Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad

Transcripción

1 ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN ORGANIZACIÓN INDUSTRIAL Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Autor: Sebastián Laiseca Segura Director: Francisco José Cesteros Garcia Madrid Mayo 2013 Mayo 2013

2

3 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad INDICE RESUMEN DEL PROYECTO... 5 PROJECT SUMMARY I - INTRODUCCIÓN 15 II - LEGISLACIÓN 19 DIRECTIVAS EUROPEAS Y LEGISLACIÓN ESPAÑOLA SEGURIDAD DE LOS DATOS: PAYMENT CARD INDUSTRY DATA SECURITY STANDARD CONVENIO DE BUDAPEST 23/11/ FAMILIA DE NORMAS ISO NORMA ISO ISO CONCLUSIÓN III - CLASIFICACIÓN DE AMENAZAS 49 ESTADO GENERAL DE LOS ATAQUES INFORMÁTICOS 51 Encargado de seguridad PERCEPCIÓN DE LA SEGURIDAD DESDE DENTRO TEORÍA DE LA INFORMACIÓN Y TICS ATAQUES DE DENEGACIÓN DE SERVICIO ESTAFAS Y PHISING SEGURIDAD Y ATAQUES POR SOFTWARE IV MEDICIÓN E IMPACTO 75 RETORNO DE INVERSIÓN EN LOS ELEMENTOS DE LA SEGURIDAD INFORMÁTICA 75 Single Loss Expectancy, SLE Annual Rate of Occurrence, ARO Annual Loss Expectanty, ALE Return on Security Investment, ROSI Ejemplo de aplicación del cálculo del ROSI Limitaciones del ROSI IMPACTO Y COSTES SOCIAL CRITERIOS Y PROBLEMAS EN LA MEDICIÓN MODELO CAMBRIDGE: MEASURING THE COST OF CYBERCRIME Costes directos Costes Indirectos Costes de Defensa Costes para la sociedad Conclusiones del modelo de Cambridge MOVILIDAD EN LOS MEDIOS DE PAGO Alojamiento de la información sensible Cálculo de costes indirectos COSTE DE LA PRODUCTIVIDAD DE LOS CLIENTES Supuesto: Laiseca Segura, Sebastian 1

4 FRAUDE DE BANCA ONLINE Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad V - CONCLUSIONES BALANCE GENERAL DEL FRAUDE FUENTES DE INFORMACIÓN MEJORARA DE LA SEGURIDAD CONSIDERACIONES ÉTICAS MOTIVACIÓN DE LA ACTUACIÓN CONCIENCIA ÉTICA DEL EXPERTO EN SEGURIDAD INFORMÁTICA Laiseca Segura, Sebastian

5 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad ÍNDICE DE FIGURAS Figura 0.0: Jerarquía de la normativa establecida en la constitución española... 6 Figura 0.1: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información Figura 0.2: Marco para el análisis de los costes de los delitos informáticos Figure 0.0: Hierarchy of the rules established in the Spanish Constitution Figure 0.1: Model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory Figure 0.2: Framework for the analysis of the costs of cybercrime Figura 1.0: Ejemplo de sistema de cifrado por desplazamiento, o Código Cesar Figura 1.1: Fracción del PIB de EEUU producido por el sector de seguros y sector financiero. Fuente: US Bureau of Economic Analysis Figura 2.0: Clasificación de las multas en función del tipo de falta de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal Figura 2.1: Jerarquía de la normativa establecida en la constitución española Figura 2.2: Encuesta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales?. Fuente: 2012 Global Financial Services Industry Security Survey Figura 2.3: Parte de los procedimientos de prueba para el requisito Nº1 de las normas PCI DSS Figura 2.4: Tabla de resultados del estudio de Security By Default: Bancos y SSL Quiénes aprueban? (Octubre 2010) Figura 2.3: Principio del PDCA. Asegura una mejora continua Figura 2.4: Relación entre las normas de la familia ISO Figura 3.0: Euro / Gbyte del terminal IPhone 5 de Apple Figura 3.1: Participantes de la encuesta del estudio de seguridad global 2012 de Deloitte Figura 3.2: Funciones que se le atribuyen al director de la seguridad de la información en una entidad financiera, fuente Deloitte Figura 3.3: relación entre el director de SI y el director de riesgo operativo de una entidad, según la encuesta realizada por Deloitte Figura 3.4: Nivel de percepción de amenazas de un ataque informático en una entidad financiera. Fuente: Encuesta Figura 3.5: Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses?, fuente Deloitte Figura 3.6: Porcentaje del presupuesto global que una entidad financiera dedica a la privacidad. Fuente: 2012 Global Financial Services Industry Security Survey: Breaking Barriers Figura 3.7: Estado de la seguridad en las entidades financieras. Principales conclusiones de auditoría. Fuente: Deloitte Figura 3.8: A qué nivel está su compañía soportando el uso de dispositivos móviles?, fuente Deloitte Figura 3.9: Lo que las entidades financieras hacen para mantenerse al día en materia de cibercrimen a día de hoy. Fuente Deloitte Laiseca Segura, Sebastian 3

