esquema nacional de seguridad con microsoft · esquema nacional de seguridad... con microsoft juan...

Esquema Nacional de Seguridad...

con Microsoft

Juan Luis G. Rambla

Chema Alonso Cebrin

Julin Blzquez Garca

I

Publicado por:

Microsoft Ibrica S.R.L. Centro Empresarial La Finca

(GLFLR 3DVHRGHO&OXE'HSRUWLYR

28223 Pozuelo de Alarcn Madrid (Espaa)

Copyright 2009 Microsoft Ibrica S.R.L.

Aviso Legal:

Los autores, colaboradores, organismos pblicos y empresas mencionadas en este libro, no se hacen responsables de que lo contenido en este libro garantice el total cumplimiento de los requisitos establecidos en la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad. Este libro nica y exclusivamente posee un propsito informativo en relacin a la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad.

La informacin sobre los productos de Microsoft representa la visin que los autores, colaboradores y empresas mencionadas en este libro tienen sobre los mismos, por lo que no otorgan ninguna garanta, ni expresa ni implcita, en referencia a la informacin incluida en este libro sobre los mencionados productos. Es responsabilidad del usuario el cumplimiento de toda la legislacin sobre el cumplimiento del Esquema Nacional de Seguridad. Sin limitar los derechos que se deriven sobre propiedad intelectual, ninguna parte de este documento puede ser reproducida, almacenada, ni introducida en ningn sistema de recuperacin, ni transmitida de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico por fotocopia, grabacin o de otro tipo, con ningn propsito, sin la autorizacin por escrito de los titulares de los derechos de propiedad intelectual de este libro. Quedan reservados todos los derechos. Los nombres de las compaas y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios.

EJEMPLAR GRATUITO. PROHIBIDA SU VENTA

Depsito Legal: M. 20.093-2011

Coordinador Editorial: Hctor Snchez Montenegro.

Diseo y maquetacin: Jos Manuel Daz. / Newcomlab S.L.L.

Revisin tcnica: Newcomlab S.L.L.

Imprime: Pardetres.net

Impreso en Espaa Printed in Spain

II

http:Pardetres.net

Agradecimientos

Hctor Snchez Montenegro, National Technology Officer de Microsoft Ibricay coordinador de esta obra, desea trasmitir un agradecimiento muy especial, ademsde a los autores y prologuistas, a las siguientes personas:

LuisMiguelGarcadelaOliva,DirectordePlataformadeMicrosoftIbrica.

JosParadaGimeno,ChiefSecurity AdvisordeMicrosoftIbrica.

Francesca di Massimo, Directora de Seguridad e Interoperabilidad de Microsoft

WE.

CarlosdelaIglesia,DirectordeComunicacionesdeMicrosoft.

ManuelSnchezChumillas,deInformtica64.

NachodeBustosMartn,DirectorGeneraldeNewcomlab.

III

Microsoft Ibrica

La Administracin Espaola lidera un encomiable esfuerzo hacia el Desarrollode la Sociedad de la Informacin en Espaa, as como en el uso ptimo de las tecnologas de la Informacin en pro de una prestacin de servicios ms eficiente hacialosciudadanos.

Aunque este tipo de contenidos no siempre son fciles de tratar sin caer en unexcesivo dogmatismo y lenguaje ortodoxo, s es cierto que en el marco de la Ley 11/2007del 22 de Junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, seanunci la creacin de los Esquemas Nacionales de Interoperabilidad y de Seguridadcon la misin de garantizar un derecho ciudadano, como el recogido en dicha ley, lo quesindudaesunretoyunaresponsabilidaddeprimeramagnitud.

Pero lo es an ms el garantizar ese derecho con las garantas de confidencialidad,seguridad,confianzayprivacidadnecesarias.

No son asuntos menores, en tanto en cuanto hablamos de derechos ciudadanos.Y, desde luego, si siempre ha sido deseable el mayor alineamiento posible entre la industria tecnolgica y el uso que de la tecnologa hace la Administracin Pblica, en esta ocasin resulta ms importante que nunca. Retos tan elevados como los descritossolopuedenconseguirsedesdelamsestrechacolaboracinconlaindustria.

Microsoft Ibrica lleva 25 aos acompaando el desarrollo de la AdministracinPblica Espaola. Navegando juntos por la historia del progreso tecnolgico ms espectacular de los ltimos aos, aprendiendo juntos, y en definitiva siendo compaerosdeviajeenelprocesomodernizadordenuestropas.

Y son aquellos proyectos ms estratgicos para la Administracin los que marcannuestra estrategia y atencin. En esta ocasin en reas como la seguridad o la privacidad, desde donde ya hemos trabajado para acercar y ayudar a las empresas Espaolas

V

Esquema Nacional de Seguridad... con Microsoft

en el cumplimiento de los requisitos tecnolgicos derivados del cumplimiento del Real Decreto de la LOPD, publicando un exhaustivo trabajo sobre cmo acercarnos asu cumplimiento con la configuracin adecuada de tecnologas Microsoft. O la com particin del cdigo fuente de nuestros sistemas operativos y aplicaciones ofimticascon el Centro Nacional de Inteligencia a travs de su Centro Criptolgico Nacional. Yen esa lnea presentamos este trabajo centrado en el Esquema Nacional de Seguridad.

Es un trabajo eminentemente divulgativo, dirigido a los responsables tcnicosde las administraciones, encargados de cumplir los requisitos y las recomendaciones delEsquema.

Este manual es un nexo entre las medidas con implicaciones tecnolgicas descritas en el Esquema, y su implementacin prctica en aquellos entornos con tecnologaMicrosoft. El libro toma como hilo conductor los grandes principios que conformanel esquema Nacional de Seguridad, tales como sus principios, dimensiones, medidas,implementaciones, explotacin, proteccin etc., para a continuacin comentarlos deforma sencilla y detallar cules seran las configuraciones y recomendaciones tcnicasmsadecuadasparasucumplimiento.

Tenemos la esperanza de que este manual sirva para facilitar a los responsablesde seguridad el cumplimiento de los aspectos tecnolgicos derivados del cumplimiento del ENS, as como servir de vehculo de difusin de un conocimiento importantecomo es el relativo a la seguridad de los servicios pblicos de las Administraciones y la garanta de seguridad hacia los ciudadanos en el ejercicio de sus derechos reconocidosporlaLey.

Mara Garaa PresidentadeMicrosoftEspaa

VI

INTECO

Imagine que el banco en el que usted deposita sus ahorros, por la noche dejara las puertas sin cerrar y el dinero en los mostradores. Seguramente, esta entidad perdera VXFRQDQ]D


el progreso de la sociedad, la mejora econmica, el buen gobierno y la confianza delosciudadanosensusadministraciones.

INTECO, cuya misin es contribuir a reforzar la confianza en la Sociedad dela Informacin y que como medio propio de la Administracin General del Estadodedica gran parte de sus recursos y esfuerzos a la implantacin del ENS en las Administraciones Pblicas, da la bienvenida al presente manual que sin duda contribuir afomentar la seguridad de la informacin en las Administraciones Pblicas, y por tantolaconfianzaenlaSociedaddelaInformacin.

Vctor M. Izquierdo Loyola DirectorGeneraldelInstitutoNacionalde

TecnologasdelaComunicacin,S.A.(INTECO)

VIII

Ministerio de Poltica Territorial y Administracin Pblica

El Esquema Nacional de Seguridad, materializado en el Real Decreto 3/2010,tiene como objetivo fundamental crear las condiciones necesarias de confianza enel uso de los medios electrnicos, a travs de medidas para garantizar la seguridadde la informacin que se maneja y de los servicios electrnicos que se prestan, quepermita a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y elcumplimientodedeberesatravsdeestosmedios.

Efectivamente, los ciudadanos esperan que el acceso electrnico a los serviciospblicosseproduzcaenunascondicionesdeconfianzaydeseguridad equiparablesa las que puedan encontrar si se acercan de manera presencial a las oficinas de laAdministracin. El Esquema Nacional de Seguridad se encuentra, en definitiva, alservicio de la realizacin del derecho de los ciudadanos a relacionarse por medios electrnicosconlas Administracionespblicas.

El Esquema Nacional de Seguridad es, por tanto, una respuesta a la obligacinde las Administraciones Pblicas de adoptar medidas de seguridad adecuadas a la naturaleza de la informacin y los servicios y los riesgos a los que estn expuestos.Para ello establece la poltica de seguridad en la utilizacin de medios electrnicos enel mbito de la Ley 11/2007 y est constituido por los principios bsicos y requisitosmnimosquepermitanunaproteccinadecuadadelainformacin.

Adems, el Esquema introduce los elementos comunes que han de guiar la ac tuacin de las Administraciones Pblicas en materia de seguridad de las tecnologas de la informacin y que han de facilitar la interaccin entre ellas, as como la comuni cacindelosrequisitosdeseguridaddelainformacinalaIndustria.

ElEsquemaNacionaldeSeguridad,aligualqueelEsquema NacionaldeInteroperabilidad, es el resultado de un esfuerzo colectivo en el que han participado todas

IX


las Administraciones Pblicas, a travs de los rganos colegiados con competenciaenmateriadeadministracinelectrnica.

Tambin la Industria del sector de tecnologas de la informacin y las comunicaciones ha contribuido a la elaboracin del Esquema Nacional de Seguridad conaportaciones a travs de las asociaciones de su sector; en relacin con esta partici pacin de la Industria, hay que resear que sta ha reconocido en todo momento elcarcter transcendente y necesario del Esquema para proporcionar una seguridadimprescindible.

