Agenda Estratégica de Investigación

Transcripción

1 Agenda Estratégica de Investigación Documento editado por AETIC Cuarta Edición. 2008

2 Índice 1. Presentación La visión esec La necesidad Alcance de esec Iniciativas europeas VII Programa Marco Programa Europeo de Protección de Infraestructuras Críticas La visión de esec en España Grupo de Coordinación Identificación y Control Tecnologías para la identificación fácil y fiable Sistemas de reconocimiento biométrico Gestión de la Identidad Certificados y firmas electrónicas DNI electrónico Identificación digital Sistemas de reconocimiento de documentos de identificación Seguridad en logística y transporte Identificación, control y trazabilidad de objetos por RFID Tecnologías para el control de acceso Sistemas inteligentes de protección y vigilancia de perímetros físicos: salas, edificios, terrenos Redes de sensores inalámbricos para seguridad perimetral, medidas y seguridad medioambiental Sistemas de inspección de contenidos, aplicaciones a antivirus en tránsito, anti-spam, etc Seguridad de Infraestructuras Seguridad de red Seguridad perimetral Patrones de actividad en redes Alerta temprana, corrección y respuesta rápida ante ataques impulsivos generalizados Correo seguro Inteligencia ambiental aplicada a la seguridad Seguridad activada en red Cuadros de mando Modelos de fallos Gestión de workflow en infraestructuras complejas de seguridad Gestión de vulnerabilidades Infraestructuras para la continuidad de negocio Alta disponibilidad de sistemas de información y comunicaciones Centralización y correlación de eventos y alarmas de seguridad Alerta temprana, gestión de crisis, data mining, correlación de datos, medidas para restaurar situación estable y mecanismos de neutralización Seguridad de aplicaciones y desarrollo de sistemas... 46

3 Metodología de desarrollo seguro Definición del problema de seguridad a resolver Confianza y seguridad de soluciones móviles Seguridad en Servicios Web y Arquitecturas orientadas a servicios (SOA) Aseguramiento de Sistemas Operativos Trusted Computing Apoyo a la investigación criminal y actividades forenses Seguridad de la Información Gestionada Tecnologías para la protección de la privacidad y de datos de carácter personal Mecanismos de anonimato, inobservabilidad e imposibilidad de vinculación Criptografía y criptoanálisis Firma digital Nuevas tecnologías de seguridad de la mano de las nuevas soluciones de cifrado Protocolos de comunicaciones para garantizar la confidencialidad Seguridad en redes ópticas Sistemas y herramientas para facilitar la puesta en práctica y evaluar el cumplimiento de los requisitos de la LOPD e ISO y Mecanismos de protección frente a spyware y grayware Sistemas y tecnologías para el almacenamiento a largo plazo de información confidencial Mecanismos para proteger la integridad de la información publicada en un servidor Web accesible desde Internet Sistemas y herramientas para facilitar la puesta en marcha y evaluación de un SGSI Mecanismos para gestión de la privacidad de acuerdo a las preferencias del usuario Seguridad en bases y almacenes de datos Mecanismos de filtrado de contenidos para niños y detección de contenidos ilegales Tecnologías para la protección y seguimiento de las transacciones Tecnologías para la trazabilidad de las transacciones físicas y de servicios Protocolos de comunicaciones para asegurar y trazar las transacciones electrónicas, impidiendo el repudio Herramientas de auditoría, trazabilidad y tecnologías forenses Tecnologías de sellado temporal Mecanismos de autodestrucción de tecnologías y datos asociados a un equipo que cae en manos indebidas Pasarelas/plataformas de firma electrónica. PKI (Public Key Infrastructure) Mecanismos de Seguridad en la externalización de los datos Protección de Propiedad Intelectual y Fraudes Huellas digitales, marcado / etiquetado electrónico, marcas de agua Gestión de derechos digitales (DRM) Métricas de seguridad Actividades Horizontales: Regulación, Normalización y Certificación Normalización, estándares, metodologías y herramientas para la Seguridad y Confianza Interoperabilidad en los Sistemas Heterogéneos Confiabilidad y Seguridad en los Sistemas Empotrados... 83

4 Sistemas de Gestión de la Seguridad de la Información (SGSI) y Certificación de Productos Normativa referente a tecnología RFID Metodologías de definición y desarrollo de sistemas confiables Ingeniería de sistemas seguros Atributos, Métricas y Mecanismos de Composición de la Seguridad y Confianza. Modelos de Confianza Gestión del riesgo, continuidad de negocio e investigación forense Análisis y gestión del riesgo, vulnerabilidades, sistemas de agresión controlada Recuperación de desastres, planes de contingencia y continuidad de negocio Sistemas de investigación forense Sistemas de análisis avanzado de datos de seguridad con técnicas de inteligencia artificial Gestión de la e-identidad y la e-reputación Estudio del estado de la cuestión a nivel europeo e internacional y posicionamiento nacional Gestión de la identidad electrónica a largo término (incluyendo aspectos como la intercepción con plena garantía legal, retención de datos, interoperabilidad de la identidad) Impacto del uso de las TIC (incluyendo Web 2.0 y Web 3.0) en identificación vs. aseguramiento de los derechos fundamentales Capacitación: concienciación y formación a los diversos segmentos de la sociedad El e-acceso: un riesgo asumido Desarrollo de herramientas y servicios para el mantenimiento de la e-reputación en el entorno empresarial e individual Observatorio para la protección de la identidad y e-reputación Seguridad en Banca Nuevos conceptos de autenticación e identificación de usuarios financieros Sistemas de autenticación y autorización robustos Confederación de sistemas responsables de la autenticación. Gestión de capacidades Sistemas y procedimientos de firma en operaciones financieras. Interoperabilidad Integración con DNIe Tecnologías seguras para la ubicuidad de servicios financieros Nuevas tecnologías de seguridad de las aplicaciones financieras on-line Seguridad en el autoservicio bancario Tecnologías avanzadas de sistemas de pago eseguridad en los nuevos canales financieros: voz, TV-interactiva, etc Tecnologías para la lucha contra el fraude digital Detección temprana de fraude Análisis y clasificación automática de código malicioso dirigido al robo de credenciales Vigilancia Digital de información financiera sensible en Internet Seguridad en los sistemas e infraestructuras bancarias Monitorización inteligente de la seguridad de los sistemas bancarios Seguridad de las nuevas arquitecturas: SOA, GRID, etc Análisis forense y creación de evidencias digitales: secure logging Vigilancia de recintos para entornos financieros Normalización y estandarización