6 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Figura 3.10: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información Figura 3.11: Ordenador atacante, A, conectado a un red de computadores con el servidor objeto del ataque B, conectado a la misma red Figura 3.12: Modelo de Shannon de la información bajo un ataque de denegación de servicio Figura 3.13: Esquema básico de un ataque distribuido de denegación de servicio, DDOS Figura 3.14: Programa Low Orbit Ion Cannon, utilizado por Anonnymous para llevar a cabo un ataque DDoS Figura 3.15: Repercusión en las comunicaciones de una empresa tras sufrir un ataque DDOS. Fuente: McAfee Figura 3.16: Máximo ancho de banda de un ataque de denegación de servicio en Mbps. Source: Worldwide Infrastructure Security Report Figura 3.17: Esquema simplificado de conexiones de un keylogger físico de PS/2 a USB Figura 3.18: Número de ordenadores infectados por el virus Stuxnet Figura 4.0: Costes anuales (en millones de dólares), por industria, a causa de los ataques informáticos. Fuente: Instituto Ponemon Figura 4.1: Informe de McAfee sobre amenazas: Primer trimestre de Figura 4.2: Coste total del cibercrimen en 5 países. Fuente: Instituto Ponemon Figura 4.3: Costes externos en porcentaje y por países de una entidad al ser atacada. Fuente: Instituto Ponemon Figura 4.4: Costes internos en porcentaje y por países de una entidad al ser atacada. Fuente: Instituto Ponemon Figura 4.3: Marco para el análisis de los costes de los delitos informáticos Figura 4.4: Ejemplo de utilización de la tecnología desarrollada por Squareup para pagos con tarjeta de crédito mediante un Smartphone Figura 4.5: Fraude de las tarjetas de crédito por categorías en el Reino Unido entre los años 2004 y Figura 4.6: Lista de tiempos tras un ataque a gran escala al sector financiero Figura 4.7: Sueldo Medio, modal y mediano de la población española en el Fuente: INE Figura 4.8: Esquema básico de un taller con 5 centros de trabajo Figura 5.0: Gráfica para categorizar el tipo de información de los diferentes actores de la seguridad informática en el sector financiero para elaborar este proyecto fin de carrera Figura 5.1: Percepción de la amenaza en cuanto a origen de los ataques informáticos. Fuenta McAfee Unsecured Economies: Protecting Vital Information Laiseca Segura, Sebastian

7 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad TECNOLOGÍAS DE LA SEGURIDAD EN IT Y SU APLICACIÓN EN EL SECTOR FINANCIERO, LA MOVILIDAD Y LA CIBERSEGURIDAD Autor: Laiseca Segura, Sebastián. Director: Cesteros García, Francisco José Entidad Colaboradora: ICAI Universidad Pontificia Comillas RESUMEN DEL PROYECTO No hay duda de que las nuevas tecnologías de la información, muy especialmente las basadas en la movilidad, están cada vez más integradas en la sociedad. Este proyecto final de carrera pretende contestar a la cuestión del impacto de un ataque informático en las entidades financieras. La primera cuestión que se presenta en este estudio es el marco legal vigente. La legislación aplicable a estas nuevas tecnologías es algo de suma importancia, ya que los deberes y responsabilidades de las entidades financieras en cuanto a la seguridad de la información es parte de algo mayor que su propia integridad. Esto se debe a que hoy en día las entidades financieras almacenan un sin fin de información crítica sobre todos sus clientes. Aquí se podría incluir desde los datos personales más íntimos hasta los credenciales de acceso de un cliente. Para poder realmente fijar un marco legal que pueda englobar a todas las tecnologías de la información aplicables a la industria financiera, hay que analizar una cantidad de leyes orgánicas, reales decretos, convenios, normas y demás. Por esta razón, en este proyecto se empieza por comentar el impacto de diferentes fuentes legales, siguiendo el esquema jerárquico vigente en el territorio español. Laiseca Segura, Sebastian 5

