Esteu aquí

¿Cómo gestionar la seguridad de los Sistemas de Información?

Como cualquier otro proyecto emprendido por la organización, la gestión de la seguridad de los sistemas de información debe organizarse en etapas. Una propuesta sobre el ciclo de vida de esta gestión podría ser:

Análisis y gestión del riesgo

Entonces, ¿Qué medidas de protección hay que aplicar? La respuesta apuntada por todas las metodologías de gestión de la seguridad aceptadas y respaldadas internacionalmente, es clara: aquéllas que se estime necesario tras realizar un Análisis de Riesgos formal.

Esta fase del ciclo de gestión de la seguridad tiene por objetivo realizar ciertas mediciones y cálculos que nos lleven a seleccionar las medidas de protección que aporten el máximo retorno de la inversión en seguridad, equilibrando el coste total: los costes de los incidentes de seguridad sufridos, y los de los controles aplicados para prevenirlos.

Otro de los beneficios claros que aporta el realizar un análisis de riesgos es que, como se explica a continuación, para hacerlo es necesario revisar completamente la situación del sistema y plantear todos los posibles incidentes de seguridad imaginables; lo que nos hace conscientes del peligro real. Tanto es así que en algunos países (como EEUU) las compañías de seguros aplican descuentos considerables a las pólizas de las organizaciones que presentan un análisis de riesgos formal.

Pero, ¿por dónde comenzar?. El punto de partida debe ser, necesariamente, el análisis de los procesos críticos de la organización. Desde un punto de vista práctico, éste permitirá a las administraciones detectar y eliminar posibles servicios redundantes, y mejorar la efectividad y calidad de los que se continúen ofreciendo.

Desde el punto de vista de la Seguridad de los Sistemas de Información, el resultado obtenido apuntará hacia los elementos cuya continuidad de servicio debería garantizarse, por encima de cualquier circunstancia (accidentes, fallos o ataques).

Desde el punto de vista gubernamental, los servicios críticos serían los relacionados con la defensa y el orden público o la protección civil, como sistemas dependientes directamente del gobierno, pero hay otros sistemas "vitales" para la sociedad, como son: Telecomunicaciones (voz y datos), Medios de Comunicación (radio, TV, Prensa), Finanzas (entidades bancarias, bolsa), Suministros (agua, gas, electricidad), Transportes públicos (trenes, aviones, autobuses).

Los gobiernos deberán garantizar la continuidad de dichos servicios, auditando los procedimientos de Análisis de Riesgo realizados y las políticas de seguridad encaminadas a minimizar el Riesgo de ataque al sistema.

Pero esto no es todo; y es que, como suele decirse, la seguridad es una cadena que se rompe por el eslabón más débil. Y esto comporta que, al plantear un análisis de riesgos, es necesario ser muy rigurosos y no olvidar ningún elemento que forme parte del sistema o esté relacionado con él.

Por eso es recomendable (y muy útil) apoyarse en una metodología de análisis y gestión de riesgos, que nos ayude a:

* Identificar y valorar los activos que debemos considerar
* Detectar y valorar las amenazas que acechan sobre estos activos
* Estimar las vulnerabilidades del sistema de prevención de cada amenaza
* Estimar la probabilidad de que llegue a materializarse cada amenaza detectada
* Estimar el impacto que una violación de la seguridad (esto es, la materialización de una amenaza) puede tener sobre la organización.

Existen varias metodologías para el Análisis y Gestión de Riesgos, como OCTAVE o CRAMM; entre todas, para el caso que nos ocupa, es adecuado destacar la Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones Públicas español- MAGERIT.

MAGERIT

Esta metodología fue elaborada por el Ministerio de Administraciones Públicas (MAP) español, con el objetivo de analizar y gestionar los riesgos de sus propios sistemas, pero con la intención de que también pudiera servir a las restantes administraciones públicas.

Para hacerlo tomaron como referencia los criterios ITSEC - Information Technologies Security Evaluation Criteria, que fueron objeto de una Recomendación del Consejo de la Unión Europea-, y los Criterios Comunes de Evaluación de la Seguridad de los Productos y Sistemas de Información, elaborados conjuntamente por la UE, los EE.UU. y Canadá.