5 Normativas de seguridad en sistemas de pago Normativas de seguridad de la información financiera: Basilea, Sarbanes-Oxley Seguridad Aplicada a Entornos Físicos Control de fronteras Problemática asociada al control de fronteras Vigilancia de fronteras marítimas y terrestres Localización y representación geográfica Sistemas de ayuda a la operación Identificación y control de pasajeros Protección contra el terrorismo y el crimen organizado Reconocimiento de escenarios de riesgo Vigilancia de entornos urbanos Control de uso y transporte de explosivos Unidades móviles para despliegues especiales Terrorismo medioambiental Seguridad Nacional en España Protección de infraestructuras críticas Protección de los medios de transporte Protección de infraestructuras portuarias Protección del suministro de energía y agua Protección de edificios Protección de infraestructuras de energía Seguridad en entornos turísticos Motivación Vigilancia fronteriza Salvaguarda de las infraestructuras y los medios de transporte Vigilancia cercana de playas y costas Protección de espacios, alojamientos turísticos y centros de ocio Operación en crisis, salvamento y repatriación Gestión de la confianza Gestión de situaciones de crisis Comando y control centralizado e interoperable Reconocimiento y representación común de escenarios Intervención y neutralización Recuperación rápida de servicios Tecnologías avanzadas para la compartición de información en situaciones de crisis Procesado de señal y video aplicado a la seguridad Diversidad de sensores Tecnología láser Sistemas multisensor Sistemas de identificación biométrica Posibilidades del procesado de señal y vídeo Sistemas globales de seguridad física Horizonte temporal de la Agenda Estratégica de Investigación

6 10. Participantes en la elaboración de este documento Glosario de acrónimos

7 1. Presentación esec es la Plataforma Tecnológica Española de Tecnologías para la Seguridad y Confianza. AETIC es responsable de la secretaría de esec y está financiada por el Ministerio de Industria, Turismo y Comercio (MITYC). Cuenta además con el apoyo de CDTI y Ministerio de Educación y Ciencia. esec ha cumplido ya los cuatro años. El camino ha sido gratificante porque la involucración y el compromiso de las entidades participantes no han dejado de incrementarse. Somos más de 190 entidades en este momento, incluyendo industrias grandes y pequeñas, Universidades y Centros de Investigación. esec ha sido un incuestionable vehículo de cohesión en el sector. El networking o las relaciones personales han madurado en torno al trabajo y al contacto personal. Esta es una aportación al sector de incuestionable valor que facilita la creación de un caldo de cultivo en el que fructifica el debate, el encuentro y las posibilidades de cooperación y de negocio. En el seno de esec se han gestado grandes proyectos. Seguridad 2020 es el proyecto singular y estratégico del año 2006, liderado por Isdefe, con 22 participantes y con un presupuesto de 7 M. Este proyecto de investigación industrial aborda la gestión de la identidad soportada por arquitecturas seguras y la definición y securización de los territorios digitales en los ambientes inteligentes de forma global, teniendo en cuenta diferentes aspectos tecnológicos, de interoperabilidad, de estandarización, sociales y legislativos. En el año 2007 se comenzó Segur@, un proyecto CENIT liderado por Telefónica I+D, con la participación de más de 37 entidades y un presupuesto de 31,6 M. Este ambicioso proyecto tiene como objetivo generar un marco de confianza y seguridad para el uso de las TIC en la e-sociedad. Partiendo de la situación actual, se va a realizar un amplio trabajo de investigación en tecnologías básicas aplicables a la seguridad de la información, tales como: biometría, algoritmos criptográficos, algoritmos avanzados de detección de intrusiones, etc. Este mismo año esec y CDTI hemos colaborado estrechamente para poner en marcha GLOBE, liderado por Telvent. Este es un proyecto emblemático en el Programa Europeo de Investigación en Seguridad, perteneciente al 7º Programa Marco. GLOBE es el proyecto encargado de trazar la hoja de ruta de investigación en la gestión integral de las fronteras europeas. El consorcio está formado por 14 entidades, entre ellas 5 españolas en las que recae el peso específico del proyecto. El presupuesto de esta primera fase es de 1 M. Alineado con GLOBE, Telvent también lidera IDENTICA, el proyecto singular y estratégico lanzado este año desde esec, con 15 participantes y un presupuesto de 6,36 M. Este proyecto investiga la verificación avanzada de identidad mediante biometría y documentación identificativa. En el año 2008 hemos celebrado el lanzamiento de INTEGRA, un proyecto CENIT con un presupuesto de 28M. Este proyecto, liderado por Telvent y con una gran implicación del resto de la parte española del consorcio GLOBE, está alineado con estos dos últimos proyectos y consolida la gran apuesta española por el liderazgo internacional de la gestión de fronteras en el futuro. El consorcio está formado por 28 entidades y tiene una duración prevista de 4 años.