8 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitución Tratados Internacionales Leyes Leyes Orgánicas (Emanadas de las cortes) Leyes Ordinarias Leyes Reales decretos-leyes. (Actos con fuerza de ley Reales decretos legislativos. emanados del gobierno) Reales decretos (del Gobierno) Reglamentos Órdenes de las comisiones delegadas del Gobierno. Circulares, inferiores. instrucciones, etc., de las autoridades Figura 0.0: Jerarquía de la normativa establecida en la constitución española Posiblemente la fuente legal con más relevancia para este proyecto fin de carrera es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Hay un sin fin de estudios realizados sobre la LOPD y su reglamento de desarrollo, pero estos no suelen entrar en los aspectos técnicos que han de adoptarse en una entidad financiera. El problema de las leyes es su problema de adaptación a las nuevas tecnologías. Se ha de encontrar una ley que sea capaz de perdurar a los cambios tecnológicos, y que no requiera de una constante actualización tan pronto vayan produciéndose los cambios. Estos cambios pueden ser meramente incrementales, como por ejemplo el aumentar el numero de bits de una encriptación, a radicales; como por ejemplo las posibilidades de los Smartphones y la banca online. Por esta razón, la LOPD hace referencias continuamente al estado de la tecnología actual, salida fácil para tratar la problemática. Aquí es donde entra en juego el PCI DSS y sus estándares. Bien es verdad que estos estándares procedimentales están pensados exclusivamente para el pago con tarjetas de crédito. Aun así, se puede ampliar su aplicación al resto de actividades informáticas de una entidad financiera. Se debe ver como un referente mínimo de seguridad aplicables a toda la industria financiera. 6 Laiseca Segura, Sebastian

9 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Las normas ISO complementan a la LOPD y a los estándares PCI, al sentar las bases organizativas y de gestión de la seguridad informática en las entidades financieras. Existe una familia de normas específica para la seguridad informática, la familia de normas Actualmente se esta trabajando en una norma de aplicación específica para el sector financiero, la norma ISO 27015, y verá la luz en los próximos meses. La siguiente sección del proyecto clasifica las amenazas en el sector de la información. Se ha tratado de obtener una visión global de la situación mediante fuentes muy variadas. El problema de estas fuentes es que atienden a intereses particulares de las mismas. Parte del trabajo realizado en este proyecto fin de carrera ha sido el filtrado de la información disponible de las diferentes publicaciones desde un punto de vista crítico. El contrastar la información entre fuentes de distinta naturaleza ha sido parte del procedimiento habitual. Se introduce esta sección con una visión de la seguridad informática de las entidades financieras, vista desde la propia entidad. Para ello, las encuestas realizadas por Deloitte a las propias entidades financieras entre los años 2010 y 2012 han resultado indispensables. La realidad es que la concienciación de la seguridad informática esta cambiando el cuadro de la organización de los grandes bancos, mediante nuevos puestos que reportan directamente a los directivos de la entidad. Aun así, a la luz de los resultados de las encuestas, se muestra una incongruencia organizativa de las entidades financieras con su política de seguridad. La siguiente parte del proyecto pretende describir los ataques informáticos a los que están sometidas a diario las entidades financieras. Se recurre al modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información para contextualizar la naturaleza de los ataques relevantes. Figura 0.1: Modelo presentado por Claude E. Shannon y Warren Weaver que describe un sistema en la teoría de la información. Laiseca Segura, Sebastian 7

10 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Se hace especial hincapié en los ataques distribuidos de denegación de servicio, ya que su impacto en la sociedad es tremendamente elevado. En la cuarta sección de este proyecto fin de carrera, se lleva a cabo un estudio económico y social de los ataques informáticos. Se introduce el ROSI (return on security investment) para las entidades financieras. El ROSI, a diferencia del ROI (return on investment) si puede ser aplicado a las inversiones en seguridad. Se discute este indicador económico, pros y contras, y se propone un ejemplo de cálculo. En el siguiente apartado se introducen los problemas en las incongruencias de las fuentes, y se citan estudios con resultados de impacto global. Estudios que si bien proceden de fuentes fiables, un razonamiento lógico y crítico de los mismos pueden echar por tierra los resultados. Mediante la ayuda de un estudio de la universidad de Cambridge publicado en el año 2012 sobre los costes de la seguridad informática, se procede a diferenciar en más detalle los diferentes costes que pueden asociarse a los ataques informáticos. Se diferencian los costes directos de los costes indirectos, así como en quien repercuten los costes. Figura 0.2: Marco para el análisis de los costes de los delitos informáticos. Se finaliza la sección con una aplicación de este modelo a las tecnologías de la información referentes a la movilidad, así como una aproximación del modelo a la banca online. El último apartado del proyecto fin de carrera comprende las diferentes conclusiones del estudio llevado a cabo. Esto es, se realiza un balance general del fraude, se analiza en profundidad el problema de las fuentes de la información, y se proponen una serie de puntos de mejora para los diferentes actores del sector. 8 Laiseca Segura, Sebastian

11 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Desde un punto de vista de la organización industrial, y a raíz de la rápida evolución de las nuevas tecnologías, no se puede dejar de lado un estudio de la ética en cuanto a las actividades descritas en este proyecto fin de carrera. Por esta razón se incluyen las consideraciones éticas del conocimiento y de su aplicación. Laiseca Segura, Sebastian 9

12 10 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Laiseca Segura, Sebastian