El presente Manual sobre cumplimiento del Esquema Nacional de Seguridades un testimonio concreto de este esfuerzo conjunto realizado por la Administraciny por la Industria para facilitar que los servicios de las Administraciones Pblicasdisponibles por medios electrnicos se encuentren en las adecuadas condiciones de confianzaydeseguridadquelessonexigibles.

Fernando de Pablo DirectorGeneralparaelImpulsodela Administracin

ElectrnicadelMinisteriodePolticaTerritorialy AdministracinPblica

X

Centro Criptolgico Nacional

Nuestra sociedad actual est en Internet, nuestro modo de vida y el de nuestroshijos cada vez se encuentra ms vinculado a la Red y a sus tecnologas asociadas. LaAdministracin no es ajena a esta situacin y la Ley 11/2007 est impulsando el empleode esta va y el esfuerzo realizado por los distintos organismos para que desde lassedes electrnicas la relacin con los ciudadanos sea ms fluida ha sido impresionante.

Conscientes de que no podemos generar confianza en este nuevo modo de relacinsin dotarnos de los medios adecuados para la proteccin y el control de la informacinmanejada por nuestros Sistemas, esta ley en su artculo 42 fij las bases de una necesidadque ya demandaban muchos servidores pblicos, el Esquema Nacional de Seguridad.

A finales de enero del ao 2010 se aprob el RD 3/2010 por el que se regula elEsquema Nacional de Seguridad en el mbito de la Administracin Electrnica. Estanorma fija unos principios bsicos y requisitos mnimos, as como un conjunto demedidasquepermitenunaproteccinadecuadadelainformacinylosservicios.

El RD establece un plazo de implantacin que puede llegar a los 48 meses reconociendo implcitamente la dificultad de su aplicacin especialmente en este escenarioderestriccionespresupuestarias.

Se est realizando un esfuerzo en la serie CCN-STIC 800 para dar normas, guasy recomendaciones en el CMO solucionar los retos planteados en el esquema y seagradece cualquier gua prctica de aplicacin en las tecnologas de mayor presenciaenla Administracin.

En este sentido, este libro desde el punto de vista de la empresa intenta proporcionar una aproximacin prctica a cmo realizar y verificar este cumplimiento ensistemasqueutilicentecnologasdeMICROSOFT.

El esquema es una pieza clave para mejorar la seguridad de los sistemas de laAdministracin y nos exige adems un mayor esfuerzo de colaboracin y trabajo

XI


conjunto entre los diferentes organismos. Este documento es un ejemplo de esta colaboracin y espero que consiga de alguna manera facilitar la comprensin de algunosaspectosdesuimplantacin.

Javier Garca Candau SubdirectorGeneral AdjuntoenfuncionesdelCentroCriptolgicoNacional

XII

Prefacio

Actualmente, en la vida cotidiana del individuo toda una serie de aspectos y mejoras hacen que sta sea ms cmoda para l. Las tecnologas de la informacin,los grandes avances en el mundo de las comunicaciones y su generalizacin en todos los mbitos sociales, son factores fundamentales que propician esta mejora en la calidad de vida del ciudadano. Acciones que hace no mucho tiempo implicaban un serioesfuerzo o consuman un tiempo excesivo, son resueltas a da de hoy de forma gil yasequible.No hanpasado tantosaos desde queelsimple hecho de sacar dinerodelbanco implicaba necesariamente ir a una sucursal determinada que mantena los datosde la cuenta correspondiente. El esfuerzo que esto requera parece desproporcionado ada de hoy. Sin embargo, y aunque se tenga la impresin de que se habla de un pasadoremoto,nohatranscurridotantotiempodesdeello.

Los avances en este sentido son innumerables. Ah est la telefona mvil, laminiaturizacin de los sistemas informticos, la conectividad a Internet en los sistemasdomsticos y un largo etctera de avances significativos. Estas mejoras han implicadomltiples cambios. En primer lugar de mentalidad, en la forma de entender las activi dades o de adaptarse a la realizacin de nuevas tareas. Evidentemente esto no es fcilpara todos. No se debe olvidar que estos avances y las nuevas formas de actuacinasociadasnosonigualmenteaceptadosportodos.

Estos cambios y mejoras han llegado tambin a algo tan habitual y necesario comolos trmites administrativos. Es un intento de dejar atrs el vuelva usted maanaque ha trado mltiples complicaciones a la vida de muchos espaoles: horas interminables de colas, papeles que no aparecen o el recorrer una ventanilla tras otra en espera de una respuesta a un problema que parece no tener solucin. La informticatambin ha cambiado esto, la burocracia administrativa. El objetivo es buscar unamayor comodidad paraelciudadano. Agilizartareas queantespodan implicar dascompletos perdidos y la eterna espera hasta que se reciba el deseado papel firmado.

XIII


Afortunadamente, poco a poco esos tiempos van quedando atrs. Trmites deuna cierta complejidad, como la realizacin de la declaracin de la renta o la peticin de la vida laboral, han adquirido una nueva dimensin con las mejoras aportadas por los sistemas informticos. Las nuevas tecnologas se suman a las capacidades de lossistemas tradicionales, abriendo con ello un abanico de posibilidades significativas. Lacapacidad de tramitar un procedimiento administrativo, fuera de las horas de aperturasclsicasdeministerios,ayuntamientosouniversidades,esun claroejemplodeello.

Una muestra significativa en esta evolucin la constituye el DNI Electrnico. Estemecanismo de validacin ha convertido a Espaa en una referencia mundial en lossistemas de autenticacin electrnica. Se ha sumado a otros mecanismos ya previamente empleados para la realizacin de tramitaciones, garantizando que el usuario es correctamente identificado; por ejemplo, los certificados que durante algunos aos sellevan suministrando a travs del proyecto CERES (CERtificacin ESpaola). Lideradopor la Fbrica Nacional de Moneda y Timbre, establece una entidad pblica de certificacin que permite garantizar entre otras cosas la identificacin de los ciudadanosylaconfidencialidaddelosdatos.

El tratamiento de la informacin, su acceso o la disponibilidad de los sistemasfacilitan sensiblemente el acercamiento a la Administracin Pblica. Sin embargo estecambio lleva tambin asociados nuevos conceptos, afrontando el uso de terminologasy escenarios que hasta la fecha estaban reservados prcticamente a la empresa privada.Portales de acceso, tratamiento automatizado de la informacin, disponibilidad, integridad o autenticidad son palabras que ahora forman tambin parte del vocabulariodela AdministracinPblica.

El tratamiento y utilizacin de sistemas informticos por parte de los ciudadanos implica la aparicin de necesidades de seguridad. De forma original ya se habanrealizado avances significativos, como la garanta de los sistemas de autenticacin.Sin embargo, la seguridad es mucho ms que todo eso. No sirve con garantizar queJuan es quien dice ser. Sino que tambin sus datos deben estar a salvo, no pudiendoser modificados de forma indiscriminada o accedidos por quien no debe. Igualmente,debe hacerse un uso eficiente de los mismos y asegurar que los propsitos y la dis ponibilidaddelosserviciossonlosadecuados.

La seguridad va mucho ms all de lo que simplemente se ve o se intuye. Estan importante la visin y apariencia de seguridad del portal de acceso a un servicio, como garantizar que los datos pueden ser recuperados ante una posible incidencia de seguridad. As como que en caso de que sta ocurra, se dispondr de medios paradetectarlayprocedimientosparasubsanarlayprevenirlaenfuturasocasiones.

La seguridad debe tener en cuenta todos los escenarios posibles. Aunque lavisin y la perspectiva de un potencial ataque parecen provenir de Internet, estudiosreputados avalan que muchos incidentes se producen internamente. Por desidia odesconocimiento, los sistemas de proteccin definidos internamente son a me-nudoms laxos que los que se plantean perimetralmente para una defensa externa. Sinembargo,losataquesylosatacantesnoconocenfronteras.

XIV

Prefacio

Un hacker puede operar desde fuera, pero un virus informtico de forma internapuede provocar la cada de los servicios o la eliminacin de informacin altamentesensible. El uso de redes inalmbricas proporciona mucha movilidad, pero abre nuevosvectores de ataque que puede utilizar un potencial atacante. Software malicioso enconstante evolucin, como son los troyanos, se adaptan para evitar los sistemas de proteccinqueoriginalmenteconseguanbloquearlos acertadamente.

El uso de las nuevas tecnologas lleva aparejada la palabra adaptabilidad, que en el caso especfico de la seguridad es casi ms evidente todava. Tanto los sistemasexternos, como los internos deben tener en cuenta esa capacidad para adaptarse, para mejorar y evolucionar con la tecnologa. Sistemas o mecanismos que hoy pueden serpunteros, en un tiempo razonable han podido quedar desfasados. A veces se planteanmecanismos y sistemas de proteccin que deben ser rediseados en pleno proceso de implantacin, puesto que una nueva tcnica descubierta los convierte en vulnerables.

La seguridad informtica se encuentra en constante evolucin, al igual que lossistemas de ataque que constantemente la ponen a prueba. En la actualidad, es difcilentender la informtica sin la seguridad. Por tanto, cualquier mecanismo que se dis ponga, cualquier proyecto o iniciativa que se lleve a cabo desde la Administracin Pblica, debera contar desde su base con el concurso de la seguridad. Aunque en mu-chas ocasiones prima la funcionalidad y la usabilidad, slo se alcanzarn los objetivossilasgarantasqueseofrecensonsuficientesparagenerarconfianzaenlasmismas.

Por ejemplo, no se entendera la banca electrnica sin unas garantas para su uso.Si cayera la confianza de este servicio o los ataques con xito fueran tan significativosque hicieran perder su credibilidad, acabara este modelo de negocio. Por tanto, laseguridad es uno de sus pilares fundamentales. No deben olvidarse otros posiblesfactores,perosteessiempretancrticoomsquelosotros.