8 El mundo de la Seguridad ha adquirido tal relevancia que la cantidad de entidades, eventos, foros y actividades es desbordante. Desde esec hemos tratado de mantener el contacto y la coordinación con muchos de ellos para facilitar las relaciones oportunas a las entidades de la plataforma, tanto a nivel nacional como europeo. esec mantiene una estrecha relación con INTECO, el Instituto Nacional de Tecnologías de la Comunicación, promovido por el Ministerio de Industria, Turismo y Comercio. Esta relación se puso de manifiesto con la celebración de la Asamblea General de esec 2007 en León, en el contexto del ENISE (Encuentro Nacional de Industrias de la Seguridad), organizado por INTECO, y se consolida con la celebración de la Asamblea General esec 2008 en el 2ENISE. El objetivo común es ahondar en esta relación para poner en marcha proyectos ambiciosos que redunden en la fortaleza de la industria española de seguridad. esec mantiene una relación fluida con el CNI y AENOR. Además esec, a través de su secretaría y de varias entidades de la plataforma, es miembro activo del ESRIF (European Security Research and Innovation Forum) nacional. Este grupo de expertos procedentes de la industria, centros de investigación y de las Administraciones se reúne con el objetivo de realizar aportaciones al plan de trabajo europeo del programa de seguridad, así como a la nueva agenda estratégica europea esec participa en el Grupo de Seguridad y Confianza organizado por el MITYC, a través de la SETSI. Este grupo es un punto de encuentro entre el MITYC y los representantes de la industria para hacer fluir la comunicación y crear grupos de trabajo específicos en torno a temas concretos. Uno de ellos, por ejemplo, ha sido el grupo de trabajo para la definición de los perfiles de protección del edni, en el que esec participó activamente. esec ha sido miembro fundador y gran colaborador en la creación del Cluster de Seguridad de la Comunidad de Madrid. Desde esec hemos mantenido una presencia permanente en los foros europeos. El contacto con la Comisión Europea es fluido, tanto con la INFSO-F5 Security, perteneciente a la Dirección General de la Sociedad de La Información y Medios de Comunicación, responsable de seguridad en el programa ICT (Information Communication Technologies), como con la ENTR-H4, Security Research & Development, de la Dirección General de Empresa y responsable del Programa Europeo de Investigación en Seguridad, ambos pertenecientes al 7º Programa Marco. esec es miembro del grupo de seguridad de NESSI (Plataforma Tecnológica Europea de Software y Servicios) y participa en el grupo de seguridad de EICTA (Asociación Europea de la Industria de las Tecnologías de la Información y las Comunicaciones). Desde esec mantenemos también contacto habitual con ENISA (European Network Information Security Agency) y participamos en los foros convocados por Think Trust o CISTRANA. esec ha participado igualmente con la EDA (European Defence Agency) para la incorporación de entidades españolas en sus proyectos. esec colabora estrechamente con el MITYC, con CDTI y con las Comunidades Autónomas que tienen programas específicos de investigación en Seguridad para la orientación de los programas y para la generación de proyectos de envergadura, además de contribuir a su difusión y facilitar la participación. Este camino recorrido nos deja ver el trabajo que aún queda por hacer: abrir nuevas vías de cooperación y diálogo; generar nuevos proyectos y nuevas iniciativas; acceder a otros mercados. Es de esperar que, después de la publicación del catálogo del Ministerio del Interior y de la presencia anunciada en la Asamblea 2008 de un alto representante

9 del mismo, se abra una nueva y fructífera vía de colaboración y apoyo a la industria nacional en proyectos de investigación. En este año se han creado grupos mixtos multiplataforma, que es de esperar que pronto se plasmen en proyectos de largo alcance. Están en marcha grupos de trabajo de seguridad y privacidad, en colaboración con la Plataforma Tecnológica Española de Tecnologías para la Vida Independiente y Accesibilidad evia, de seguridad en entornos turísticos, en colaboración con la Red Tecnológica Hotelera Española y esperamos que la relación con PESI (Plataforma de Seguridad Industrial) nos brinde a ambas plataformas una oportunidad de aunar soluciones y usuarios. Está en marcha el desafío de promover la industria española de seguridad en Sudamérica, a través de los programas nacionales y europeos. Buscamos como facilitar vías de acceso a Estados Unidos, mercado de gran repercusión. España es un país con un enorme potencial en seguridad, gracias a la existencia de industrias pioneras en productos, grandes empresas integradoras proveedoras de servicios e investigadores de primer orden. La decidida apuesta emprendida por las administraciones españolas de impulsar la sociedad del conocimiento en España a través de iniciativas muy ambiciosas tales como el edni, la factura electrónica, el nuevo Plan Avanza2, el Plan Moderniza, o la Ley de Acceso Electrónico de los Ciudadanos a los Sevicios Públicos (23 de junio 2007) son un poderoso trampolín para la industria, que puede consagrar ventajas competitivas sólidas para proyectarse internacionalmente. Además, España ha desempañado un papel de gran relevancia internacional en temas como la vigilancia de fronteras o la lucha antiterrorista, papel que tiene que consagrar a través de su proyección internacional. Desde esec queremos seguir aportando cohesión a un sector repleto de oportunidades y que la cooperación aporte a la industria española de seguridad, llena de potencialidad, un posicionamiento sólido y de largo plazo en el mercado internacional. El desafío para el nuevo año será el acercamiento a la demanda en los nuevos proyectos gestados en la plataforma. Carlos Jiménez, Presidente Jesús Romero, Vicepresidente Rosa Mª Bayona, Vicepresidenta José Carlos Manzano, Vicepresidente