13 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad SECURITY TECHNOLOGIES IN I.T. AND THE APPLICATIONS FOR THE FINANCIAL SECTOR, MOBILITY AND CYBER SECURITY Author: Laiseca Segura, Sebastian. Director: Cesteros García, Francisco José Collaborating Entity: ICAI - Universidad Pontificia Comillas PROJECT SUMMARY There is no doubt that the new information technologies, particularly those based on mobility, are increasingly integrated into society. This final degree project aims to answer the question of the impact of a cyber attack on the financial institutions. The first issue presented in this study is the current legal framework. The applicable law to these new technologies is something very important, since the duties and responsibilities of the financial institutions, in terms of information security, are part of something larger than their own integrity. This is because today's financial institutions store endless critical information about all of their clients. This could include from personal data to the access credentials of a client. To effectively set a legal framework that can encompass all applicable information technologies on the financial industry, organic laws, royal decrees, agreements, rules and other sources of law should be analysed. For this reason, this project will start by commenting the impact of different legal sources, following the hierarchical law scheme applicable in the Spanish territory. Laiseca Segura, Sebastian 11

14 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitution International Treaties Laws Organic Laws. (Issued in the courts) Ordinary Laws. Laws Royal decree-laws. (Acts into law emanated Royal legislative decrees. from the goverment) Royal decrees Regulation (Government) Orders Government delegate committees. Circulars, instructions, etc, of the lower authorities Figure 0.0: Hierarchy of the rules established in the Spanish Constitution Possibly the most important legal source for this final degree project is the Organic Law 15/1999, of December 13, Protection of Personal Data and the Royal Decree 1720/2007, of 21 December, approving the Regulation implementing the Organic Law 15/1999 of 13 December on the protection of personal data. There are countless studies on the Data Protection Act and its implementing regulation, but these do not usually get into the technical aspects to be taken into account by a financial institution. The problem with the law is the problem of adaptation to the new technologies. The law has to find a way to endure technological changes, and make sure it does not require a constant update as soon changes occur, because they will. These changes may be merely incremental, such as increasing the number of bits of an encryption, or radical, such as Smartphones and possibilities of online banking. For this reason, the LOPD continually makes references to "the state of the current technology," easy way to treat the problem. This is where the PCI DSS and its standards come in play. Truth be told, these procedural standards were designed exclusively for credit card payments. Even so, one can extend its application to other IT activities within the financial industry. It should be seen as a benchmark minimum-security requirement applicable to the entire financial industry. ISO standards complement the Data Protection Act and PCI standards, laying the organizational and security management foundation within the financial institutions. There is a family of specific standards for computer security, family of standards. They are currently working on a specific application of these standards for the financial sector, ISO 27015, and should be released in the coming months. 12 Laiseca Segura, Sebastian

15 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad The next section of the project classifies threats in the information sector. We have tried to get an overall picture of the situation through varied sources. The problem with this is that the sources serve specific interests. Part of the work done in this final degree project has been to filter the available information about the various publications, always from a critical standpoint. The contrast of the available information issued from different sources has been part of the standard procedure. This section is introduced with an overview of the information security for financial institutions, viewed from the inside. To do this, the surveys conducted by Deloitte to the financial institutions between 2010 and 2012 have been indispensable. The reality is that awareness of computer security is changing the picture of the organization of large banks, through new positions that report directly to the management of the institution. However, in light of the survey results, an inconsistency of the organization of the financial institutions and their security policy is shown. The next part of the project seeks to describe cyber attacks that are daily aimed towards the financial institutions. It uses the model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory to contextualize the nature of relevant attacks. Figure 0.1: Model presented by Claude E. Shannon and Warren Weaver, describing a system of information theory. Special emphasis is placed on the distributed denial of service attacks, as the impact on society is extremely high. In the fourth section of this final project, economic and social studies of the attacks are carried out. The ROSI (return on security investment) is introduces for the financial institutions. The ROSI, unlike the ROI (return on investment) can be applied to security Laiseca Segura, Sebastian 13

16 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad investments. This economic indicator is discussed, pros and cons, and a calculation example is proposed. The following section introduces the problems with the inconsistencies of the sources, and cites studies with global impact. As can be seen, logical and critical reasoning may scupper the results of trusted sources. With the help of a study from the University of Cambridge, published in 2012, on the costs of information security, the differentiation, in a more detailed way, of the various costs that may be associated with the attacks are commented. Special attention was given to differentiate direct costs indirect costs, as well as to who affect the costs. Figure 0.2: Framework for the analysis of the costs of cybercrime. The section ends with an application of this model to the information technology related to mobility, as well as a model approach to online banking. The last section of this final degree project covers the various conclusions of the conducted study. That is, its an overview of the current balance of cybercrime, the problems concerning the sources of information and proposes tasks for improvement for the different actors in the sector. From the point of view of the industrial organization, and because of the rapid development of new technologies, one cannot leave out a study of ethics in terms of the activities described in this final project. For this reason we include ethical considerations of knowledge and its application. 14 Laiseca Segura, Sebastian