La relacin de los ciudadanos con la Administracin Pblica debe entenderse tambin desde esta perspectiva. La seguridad debe ser uno de los puntos neurlgicos, permitiendo que los usuarios confen abiertamente en el servicio. Esta debe sergarantizada desde la base de la prestacin del servicio. Los proyectos ya puestos enmarcha deben adaptarse a esta premisa, mientras que los nuevos debern nacer bajoelparaguasdelaseguridad.

As lo entiende la comunidad tcnica y as ha sido entendido tambin desde laAdministracin. El ao 2010 supone un hito en la aplicacin de sistemas de seguridaden la relacin de los ciudadanos con las diferentes administraciones pblicas y en lacolaboracin electrnica entre ellas. Tras aos de consultas, anlisis y modificaciones, vela luz el Esquema Nacional de Seguridad (ENS) que fue ya anticipado en el ao 2007.

Su aparicin inicia el ciclo de adaptacin de los sistemas y tecnologas de lasentidades pblicas para hacerlas ms seguras. No slo tcnicamente, sino conceptualmente. Debern definirse procedimientos y casos de uso. La seguridad es cuestin yade todos, no nicamente de los informticos. Todo aquel que realiza un tratamientode la informacin deber ser consciente del riesgo a asumir. Ser necesario disponer

XV


de los elementos tcnicos para el cumplimiento de los objetivos, pero ser el colectivoque los usa el valedor de la seguridad. El Esquema Nacional de Seguridad equiparalanecesidaddeproteccindelainformacinconlapropiaprestacindelservicio.

Evidentemente, tal y como demostrar el libro, el camino a recorrer no es trivial.Se requerirn esfuerzos tcnicos y humanos, y lgicamente en ocasiones tambineconmicos. Sin embargo, los mecanismos para cumplir lo exigido en el EsquemaNacional de Seguridad se encuentran disponibles. Solo habr que utilizarlos ade cuadamente. Este libro, adems de introducirle en los pormenores de la normativa,intentar ofrecer resoluciones tcnicas a las medidas previstas haciendo uso para ellodesolucionesbasadasenproductosMicrosoft.

XVI

ndice de contenidos

Captulo 1. Antecedentes ....................................................................................... 1

Captulo 2. El Esquema Nacional de Seguridad ................................................... 9

2.1. Principios bsicos ....................................................................................... 10

2.2. Requisitos mnimos..................................................................................... 17

2.3. Comunicaciones electrnicas ..................................................................... 22

2.4. Auditora de seguridad ................................................................................ 24

2.5. Respuesta a incidentes de seguridad......................................................... 25

2.6. Adecuacin tras la entrada en vigor del ENS ............................................. 26

2.7. Rgimen sancionador ................................................................................. 26

Captulo 3. Principios de seguridad: seguridad por defecto............................. 29

Captulo 4. Dimensiones de seguridad................................................................ 39

4.1. Disponibilidad.............................................................................................. 40

4.2. Autenticidad ................................................................................................ 42

4.3. Integridad .................................................................................................... 43

4.4. Confidencialidad ......................................................................................... 44

4.5. Trazabilidad ................................................................................................. 46

4.6. Niveles de la dimensin de seguridad ........................................................ 47

Captulo 5. Medidas de seguridad. Naturaleza de las medidas........................ 51

5.1. Marco organizativo ...................................................................................... 54

5.2. Marco operacional ...................................................................................... 56

5.3. Medidas de proteccin ............................................................................... 59

XVII


Captulo 6. La implementacin del ENS con tecnologa Microsoft .................. 63

6.1. Control de acceso ....................................................................................... 70

6.1.1. Identificacin ....................................................................................... 71

6.1.2. Requisitos de acceso.......................................................................... 79

6.1.3. Segregacin de funciones y tareas ..................................................... 86

6.1.4. Proceso de gestin de derechos de acceso ....................................... 88

6.1.5. Mecanismos de autenticacin ............................................................ 95

6.1.6. Acceso local..................................................................................... 106

6.1.7. Acceso remoto .................................................................................. 111

6.2. Explotacin................................................................................................ 113

6.2.1. Gestin y configuracin de activos ..............................114

6.2.2. Proteccin y prevencin frente a incidencias ...............123

6.2.3. Sistemas de registros y gestin de logs .......................126

6.3. Proteccin de los equipos......................................................................... 133

6.4. Proteccin de los soportes de informacin .............................................. 143

6.5. Proteccin de las comunicaciones ........................................................... 149

6.5.1. Permetro seguro ............................................................................... 149

6.5.2. Proteccin de la confidencialidad ..................................................... 151

6.5.3. Proteccin de la autenticidad y la integridad .................................... 153

6.5.4. Segregacin de redes ....................................................................... 159

6.5.5. Medios alternativos ........................................................................... 163

6.6. Proteccin de las aplicaciones informticas ............................................. 164

6.7. Proteccin de la informacin .................................................................... 169

6.8. Proteccin de los servicios ....................................................................... 178

6.8.1. Proteccin del correo electrnico ..................................................... 179

6.8.2. Proteccin de servicios y aplicaciones web [mp.s.2] ....................... 188

6.8.3. Proteccin frente a la denegacin de servicios ................................ 191

6.8.4. Medios alternativos ........................................................................... 191

Captulo 7. Premios, reconocimientos y certificaciones de los productos Microsoft .............................................................................................................. 193

XVIII

ndice de contenidos

Captulo 8. Seguridad y privacidad en la nube ................................................. 197

8.1. Seguridad y privacidad: un proceso integral y continuo.......................... 197

8.2. Sistemas de gestin de Microsoft y control de acceso ............................ 198

8.3. Eventos y actividades de registro ............................................................. 198

8.4. Certificados estndar de cumplimiento .................................................... 199

8.5. Gua de cliente para polticas de cumplimiento ........................................ 199

8.6. Data centers, procesador y controlador de datos .................................... 200

XIX

1 Antecedentes

Aunque el Esquema Nacional de Seguridad vio la luz en el ao 2010, su concepcin es mucho anterior. El 22 de Julio del ao 2007, con la aparicin en el Boletn Oficial del Estado de la Ley 11/2007 de Acceso Electrnico de los Ciudadanos a la Administracin Pblica (LAE), se sentaban las bases para su aparicin. Entre el articu lado de la ley destacaba el nmero 42 sobre el Esquema Nacional de Interoperabilidady Esquema Nacional de Seguridad.

1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criteriosy recomendaciones en materia de seguridad, conservacin y normalizacin dela informacin, de los formatos y de las aplicaciones que debern ser tenidos encuenta por las Administraciones Pblicas para la toma de decisiones tecnolgicasque garanticen la interoperabilidad.

2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de seguridad en la utilizacin de medios electrnicos en el mbito de la presente Ley, y est constituido por los principios bsicos y requisitos mnimos que permitan una proteccin adecuada de la informacin.

3. Ambos Esquemas se elaborarn con la participacin de todas las Administraciones y se aprobarn por Real Decreto del Gobierno, a propuesta de laConferencia Sectorial de Administracin Pblica y previo informe de la Comisin Nacional de Administracin Local, debiendo mantenerse actualizados de manera permanente.

4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomendaciones de la Unin Europea, la situacin tecnolgica de las diferentes Administraciones Pblicas, as como los servicios electrnicos ya existentes. A estos efectos considerarn la utilizacin de estndares abiertos as como, en su caso y de forma complementaria, estndares que sean de uso generalizado por los ciudadanos.

1


Para entender en qu consiste tanto la Ley 11/2007 como el Esquema Nacional deSeguridad (ENS), es necesario conocer primeramente sus motivaciones, qu objetivos persiguen y cules son sus fundamentos. Los primeros antecedentes se recogen en la Ley 30/1992 del 26 Noviembre de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn (LRJAP-PAC). En su primera versin ya recogi, a travs de su artculo 45, el impulso al empleo y la aplicacin de las tcnicas y medios electrnicos, informticos y telemticos, por parte de la Administracin. Su objetivo era desarrollar su actividad y el ejercicio de sus competencias, permitiendo a los ciudadanos relacionarse con las Administraciones cuando fuese compatible con los medios tcnicos de que los que dispusieran.

Esa previsin, junto con la de la informatizacin de registros y archivos que co rresponden al artculo 38 de esa misma ley, abra el paso a la utilizacin de los sistemaselectrnicos para relacionarse con la Administracin. Esta circunstancia fue corroboradaen la redaccin que le dio la Ley 24/2001 de 27 de diciembre del ao 2001 sobre Medidas Fiscales, Administrativas y del Orden Social, al permitir el establecimiento de registros telemticos para la recepcin o salida de solicitudes, escritos y comunicaciones por medios telemticos.

La misma Ley 24/2001 modific el artculo 59 de la LRJAP-PAC, permitiendo la notificacin por medios telemticos si el interesado hubiera sealado dicho medio como preferente o consentido expresamente.

Artculo 68. Modificaciones de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn para impulsar la administracin electrnica.

Uno. Se aade un nuevo apartado nueve al artculo 38 de la Ley 30/1992, deRgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, con la siguiente redaccin:

Se podrn crear registros telemticos para la recepcin o salida de solicitudes,escritos y comunicaciones que se transmitan por medios telemticos, con sujecin a los requisitos establecidos en el apartado 3 de este artculo. Los registrostelemticos slo estarn habilitados para la recepcin o salida de las solicitudes,escritos y comunicaciones relativas a los procedimientos y trmites de la competencia del rgano o entidad que cre el registro y que se especifiquen en la normade creacin de ste, as como que cumplan con los criterios de disponibilidad,autenticidad, integridad, confidencialidad y conservacin de la informacin queigualmente se sealen en la citada norma.

