diseos de aplicaciones de acceso a

correo electrnico con los que cuenta iPad, no se incluyen estas capacidades.


29/45


3.1.4.- Configuracin de la seguridad

Dentro del proceso de gestin de la seguridad de una organizacin, el Esquema Nacional de la

Seguridad determina una serie de patrones estndares para garantizar la proteccin de medios

con los que se cuenta. La organizacin deber disponer una serie de acciones dirigidas a todos

aquellos elementos que entren en el sistema y que eviten de una u otra forma que tengan

patrones de uso bien conocidos y stos no sean eliminados. Por ejemplo dispositivos de red

con password de fbrica o sistemas que se utilicen para ms funcionalidades de las

estrictamente necesarias para las que fueron diseados.

Se configurarn los equipos previamente a su entrada en operacin, de forma que:

a) Se retiren cuentas y contraseas estndar.

b) Se aplicar la regla de mnima funcionalidad.1. El sistema debe proporcionar la funcionalidad requerida para que la

organizacin alcance sus objetivos y ninguna otra funcionalidad.

2. No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni

de auditora, reduciendo de esta forma su permetro al mnimo imprescindible.

3. Se eliminar o desactivar mediante el control de la configuracin, aquellas

funciones que no sean de inters, no sean necesarias, e incluso, aquellas que

sean inadecuadas al fin que se persigue.

c) Se aplicar la regla de seguridad por defecto:

a) Las medidas de seguridad sern respetuosas con el usuario y protegern a

ste, salvo que se exponga conscientemente a un riesgo.

b) Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.

c) El uso natural, en los caos que el usuario no ha consultado el manual, ser un

uso seguro.

Un aspecto significativo que condiciona el uso del iPad es el modelo cerrado del sistema iOS

que ste utiliza. En l los administradores tienen limitadas las opciones de trabajo y operacin

sobre el sistema operativo, limitndose las posibles acciones a las funcionalidades que aporta

para ello el fabricante. Las organizaciones no disponen de control administrativo completo

sobre el sistema. Se deber valorar en consecuencia el uso dado a este tipo de dispositivos,

para limitar en la medida de lo posible acciones no controlables desarrolladas a partir de stos.

No obstante, con objeto de limitar posibilidades de uso para el iPad, se cuenta con la

funcionalidad de las restricciones. A travs de la misma podra impedirse la instalacin de

aplicaciones o cambios en determinadas configuraciones del dispositivo. El control de dicha

configuracin se gestiona mediante un cdigo de acceso.


30/45


El propsito general consiste en un sistema de control tipo parental, vase por ejemplo que el

sistema de restricciones cuenta con un mecanismo de control basado en contenido, en el que

se puede establecer la puntacin por pas.

Fig. 9.- Sistema de gestin de restricciones y Gestin de contenido.

Por ejemplo en el uso de aplicaciones existentes a nivel de contenido las limitaciones se

realizan en base a clasificacin por edad. Estos parmetros, aunque interesantes en mbitos

como el domstico, no son vlidos para una organizacin.

Las limitaciones vlidas existentes para una organizacin, seran aquellas relativas a la

instalacin o eliminacin de programas. De esta forma se evitar que alguien haga uso deaplicaciones indebidas.

3.1.5.- Mantenimiento

Uno de los objetivos que se persiguen en el ENS es la continua mejora de la seguridad. Es un

hecho, el que todos los sistemas presentan fallos de seguridad y por lo tanto ser necesario el

mantenimiento preventivo de los mismos. Dentro de los ciclos de actualizacin de

componentes, los diferentes fabricantes generan actualizaciones de sus productos bien para

mejorar sus capacidades o bien para subsanar fallos de seguridad existentes.


31/45


El Esquema Nacional de Seguridad persigue este objetivo, y requiere de un mantenimiento de

todos los sistemas.

Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar lo

siguiente:

a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y

mantenimiento de los sistemas.

b) Se efectuar un seguimiento continuo de los anuncios de defectos.

c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo aplicar

las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La

monitorizacin tendr en cuenta la variacin del riesgo en funcin de la aplicacin o no

de la actualizacin.

Las actualizaciones de iPad provienen de aquellas pertenecientes a las versiones del sistema

operativo iOS utilizado. Dichas actualizaciones requieren de la conexin del dispositivo a un PC

o MAC, para que a travs de la aplicacin iTunes, se descargue la nueva versin y sta sea

instalada sobre el dispositivo. En el caso de las aplicaciones instaladas en los iPad, ests sern

actualizables desde el propio App Store. Aunque, como se puede observar, existe una gestin

de actualizacin de iPad y sus aplicaciones, stas deben realizarse de forma manual, no

existiendo un procedimiento administrativo central para su ejecucin.

Hasta la fecha han sido descubiertas vulnerabilidades que afectan tanto a la seguridad de la

informacin, como de las aplicaciones instaladas en los dispositivos. Los iPad podran verse

afectados por diferentes tipos de ataques:

- Vulneracin de la seguridad mediante el escalado de privilegios.