17 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad I - INTRODUCCIÓN Definiciones Ciberseguridad: El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios del ciberentorno 1 a) Por sistema informático se entiende todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el tratamiento automatizado de datos en ejecución de un programa;2 b) por datos informáticos se entiende cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función;3 Los sistemas de la información, especialmente las nuevas tecnologías, son herramientas indispensables para la industria financiera. Son herramientas en el mismo sentido que una lija para a un ebanista, herramientas indispensables para llevar a cabo la generación de negocio. Lo importante no es la herramienta en si. Esta ha de ser suficientemente sencilla de utilizar como para que la generación de negocio no se vea frenada por su uso, pero suficientemente segura como para asegurar la información contra terceros. En las entidades financieras podemos encontrar un sin fin de claves de acceso y datos confidenciales para cada cliente. Desde el numero PIN de la tarjeta de crédito hasta la firma digital de una entidad. Esto es aun mayor si se analizan los paraísos fiscales. Los activos de la organización y sus usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno. 4 Son los sistemas de información de las entidades financieras los que tendrán que velar porque esto se cumpla. Asegurar los canales de comunicación incluye el asegurar que la 1 Ponencia de Sr. Cesteros 14 de Mayo 2012 Convenio Europeo 23/11/ Convenio Europeo 23/11/ Ponencia de Sr. Cesteros 14 de Mayo Laiseca Segura, Sebastian 15

18 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad información llega a su destino intacta, pero también incluye asegurar que la información se mantiene secreta e inaccesible para terceras partes. Esto no es nuevo, los casos antiguos más famosos de esto los podemos encontrar posiblemente en el antiguo imperio Romano bajo las ordenes de Julio Cesar. Bajo su mandato, los mensajeros del imperio recorrían las vías principales con mensajes codificados con lo que hoy se conoce como cifrado por desplazamiento o Código Cesar. Este método de cifrado era muy sencillo de cifrar y descifrar, consistía en desplazar el alfabeto tantas posiciones como fueran necesarias para que a simple vista el mensaje fuese ilegible para los enemigos de Roma. Figura 1.0: Ejemplo de sistema de cifrado por desplazamiento, o Código Cesar. Existen otras formas de aprovechar la información para ganar una guerra. No hace falta descifrar la información para tomar ventaja, basta con cortar las comunicaciones del enemigo para que acabe por rendirse. Cortar las comunicaciones entre la infantería y el cuartel general, aliados o refuerzos basta para desestabilizar al enemigo. En el caso de las entidades financieras, el impedir que estas puedan comunicarse con sus clientes constituye una tendencia que viene siendo cada vez más habitual con los ataques distribuidos de denegación de servicio. La idea de dejar incomunicado a un estado para hundirlo se puede identificar como el quid de la cuestión en los ataques DDoS. La importancia del sistema financiero de un estado No existe en Europa ningún estado en el que es sistema financiero no sea clave para el crecimiento del estado. Intentar esbozar el correcto funcionamiento de la economía de un estado sin tener en cuenta el saneamiento de su banca es impensable hoy en día. 16 Laiseca Segura, Sebastian

19 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Basta con echar un vistazo a las políticas monetarias de la unión europea para salir de la crisis actual. Todas las soluciones, a parte de un buen numero de ajustes presupuestarios, necesitan de un sistema bancario completamente saneado para poder seguir prestando crédito y reactivar la economía. Esto hace que cada vez más las entidades financieras ocupen una mayor relevancia en la economía de un país. Su correcto saneamiento es condición necesaria pero no suficiente para la buena marcha de la economía de un país. La figura anterior muestra lo que contribuyen los sectores financieros y de seguros a la economía de EEUU, se puede observar que esta cifra crece a lo largo de los últimos 60 años casi de una forma lineal. Por estos motivos, la seguridad de esta industria ha de estar asegurada. Figura 1.1: Fracción del PIB de EEUU producido por el sector de seguros y sector financiero. Fuente: US Bureau of Economic Analysis. Uno no puedo dejar de preguntarse a la hora de evaluar la seguridad de una entidad financiera que es lo que sucedería si cae la totalidad del sistema financiero de un estado como consecuencia de un ataque informático. Tal vez imaginarse esta situación tan dramática sirva para entender su importancia. En primer lugar, hay que tener en cuenta que esto como tal todavía no ha sucedido hasta la fecha, no se ha dado un colapso informático total del sistema financiero. En septiembre de 2012 entidades financieras de EEUU, entre las que se encontraban JPMorgan Chase & Co. Y Wells Fargo & Co., sufrieron severos ataques de denegación de servicio. Esto demostró la impotencia por parte de las mayores corporaciones del mundo para defenderse de un ataque informático del exterior, y además siendo avisadas con anterioridad. Laiseca Segura, Sebastian 17