El modelo planteado por MAGERIT sigue los siguientes procesos:

* Identificación y valoración de activos; definición de sus requerimientos de protección. Deben considerarse los activos materiales e inmateriales, la información, las personas, el entorno, y las actividades de la organización.

Y, al valorarlos, tener en cuenta no sólo el valor financiero de estos activos, sino también el coste en el que se incurre por la pérdida de su disponibilidad, integridad o confidencialidad.

* Análisis de amenazas. Deberán considerarse las vulnerabilidades conocidas de las aplicaciones y equipos instalados en los sistemas, las estadísticas sobre accidentes naturales en la zona e interrupciones de suministros -eléctrico o de ventilación-, y las amenazas intencionales -locales o remotas-.

* Análisis de vulnerabilidades. Procuramos detectar los puntos débiles del sistema, y aquellas circunstancias que pueden desencadenar un incidente de seguridad. Así, habrá que valorar el grado de exposición del sistema ante cada amenaza identificada sobre un activo.

* Análisis de impacto. Valoramos las consecuencias de que se produzca un incidente de seguridad en el sistema. Hay que considerar las consecuencias cuantitativas -que valoramos estimando el coste de paliar los daños producidos, o de reposición de los activos- y también considerar las consecuencias cualitativas -que valoraremos estimando el tiempo durante el cual no disponemos de los activos afectados, ya sean éstos documentos, datos, o programas no recuperables, información confidencial, know-how, prestigio, o credibilidad-.

* Evaluación de riesgos. Ni las amenazas, ni las vulnerabilidades, ni el impacto, por si solos, son realmente importantes; lo preocupante es el riesgo.
Parece ampliamente reconocido que la manera más efectiva de definir el riesgo es la simple ecuación:

Riesgo = Vulnerabilidad (Probabilidad) * Impacto.

Lo que significa que si alguno de los componentes es cero, entonces el riesgo también es cero -aunque, siendo sinceros, no es posible asegurar que alguno de los componentes sea cero-. Pero otra manera de interpretar la ecuación es viendo que podemos reducir el riesgo si conseguimos reducir cualquiera de los dos componentes. Habitualmente lo que primero intenta reducirse es la vulnerabilidad, puesto que es lo que típicamente está más controlado (por ejemplo, podemos aplicar los parches necesarios sobre nuestras aplicaciones y sistemas; o podemos contratar varios proveedores de suministro eléctrico, para poder disponer de otro en caso de que uno falle). Existen, por tanto, soluciones sencillas y no muy caras que pueden ayudarnos a reducir parcialmente la vulnerabilidad de un sistema, o probabilidad de que sufra un ataque o incidente de seguridad, o el impacto que dicho incidente causaría en la organización (instalar un SAI = Sistema de Alimentación Ininterrumpida, que permita seguir trabajando durante un fallo de suministro eléctrico), reduciendo en cualquier caso el riesgo.

* Interpretación de riesgos. La política de seguridad de la organización debe establecer lo que se denomina un valor umbral de riesgo, que no es más que una estimación del nivel de riesgo mínimo que la empresa decide asumir. Y, una vez estimadas las valoraciones de todos los riesgos detectados sobre los activos de la organización, deben compararse estos valores con el valor umbral, de forma que los riesgos menores que el valor umbral se consideran aceptables (y, por tanto, no es necesario aplicar medidas de protección sobre ellos -aunque puede ser recomendable-). Por el contrario, si el riesgo calculado es mayor que el valor umbral, es necesario que se busquen medidas de protección para reducir la vulnerabilidad, la probabilidad o el impacto de la amenaza concreta sobre el activo. Para reducir la vulnerabilidad o la probabilidad hay que buscar medidas preventivas; para reducir el impacto, medidas curativas.

Existe todavía otra posibilidad que es la de transferir el riesgo a una tercera parte -como proveedores de servicios, compañías de seguros, etc-.