- Suplantacin.

- Denegacin del servicio.

- Acceso remoto al sistema.

- Exposicin de la informacin sensible.

- Cross Site Scripting.

Algunos ejemplo significativos de los publicados en 2010 son: CVE-2010-1768, CVE-2010-1797,

CVE- 2010-2711, CVE-2010-2973, CVE-2010-3832, CVE-2010-4211.

Dichos ataques pueden afectar en mltiples formas a los iPad. Entre ellas se encuentra la

instalacin de software malicioso que puede interferir negativamente tanto en la informacin

manejada por los dispositivos, como en el propio comportamiento de las aplicaciones. Sera

necesario, tal y como argumenta el Esquema Nacional de Seguridad, la instalacin de una

solucin antivirus para protegerse contra estos ataques maliciosos. En la medida de lo posible

y con objeto de garantizar la seguridad de las comunicaciones, podra ser asimismoaconsejable la instalacin de una solucin firewall. Este permitira el control de acceso o la


32/45


advertencia de comunicaciones que tuvieran lugar a nivel de TCP/IP o de las aplicaciones

instaladas en el dispositivo.

Solventar estos ataques implica la implantacin de una nueva iOS para la correccin entre

otros de los fallos de seguridad. La gestin de la seguridad mediante la implementacin de las

actualizaciones, implica un coste y esfuerzo administrativo. Si en otras plataformas es habitual

la existencia de un sistema centralizado para la administracin y despliegue de actualizaciones,

esto no se encuentra todava disponible en el caso de los dispositivos iPad. Esta circunstancia

supone tambin que dichas acciones debern ser llevadas a cabo manualmente, con las

consiguientes implicaciones negativas.

3.1.6.- Proteccin frente a cdigo daino

Una de las grandes preocupaciones de las organizaciones lo constituyen los ataques derivados

de malware. Actualmente todos los sistemas, en mayor o menor medida, pueden sufrirproblemas derivados de este tipo de aplicaciones maliciosas. Para ello el ENS establece que los

sistemas debern contar con aplicaciones que detecten y eliminen la presencia de malware.

Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,

conocidos en terminologa inglesa como , y en general, todo lo conocido como

.

Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con

mantenimiento de acuerdo a las recomendaciones del fabricante.

Las formas de infeccin de un sistema pueden ser muchas y de diferente procedencia. Son

mltiples los ejemplos posibles: un sistema que se conecte hacia Internet podra verse

afectado por un malware que podra aprovechar un fallo de seguridad del navegador, el fallo

de seguridad de una aplicacin instalada en el dispositivo al tratar un determinado fichero con

contenido malicioso son slo dos de los mltiples casos posibles.

En este sentido, puede destacarse la vulnerabilidad CVE-2010-1797 descubierta en las iOS

previas a la versin 4.0.2 para iPad que a travs de la visin de ficheros PDF creados

malintencionadamente, permitira a un potencial atacante un acceso privilegiado al sistema. A

travs del mismo entre otras posibilidades, se encontrara la de poder ejecutar cdigo

malicioso en el sistema. Este mecanismo fue tambin uno de los utilizados para realizar

jailbreak sobre el sistema con el objeto de hacerse con el control administrativo sobre el

dispositivo.

De forma predeterminada iPad no cuenta con una aplicacin antimalware, aunque existen ya

algunas disponibles para esta plataforma a travs de AppStore. Es interesante tambin, con

respecto a esta necesidad, informar de la existencia de falsos antivirus que han sido

descubiertos para estos dispositivos.


33/45


3.2.- Medidas de proteccin

Este tipo de medidas tiene como fundamento la salvaguarda de los activos, segn su

naturaleza, con el nivel requerido para cada dimensin de seguridad. Frente a las medidas

operacionales, ms genricas con respecto a los servicios, stas son mucho ms especficas y

se encuentran diferenciadas en las siguientes categoras:

- Proteccin de las instalaciones e infraestructuras.

- Gestin de personal.

- Proteccin de los equipos.

- Proteccin de las comunicaciones.

- Proteccin de los soportes de comunicacin.

- Proteccin de las aplicaciones informticas.

- Proteccin de la informacin.

- Proteccin de los servicios.

Como en el caso de las medidas de marco operacional, se mezclan aquellas de tipo

organizativo con otras de carcter ms tcnico. En el presente documento, como en apartados

anteriores, se tienen en consideracin slo aquellas de tipo tcnico que pudieran afectar a un

iPad.

3.2.1.- Bloqueo del puesto de trabajo

Un elemento potencialmente peligroso en el uso de los sistemas informticos, lo constituye el

hecho de abandonar un puesto de trabajo sin una mnima proteccin. Debido a que

seguramente la sesin haya podido quedar iniciada por el usuario, y puedan existir

aplicaciones en uso y validadas, alguien ajeno a dicho sistema podra aprovechar la situacin

para acceder a una informacin a la que en circunstancias normales no debera de tener

acceso.

Categora media.

El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad, requiriendo

una nueva autenticacin del usuario para reanudar la actividad en curso.