10 2. La visión esec 2.1. La necesidad Los sistemas de información caminan de forma imparable hacia un mundo de servicios ubicuos en el que se abren paso conceptos tales como inteligencia ambiental, computación en grid, sistemas y redes pervasivas, y todo ello orientado a un concepto de servicios, soportados por un enjambre de dispositivos intercomunicados. Las TICs penetran a toda la sociedad y a todos los sectores, redefiniendo profunda e internamente su forma de ser y de existir. El universo de posibilidades que se abre para la humanidad es impredecible. El poder de información, de toma de decisiones y de innovación que se pone en manos de los ciudadanos abre las puertas a nuevas formas de vida y a modelos económicos que hoy ni tan siquiera podemos atisbar. La seguridad de esta base tecnológica y la confianza de los ciudadanos en la misma es el talón de Aquiles de la sociedad del conocimiento en la que Europa quiere basar su progreso y productividad de futuro. Este mundo de nuevas posibilidades, en el que lo viejo y lo nuevo se superponen, deja aflorar nuevas vulnerabilidades. Las mismas herramientas que permiten diseñar nuevos modelos sociales y poner en marcha una nueva economía global, son utilizadas con gran éxito por el crimen organizado, que demostrando gran capacidad de innovación, constancia y coordinación campa impunemente por la red amenazando gobiernos, infraestructuras y pilares fundamentales de nuestra sociedad como son la banca, las telecomunicaciones o las administraciones. Esta alarma se hizo especialmente relevante a partir del 27 de abril de 2007, cuando Estonia, un país con una buena infraestructura de red en el que el 60% de la población utiliza Internet diariamente, fue el blanco de un ataque cibernético sin precedentes. No iba dirigido sólo a dañar una empresa trasnacional o una agencia específica de gobierno, sino a infiltrar sus sistemas vitales de comunicación y administración con la finalidad de bloquearlos y provocar caos. El gobierno estonio acuso al ruso de haber liderado este ataque. Este hecho marcó un hito, por primera vez se habló de guerra en la red y se reclamó la protección de la OTAN. Desde entonces los casos de ataques organizados no han dejado de repetirse. La impunidad sigue siendo completa. El gobierno de EEUU ha presentado su Iniciativa para la Seguridad Cibernética Nacional, con un presupuesto de millones de euros. La Comisión Europea está alineando las fuerzas dispersas de respuesta a este tipo de ataques y la Protección de Infraestructuras Críticas de Información ha adquirido un enorme protagonismo dentro del EPCIP (European Program for Critical Infraestructure Protection), Programa Europeo de Protección de Infraestructuras Críticas, de carácter legislativo y desarrollado por la Dirección General de Justicia, Libertad y Seguridad, y del Programa de Seguridad del 7º Programa Marco de la Comisión Europea. Se impone una revisión de nociones tradicionales como el concepto de soberanía, la seguridad nacional y la guerra, ya que individuos aislados y desde cualquier punto del planeta pueden paralizar el funcionamiento normal de un Estado sin moverse de sus computadoras. En apenas unos minutos personas que no se conocen y que viven en diferentes países pueden encontrarse a través de foros y blogs de Internet

11 y unirse detrás de un mismo objetivo político. Pueden actuar espontáneamente o bajo la cobertura de una organización terrorista, criminal o con el patrocinio de un Estado. Pero además de ataques políticos, se han recrudecido tanto en sofisticación como en intensidad los ataques a entidades bancarias, telcos o administraciones con objetivo de generar riqueza fraudulenta. Estas entidades han desarrollado políticas de seguridad que han mantenido bajo control las amenazas. Si bien la integridad de los estados y la estabilidad de las grandes entidades que actúan como pilares de la sociedad son temas de un importancia vital desde el punto de vista de la seguridad, no deberían serlo menos la gran masa de pequeñas empresas que constituyen el gran peso de nuestro tejido productivo. Según se recoge en los últimos estudios publicados por INTECO 1 el estado de vulnerabilidad de las pymes españolas es alarmante. Si bien los incidentes de graves consecuencias no son muchos, esto parece deberse más al uso reticente de la red y a la falta de ataques sistemáticos. El progreso de España depende de la capacidad de su tejido industrial de integrar las TICs más allá de un nuevo medio para buscar o intercambiar cierta información. Para elevar la productividad sin riesgos necesita una remodelación de los procesos productivos y de los nuevos modelos de negocio que las nuevas tecnologías ponen al alcance de las pequeñas empresas. Pero esto implica que la seguridad sea una parte integral del negocio. La seguridad no es una herramienta tecnológica, la seguridad es un concepto integral, necesita procedimientos, políticas, métodos y herramientas. Esto lo han entendido las grandes empresas pero hay una asignatura pendiente con las PYMES. Un uso adecuado de las TICs por parte de la pequeña industria necesita atajar problemas de base como son la falta de cultura digital y la precariedad de la cultura empresarial. La imposición de la firma electrónica y la factura electrónica pueden ser alicientes para la industria proveedora, pero hemos de ser cautos y asegurarnos de que no abrimos nuevas vulnerabilidades en el tejido empresarial por falta de preparación para su uso correcto. Los ciudadanos son objetivo frecuente de los ataques en la red, que buscan fundamentalmente el fraude y la utilización de sus máquinas. Pero además de esto encontramos nuevos desafíos. La gestión de la identidad es un tema largamente debatido pero pendiente. La privacidad es no sólo un tema tecnológico sino ético y político de enorme trascendencia. La reputación digital es un concepto nuevo, sobre el que no tenemos aun suficiente capacidad de análisis, pero que nos hace pensar sobre el posible impacto que puede tener para el futuro de nuestros jóvenes el volcado sistemático de su intimidad en medios de almacenamiento dispersos por el mundo. Sin duda el uso permanentemente creativo de internet es una fuente continua de desafíos. Estamos en el inicio. Es muy probable que el despliegue tecnológico que vivimos siga multiplicándose a ritmo acelerado. Es el momento de mirar hacia el futuro para tratar de actuar de forma disruptiva sobre cómo debería ser la red del 1 Estudio sobre el sector de la seguridad TIC en España, sep Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas empresas españolas, INTECO.