* Identificación y selección de salvaguardas. En un análisis razonable, esta selección resulta ser un Análisis de Costes y Beneficios, en el que comparamos: el coste de prevenir un problema (coste de la salvaguarda) con el valor del riesgo calculado anteriormente - sin olvidar que para calcular el coste la salvaguarda hay que añadir al coste de implantación, y el coste del mantenimiento-.

Y siempre teniendo en mente que el objetivo de implantar la salvaguarda es reducir el riesgo por debajo del valor umbral que se considera aceptable; de forma que si se estima que una salvaguarda no es suficientemente efectiva, habría que repetir el proceso desde el segundo proceso.

Finalmente, los mecanismos de protección que se seleccionen como resultado de los procesos anteriores, abarcarán diversos ámbitos:

* Política de seguridad: Uso de la información, privacidad, normas de comportamiento,...

* Arquitectura de sistemas informáticos: Diseño de la red, técnicas de programación segura, protocolos de interfaces,...

* Organizativo y Recursos humanos: contratos de confidencialidad, formación, pruebas de seguridad, procedimientos operativos, revisiones internas,...

* Tecnología: firewalls, detectores de intrusiones, autenticación, cifrado,...

Definición de la política de seguridad

En el caso de las Administraciones Públicas, existe un documento de referencia que puede ser de gran utilidad para definir una política de seguridad:

Criterios de Seguridad, Normalización y Conservación de la información, del MAP

La Secretaria de Estado para la Administración Pública del MAP publicó en Diciembre de 2001 la guía "Criterios de Seguridad de las aplicaciones, de Normalización y Conservación de la información".

El objetivo perseguido es fomentar entre las administraciones públicas el uso de mejores prácticas basadas en normas existentes, como la ISO/IEC IS 17799 "Código de buenas prácticas para la gestión de la seguridad de la información", que constituye una referencia fundamental sobre el tema. De esta forma se pretende que las organizaciones adopten medidas organizativas y técnicas que doten de un nivel de seguridad adecuado a sus sistemas. AENOR está redactando la versión española de esta norma (UNE 717799).

Estos criterios, además, contemplan la legislación aplicable en materia de protección de datos personales.

El documento se estructura en capítulos que siguen la estructura de la norma BS ISO/IEC 17799-2:2000; el contenido de estos capítulos concreta algo más el de la norma, al tratar los siguientes aspectos:

* Requisitos de carácter normativo que obligan a aplicar distintas medidas de seguridad.

* Criterios a considerar en la aplicación de las medidas, para satisfacer los requisitos anteriores.

* Recomendaciones que complementan los criterios expuestos, desarrollando con descripciones de las medidas técnicas u organizativas concretas.

* Los niveles de seguridad a que corresponden, según lo definido por el Reglamento de medidas de seguridad de los ficheros automatizados que contiene datos de carácter personal.

* Referencias que permiten ampliar conceptos técnicos y organizativos en los que se fundamentan las medidas.

Legislación aplicable: LOPD, LSSICE

Estas políticas de seguridad deben cumplir con los reglamentos de seguridad publicados, para garantizar técnicamente los requisitos legales impuestos por las leyes de Protección de Datos Personales [LOPD] y de Servicios DE la Sociedad de la Información y del Comercio Electrónico [LSSICE= Ley 34/2002 de 11 de julio (BOE 12/VII/02)].

Como resumen debemos decir que la LOPD obliga a que todos los ficheros de datos personales tengan un documento de seguridad, en el que se describan los procedimientos empleados para proteger los datos de usos indebidos. Si dichos datos requieren unas medidas de protección de tipo alto (sanitarios, religión, políticos, etc.), además deberá ser necesaria una auditoria independiente tanto de la calidad de las medidas de protección declaradas, como de su cumplimiento.

La LSSICE exige que los datos publicados en Internet reúnan unas condiciones determinadas, como por ejemplo incluir datos de contacto, Registro Mercantil, etc. La no publicación, o inexactitud de estos datos, puede desencadenar la aplicación de sanciones, y por tanto los servicios de publicación de información en Internet deben cumplir los requisitos de Integridad que permitan garantizar que nadie podrá modificar o eliminar la información requerida por la LSSICE, para perjudicar la imagen de la organización.