Los registros telemticos permitirn la presentacin de solicitudes, escritos y comunicaciones todos los das del ao durante las veinticuatro horas. A efectos del cmputo deplazos, la recepcin en un da inhbil para el rgano o entidad se entender efectuada en el primer da hbil siguiente.

Dos. Se aade un nuevo apartado 3 al artculo 59 de la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn,

2

Antecedentes

con la redaccin que a continuacin se seala, pasando los actuales apartados 3, 4 y 5 del citado artculo a numerarse como 4, 5 y 6.

Para que la notificacin se practique utilizando medios telemticos se requerir que el interesado haya sealado dicho medio como preferente o consentido expresamente su utilizacin, identificando adems la direccin electrnica correspondiente, quedeber cumplir con los requisitos reglamentariamente establecidos. En estos casos, la notificacin se entender practicada a todos los efectos legales en el momento en que se produzca el acceso a su contenido en la direccin electrnica. Cuando, existiendo constancia de la recepcin de la notificacin en la direccin electrnica, transcurrierandiez das naturales sin que se acceda a su contenido, se entender que la notificacin hasido rechazada con los efectos previstos en el siguiente apartado, salvo que de oficio o a instancia del destinatario se compruebe la imposibilidad tcnica o material del acceso.

Estos cambios adaptativos en las normas iban sentando las bases para la aplicacinde medidas tcnicas asociadas a las nuevas tecnologas. Sin embargo, el desarrollo de la administracin electrnica era todava insuficiente. La causa de ello en buena medida era que segn la Ley de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn, estas implicaciones son meramente facultativas. Es decir, dejan en manos de las propias Administraciones determinar si los ciudadanos van a poder de modo efectivo o no, relacionarse por medios electrnicos con ellas. Nada exiga la puesta en marcha de medios informticos para la relacin conlos ciudadanos. Esta sera factible en funcin de que las diferentes administraciones quisieran poner en marcha aquellos instrumentos necesarios para permitir este tipo de comunicacin,

La puesta en marcha de normativas como la Ley Orgnica 15/1999 de Proteccinde Datos de Carcter Personal y la Ley 59/2003, de 19 de diciembre de Firma Electr nica, abran tambin un importante camino a la necesidad de uso de las tecnologas en la Administracin Pblica. La informtica empezaba a establecer los diferentes vnculos entre la ciudadana y las diferentes operaciones administrativas. Tambin desde Europa se estableca la necesidad de fomentar el uso de la tecnologa en la relacin de los usuarios con las diferentes administraciones. A travs de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo del 12 de diciembre de 2006 relativa a los servicios en el mercado interior, se incentivaba el uso de los sistemas telemticos para el acceso de los ciudadanos.

Artculo 5. Simplificacin de los procedimientos.

1. Los Estados miembros verificarn los procedimientos y trmites aplicables al accesoa una actividad de servicios y a su ejercicio. Cuando los procedimientos y formalidades estudiados de conformidad coneste apartado no sean lo suficientemente simples, los Estados miembros los simplificarn.

Artculo 6. Ventanilla nica

1. Los Estados miembros garantizarn que los prestadores puedan llevar a cabo los siguientes procedimientos y trmites a travs de ventanillas nicas:

3


a) todos los procedimientos y trmites necesarios para acceder a sus actividades de servicios, en especial las declaraciones, notificaciones o solicitudes necesariaspara la autorizacin por parte de las autoridades competentes, incluidas las solicitudes de inscripcin en registros, listas oficiales, bases de datos o colegios o asociaciones profesionales;

b) las solicitudes de autorizacin necesarias para el ejercicio de sus actividades de servicios.

2. La creacin de ventanillas nicas no supone una interferencia en el reparto de funciones o competencias entre las autoridades competentes dentro de cada sistemanacional.

Artculo 7. Derecho de informacin

1. Los Estados miembros harn lo necesario para que los prestadores y los destinatariospuedan acceder fcilmente a la informacin por medio de ventanillas nicas.

Artculo 8. Procedimientos por va electrnica

Los Estados miembros harn lo necesario para que todos los procedimientos y trmites relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizar fcilmente, a distancia y por va electrnica, a travs de la ventanilla nica de que se trate y ante las autoridades competentes.

El apartado 1 no se aplicar a las inspecciones del lugar en que se presta el servicio o del equipo utilizado por el prestador ni al examen fsico de la capacidad o de la integridad personal del prestador o del personal responsable.

Con arreglo al procedimiento contemplado en el artculo 40, apartado 2, la Comisin adoptar normas de desarrollo para la aplicacin del apartado 1 del presente artculo, con el fin de facilitar la interoperabilidad de los sistemas de informacin y la utilizacinde los procedimientos electrnicos entre los Estados miembros, teniendo en cuenta las normas comunes desarrolladas a escala comunitaria.

Esta importante directiva marcaba las bases fundamentales para el establecimiento de dos tipos de relaciones. La de los ciudadanos con las diferentes administracionespblicas de los estados miembros, as como la relacin entre ellas. Tambin creaban figuras administrativas como las de la ventanilla nica, que son ya una realidad en el estado espaol.

Con las metas ya fijadas, slo quedaba esperar la salida de la normativa que permitiera cumplir las prerrogativas exigidas. Estas vieron la luz finalmente el 22 de Julio del ao 2007 con la publicacin de la Ley 11/2007. La Ley de Acceso Electrnico se encuentra articulada en 4 ttulos principales ms uno preliminar y una serie de disposiciones. El objetivo principal de la norma consiste en reconocer el derecho de losciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos.Tambin regula los aspectos bsicos de la utilizacin de las tecnologas de la informa cin en la actividad administrativa y en las relaciones entre Administraciones. De igual

4

Antecedentes

modo pasa a regular tambin las relaciones de los ciudadanos con stas. Se presenta como finalidad la de garantizar sus derechos, un tratamiento comn ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurdica.

Las diferentes Administraciones Pblicas debern para ello utilizar las tecnologasde la informacin de acuerdo a una serie de normas definidas en la Ley. Las mximas para ello son asegurar la disponibilidad, el acceso, la integridad, la autenticidad, laconfidencialidad y la conservacin de los datos, informaciones y servicios que segestionen en el ejercicio de sus competencias. Estas premisas son procedimientos y terminologas ampliamente utilizadas entre los profesionales de TI, siendo objeto de desarrollo en cualquier proyecto informtico. Muchas partes de la ley vienen a precisarcules son estas garantas, aunque sern desarrolladas tcnicamente en el Esquema Nacional de Seguridad.

Para la resolucin de los objetivos se establecen a travs de la ley una serie de principios. Estos regulan los derechos reconocidos en otras normas como la LOPD o los propiamente marcados por la Constitucin. Los principios ms significativos que se encuentran en la norma son:

l Principio de accesibilidad a la informacin y a los servicios por medios electrnicos. Se proporcionarn mecanismos, que a travs de sistemas que permitan su utilizacin de manera segura y comprensible, garanticen espe cialmente la accesibilidad universal y el diseo para todos de los soportes, canales y entornos.

l Principio de legalidad. Presenta como base al mantenimiento de la integridad de las garantas jurdicas de los ciudadanos ante las Administraciones Pblicas. Estas fueron establecidas en la Ley 30/1992, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.

l Principio de seguridad. La implantacin y utilizacin de los medios electr nicos exigir al menos el mismo nivel de garantas y seguridad que se requierepara la utilizacin de medios no electrnicos en la actividad administrativa.

l Principio de proporcionalidad. Slo se exigirn las garantas y medidas de seguridad adecuadas atendiendo a la naturaleza y las circunstancias espec ficas de los distintos trmites y actuaciones. Asimismo, slo se requerirn a los ciudadanos aquellos datos que sean estrictamente necesarios en atencina la finalidad para la que se soliciten.

l Principio de neutralidad tecnolgica y de adaptabilidad al progreso de lastcnicas y sistemas de comunicaciones electrnicas. Deber garantizarse laindependencia en la eleccin de las alternativas tecnolgicas tanto por partede los ciudadanos, como por parte de las Administraciones Pblicas. Deigual modo, ser necesario garantizar la libertad de desarrollar e implantarlos avances tecnolgicos en un mbito de libre mercado. A estos efectos, lasAdministraciones Pblicas utilizarn estndares abiertos, as como, de formacomplementaria, tecnologas que sean de uso generalizado por los ciudadanos.

5


De los diferentes ttulos que conforman la ley, y en lo concerniente a aspectos tcnicos, es el II sobre Rgimen Jurdico de la Administracin Electrnica el ms significativo. A travs de ste se establecen importantes figuras como las de sede electrnica, identificacin, autentificacin, registros y seguridad de las comunicaciones.

Dentro de las figuras jurdicas definidas por la ley, uno de los mecanismos ms importantes es el de sede electrnica. La misma ayudar con posterioridad a entender el Esquema Nacional de Seguridad y en qu entornos ste ser de aplicacin. La sede electrnica es aquella direccin electrnica disponible para los ciudadanos. Su acceso se realizar a travs de redes de telecomunicaciones cuya titularidad, gestin y admi nistracin corresponde a una Administracin Pblica, rgano o entidad administrativaen el ejercicio de sus competencias.

La norma implica que el establecimiento de una sede electrnica conlleva la res ponsabilidad por parte de su titular respecto de la integridad, veracidad y actualizacin,tanto de la informacin como de los servicios a los que pueda accederse a travs de la misma. Las sedes electrnicas dispondrn de sistemas que permitan el establecimientode comunicaciones seguras siempre que stas sean necesarias. Por tanto, la prestacin de un servicio a travs de un acceso web con el objeto de llevar a efecto un procedimiento administrativo define dicho sistema como una sede electrnica.