Categora alta.

Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde dicho

puesto de trabajo.

El Esquema Nacional de Seguridad, incide sobre dos cuestiones que evidentemente son

diferentes pero que se abordan de forma conjunta en mltiples ocasiones: bloqueo y cierre de

una sesin. En los escenarios de uso de puesto de trabajo para las categoras media y alta,


34/45


queda claramente definido la necesidad de bloquear el equipo, requiriendo nuevamente la

reautentificacin del usuario para continuar su actividad posteriormente. En el caso de la

categora alta esto no es suficiente, siendo necesario que la sesin se finalice con el

consiguiente cierre de todas las aplicaciones y tareas que se estuvieran realizando en el puesto

de trabajo antes de abandonar ste.

En el caso del iPad, el sistema proporciona un mecanismo de bloqueo automtico. Este queda

definido en base a un tiempo de inactividad del dispositivo a travs de las opciones de ajuste

del mismo.

Fig. 10.- Definicin de bloqueo automtico.

Una vez activo este mecanismo, ante una situacin de inactividad se bloquear el dispositivo,

siendo necesario a posteriori introducir nuevamente el cdigo de acceso. Sin embargo, no

existe procedimiento alguno para cerrar la sesin tras un determinado tiempo de inactividad.

Cuando el dispositivo es recuperado de su bloqueo siempre se realizar con las tareas y

acciones que se estuvieran realizando en l disponibles. Solamente el apagado del dispositivo

cumple con la funcionalidad del cierre de la sesin, y este debe realizarse de forma manual.

Hay que remarcar nuevamente que el cdigo de acceso no ofrece las garantas de

autenticacin de usuario, sino simplemente de limitacin de acceso a cualquier dispositivo tipo

mvil.

3.2.2.- Proteccin de porttiles

Los medios mviles con los que cuenta una organizacin, presentan la premisa de tener que

ser preservados con unas mayores garantas de las habituales. La seguridad de estos medios

debe extremarse, especialmente porque a veces pueden llegar a permitir a un potencial

atacante conocer o desarrollar metodologas para acceder a la red interna corporativa.


35/45


No se debe olvidar que estos dispositivos pueden contener en su configuracin informacin

crtica respecto de la seguridad como pueden ser las claves de acceso Wifi de la organizacin o

bien claves recordadas para las conexiones tipo VPN. Este tipo de datos podra permitir a un

atacante externo vulnerar la seguridad de la organizacin, sin ni tan siquiera estar situado

fsicamente en los propios locales de la misma.

Categora BSICA

Los equipos que abandonen las instalaciones de la organizacin y no puedan beneficiarse de la

proteccin fsica correspondiente, con un riesgo manifiesto de prdida o robo, sern protegidos

adecuadamente.

Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:

a) Se llevar un inventario de equipos porttiles junto con una identificacin de la persona

responsable del mismo y un control regular de que est positivamente bajo su control.

b) Se establecer un canal de comunicacin para informar, al servicio de gestin de incidencias,

de prdidas o sustracciones.

c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad exterior y

controle las opciones de acceso al interior cuando el equipo se conecte a redes, en particular si

el equipo se conecta a redes pblicas.

d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso remoto a la

organizacin. Se considerarn claves de acceso remoto aquellas que sean capaces de habilitar

un acceso a otros equipos de la organizacin, u otras de naturaleza anloga.

Categora ALTA

a) Se dotar al dispositivo de detectores de violacin que permitan saber el equipo ha sido

manipulado y activen los procedimientos previstos de gestin del incidente.

b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.

Dispositivos como el iPad dada su funcionalidad, entran dentro de las caractersticas de

sistemas que podran considerarse como porttiles. Para evitar problemticas y atendiendo a

las recomendaciones de seguridad del ENS, deberan minimizarse las contraseas que de

acceso a los servicios de red pudieran existir en dichos equipos. Si un potencial atacante

pudiera vulnerar la seguridad del dispositivo contara con datos y mecanismos para acceder a

la organizacin, pudiendo poner en grave riesgo los sistemas, informacin y servicios que sta

estuviese prestando.


36/45


En el caso de que el sistema pudiera incluirse dentro de la de categora alta, ser necesaria la

implementacin mejorada de la seguridad. Respecto de la deteccin de intrusin, iPad no

implementa de forma predeterminada ninguna solucin, por lo que en caso de accesos no

autorizados, no existira la posibilidad de controlar este hecho. En caso de prdida del

dispositivo existen procedimientos remotos para la eliminacin del contenido existente en elmismo o su desactivacin. Para la realizacin de estas operaciones, es necesaria la gestin del

dispositivo mediante las funcionalidades aportadas por Ms Exchange Server bien a travs de su

consola o mediante la herramienta de administracin web de ActiveSync en Ms Exchange

Server.

3.2.3.- Proteccin de la confidencialidad, autenticidad e integridad

Las normas de uso de medios fuera de la organizacin, exigen de una u otra forma medidas

que acr

análisis de cumplimiento de normativas en ipad

Documents