Implantación de la política de seguridad

Una vez definida la política de seguridad y determinadas las medidas de protección que es necesario aplicarlas para reducir el riesgo en los sistemas por debajo del nivel de riesgo aceptado por la organización, es necesario planificar la puesta en marcha de estas medidas.

Sin ánimo de ser exhaustivos, a continuación repasaremos las herramientas - técnicas y organizativas - que comúnmente utilizan las aplicaciones de e-Government para ofrecer los servicios de seguridad que precisan.

Disponibilidad 24x7

Cuando se ofrece un servicio con altos requisitos de disponibilidad debe plantearse la necesidad de establecer contratos con varios proveedores de un mismo servicio, de forma que si no podemos disponer de uno por cualquier avería o fallo, podamos restablecer la normalidad en el mínimo tiempo posible, sin depender de que ellos resuelvan su problema.

En el caso del suministro eléctrico es una buena opción contratarlo a dos compañías diferentes, y alternar semanalmente el uso de una y otra, ya que así aseguramos que ambas conexiones funcionan y que nuestros técnicos saben cambiar de conexión sin problemas -reduciendo significativamente el tiempo de respuesta en caso de fallo-. Lo mismo puede plantearse con el suministro de climatización de los CPDs. En cuanto a los proveedores de red, mantener contratos con diferentes compañías es una manera rápida y efectiva de restablecer el servicio tras sufrir un ataque de denegación de servicio (DoS) sobre los servidores web. Pero podría ser que fueran nuestros sistemas los que fallaran; sabemos que los fallos técnicos de los elementos hardware son más frecuentes de lo deseado. Para ser capaces de restablecer -e incluso de no interrumpir- el servicio cuando eso ocurre es necesario mantener réplicas de los elementos críticos del sistema, preparados para entrar en funcionamiento en cualquier momento -o, como habitualmente se denomina, mantener redundancia HW-.

Cumplimiento con la LOPD

La LOPD no sólo establece cómo deben tratar las empresas privadas los ficheros que contienen datos de carácter personal, sino que también define cómo deben hacerlo las Administraciones públicas, y distingue ambos casos -siendo conscientes de que, con frecuencia, la información de carácter personal que éstas manejan es más sensible que la que acostumbran a gestionar la mayoría de las empresas privadas-. Así, por ejemplo, el órgano regulador para los ficheros de titularidad privada es la Agencia de protección de Datos -de ámbito estatal-, mientras que para los ficheros de titularidad pública se contempla la creación de Agencias autonómicas. En Cataluña se ha aprobado ya la creación de la Agencia Catalana de Protecció de Dades.

El cumplimiento con lo establecido en el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal plantea la necesidad de aplicar mecanismos de protección, entre los que cabe citar:

* El Control de Acceso: hay que identificar a quien intenta acceder a la información, para poder determinar si tiene derecho a hacerlo, y para poder registrar (si la sensibilidad de los datos lo requiere) las operaciones que realiza sobre ellos.

Los mecanismos para identificar a un usuario son variados, como lo son los niveles de protección que ofrecen. Los más comunes (en orden creciente de seguridad) son:

El uso de un nombre de usuario y una contraseña. Este sistema requiere una gestión de contraseñas adecuada -como exigir ciertas características sobre ellas: longitud, tipo de caracteres -numéricos y alfanuméricos- que contienen, que no sean palabras que puedan encontrarse en diccionarios, etc; y también sobre su protección: cifrado del fichero del sistema que almacena las contraseñas de todos los usuarios, renovación periódica o contraseñas de un solo uso, no revelación a compañeros, no anotarlos, etc.

El uso de certificados digitales blandos, que son aquellos que almacenan la clave privada en soporte disquete, en el disco duro de un ordenador, etc.

Habitualmente se realiza una comprobación de la identidad de la persona que solicita el certificado, y de su derecho a poseerlo; sin embargo, si alguien más que el titular del certificado tuviera acceso físico al soporte donde se almacena la clave privada, podría acceder sin problema a dicha clave y utilizarla para realizar operaciones en nombre del titular del certificado, suplantando su identidad.