De cara al acceso a las sedes electrnicas, se establecen las formas relativas a la identificacin y autentificacin. Se admitirn como vlidas aquellas conformadas a travs de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. En este sentido, las personas fsicas podrn hacer uso del Documento Nacional de Identidad electrnico y otros sistemas autorizados. Por su parte, las sedes electrnicas podrn utilizar, para identificarse y garantizar una comunicacin segura con las mismas, sistemas de firma electrnica basados en certificados de dispositivo seguro o medios equivalentes.

Los sistemas de firma electrnica reconocidos oficialmente son aquellas prove nientes de las siguientes entidades:

l DNIe. Documento Nacional de Identidad Electrnico.

l Camerfirma. Servicio de certificacin digital de las cmaras de comercio, industria y navegacin de Espaa.

l Izenpe. Proyecto impulsado por el Gobierno Vasco y las Diputaciones Forales.Constituida a travs de sus sociedades informticas: EJIE, LANTIK, IZFE y CCASA.

l CATCert. Agencia Catalana de Certificacin.

l ANF AC. Sistema abierto de certificacin electrnica.

l SCR. Servicio de Certificacin de los Registradores.

l ACA. Autoridad de Certificacin de la Abogaca espaola.

l ACCV Autoridad de Certificacin de la Comunidad Valenciana.

6

Antecedentes

l ANCERT. Agencia Notarial de Certificacin.

l FNMT. Fbrica Nacional de Moneda y Timbre.

l Firma profesional. Primer prestador privado de servicios de certificacin en Espaa.

l BANESTO CA. Entidad certificadora del Banco Nacional Espaol de Crdito,homologado por la Agencia Tributaria.

Los objetivos perseguidos por la ley y que son inherentes al uso de los certificadoselectrnicos son:

l La autenticidad de las personas y entidades que intervienen en el intercambiode informacin.

l La confidencialidad. Tan solo el emisor y el receptor deben ser capaces de visualizar la informacin que se est manejando en el proceso administrativo.

l La integridad de la informacin intercambiada. Asegurar que no se produce ningn tipo de manipulacin sobre los datos manejados. Aunque la informacin vaya cifrada, esto no impedira que se pudiera realizar algn cambioaleatorio que modifique y por lo tanto altere la validez del contenido de los datos a asegurar.

l El no repudio. Garantiza al titular del certificado que nadie ms que l puedegenerar una firma vinculada a su certificado. Por otra, le imposibilita a negarsu titularidad en los mensajes que haya firmado.

Para la resolucin de estos objetivos y a travs del certificado digital, podrn realizarse las siguientes operaciones:

l Autentificar la identidad del usuario de forma electrnica ante otros.

l Cifrar datos para que slo el destinatario del documento pueda acceder a su contenido.

l Firmar electrnicamente, de forma que se garantice la integridad de los datostrasmitidos y la legitimidad de su procedencia.

La Ley permite que los ciudadanos opten por los sistemas electrnicos como mecanismos de comunicacin para sus trmites administrativos, con excepcin de aquellos casos en los que una norma con rango de ley establezca la utilizacin de un medio no electrnico de forma especfica. La opcin de uso de uno u otro corresponde al ciudadano, pudiendo modificar su eleccin y optar por un medio distinto del ini cialmente elegido. Las Administraciones Pblicas utilizarn medios electrnicos en suscomunicaciones con los ciudadanos siempre que as lo hayan solicitado o consentido stos expresamente.

Las comunicaciones a travs de medios electrnicos sern vlidas siempre que exista constancia de la transmisin y recepcin, de sus fechas, del contenido ntegro

7


de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas. Las Administraciones publicarn, en el correspondiente diario oficial y en la propia sede electrnica, aquellos medios electrnicos que los ciudadanos podrn utilizar en cada supuesto administrativo, para el ejercicio de su derecho a comunicarsecon stas.

Para garantizar la comunicacin electrnica, los requisitos de seguridad e integridad de las comunicaciones se establecern de forma apropiada en funcin del carcter de los datos. Estos quedarn determinados de acuerdo a los criterios de proporcio nalidad, conforme a lo dispuesto en la legislacin vigente en materia de proteccin de datos de carcter personal. Reglamentariamente, las Administraciones Pblicas podrn establecer la obligatoriedad de comunicarse con ellas utilizando slo medios electrnicos, siempre y cuando los interesados se correspondan con personas jurdicaso colectivos de personas fsicas que por razn de su capacidad econmica o tcnica, dedicacin profesional u otros motivos acreditados tengan garantizado el acceso y la disponibilidad de los medios tecnolgicos necesarios.

Las Administraciones Pblicas debern utilizar preferentemente medios elec trnicos en sus comunicaciones con otras Administraciones. Las condiciones queregirn stas se determinarn entre las Administraciones Pblicas participantes en la comunicacin.

Otra figura importante, definida a travs de la norma para el tratamiento de informacin por parte de las administraciones, la constituye el archivo electrnico. Se permite el almacenamiento por medios electrnicos de todos los documentos utilizadosen las actuaciones administrativas. Los archivos informticos que contengan actos ad ministrativos que afecten a derechos o intereses de los ciudadanos debern conservarseen soportes de esta naturaleza, ya sea en el mismo formato a partir del que se origin el documento inicialmente o en otro, siempre que ste permita asegurar la identidad e integridad de la informacin necesaria para reproducirlo. En todo caso, es necesario asegurar la posibilidad de trasladar los datos de un formato y soporte a otro distinto, que garantice el acceso desde las diferentes aplicaciones que son proporcionadas para la prestacin de servicios.

Los medios en los que se almacenan los documentos debern contar con medidasde seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, pro teccin y conservacin de los documentos almacenados. En particular, deben asegurarla identificacin de los usuarios y el control de accesos, as como el cumplimiento de las garantas previstas en la legislacin de proteccin de datos personales.

8

El Esquema Nacional de Seguridad

2 El Esquema Nacional

de Seguridad

Aunque no existe realmente una equiparacin directa entre la Ley de Acceso Electrnico y la Ley Orgnica de Proteccin de Datos de Carcter Personal, a menudo surgirn las comparaciones entre ambas. Un hecho comn lo constituye el que en ambascircunstancias, las leyes no establecen tcnicamente qu acciones o medios especficos debern utilizarse para garantizar la proteccin de la informacin. La LOPD tuvo que esperar hasta la salida del Real Decreto 1720/2007 sobre el Reglamento de Desarrollo de la Ley. Por su parte, la LAE ha debido esperar tambin a la aparicin del RD 3/2010para su desarrollo tcnico.

Tal y como se indicaba en pginas anteriores, es la propia ley la que marcaba la espera para la aparicin de otra normativa que regulara las medidas de seguridad. En su artculo 42, se designaba que sera el Esquema Nacional de Seguridad (ENS) el que establecera la poltica de seguridad a aplicar en la utilizacin de medios electrnicos en el mbito de la Administracin Pblica.

El Esquema Nacional de Seguridad (ENS) es publicado en el Boletn Oficial del Estado, el 29 de Enero del ao 2010. Entrando en vigor el da despus, inicializa el cmputo de tiempo para la adecuacin a la normativa y condiciones que quedan establecidas. La dimensin del ENS no es exclusivamente tcnica, aunque gran parte de su desarrollo s lo sea. Las partes organizativas y funcionales tambin dan contenido a importantes pginas del Real Decreto 3/2010.

El Esquema Nacional de Seguridad se estructura en diez captulos, ms una seriede disposiciones y anexos. Aunque este captulo abordar principalmente el desarrollode los captulos y las disposiciones, la parte fundamental, en lo que a las cuestiones tcnicas, estructurales y organizativas se refiere, son tratadas en los cinco anexos que acompaan al Real Decreto.

Hay que comentar que aunque la salida del texto se realiza en el BOE el 29 de Enero del 2010, el 11 de Marzo del mismo ao se publica en el Boletn una serie de

9


rectificaciones sobre errores que se han advertido en la norma. Aquel que desee tener acceso al texto consolidado, podr realizarlo a travs de la siguiente direccin URLperteneciente al Consejo Superior de Administracin Electrnica:

http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf

2.1. Principios bsicos La finalidad ltima del Esquema Nacional de Seguridad (ENS) es la creacin

de las condiciones de confianza para el uso de los medios electrnicos. Para ello se definen las medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrnicos. El ENS persigue fundamentar la confianza a travs de una serie de preceptos:

l Que los sistemas de informacin prestarn sus servicios sin interrupciones o modificaciones fuera de control.

l Que la informacin ser custodiada de acuerdo con sus especificacionesfuncionales sin que sta pueda llegar al conocimiento de personas no autorizadas.

Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a medida que vayan consolidndose los requisitos de los mismos y de las infraestructuras que les dan soporte. Hay que tener en cuenta respecto de este hecho que las relaciones entre las diferentes administraciones pblicas son a menudo muy complejas. Debernser tambin evaluadas las relaciones existentes con entidades de mbito privado y no exclusivamente pblico. El concepto de seguridad debe observar tambin la noexistencia de parcelas de accin que puedan quedar descubiertas, en tierra de nadie, permitiendo as la aparicin de brechas y carencias de seguridad en los servicios prestados.

En la elaboracin del texto del Esquema Nacional de Seguridad han participado muchas organizaciones. En este proceso, y coordinado por el Ministerio de la Presidencia, han participado tanto el Centro Criptolgico Nacional (CCN) como todaslas Administraciones Pblicas del Estado. Entre ellas se incluyen las universidades pblicas (CRUE) a travs de los rganos colegiados con competencias en materia de administracin electrnica: Consejo Superior de Administracin Electrnica, Comit Sectorial de Administracin Electrnica y Comisin Nacional de Administracin Local.Para su elaboracin, tambin han sido importantes los preceptivos emitidos por otras instituciones: Ministerio de Poltica Territorial, Ministerio de la Presidencia, Agencia Espaola de Proteccin de Datos y Consejo de Estado. Finalmente, se han tenidotambin presentes la opinin de las asociaciones de la industria del sector TIC y las aportaciones recibidas tras la publicacin, el 3 de septiembre de 2009, del borrador en el sitio web del Consejo Superior de Administracin Electrnica.