12 mañana. Necesitamos identificar nuevas formas de generar confianza y nuevos modelos de seguridad. El uso criminal de la red y de los datos no puede seguir siendo impune y la seguridad no puede seguir siendo percibida como una carga. El desafío es enorme y sólo puede ser abordado con compromiso, cooperación e innovación. Los gobiernos se enfrentan a un problema que no pueden acotar en sus fronteras. Es imprescindible que la lucha contra el cibercrimen responda a políticas e iniciativas trasnacionales. Dentro de España la educación digital de empresas y ciudadanos debería ser un objetivo de gobierno de primer nivel, al margen del enfrentamiento político, en el que se impliquen todas las administraciones y la sociedad. Es necesario emplear todos los medios posibles para que el mensaje deje huella: series de televisión, incentivos fiscales a la certificación, promover la disponibilidad de servicios, programas educativo, etc. La industria de la seguridad no puede dejar de innovar. Las soluciones tecnológicas que proveemos siguen siendo demasiado complejas. La complejidad unida a la falta de formación digital es una fuente cierta de vulnerabilidades. Es necesario innovar en servicios para las pymes y los ciudadanos, hay que facilitar la implantación de soluciones globales de seguridad con procedimientos sencillos, hay que desarrollar modelos y herramientas que permitan que los costes y la dificultad sean asequibles. La usabilidad tiene que empezar a ser parte inherente de los sistemas y servicios de seguridad para que sean efectivos. Además de esto, la industria tiene que generar nuevos modelos de seguridad y confianza, tiene que generar mecanismos que impidan la proliferación de ataques, la seguridad tiene que ser parte integral en el diseño de nuevas arquitecturas y al mismo tiempo tiene que generar herramientas para proteger todo aquello que está desplegado y es vulnerable. Además tiene que dar soluciones respetuosas, que tienen que ir acompañadas de políticas coherentes, a la identidad, la privacidad y otras cuestiones éticas. Si queremos que el futuro de nuestros hijos sea más libre, la democracia más participativa y el progreso llegue a todos necesitamos actuar de forma coordinada, innovando en cooperación y promoviendo el diálogo. Por este motivo desde esec seguiremos fomentando la generación de grandes proyectos de innovación en cooperación que den repuesta a los grandes desafíos tecnológicos y a promover el diálogo y el acercamiento con la demanda tecnológica para asegurar el impacto de nuestras actuaciones Alcance de esec El concepto de Seguridad es absolutamente horizontal en todos los órdenes de la vida y en todos los ámbitos de aplicación de la tecnología, así como en el propio diseño de la tecnología. Desde esec hemos tratado de marcar un camino en el que nuestros esfuerzos no se dispersaran ante este horizonte no acotado. La primera línea de actuación de la plataforma, que se mantiene ya que es un terreno abierto a la investigación, es el desarrollo de tecnologías básicas para la seguridad de los sistemas de información.

13 Estas pueden clasificarse en cuatro grandes grupos: Identificación y control Seguridad de Infraestructuras, entendidas como infraestructuras TICs Seguridad de la Información Gestionada Actividades Horizontales: Regulación, Normalización y Certificación Estos pilares se definieron por primera vez durante el primer año de actuación de la plataforma y siguen estando vigentes, ya que las necesidades evolucionan de la mano del progreso tecnológico. Para facilitar el desarrollo de actividades más centradas que maduren en proyectos concretos se han lanzado grupos de trabajo enfocados en algunas de las líneas estratégicas específicas. La segunda línea de actuación se abrió en el segundo año de vida de la plataforma y se orientó hacia la aplicación de las TICs en la salvaguarda de la seguridad de la sociedad civil. Este entorno de aplicación también se conoce como Seguridad Física, y abarca conceptos como Gestión de Fronteras, Gestión de Crisis o antiterrorismo, por ejemplo. La tercera línea de actuación es el desarrollo específico de tecnología de seguridad aplicado a entornos concretos y también se inició en el segundo año de trabajo de la plataforma. Posteriormente esta línea ha continuado generando iniciativas y esperamos que continuará en el futuro. En esta área de trabajo se comienza además a trabajar de forma colaborativa con otras plataformas. Ejemplos de ello son la Seguridad en entornos Bancarios, la seguridad en la logística, la seguridad en entornos turísticos o privacidad y seguridad en entornos sanitarios y asistenciales. En un escenario tan amplio esec concentra sus esfuerzos en aquellas áreas en las que se identifican oportunidades concretas y en las que hay miembros de la plataforma con un claro interés por impulsarlas. El crecimiento en el área de aplicación intentamos que sea suficientemente gradual para que el esfuerzo no se diluya Iniciativas europeas VII Programa Marco Dentro del Programa Marco la seguridad aparece en dos programas: Programa ICT (Information Communication Technologies), dividido en 7 retos (challenges). El primero de ellos es el 'Pervasive and Trusted Network and Service Infrastructures 2 '. Está dividido a su vez en 7 tópicos, dos de los cuales están totalmente alineados con la agenda estratégica de esec, y son o o Security and trust of networks and service platforms Complete user control over personal data and digital identity, accompanied by strict protection of user privacy Está gestionado por la INFSO-F5, Security and Trust. 2