Certificados de este tipo son los que la Agencia Estatal de Administración Tributaria (AEAT) emite a los ciudadanos que lo solicitan, para poder realizar trámites (como la presentación de declaraciones de IRPF, pago de impuestos, etc) a través de su Oficina Virtual.

El uso de certificados duros, que son aquellos que almacenan la clave privada en tarjetas chip (criptográficas o de memoria), teléfono móvil, PDA, etc. Para acceder a la clave almacenada en estos dispositivos es necesario que el titular introduzca un PIN de cuatro dígitos; así la protección depende de algo que el titular tiene y de algo que sabe. Certificados de este tipo son los emitidos por las Cámaras de comercio, o por la Agencia de Certificació Catalana.

* El acceso seguro al sistema: hay que garantizar que un usuario solamente accede a la información a la que tiene derecho a acceder, a la información autorizada, y para realizar sobre ella las operaciones autorizadas. Para implantarlo puede pensarse en sistemas que gestionan los privilegios de los usuarios (o los poderes o derechos). El sistema desarrollado dentro del proyecto PERMIS -puesto en marcha por el Ayuntamiento de Barcelona para la gestión de multas de tráfico impuestas a conductores de coches de alquiler, es un ejemplo de aplicación que garantiza el acceso seguro a la información, gestionando los derechos de acceso de un grupo de usuarios amplio. La aplicación desarrollada permite que las compañías de alquiler de coches puedan consultar en los sistemas de información del Ayuntamiento si se ha impuesto alguna multa a un coche, para así incluir el importe de dicha multa en la factura final que se cobra al conductor -en lugar de tener que asumir la multa las compañías de alquiler-.

Otra forma de conseguir que sólo los usuarios autorizados accedan a la información protegida es cifrándola, y distribuyendo los mecanismos necesarios para descifrarla e interpretarla sólo entre estos usuarios. Este último detalle (distribución de las claves para descifrar) hacen que este mecanismo sólo sea apropiado para gestionar los privilegios de un grupo reducido de usuarios autorizados. Por último, queremos recordar que este acceso seguro debe implementarse no sólo sobre la información que está en producción en el sistema, sino también sobre la información registrada en copias de respaldo y la de archivo, por lo que es necesario desarrollar sistemas de almacén seguro -de los que hablaremos más adelante-.

* Un último mecanismo (este ya de carácter organizativo) que protege los datos de carácter personal manejados por las AAPP son los contratos que están obligados a establecer con terceras partes si se disponen a cederles estos datos. Haciéndolo de esta forma, el usuario puede confiar en que sus datos están bajo control, que solamente serán tratados por quienes sea necesario y con finalidades conocidas y lícitas.

Almacén seguro de información

Uno de los problemas de seguridad más claros que plantea la puesta en marcha de aplicaciones de e-Government es la necesidad de poder conservar a largo plazo gran número de documentos en soporte electrónico (cuando menos, los equivalentes a los que en la actualidad se archivan y almacenan en soporte papel); por ejemplo: expedientes, licencias, multas, permisos, censo, etc.

La solución apuntada es la puesta en marcha de un almacén seguro de información, que ofrezca los siguientes servicios de seguridad:

* Confidencialidad de la información histórica, para que la solamente el personal autorizado tenga acceso a ella. Se consigue cifrándola y protegiendo adecuadamente (en caja fuerte, por ejemplo) las claves necesarias para descifrarla.

* Integridad: para poder determinar si se ha alterado de forma ilícita la información almacenada podemos aplicar varios mecanismos de seguridad. El primero es recabar Registros de actividad (logs), que permitan analizar y reportar los accesos realizados sobre la información, conociendo quién accedió a ella, en qué instante de tiempo y qué operación (consulta, actualización o borrado) realizó.

Además pueden aplicarse herramientas que calculan un resumen (o hash) de la información y lo cifran con una clave que se protege convenientemente, de forma que puede detectarse cualquier modificación de la información, puesto que al calcular de nuevo el resumen, el resultado obtenido es diferente al que se almacena cifrado. Otras herramientas, yendo más allá, permiten firmar electrónicamente las copias de respaldo.