Sin embargo, las bases de funcionalidad del ENS son anteriores. En este sentido se tienen en cuenta las recomendaciones de la Unin Europea al respecto:

10

http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf


l Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembrede 2001, por la que se modifica su Reglamento Interno.

l Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se adoptan las normas de seguridad del Consejo.

La seguridad de la informacin perseguir los siguientes objetivos principales:

l Proteger la informacin clasificada de la Unin Europea frente al espionaje, las situaciones de peligro o la divulgacin no autorizada de la misma.

l Proteger la informacin de la UE tratada en los sistemas y redes de comunicacin e informacin frente a las amenazas contra su confidencialidad, integridad y disponibilidad.

l Proteger los locales de la Comisin en los que se encuentra informacin de la UE frente al sabotaje y los daos intencionados.

l En caso de fallo, evaluar el perjuicio causado, limitar sus consecuencias y adoptar las medidas necesarias para remediarlo.

Para establecer los mecanismos de proteccin, se designan determinadas reas de la seguridad que debern ser atendidas:

l Seguridad personal.

l Seguridad fsica.

l Seguridad de la informacin.

Este ltimo punto es el elemento ms crtico en el desarrollo del ENS. Aunque la clasificacin por niveles establecida por la Decisin 2001/884 EU TOP SECRET, EU SECRET, EU CONFIDENTIAL y EU RESTRICTED, difiere de las marcadas por el ENS,la aplicacin de medidas presentan mltiples coincidencias. Las medidas de seguridad,en ambas circunstancias, se aplican en funcin de la clasificacin, teniendo previsto para ello el establecimiento de las dimensiones de seguridad. Pero, qu entidades estn supeditadas al Esquema Nacional de Seguridad? La informacin recogida en el Artculo 3 sobre el mbito de aplicacin de ste, remite al Artculo 2 de la Ley 11/2007. En l se hace una exclusin del mbito de aplicacin de la normativa, para aquellos sistemas que tratan informacin clasificada y regulada por Ley de 5 de abril 9/1968, de Secretos Oficiales y normas de desarrollo.

Artculo 2. mbito de aplicacin.

1. La presente Ley, en los trminos expresados en su disposicin final primera, serde aplicacin:

a) A las Administraciones Pblicas, entendiendo por tales la Administracin General del Estado, las Administraciones de las Comunidades Autnomas ylas Entidades que integran la Administracin Local, as como las entidades de derecho pblico vinculadas o dependientes de las mismas.

11

EsquemaEsquema NacionalNacional dede Seguridad...Seguridad... concon MicrMicrosoftosoft

b) A los ciudadanos en sus relaciones con las Administraciones Pblicas.

c) A las relaciones entre las distintas Administraciones Pblicas.

2. La presente Ley no ser de aplicacin a las Administraciones Pblicas en lasactividades que desarrollen en rgimen de derecho privado.

En un anlisis general del Esquema Nacional de Seguridad, su aplicacin parece estar bastante relacionada con la aplicacin de la norma de calidad ISO 27000. Aun as, el ENS es ms preciso, aunque es cierto que algunas de las medidas de seguridaddel mismo coinciden con controles de ISO/IEC 27002. De este modo, el Esquema establece un sistema de proteccin para la informacin y servicios a proteger. La norma ISO/IEC 27002 carece de esta proporcionalidad en lo que a aplicacin de medidas se refiere, quedando este apartado a la mejor opinin del auditor que certifica la conformidad con ISO/IEC 27001. Determinados aspectos fundamentales como la firma o la autenticacin electrnica no estn recogidos en la norma ISO/IEC 27002.

El principio fundamental que regula el Esquema Nacional de la Seguridad es elde la seguridad integral. As queda establecido a travs del Artculo 5.

1. La seguridad se entender como un proceso integral constituido por todos loselementos tcnicos, humanos, materiales y organizativos, relacionados con elsistema. La aplicacin del Esquema Nacional de Seguridad estar presidida poreste principio, que excluye cualquier actuacin puntual o tratamiento coyuntural.

2. Se prestar la mxima atencin a la concienciacin de las personas que intervienenen el proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni lafalta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.

Este artculo establece esa necesidad de entender la seguridad como una tarea de todos. La totalidad de los usuarios, que de una u otra forma estn vinculados al tratamiento de datos sujetos a la aplicacin del ENS, son parte importante de esa seguridad. En este sentido, no pueden ser argumentados como eximentes ni la falta de conocimiento de un hecho, ni el desconocimiento en el uso de la tecnologa.

La seguridad debe ser vista como uno de los principios rectores fundamentales en el tratamiento de los datos. Tanto la tecnologa como el factor humano deben sertenidos en cuenta para ello. Este aspecto es tan preceptivo que se promueve la formacin de todos los involucrados, para asegurar as el cumplimiento de sus funciones.

La implementacin de un sistema de seguridad pasa inicialmente por realizar unanlisis de riesgos. La premisa es, por tanto, conocerse primeramente antes de realizaresfuerzos que podran ser infructuosos. La gestin de riesgos permitir el mantenimientode un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer unequilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestosy las medidas de seguridad.

12


Para la realizacin de los anlisis de riesgos, la Administracin Pblica cuenta con una herramienta significativa: EAR/PILAR. Est basada en el sistema de anlisis de riesgos MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin) que figura en el inventario de mtodos de anlisis y gestin de riesgosde ENISA (European Network and Information Security Agency). En su versin 2 se haestructurado en tres libros: Mtodo, Catlogo de Elementos y Gua de Tcnicas:

l Mtodo. Describe los pasos y las tareas bsicas para realizar un proyecto de anlisis y gestin de riesgos. Esta descripcin observa la metodologa desdetres visones distintas:

n Describir los pasos para realizar un anlisis del estado de riesgo y gestionar su mitigacin.

n Describir las tareas bsicas para realizar un proyecto de anlisis y gestinde riesgos, estableciendo las pautas, roles, actividades y documentacinasociada.

n Aplicar la metodologa a los casos del desarrollo de sistemas de informacin. Los proyectos de desarrollo de sistemas deben tener en cuenta los riesgos desde el primer momento. Tanto aquellos a los que se est expuesto de forma directa, como otros riesgos que las propias aplicaciones pueden llegar a introducir en el sistema.

l Catlogo de Elementos. Ofrece pautas y elementos estndar en cuanto al tratamiento de los activos. Para ello se tendrn en cuenta los distintos tiposde activos, las dimensiones de valoracin de stos, los criterios de valoracinde los mismos y las amenazas tpicas sobre los sistemas de informacin, juntoa salvaguardas a considerar para proteger los sistemas de informacin.

l Gua de Tcnicas. Trata de una gua de consulta que proporciona algunas tcnicas que se emplean habitualmente para llevar a cabo proyectos deanlisis y gestin de riesgos. Entre ellas, tcnicas especficas para el anlisis de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque, tcnicas generales o anlisis coste-beneficio, junto a otros.

Microsoft, por su parte, tambin ha desarrollado su propia herramienta de evaluacin de seguridad: MSAT (Microsoft Security Assessment Tool). Est diseada paraayudar a identificar y abordar los riesgos de seguridad en un entorno tecnolgico determinado. Su utilizacin ofrece una visin general de la seguridad, permitiendo con ello la cuantificacin de la misma.

La herramienta utiliza un enfoque integral para medir el nivel de seguridady cubre aspectos tales como usuarios, procesos y tecnologa. Consta de ms de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prcticas comnmente aceptadas, en estndares tales como las normas ISO 27000y NIST-800.x, as como las recomendaciones y orientaciones normativas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.

13


Para la obtencin de resultados, la herramienta hace diversos tipos de preguntas que permiten diferenciar e identificar diversos aspectos de la organizacin. El primer grupo de ellas presenta como objetivo establecer el modelo de negocio de la misma. Para ello se crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de la entidad en sus acciones de negocio segn el modelo empresarial definido por el BRP.

Figura 2.1. MSAT 4.0.

El segundo grupo de preguntas tienen como objetivo elaborar un listado de las medidas de seguridad que se han puesto en produccin. Se realiza una evaluacin de la seguridad en funcin de las capas de defensa. Estas proporcionan una mayor proteccin contra los riesgos de seguridad y vulnerabilidades especficas. Cada capa contribuye a una estrategia combinada que permite implementar una proteccin en profundidad. Ejemplos de ello son la capa de seguridad perimetral o la seguridad localde las estaciones de trabajo. La suma de todas ellas se conoce como Defense-in-DepthIndex (DiDI). Microsoft Security Assessment Tool (MSAT) se divide en cuatro reas de anlisis (AoAs):

l Infraestructura.

l Aplicaciones.

l Operaciones.

l Personal.

La Figura 2.2 muestra la fase de preguntas sobre las cuatro reas de anlisis mencionadas.

14


Figura 2.2. Fase de preguntas AoAs en MSAT 4.0.

BRP y DiDI se comparan entonces para medir la distribucin del riesgo a travs de las diferentes reas de anlisis. Adems de valorar la equivalencia entre riesgos de seguridad y defensas, esta herramienta mide tambin la madurez de la seguridad de la organizacin. Esta se refiere a la evolucin del fortalecimiento de la seguridad y las tareas de mantenimiento de la misma. En el extremo inferior, son pocas las medidas de seguridad empleadas, y las acciones llevadas a cabo son simplemente reacciones a los acontecimientos. En el extremo superior se prueban y establecen procesos que permiten a la compaa una mayor proactividad y una respuesta ms eficiente y consistente cuando sta es necesaria.