14 Programa Europeo de Investigación en Seguridad 3. Este programa aparece por primera vez en el Programa Marco, aunque anteriormente existía una Acción Preparatoria de Investigación en Seguridad. Responde a la décima prioridad establecida en el programa marco y tiene un presupuesto de 1.300M para el periodo Está gestionado por la ENTR-H4, Security Research & Development, de la Dirección General de Empresa. En el año 2007 hubo una llamada conjunta de ambos programas sobre el tema de Protección de Infraestructuras Críticas de Información. Es probable que se repita en el futuro Programa Europeo de Protección de Infraestructuras Críticas Este programa, llamado EPCIP (European Program on Critical Infrastructure Protection) 4, está desarrollado por la Dirección General de Justicia, Libertad y Seguridad. Es un programa legislativo que trata de desarrollar un cuerpo legal común a toda la Unión Europea. El objetivo es garantizar una protección mínima equivalente en todas aquellas infraestructuras críticas que tengan una dimensión europea, es decir, aquellas cuyo fallo puede afectar a más de un país. Este programa también tiene un presupuesto para el lanzamiento de pilotos La visión de esec en España España tiene muchos motivos para considerar la seguridad como un mercado estratégico: España cuenta con empresas fabricantes de productos de seguridad que son líderes a nivel mundial. Si bien esta es una oferta muy fragmentada y que necesita ofrecer soluciones completas a mercados globales. Por otra parte la seguridad de los sistemas de información está llamada a ser una parte importante en la protección de un país. Una gran potencia económica como España no debería dejar totalmente la protección de sus infraestructuras vitales en manos extranjeras. La puesta en marcha de un ambicioso plan de modernización por parte de la administración, que hemos comentado en la presentación, con despliegues como el edni y la futura facturación electrónica, abre una gran baza de oportunidades para que la industria desarrolle, madure y exporte soluciones. En España, por motivos geográficos (proximidad a África) y culturales (proximidad con Latinoamérica), se ha producido un flujo migratorio que ha obligado a desarrollar sistemas de protección de fronteras, que se han convertido en desarrollos punteros a nivel internacional. Por desgracia tenemos igualmente una gran experiencia en lucha antiterrorista. En este momento España figura en la lista de los países de nuestro entorno que más infección de ordenadores zombis padece

15 Todos estos factores apuntan a considerar la seguridad como una necesidad estratégica para el estado, la sociedad y la industria. esec es un foro que busca aglutinar intereses para darles fuerza de cara a competir en mercados globales, dinamizar la investigación y la innovación a través de la cooperación para mantener y elevar la oferta tecnológica, crear sinergias y colaboraciones que faciliten la búsqueda de soluciones completas y la apertura de mercados, dar visibilidad a nuestra industria en el exterior y sobre todo innovar en nuestros propios procedimientos con el objetivo de impulsar y fortalecer la industria española de seguridad Grupo de Coordinación El Grupo de Coordinación de la Plataforma Tecnológica esec se crea en la Asamblea General 2007 con la intención de establecer canales de comunicación para identificar más oportunidades de financiación para los miembros de la Plataforma, así como para fomentar la cooperación con todas aquellas instituciones europeas y nacionales del ámbito de la seguridad, a fin de evitar duplicaciones de los esfuerzos y por lo tanto fomentar el impacto que la Plataforma tenga como grupo aglutinador de distinto tipo de instituciones, todas ellas relacionadas con la I+D en seguridad. En este grupo se han reunido miembros de distintas asociaciones empresariales, del sector académico, así como del Ministerio de Industria, Comercio y Turismo, del Ministerio de Educación, y del Ministerio de Defensa. Cada uno de los miembros del grupo de coordinación es, a su vez, punto de contacto de alguna institución europea del sector de la seguridad y la defensa. Así, pretendemos hacer un seguimiento continuo y de primera mano de las políticas europeas y que la información de todas las actividades que puedan tener interés para los socios españoles de esec llegue de manera coordinada y efectiva. Además, aquellos foros europeos que requieran de una posición española o de un análisis de la situación en nuestro país se discutirán en este grupo para así enviar una delegación más representativa. Por último, la plataforma esec ha comenzado un proceso de unificar grupos de trabajo con otras plataformas en aquellos temas particulares que sean de especial relevancia y que se puedan abordar desde distintas perspectivas y/o que puedan resultar interesantes para plataformas de otros sectores. El grupo de coordinación pretende también observar estas áreas de interés para varias plataformas y potenciar la formación de grupos multiplataformas, una vez más con la intención de evitar la duplicación de esfuerzos y de favorecer la perspectiva multidisciplinar que ha de estar implícita en la búsqueda de soluciones para los riesgos de la seguridad europea.

16 3. Identificación y Control 3.1. Tecnologías para la identificación fácil y fiable Líneas estratégicas Sistemas de reconocimiento biométrico Gestión de la Identidad Certificados y firmas electrónicas DNI electrónico Identificación digital Sistemas de reconocimiento de documentos de identificación Infraestructuras, procedimientos y protocolos de gestión y almacenamiento de claves Seguridad en logística y transporte Identificación, control y trazabilidad de objetos por RFID Fundamentos y retos Sistemas de reconocimiento biométrico Los sistemas de reconocimiento biométrico son aquellos que permiten identificar o verificar a un individuo a través de alguna de sus características fisiológicas. Con el término identificar se define el hecho de reconocer a un individuo entre una población acotada de usuarios que pretenden acceder a un recurso. Por su parte, el término verificar se define el hecho de autenticar la identidad de un usuario. En ambos casos, el reconocimiento puede ser colaborativo, cuando el sujeto está dispuesto a participar en el reconocimiento, o no colaborativo, cuando no lo está. En el primer caso, un ejemplo es cuando se utiliza un dispositivo de reconocimiento de huellas dactilares para acceder a un recinto. En el segundo caso, un ejemplo es cuando se reconoce mediante el uso de cámaras a un delincuente que entra a un recinto. Los sistemas de reconocimiento biométrico se basan en un conjunto de tecnologías cuya evolución y mejora ha desembocado en una gran precisión en el reconocimiento, lo que las ha convertido en herramientas comerciales de gran robustez. Existe un amplio rango de rasgos fisiológicos reconocibles sobre los que se ha investigado. Los más importantes y sobre los que más se ha trabajado son la voz (patrones acústicos del habla), las huellas dactilares, el rostro, el iris ocular, la forma de oreja y mano y la distribución de capilares bajo la piel (vascular). La evolución de los sistemas de reconocimiento biométrico persiguen no sólo elevar la precisión de los resultados en identificación y verificación, sino también detectar