* Disponibilidad: el objetivo final de este almacén seguro es garantizar que, transcurridos unos años desde la creación de los documentos, si es necesario, podrán volver a consultarse. Para ello es imprescindible definir unos procedimientos de gestión de copias de respaldo (backups) adecuados, que tengan en cuenta el volumen de documentos a gestionar y su tamaño, las tecnologías de respaldo disponibles, y que no olviden que - en caso de cambiarse la aplicación que gestionaba los documentos- debe mantenerse en algún ordenador una copia de la aplicación reemplazada que permita restaurar y acceder a los documentos históricos.

Trámites seguros: Firma electrónica

Poco a poco va consolidándose la confianza de los ciudadanos en un mecanismo que les ofrece suficiente seguridad técnica y les parece de uso sencillo, y es la firma electrónica.

Este mecanismo de seguridad es la clave para poder establecer relaciones comerciales y contractuales a través de Internet, aunque es imprescindible que sea aceptada como la firma manuscrita, con las mismas condiciones legales y comerciales.

En ese sentido, tanto la Directiva Europea 1999/93/CE como el Real Decreto-Ley 14/1999 sobre firma electrónica consideran estos aspectos. En el caso de la ley española, se considera que una firma electrónica, basada en un certificado electrónico reconocido que cumpla las condiciones estipuladas (artículo 8 sobre los requisitos para la existencias de un certificado reconocido, y articulo 20 sobre normas técnicas), debe tener "...el mismo valor jurídico que la firma manuscrita... y será admisible como prueba en juicio" (artículos 3.1.y 3.2 de la misma ley). Por su parte, la Directiva Europea sobre firma electrónica contempla un formato de firma que pueda utilizarse como medio de autenticación, así como un formato particular de firmas electrónicas avanzadas (o cualificadas), cuya validez legal es equivalente a la de una firma manuscrita.Además, la aprobación del Decreto 324/2001 de la Generalitat de Catalunya, relativo a las relaciones entre los ciudadanos y la Administració de la Generalitat de Catalunya a través de Internet, destaca la firma electrónica como mecanismo clave para asegurar estas comunicaciones. Concretamente, el decreto establece que "...las comunicaciones y notificaciones telemáticas... serán válidas siempre que exista constancia de la transmisión y de la recepción, de sus datos y del contenido íntegro de las comunicaciones... y se identifique el remitente y el destinatario de la comunicación" (artículo 14). Además, en el artículo 15 se especifica que "...para iniciar un procedimiento administrativo mediante un sistema telemático, los interesados deberán ser titulares de un certificado digital reconocido, que contenga la información y reúna los requisitos que prevé en los artículos 8 y 12 del Real Decreto-Ley 14/1999". A continuación, el artículo 15 indica que los certificados digitales "...podrán ser residir en cualquier dispositivo o soporte físico que permita almacenarlos con garantías de protección... y bajo el control exclusivo del titular del certificado digital". Finalmente, se reconocerán certificados emitidos por cualquier entidad prestadora de servicios de certificación digital acreditada o reconocida por la Generalitat de Catalunya.

Cuando se firma digitalmente un documento, su validez legal depende de tres aspectos fundamentales: El proceso de firma, El proceso de generación de certificados, El derecho del firmante a firmar el documento con la clave privada correspondiente

Evaluación de la eficacia de los mecanismos de seguridad aplicados

Una vez se han aplicado los mecanismos de protección según lo planeado, es recomendable evaluar por primera vez la eficacia de las medidas implantadas. Como referencia pueden seguirse los procedimientos recomendados por:

MAGERIT (Análisis de Riesgos Residual)

Esta metodología recomienda repetir ahora algunos de los procedimientos del Análisis de Riesgos: la estimación de las vulnerabilidades ante cada amenaza y la del impacto que la materialización de éstas tendría sobre el sistema, pero considerando las medidas de protección aplicadas (con la intención de reducir alguno de los tres factores del riesgo). Los riesgos así calculados son los denominados riesgos residuales. Comparándolos con los calculados al inicio del proceso (riesgo intrínseco) obtenemos una medida de la eficacia de las medidas aplicadas, tanto más real cuanto más acertadas sean las estimaciones realizadas.