Finalizadas las preguntas, la herramienta de anlisis muestra los diferentes informes de estado de seguridad para la organizacin. Estos pueden ser de tipo resumen, completo o comparativo. Este ltimo permitira visualizar la comparacin del estado de seguridad de la organizacin, con respecto a otras con similares perfiles de negocio.

Por su parte, el informe resumen muestra el perfil de riesgos frente al ndice de defensa en profundidad. La siguiente imagen muestra el resultado del anlisis del perfil de una empresa tipo, concienciada con la seguridad de sus sistemas y que en este sentido ha aplicado medidas de ndole tcnico.

Los informes se acompaan tambin de una serie de mejoras. Las recomendaciones sugeridas para la gestin de riesgos tienen en cuenta la tecnologa existente, la presente situacin de la seguridad y las estrategias de defensa en profundidad. Las sugerencias van dirigidas a reconocer y aplicar las buenas prcticas ms recomendadasen materias de seguridad.

15


Figura 2.3. Informe resumen.

Figura 2.4. Detalle informe completo.

El anlisis de riesgos permitir evaluar el estado de situacin de la organizacin en lo que a seguridad de sus sistemas se refiere. Pero ello slo supone el inicio del pro

16


ceso. Este deber contemplar los aspectos de prevencin, deteccin y correccin, para conseguir que las amenazas no se lleguen a producir. En caso de que se materialicen, deber minimizarse su impacto e intentar paliarlas lo ms rpidamente posible. Para ello debern disponerse medidas tanto reactivas como restaurativas. Estas ltimas permitirn la recuperacin de la informacin y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los sistemas o determinados servicios de stos.

Dentro del anlisis de seguridad, un aspecto muy importante tratado en el ENS esel de la segregacin de funciones. Ocurre a menudo, que los encargados de analizar el estado de seguridad de una organizacin son los mismos que deben poner en marcha los sistemas productivos. Este desaconsejable hecho puede producir parcialidad en la actuacin de los profesionales, priorizando la produccin frente a la aplicacin de mecanismos de seguridad.

Con objeto de evitar este tipo de problemas de asignacin de funciones, el ENS diferencia en el proceso de segregacin de roles los siguientes: responsable de la informacin, responsable del servicio, responsable del sistema y responsable de la seguridad.

El responsable de informacin determina los requisitos que deben cumplir la informacin y los objetivos que se persiguen para su mantenimiento. El responsable del servicio, por su parte, determina los requisitos, las caractersticas y las condiciones de los servicios prestados. Este ltimo suele estar supeditado jerrquicamente al responsable de la informacin.

Frente a ambos el responsable de seguridad presenta un perfil mucho ms tc nico. De l se espera que establezca los requisitos y condiciones de seguridad de la informacin y los servicios. Su objetivo fundamental es asegurar que las medidas de seguridad que se van a aplicar satisfacen los requisitos demandados por los responsables de la informacin y los servicios.

La relacin entre todas las figuras la constituye el responsable del sistema. Este ser el encargado de las operaciones del mismo y deber conocer todos los elementos que lo constituyen. Relaciona, a travs del sistema, la informacin, los servicios y la seguridad. Su rol y el del responsable de seguridad deben estar completamente segregados. Ambos sern complementarios, pero sus labores sern diferentes y en ocasiones sus posturas contrarias.

Inicialmente es difcil establecer una norma nica de quin debera asumir los diferentes roles y funciones. Cada administracin es diferente, tanto en infraestructuracomo en diseo y personal. Por tanto,m la ocupacin de cada rol debera adecuarse a las particularidades de cada entidad o escenario.

2.2. Requisitos mnimos Para el cumplimiento de las medidas de seguridad, todos los rganos superiores

de las Administraciones Pblicas debern contar con una poltica de seguridad. Esta

17


presentar unos requisitos mnimos que debern ser implementados por todas las organizaciones sujetas al Esquema Nacional de Seguridad.

La definicin de los rganos superiores viene establecida en el Real Decreto3/2010 a travs de su artculo 11 en el punto 2:

A los efectos indicados en el apartado anterior, se considerarn rganos superioreslos responsables directos de la ejecucin de la accin del gobierno, central, autonmico o local, en un sector de actividad especfico, de acuerdo con lo establecido en laLey 6/1997, de 14 de abril, de organizacin y funcionamiento de la Administracin General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de autonoma correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril, reguladora de las bases del Rgimen Local, respectivamente.

Los municipios podrn disponer de una poltica de seguridad comn elaborada por laDiputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aquellas otras corporaciones de carcter representativo a las que corresponda el gobiernoy la administracin autnoma de la provincia o, en su caso, a la entidad comarcal correspondiente a la que pertenezcan.

La poltica de seguridad tendr como objetivos fundamentales establecer roles, funciones y procedimientos de designacin, definir los criterios para la categorizacin e identificacin de servicios y sistemas, as como plantear los mecanismos de seguri dad previstos en el Anexo II. Para ello se exigen una serie de requisitos mnimos que debern quedar definidos en la poltica de seguridad:

a) Organizacin e implantacin del proceso de seguridad.

l Anlisis y gestin de los riesgos.

l Gestin de personal.

l Profesionalidad.

l Autorizacin y control de los accesos.

l Proteccin de las instalaciones.

l Adquisicin de productos.

l Seguridad por defecto.

l Integridad y actualizacin del sistema.

l Proteccin de la informacin almacenada y en trnsito.

l Prevencin ante otros sistemas de informacin interconectados.

l Registro de actividad.

l Incidentes de seguridad.

l Continuidad de la actividad.

18


b) Mejora continua del proceso de seguridad.

El captulo III define cada uno de estos principios mnimos, que deben ser te nidos en cuenta por las Administraciones Pblicas. Muchas de las figuras descritas son ampliamente utilizadas tambin en los sistemas de seguridad de las empresas privadas, formando parte de los sistemas SGSI (Sistema de Gestin de Seguridad de la Informacin) de las mismas.

Se recogen a continuacin algunos de los requisitos ms notables. Otros sern tratados en mayor profundidad a lo largo de los diferentes captulos de este libro.

Artculo 16.

Autorizacin y control de los accesos. El acceso al sistema de informacin deber sercontrolado y limitado a los usuarios, procesos, dispositivos y otros sistemas de informacin, debidamente autorizados, restringiendo el acceso a las funciones permitidas.

Los procesos de autorizacin determinan uno de los procedimientos ms significativos de cara a la seguridad. En este sentido debern valorarse en dos circunstanciasdiferentes:

l Garantizar el acceso de los ciudadanos para la realizacin de operaciones, tras procesos de autentificacin que aseguren la correcta identificacin de los mismos.

l Garantizar que a los sistemas internos, slo el personal autorizado tendrpermitido el acceso.

Una vez que un usuario ha sido autenticado correctamente, se podr garantizar, mediante los controles pertinentes, el acceso a los recursos asociados.

Artculo 20. Integridad y actualizacin del sistema.

1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacinen el sistema.

2. Se deber conocer en todo momento el estado de seguridad de los sistemas, enrelacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las ac tualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.

La seguridad planteada a travs del ENS slo puede ser observada bajo un prismade permanente evolucin y actualizacin. Un problema habitualmente planteado por las organizaciones es que una vez implementado un sistema, ste no se altera para evitarla posibilidad de perder su funcionalidad. Sin embargo, desde el punto de vista de la seguridad sta es una mala prctica. Los sistemas evolucionan, detectndose potenciales fallos de seguridad que los fabricantes corrigen oportunamente y que demandan la actualizacin de los sistemas. La generacin de actualizaciones de seguridad viene normalmente precedida por la aparicin de un expediente de seguridad. La aplicacin

19


de soluciones de mejora es por tanto una constante al tratar con elementos software, independientemente de cul sea su procedencia. El enunciado del Esquema Nacional de Seguridad no es ajeno a este hecho y lo recoge consecuentemente. Cuando un fabricante haga pblica la correccin de determinada vulnerabilidad, se deber actuar conforme a un procedimiento estipulado para corregir el fallo detectado. No obstante,hay que tener en cuenta que una potencial solucin podra afectar negativamente al funcionamiento normal del servicio. Para ello habr de disponerse de algn procedimiento para la realizacin de las pruebas previas oportunas que permitan aplicar las actualizaciones de seguridad sin por ello alterar el servicio. Este tema es tratado en el Anexo II, en los apartados referidos a los sistemas de mantenimiento.

Artculo 21.Proteccindeinformacinalmacenadayentrnsito.

1. En la estructura y organizacin de la seguridad del sistema, se prestar especialatencin a la informacin almacenada o en trnsito a travs de entornos inseguros.Tendrn la consideracin de entornos inseguros los equipos porttiles, asistentespersonales (PDA), dispositivos perifricos, soportes de informacin y comunicaciones sobre redes abiertas o con cifrado dbil.

2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin y conservacin a largo plazo de los documentos electrnicos producidos por las Administracionespblicasenelmbitodesuscompetencias.

3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia directa de la informacin electrnica a la que se refiere el presente real decreto, deberestar protegida con el mismo grado de seguridad que sta. Para ello se aplicarnlas medidas que correspondan a la naturaleza del soporte en que se encuentren, de conformidad con las normas de aplicacin a la seguridad de los mismos.