20 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad They had already declared they would hit these banks at these times, and still we are seeing that these banks are not able to handle these DDoS attacks, it s clear that the current infrastructure under the control of these banks is not good enough. 5 Hay que tener en cuenta que el verdadero impacto en la sociedad tras un ataque informático a una entidad financiera es difícil, sino imposible, de medir. Esto se debe a que el ataque incluye dos impactos. Impacto económico e impacto social. El impacto económico es muy dependiente del tipo de ataque llevado a cabo, así como de su éxito. No es fácil de medir directamente y las estimaciones en cuanto a la perdida de imagen de la empresa atacada tampoco se pueden cuantificar con exactitud. El impacto social es aun más difícil de medir. Aquí entran en juego variables que en un principio escapan del estudio de un proyecto fin de carrera, variables sociológicas. Existen similitudes en el impacto sociológico de la sociedad tras sufrir un colapso del sistema financiero y un ataque terrorista. 5 Ingeniero en Seguridad Informática de FireEye Inc. 18 Laiseca Segura, Sebastian

21 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad II - LEGISLACIÓN Directivas europeas y legislación española España, como estado de derecho, cuenta con una legislación que concierne al tema de estudio de este proyecto fin de carrera. Las sucesivas directrices europeas que han ido fraguándose a lo largo de los últimos años han dado como resultado una serie de leyes orgánicas, ya aprobadas por las cortes, que tratan de ordenar los deberes y las responsabilidades de las empresas publicas y privadas con presencia en la red. Por esta razón, y para cimentar la base legal aplicable a las entidades financieras con presencia en la red, se discutirá la legislación que concierne a las entidades financieras ante un eventual ataque informático. Las leyes que se mencionan parten de las directivas europeas que han ido proponiéndose desde el parlamento europeo. De una forma resumida, una directiva europea es un documento elaborado por el parlamento europeo de obligado cumplimiento para todos los estados miembros. Las obligaciones de estas directivas europeas no tienen rango de ley por si solas, ya que son los estados los que a través de sus parlamentos tendrán que aprobar una ley de aplicación en su territorio que asegure el cumplimiento de la directiva europea. De esta forma se consigue que todos los países miembros cuenten con una ley similar. Es importante destacar que las directivas europeas suelen ser un poco más laxas en el contenido que las leyes de los estados miembros que surgen a raíz de estas, dejando así un margen a los estados a la hora de acotar una ley. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta ley orgánica tiene por objeto garantizar y proteger el tratamiento de los datos personales. Se entiende para este estudio que las entidades financieras almacenan los datos de carácter personal de sus clientes para poder brindar un servicio. Por lo tanto, se comentarán los artículos que puedan aportar información relevante sobre la seguridad informática de las entidades financieras. Artículo 9. Seguridad de los datos. 1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los Laiseca Segura, Sebastian 19

22 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. El articulo anterior, aun siendo muy claro y conciso con las responsabilidades de una entidad financiera que trate con datos de sus clientes, resulta tremendamente vago al citar habida cuenta del estado de la tecnología. Al fin y al cabo es la tecnología empleada en la seguridad la que podrá asegurar la protección de los datos personales y financieros de un cliente. La medición del estado de la tecnología resultará muy complicada, al estar ésta en un perpetuo estado de cambio y progreso por parte de los sistemas de seguridad y de los atacantes. Por tanto, se presenta la necesidad de la existencia de una referencia exterior que busque estar siempre adaptándose y actualizándose a las ultimas tecnologías, sirviendo así de peritaje en caso de evocar el articulo 9 de la presente ley en una demanda judicial. El siguiente artículo, Art.44, hace referencia al tipo de infracción aplicable. Las infracciones graves de esta ley serán sancionadas con una multa de entre y euros. Los diferentes tipos de faltas serán sancionadas como se muestra en la siguiente figura. Figura 2.0: Clasificación de las multas en función del tipo de falta de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. El Art. 44 hace referencia a la vía reglamentaria para medir las condiciones de seguridad. Esto, aun siendo más especifico que en el Art. 9, no deja de resultar incompleto al no citar a la organización, administración o centro que tendrá que establecer las condiciones de seguridad mínimas acordes a esta ley. Más tarde se verá que las normas ISO 2700 complementan los aspectos técnicos de la LOPD. Artículo 44. Tipos de infracciones 3. Son infracciones graves: 20 Laiseca Segura, Sebastian