Estas valoraciones pueden servir, por un lado, como argumento para justificar la inversión en medidas de seguridad y para calcular el retorno de la inversión (ROI); por otro, para determinar si, realmente, hemos conseguido el nivel de riesgo que esperábamos cuando decidimos cuáles iban a ser las medidas a implantar. De no ser así, debería revisarse si ello es debido a algún error durante la implantación (configuraciones incorrectas o incompletas, etc) o, simplemente, a un error en la estimación -optimista- de la eficacia de las medidas. Si se decide que ésta última es la causa, debe repetirse el procedimiento de interpretación del riesgo -partiendo de la situación actual, del riesgos residual - y el de identificación y selección de salvaguardas, para luego planificar la implantación de nuevas medidas de protección complementarias.

Controles del BS 7799-2:2002

Esta norma ofrece, en su parte 2, una serie de controles que, agrupados por objetivos, contempla todos los aspectos que debe cubrir un sistema de gestión de la seguridad de la información. Es importante destacar que estos controles no son todos de carácter técnico, sino que hay varios grupos de controles referidos a medidas de protección que son de carácter organizativo.

Revisar un sistema de información contra esta norma revelará, no sólo si hemos aplicado las medidas de protección adecuadas - proporcionadas al riesgo calculado -sino que veremos también si estamos preparados para gestionarlas adecuadamente. Y este último detalle es la gran aportación, a nuestro entender, de la norma: incidir en el hecho de que los mecanismos de protección deben gestionarse, mantenerse, actualizarse, monitorizarse continuamente para asegurar que siguen siendo eficaces, y que se adaptan a la realidad siempre cambiante del sistema de información.

Por supuesto, la norma contempla la posibilidad de que esta gestión de la seguridad sea encargada a terceras partes, como parte de la externalización de servicios de una organización, siendo conscientes de que esta es la tendencia actual.

Otras métricas

Parece comúnmente aceptado que el tiempo y la actualización insuficiente de los sistemas de información y de sus mecanismos de protección, juegan en contra de la seguridad, y aumentan el riesgo de sufrir un incidente de seguridad. Y parece también cada vez más necesario contar con métricas para estimar el riesgo y la seguridad contra el tiempo y la inactividad de los administradores de sistemas.

En este sentido, la iniciativa Open Source Security Testing Methodology Manual (OSSTMM), define el concepto de RAVs (Risk Assessment Values) como la degradación de la seguridad dentro un ciclo de vida de gestión de esta seguridad que esté basado en mejores prácticas de revisiones periódicas. Esta métrica considera una serie de controles -definidos en el manual- que abarcan tanto aspectos técnicos como organizativos (procedimientos y políticas).

Matemáticamente los RAVs dependen de tres factores: El nivel de degradación de cada módulo (respecto al nivel de protección óptimo), el ciclo -o tiempo máximo que puede tardar en degradarse hasta alcanzar un nivel cero-, y varios pesos que dependen de las áreas de proceso de alarma, visibilidad, acceso, etc.

A partir de esto, definen una fórmula matemática para calcular el RA y, sobre cada uno de los módulos especificados en el manual, asignan un ciclo y un nivel de degradación. Así, por ejemplo, para el control que revisa la"Seguridad física" (y cuyo objetivo es determinar si es posible tener acceso a las instalaciones y activos de la organización aprovechando alguna vulnerabilidad de su localización o de sus medidas de protección física) se estipula un ciclo de 180 días, y un nivel de degradación del 7'9%; mientras que para el control "Búsqueda y comprobación de vulnerabilidades"- referido a seguridad en Internet-, cuyo objetivo es la identificación, comprensión y verificación de puntos débiles, configuraciones inapropiadas y vulnerabilidades de un host o red, el ciclo definido es de 3 días y el nivel de degradación es 3'6%.