La salvaguarda de la informacin es un elemento principal en cualquier valoracin respecto de la seguridad informtica. No lo es menos para el Esquema Nacional de Seguridad. No se debe olvidar que en la prestacin de un servicio lo que realmente aporta valor son los datos manejados por encima de la continuidad del mismo. El acceso de los ciudadanos presentar como objetivo principal el desarrollo de procedimientos administrativos, bien solicitando o bien aportando informacin. Debe existir la constancia de que ante una prdida de informacin asociada al servicio, es posible su recuperacin. Por tanto, se establece como garanta fundamental asociada ala labor de la Administracin Pblica que los datos existentes podrn ser recuperados y mantenidos. La evolucin de la tecnologa es atendida por el Esquema Nacional de Seguridad, y claro ejemplo de ello son los dispositivos mviles. Fciles de manejar y de portar, no estn exentos de fallos de seguridad. Su portabilidad incrementa el nmero de amenazas y se hace por ello especial hincapi en las tecnologas de cifrado para los mismos.

Artculo 23. Registro de actividad.

Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real de creto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y

20


a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccin de datos personales, de funcin pblica o laboral, y dems disposiciones que resultende aplicacin, se registrarn las actividades de los usuarios, reteniendo la informacinnecesaria para monitorizar, analizar, investigar y documentar actividades indebidas onoautorizadas,permitiendoidentificarencadamomentoala personaqueacta.

Como en otras normativas existentes en el ordenamiento jurdico espaol constituye una necesidad registrar los sucesos relativos a acciones sobre los servicios y la informacin. Estos datos permitirn principalmente depurar responsabilidades cuandosea necesario, as como detectar fallos o incidencias de seguridad que hayan tenido lugar en los servicios prestados.

Este objetivo es probablemente uno de los ms complicados de cumplimentar. No obstante, no ser requerido en todos los escenarios de aplicacin del Esquema Nacional de Seguridad, sino exclusivamente en aquellos donde se exigen los niveles de seguridad ms altos. Los sistemas a utilizar debern contar con metodologas deregistro, y utilizar procedimientos para la consolidacin y correlacin de los datos. El servicio sera ineficaz si no tuviera capacidad de alertar frente a una posible incidencia.

Artculo 24. Incidentes de seguridad.

1. Seestablecerunsistemadedeteccinyreaccinfrenteacdigodaino.

2. Se registrarn los incidentes de seguridad que se produzcan y las acciones detratamiento que se sigan. Estos registros se emplearn para la mejora continuade la seguridad del sistema.

Los ataques derivados del descubrimiento de una vulnerabilidad, constituyen uno de los mecanismos ms ampliamente utilizado por los hackers para introducirse en un sistema. Para garantizar la seguridad no basta solamente con su planteamiento, sino tambin es necesario evaluar si las medidas son eficaces. Los sistemas de detec cin de intrusiones intentan evaluar si un sistema est siendo objeto de ataque. Los intentos de ataque, aunque no se materialicen o tengan xito en sus objetivos, deben ser detectados e identificados como medida fundamental para mantener nivelesapropiados de seguridad.

Un sistema de deteccin de intrusiones podra ser reactivo mediante la presentacin de alertas o acciones que indiquen los intentos de ataque. Esto permitir que los administradores, adems de estar alertados, puedan calibrar el inters como foco de ataque que presentan determinados servicios. Aquellos en los que se observen intentos de ataques ms frecuentes, deberan ser considerados ms crticos en lo que respecta a su seguridad.

Artculo 25. Continuidad de la actividad.

Los sistemas dispondrn de copias de seguridad y establecern los mecanismos ne cesarios para garantizar la continuidad de las operaciones, en caso de prdida de los medios habituales de trabajo.

21


Puesto que la prestacin de un servicio constituye una de las prioridades de la Administracin Pblica, el Esquema Nacional de Seguridad persigue tambin como objetivo mantener en todo momento la continuidad del servicio. Por tanto, y a travsde las polticas de seguridad, debern disponerse de mecanismos que permitan tanto la recuperacin de los datos como de los propios sistemas, en caso de una potencial incidencia. No obstante, no hay que olvidar que el valor reside en los datos, y su conservacin debe prevalecer incluso sobre la prestacin del servicio.

Artculo 29. Guas de seguridad.

Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad, el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y di fundir las correspondientes guas de seguridad de las tecnologas de la informaciny las comunicaciones.

Para manejar eficazmente los sistemas con los que cuenta la AdministracinPblica, el Centro Criptogrfico Nacional ha elaborado, y continuar hacindolo, un conjunto de guas para el uso de diferentes tecnologas. En este sentido, Microsoft participa junto con el CCN en la elaboracin de las mismas en lo que respecta a sus tecnologas y soluciones especficas.

La serie CCN-STIC-500 (Centro Criptogrfico Nacional - Seguridad de las Tecnologas de la Informacin) recoge las diferentes guas desarrolladas conjuntamente para entornos Windows. Adicionalmente a los documentos, se proporcionan una seriede scripts que permiten, a travs de las polticas de seguridad, mejorar determinados escenarios atendiendo a la normativa existente.

2.3. Comunicaciones electrnicas Uno de los peligros potenciales que presenta el tratamiento de datos lo constituye

el ataque a la informacin en trnsito. Existen numerosas tcnicas que presentan comoobjetivo el ataque en redes de datos. A travs de las mismas, un tercero intentar bien suplantar a una de las dos entidades participantes en la comunicacin, o bien obtener la informacin que se estuviera intercambiando.

La alteracin en trnsito de una comunicacin para el desarrollo de un procedimiento administrativo podra conllevar su anulacin, o lo que es peor, si el sistema permite aceptar una autenticacin falsa por imposibilidad de validar correctamente un certificado digital, se inutilizara uno de los mecanismos fundamentales en los que est basado el Esquema Nacional de Seguridad.

Los sistemas de certificacin electrnica cumplen una labor muy importante. Hayque recordar que a travs del uso de los servicios tipo PKI (Public Key Infraestructure)se persiguen dos objetivos fundamentales:

l El firmado, con objeto de garantizar la autenticidad, el no repudio y la integridad de los datos.

22


l El cifrado, para garantizar la confidencialidad de los datos.

En un proceso de comunicacin se persiguen precisamente estos objetivos, por lo que los sistemas de certificacin electrnica resultan indispensables: bien sea para autenticar a un ciudadano, como para garantizar una comunicacin cifrada mediante SSL (Secure Socket Layer) o hacer un uso eficiente del correo electrnico mediante la utilizacin de S-MIME (Secure / Multipurpose Internet Mail Extensions).

Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.

1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lorelativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido integro de las comunicaciones y la identificacin fidedigna del remitente y des tinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio, sern implementadas de acuerdo con lo establecido en el Esquema Nacional deSeguridad.

2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza,de conformidad con la legislacin que resulte de aplicacin.

Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.

1. Las notificaciones y publicaciones electrnicas de resoluciones y actos administrativos se realizarn de forma que cumplan, de acuerdo con lo establecido en elpresente real decreto, las siguientes exigencias tcnicas:

a) Aseguren la autenticidad del organismo que lo publique.

b) Aseguren la integridad de la informacin publicada.

c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado de la resolucin o acto objeto de publicacin o notificacin, as como del accesoa su contenido.

d) Asegurenlaautenticidaddeldestinatariodelapublicacino notificacin.

El uso de los sistemas de certificacin electrnicos se considera de obligado cum plimiento. Segn lo estipulado por la normativa, ser el mecanismo principal para garantizar la autenticidad de los ciudadanos que acceden a los servicios que prestan las administraciones pblicas. Pero tambin pueden ser utilizados para garantizar el acceso del personal interno para el tratamiento de los datos.

Hay que tener presente en este sentido la importancia que implican los procedimientos de comunicacin administrativos. Sern factibles y tendrn tanta validez como los sistemas tradicionales, siempre y cuando cumplan con una serie de preceptos.En todos ellos la poltica de firma y certificado electrnico presenta una labor muy importante:

l Cifrado de los datos.

23


l Firma digital de la informacin.

l Firma de marca tiempo para el sellado electrnico.

En el desarrollo de los procedimientos administrativos el cumplimiento temporales crtico a la hora del establecimiento de resoluciones. Por ello, el uso de sistemas de certificacin electrnica para la implementacin del Time Stamp es otra de las necesidades a cubrir por los certificados digitales.

2.4. Auditora de seguridad Para garantizar la aplicacin de medidas y evaluar el debido funcionamiento

de los sistemas implementados, el Esquema Nacional de Seguridad (ENS) define la necesidad de realizar peridicamente auditoras de seguridad. El sistema de auditora queda definido a travs del Captulo V y el Anexo III.

Artculo 34. Auditora de la seguridad.

1. Los sistemas de informacin a los que se refiere el presente real decreto sern objeto de una auditora regular ordinaria, al menos cada dos aos, que verifique elcumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Con carcter extraordinario, deber realizarse dicha auditora siempre que seproduzcan modificaciones sustanciales en el sistema de informacin, que puedanrepercutir en las medidas de seguridad requeridas. La realizacin de la auditoria extraordinaria determinar la fecha de cmputo para el clculo de los dos aos,establecidos para la realizacin de la siguiente auditora regular ordinaria, indicadosenelprrafoanterior.

Los sistemas de auditora deben servir como el mecanismo catalizador que determine que las medidas tcnicas aplicadas son como mnimo suficientes, que cumplen sus cometidos y que los procedimientos se realizan de acuerdo a lo estipulado en la poltica de seguridad. No obstante, su realizacin depende del tipo de categora de seguridad que queda determinada en el Anexo I. Aunque este tema ser tratado con posterioridad, es importante indicar en este momento que existen tres categoras en funcin de la criticidad: bsica, media y alta.

En el caso de las categoras media y alta, la auditora deber realizarla un equipo independiente a la organizacin. En el caso de categora bsica, la auditora podr ser de tipo auto evaluativo. Un equipo interno dete

esquema nacional de seguridad con microsoft · esquema nacional de seguridad... con microsoft juan...

Documents