23 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Desde la perspectiva de una incidencia de seguridad, una entidad podría siempre barajar en legítima defensa la posibilidad de intentar aplicar el articulo 45.5 para reducir la infracción. Artículo 45. Tipo de sanciones 5) Si en razón de las circunstancias concurrentes, se apreciará una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracción que proceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate Para entender la aplicación real de este artículo, se cita parte de una entrada6 en el blog de Gonzalo Salas Claver: La Audiencia Nacional, en su Sentencia de 15 de Octubre de 2.009, Fundamento Jurídico Cuarto, aplica el artículo 45.5 de la LOPD, entre otros elementos, por contar con unos procedimientos certificados por Aenor. Cito textualmente; Y también que la excelencia de los procedimientos y métodos de actuación seguidos por dicha empresa actora para el desarrollo de su actividad, ha sido certificada por AENOR, tal y como la misma acredita documentalmente. De todo lo cual es necesario concluir que concurre en el caso una cualificada disminución de la culpabilidad de tal entidad sancionada ( ) Esta Sentencia, abre un nuevo elemento de defensa y un nuevo componente para justificar la implantación de un sistema de gestión de la seguridad de la información, dentro de las compañías. Si bien se ha de tomar con las reservas debidas, no seamos temerarios y consideremos que porque una Sentencia haya considerado este elemento como aspecto justificativo para aplicar la disminución de la culpabilidad, pueda ser siempre empleado 6 como- medio- de- defensa- juridica.html Laiseca Segura, Sebastian 21

24 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Ley 59/2003, de 19 de diciembre, de firma electrónica. La siguiente ley incorpora al ordenamiento público español la Directiva 1999/93/CE del Parlamento Europeo y del Consejo del 13 de diciembre de Esta ley de firma electrónica fue aprobada con el objetivo de fomentar la rápida incorporación de las nuevas tecnologías de seguridad de las comunicaciones electrónicas en la actividad de las empresas, los ciudadanos y las Administraciones públicas. Establece un comportamiento a seguir por parte de las empresas públicas y privadas en cuanto a la obtención, tratamiento y suspensión de los certificados electrónicos. En cuanto a lo que concierne a este proyecto fin de carrera, se ha de mencionar brevemente el articulo 17. Como se puede observar, el siguiente artículo hace referencia a la protección de los datos personales, siendo por tanto la Ley Orgánica 15/1999, del 13 de diciembre, la ley que habrá que tener en cuenta para analizar las obligaciones en cuanto a la seguridad de los datos. Esta ley ya ha sido comentada en esta sección. Artículo 17. Protección de los datos personales. 1. El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta ley se sujetará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y en sus normas de desarrollo. El resto de los artículos de esta ley que puedan hacer referencia a los aspectos de la tecnología no son de interés para este estudio, ya que realmente hacen referencia a las obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos, sobre las obligaciones de las administraciones que expidan los certificados electrónicos y no de las empresas que traten dichos certificados. El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica, si bien hacen referencia a las medidas de seguridad informáticas ante diversos ataques, solo son aplicables a las administraciones públicas, por lo que no son objeto de estudio para este PFC. Siguiendo con un orden jerárquico de la normativa establecida en la constitución española, tabla X, se procede a discutir los reglamentos aplicables a este estudio. 22 Laiseca Segura, Sebastian

25 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Constitución Tratados Internacionales Leyes Leyes Orgánicas (Emanadas de las cortes) Leyes Ordinarias Leyes Reales decretos-leyes. (Actos con fuerza de ley Reales decretos legislativos. emanados del gobierno) Reales decretos (del Gobierno) Reglamentos Órdenes de las comisiones delegadas del Gobierno. Circulares, inferiores. instrucciones, etc., de las autoridades Figura 2.1: Jerarquía de la normativa establecida en la constitución española Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Las obligatoriedad de dicho reglamento para las entidades financieras queda patente tras las definiciones del artículo 5. Articulo 5. Definiciones. i) Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Este reglamento introduce por primera vez un elemento de gran utilidad para el estudio de este proyecto: los códigos tipo. En el Título VII, artículo 71, se introduce este concepto. Posiblemente lo más destacado del siguiente artículo es el punto dos, en donde establece que un código tipo es vinculante para el que se adhiera al mismo. Tras este punto, aparecen una serie de normas como las normas de la familia ISO 27000, que como se verá más adelante, marcaran el estado de la tecnología al que se viene haciendo referencia en este estudio al ser incorporadas en los códigos tipo. Laiseca Segura, Sebastian 23