17 características anímicas, tales como tensión, cansancio, alarma o embriaguez, que permitan prevenir situaciones conflictivas o y satisfacer necesidades del usuario. Además de la tecnología básica implicada en el desarrollo de sensores de captación de rasgos biométricos, es necesario prestar atención a la identificación de escenarios de aplicabilidad, ya que, en muchos casos, el escenario no reunirá las condiciones óptimas para adquirir la muestra biométrica. Por ello, es necesario la propuesta de técnicas apropiadas a cada escenario así como las metodologías óptimas de evaluación en cada caso, lo que suele implicar la adquisición y utilización de bases de datos adecuadas a dicha evaluación. Además de los aspectos de captación, son igualmente relevantes los aspectos relacionados con la gestión de la información biométrica, tales como el acceso en tiempo real a las bases de datos que contienen los datos biométricos, el desarrollo de arquitecturas distribuidas interoperables para el reconocimiento biométrico sobre diferentes plataformas (terminales móviles, etc.) o la integración de los sistemas biométricos con sistemas de información geográfica. En virtud de los recientes atentados terroristas ocurridos en diversos países del mundo, el control de acceso a recintos críticos como aeropuertos o estaciones de tren se ha convertido en un elemento de seguridad clave. Por ello, debe potenciarse la investigación en los sistemas de reconocimiento biométrico, de tal modo que se solventen los actuales condicionantes de rendimiento insatisfactorio de algunos métodos, así como soluciones tecnológicas para asegurar la privacidad y la propiedad de los datos biométricos de cada usuario Gestión de la Identidad La proliferación de servicios de Internet en entornos telemáticos y de contenido digital ha hecho que la identificación y la autenticación de usuarios sea una función vital para los proveedores de servicios de Internet y los proveedores de contenidos. En este contexto, la identificación del usuario por parte de la red de acceso (proporcionada por los operadores), se limita únicamente a la infraestructura, mientras que son los proveedores de servicio los que instalan mecanismos adicionales para la identificación del usuario (generalmente un nombre de usuario y una contraseña) con el objetivo dar acceso a sus servicios y contenidos. Esto conduce a la proliferación de múltiples identidades fragmentadas del usuario en los proveedores de servicio que da lugar a relaciones de cliente a negocio aisladas. Esta situación es ineficaz para el usuario final por varios motivos: La fragmentación de la identidad del usuario le obliga a gestionar múltiples combinaciones nombre de usuario/contraseña. El usuario no tiene ninguna manera de controlar el uso de sus datos de identificación personales, los cuales se encuentran almacenados en múltiples servidores. Esta solución no proporciona suficiente confianza a los usuarios. La carencia actual de un sistema satisfactorio de gestión de identidades es una de las principales barreras en el desarrollo de los usos del e-comercio y del e- gobierno. Algunas iniciativas ya existentes apuntan a la gestión de identidades de los usuarios de una manera integrada, contraria a la opción de utilizar varias identidades fragmentadas. Sin embargo, la mayoría de los productos disponibles hoy en día ignoran requisitos básicos como, por ejemplo, estándares abiertos, que permiten un mercado abierto (y, por tanto, competencia) para el aprovisionamiento de productos y servicios y el control por parte del usuario de sus datos de identificación (desde anonimato completo, pseudos-anonimato hasta identificación completa y autenticación fuerte).

18 A día de hoy, la implantación de sistemas de gestión de la identidad basados en estándares abiertos no es muy abundante. Algunas empresas grandes han comenzado a introducir sistemas de autenticación Single Sign On (SSO) en sus sistemas informáticos, lo que habilita al usuario a acceder a múltiples servicios con un solo proceso de autenticación. Sin embargo, la implantación de mecanismos de SSO y compartición de datos de usuarios entre empresas todavía no se ha producido de manera comercial ni a gran escala ya que, si bien existe la tecnología, todavía hay muchos aspectos legales por cubrir. La Gestión de la Identidad es un área estratégica para España. Sin duda, el mayor auge provocado por la evolución de la Sociedad de la Información ha sido en el ámbito de los servicios online, pues éstos han sido el medio utilizado para dar soporte a las nuevas relaciones demandadas. La mayoría de ellos, por no decir todos, basan su funcionamiento en la personalización del servicio ofrecido, por lo que la identidad digital del usuario final es uno de los aspectos clave, si no el que más, que envuelve a su funcionamiento. Por otra parte, como en todos los ámbitos de nuestra sociedad que atañen a las relaciones entre entidades, la garantía de privacidad de la información intercambiada entre partes con motivo de un servicio online nunca debe ser cuestionada para que no se lesione ningún derecho legal y se garanticen los compromisos adquiridos por dicho intercambio. La posibilidad de que las identidades utilizadas sean un fraude, que la información asociada a ellas esté al alcance de terceros no autorizados, o que esta información sea manipulada de forma inadvertida para las partes, no solo pondría en duda la validez de este medio como vía de relación entre ellas, si no que también provocaría un rechazo natural en las entidades que se plantearan usarlo. En este marco, la identificación y la garantía de privacidad y anonimato del usuario (o de las partes) se presentan como unos de los retos más importantes en el mundo de las telecomunicaciones pero al mismo tiempo uno de los principales focos de fraudes que impiden ofrecer sistemas y servicios con garantías de confianza al usuario. La solución evidente a este problema pasa por establecer, de forma robusta, la identidad digital de cada parte de forma que no sean vulnerados sus derechos de privacidad. Es decir, tener certeza de que cada actor es realmente quien dice ser y no alguien que pretende suplantarle. Además, ahora es habitual que transacciones que antes se hacían de forma manual o presencial entre las partes puedan hacerse ahora de forma telemática y remota, pero manteniendo su valor legal. Esto exige una gran compromiso por parte de los sistemas de seguridad ya que, para que este tipo de relaciones puedan aspirar a sustituir a sus equivalentes presenciales, es necesario que garanticen tanto el no repudio de los datos emitidos como la inviolabilidad de los mismos. De nuevo, una vulnerabilidad en este tipo de sistemas supone la pérdida total de la confianza en el servicio y, por tanto, su fracaso Certificados y firmas electrónicas En la gestión de documentos electrónicos y la transmisión de mensajes telemáticos, se denomina firma electrónica (o firma digital) a un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje. La firma electrónica, como la firma autógrafa (manuscrita), puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad)