Mantenimiento y administración

Según acabamos de ver, los mecanismos de protección implantados en el sistema deben gestionarse de manera continuada, y no pueden considerarse como actuaciones puntuales. Los mecanismos a los que hacemos referencia a continuación son algunos de los que ayudan a mantener actualizado este marco de gestión de la seguridad.

La política de seguridad genérica se redacta con la intención de que sea válida durante un período aproximado de unos cuatro años -si no se producen grandes cambios en la organización que obliguen a lo contrario-; sin embargo, los procedimientos operativos que le dan soporte y la concretan deben mantenerse permanentemente actualizados, para reflejar siempre la realidad del sistema. Debe establecerse el período de revisión de cada procedimiento operativo, dejándolo abierto a revisiones extraordinarias motivadas por una necesidad de mejora (refinamiento de procedimientos, actualizaciones de componentes del sistema, etc).

Es recomendable (incluso obligatorio por imperativo legal, como en el caso de la LOPD) realizar periódicamente cierto control de calidad (que es más o menos teórico) de las medidas de protección aplicadas; son las auditorías. Es recomendable hacerlas frecuentemente -aunque eso depende de los elementos del sistema que vaya a considerarse- y con carácter interno; pero además deberían encargarse, con menor frecuencia, a una entidad externa e independiente.

En ambos casos (auditorías internas y externas) estas acciones deberían realizarlas "terceras partes" centradas en tareas de seguridad, y no los propios administradores de los sistemas, para tener una perspectiva más amplia de la situación y mayor imparcialidad.

Otro mecanismo de gran importancia -por su carácter totalmente práctico- para el mantenimiento de las medidas de protección implantadas y que, sin embargo, es olvidado con frecuencia, son los ensayos: de planes de contingencia, de recuperación de copias de respaldo de datos, y de respuesta a incidentes de seguridad. Ya se ha comentado su aportación a la hora de reducir el tiempo de recuperación en caso de producirse un incidente de seguridad; pero, además, cabe destacar su importancia para detectar posibles fallos (técnicos, de definición de procedimiento, y humanos) en los sistemas de comunicación de incidencias y en los de recuperación.

Estos dos últimos mecanismos (auditorías y ensayos) también deben planificarse (quién participará en ellos, qué se hará, cómo se harán, etc ) y establecer -y, por supuesto, cumplir- calendarios para su realización.

Y no debe olvidarse el primero de los factores de éxito para el mantenimiento de los mecanismos de seguridad implantados: la prevención. Que puede concretarse en acciones como: la recogida, análisis y revisión de los registros de actividad (logs), la suscripción a un servicio que nos avise de las vulnerabilidades detectadas en las aplicaciones y equipos de nuestro sistema, y la reconfiguración de equipos HW, herramientas SW y, en el límite, de la arquitectura de la red (ubicación de los proxys, etc), atendiendo a los avisos de vulnerabilidades recibidos -para así evitar los riesgos asociados-.

Entre los servicios de avisos de vulnerabilidades que actualmente operan en España, destacamos Altair, que es mantenido por el esCERT-UPC (Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas, de la Universitat Politécnica de Cataluña) y el que será su sucesor: EISPP, que es el fruto de un proyecto financiado por la UE para la creación de un servicio de distribución de avisos y de una base de datos de vulnerabilidades común que será mantenida y alimentada por los CERTs más activos en Europa; como referencia, mencionar que en su puesta en marcha participan - junto a esCERT-UPC - los CERTs de empresas como Alcatel (Coordinadora del proyecto), British Telecom o Siemens.

Y para completar esta visión de la seguridad en los sistemas de información de las Administraciones Públicas, a continuación, revisaremos las necesidades de servicios de seguridad que plantean las aplicaciones de e-Government, agrupándolas por servicios.

5. Requisitos para ofrecer Disponibilidad

Las características básicas a considerar para conseguir alta disponibilidad de un servicio son:

* Recuperación: entendido como el tiempo que el sistema permanece inactivo tras un incidente de seguridad. Se pretende que sea el menor posible.

* Extensión: es la necesidad de ofrecer el servicio el mayor tiempo posible (idealmente, 24x7).