26 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 71. Objeto y naturaleza. 1. Los códigos tipo a los que se refiere el artículo 32 de la Ley Orgánica 15/1999, de 13 de diciembre, tienen por objeto adecuar lo establecido en la citada Ley Orgánica y en el presente reglamento a las peculiaridades de los tratamientos efectuados por quienes se adhieren a los mismos. A tal efecto, contendrán reglas o estándares específicos que permitan armonizar los tratamientos de datos efectuados por los adheridos, facilitar el ejercicio de los derechos de los afectados y favorecer el cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente reglamento. 2. Los códigos tipo tendrán el carácter de códigos deontológicos o de buena práctica profesional y serán vinculantes para quienes se adhieran a los mismos. También es importante saber que en el articulo 72, punto 1, se establece que los códigos tipo tendrán carácter voluntario. Los siguientes artículos, regulan los códigos tipo de la siguiente manera Artículo 73. Contenido. Artículo 74. Compromisos adicionales. Artículo 75. Garantías del cumplimiento de los códigos tipo. Artículo 76. Relación de adheridos. Artículo 77. Depósito y publicidad de los códigos tipo. Artículo 78. Obligaciones posteriores a la inscripción del código tipo. El siguiente título de este reglamento, título VIII, trata sobre las medidas de seguridad en el tratamiento de datos de carácter personal. De aquí se podrá extraer información muy valiosa para este proyecto fin de carrera. A este título se hará referencia continuamente a lo largo de este estudio, por lo que se ha incluido el título completo en el anexo X. En el artículo 80 se diferencian entre tres niveles de seguridad; básico, medio y alto. La clasificación de estos niveles de seguridad viene recogidos en el articulo 81. Son de especial interés para este estudio los puntos 1 y 2 de este artículo, en donde se establece que para las entidades financieras se aplicara el nivel de seguridad medio. 24 Laiseca Segura, Sebastian

27 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 81. Aplicación de los niveles de seguridad. 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. Como es evidente, la interconexión de las entidades financieras, ya sea en una red local o pública, esta más que extendida. Los ataques informáticos a los que son susceptibles las entidades se producen en gran medida por las redes de telecomunicación. Existen otros medios de llevar a cabo un ataque informático sin pasar por una red de comunicación, como por ejemplo el tener un acceso físico al servidor de la entidad. El artículo 85 establece que las medidas de seguridad tienen que poder garantizarse también en las redes de telecomunicaciones. Bien es verdad que aunque este punto es evidente si se habla de la seguridad informática de una entidad, viene tipificado en la ley. Artículo 85. Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones, sean o no públicas, deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local, conforme a los criterios establecidos en el artículo 80. En cuanto a la portabilidad de los datos entra en juego el siguiente artículo. Artículo 86. Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento. 1. Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera de los locales del responsable de fichero o tratamiento, o del encargado del tratamiento será preciso que exista una autorización previa del responsable del fichero Laiseca Segura, Sebastian 25

28 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad o tratamiento, y en todo caso deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado. 2. La autorización a la que se refiere el párrafo anterior tendrá que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas. Este articulo resulta tremendamente importante si se tiene en cuenta que los datos personales de los clientes de las entidades financieras también se encuentran, o son accesibles, mediante el uso de otros dispositivos electrónicos; Smartphones, tabletas o portátiles. Además, el Artículo 87; Ficheros temporales o copias de trabajo de documentos, establece que cualquier copia de los datos estará sujeta a lo establecido en el artículo 81, es decir, se tendrá que aplicar el mismo nivel de seguridad que los datos originales. Este mismo reglamento introduce en el artículo 88, el documento de seguridad. Este documento recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente, que será de obligado cumplimiento para el personal con acceso a los sistemas de información. El documento se supone como un documento interno de la organización. Los dos últimos artículos del reglamento del desarrollo de la LOPD de interés para este estudio tratan sobre la identificación y autenticación de los usuarios de la base de datos o fichero donde se almacenen los datos personales. El siguiente artículo es de aplicación para un nivel de seguridad básico, por lo tanto también se aplica a las entidades financieras que cuentan con un nivel de seguridad medio. Artículo 93. Identificación y autenticación. 1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. 2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. El siguiente artículo concierne a los sistemas de seguridad de nivel medio. 26 Laiseca Segura, Sebastian

29 Tecnologías de la seguridad en IT y su aplicación en el sector financiero, la movilidad y la ciberseguridad Artículo 98. Identificación y autenticación. El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. En resumen, las entidades financieras tendrán que garantizar la seguridad de los datos personales, aunque tampoco se ha hablado de procedimientos ni del estado de la tecnología en el reglamento. Es por tanto a través de las auditorias y de los códigos tipo anteriormente mencionados, lo que hará que las empresas tengan que seguir invirtiendo en seguridad. Para finalizar este apartado, procede mostrar el resultado de la encuesta anual llevada a cabo por Deloitte en cuanto a la seguridad informática de las entidades financieras en el A la pregunta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales? Menos de un 50% de los encuestados afirmaron tener constancia de que las medidas de seguridad de la entidad financiera de la cual es responsable cuentan con medidas acordes a la legalidad. Figura 2.2: Encuesta: Cómo sientes que está equipada actualmente la organización para almacenar y procesar los datos con respecto al cumplimento de requisitos y reglamentos legales?. Fuente: 2012 Global Financial Services Industry Security Survey. Laiseca Segura, Sebastian 27