19 con el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda modificar su contenido. Por su parte, un certificado digital es un documento digital mediante el cual un tercero de confianza (autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad y su clave pública (utilizada para la verificación de la firma electrónica). El empleo de certificados digitales combinado con firma electrónica es, en la actualidad, el modo más seguro para garantizar la autenticidad e integridad en las comunicaciones. Su aplicación abarca multitud de ámbitos, tales como factura electrónica, voto electrónico, mensajes con autenticidad asegurada, etc. A nivel tecnológico, España está sobradamente preparada para el uso de esta tecnología. Con la aparición del DNI electrónico (tratado en el siguiente epígrafe) los ciudadanos españoles disponen de la herramienta para realizar transacciones telemáticas de forma segura. A pesar de ello, existe aún una gran desconfianza por parte de la mayoría de los ciudadanos hacia este tipo de tecnología, por lo que el uso de la firma electrónica para realizar de forma telemática transacciones que tradicionalmente se realizaban de forma presencial aún no está muy extendido. Incluso a aquellos ciudadanos acostumbrados a realizar transacciones de forma telemática, la tecnología de firma electrónica se les antoja un tanto extraña, acostumbrados a autenticarse sin más que introducir su nombre y contraseña, haciendo que a veces se sientan fácilmente rebasados por la complejidad tecnológica de las firmas digitales y demás funciones criptográficas. Por tanto, el esfuerzo en los próximos años debe enfocarse en aumentar la confianza de los ciudadanos hacia la firma digital DNI electrónico Si bien el DNI electrónico no constituye en sí mismo un objeto de investigación, se incluye un epígrafe dentro de esta Agenda por su impacto en el desarrollo de soluciones innovadoras en torno a la gestión de la identidad digital en España. El nacimiento del Documento Nacional de Identidad electrónico (DNIe), expedido en España desde marzo de 2006, responde a la necesidad de otorgar identidad personal a los ciudadanos para su uso en la nueva Sociedad de la Información, además de servir de impulsor de la misma. Así, el DNIe es la adaptación del tradicional documento de identidad a la nueva realidad de una sociedad interconectada por redes de comunicaciones. Además de la capacidad de identificación física de su titular, sus datos personales y su nacionalidad española, la Ley 59/2003 de 19 de diciembre de 2003 (Ley de Firma Electrónica) atribuye al DNIe nuevos efectos y utilidades, como poder acreditar en medios telemáticos la identidad y demás datos personales del titular que en él consten, así como realizar firmas electrónicamente (como si de una firma manuscrita se tratase) y de garantizar la integridad de los documentos firmados con los dispositivos de firma electrónica. De este modo, el DNIe es una tarjeta de policarbonato que incorpora un chip con información digital y que tiene unas dimensiones idénticas a las del DNI tradicional. Su tamaño, por tanto, coincide con las dimensiones de las tarjetas de crédito comúnmente utilizadas (85,60 mm de ancho X 53,98 mm de alto). Los datos del titular que recoge gráficamente el DNIe son los siguientes: En el anverso de la tarjeta: Primer apellido

20 Segundo apellido Nombre Sexo Nacionalidad Fecha de nacimiento Número de serie del soporte físico de la tarjeta (IDESP) Fecha de fin de validez Fecha de validez del documento Número del Documento Nacional de Identidad del Ciudadano y carácter de verificación correspondiente al Número de Identificación Fiscal La fecha de expedición en formato DDMMAA La primera consonante del primer apellido más la primera consonante del segundo apellido más la primera consonante del nombre. (del primer nombre en caso de ser compuesto) En el reverso de la tarjeta: Lugar de nacimiento Provincia-País Nombre de los padres Domicilio Lugar de domicilio Provincia-país del domicilio Número de la oficina de expedición del DNIe Información impresa OCR-B para lectura mecanizada sobre la identidad del ciudadano según normativa OACI para documentos de viaje. El DNI electrónico no contiene ninguna otra información relativa a datos personales ni de cualquier otro tipo (sanitarios, fiscales, tráfico, etc.). El microchip presente en el anverso de la tarjeta constituye la principal novedad visible por el usuario. La información almacenada en el microchip se encuentra distribuida en tres zonas con diferentes niveles y condiciones de acceso: Zona pública (accesible en lectura sin restricciones): Certificado electrónico de la autoridad emisora (CA intermedia) Claves públicas del ciudadano Certificado de componente para la autenticación de la tarjeta del DNI electrónico Zona privada (accesible en lectura por el ciudadano mediante la utilización de la Clave Personal de Acceso o PIN): Certificado de Firma (No Repudio) Certificado de Autenticación (Digital Signature) Claves privadas del ciudadano asociadas a dichos certificados Zona de seguridad (accesible en lectura por el ciudadano en los Puntos de Actualización del DNIe):