RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD
ÍNDICE 1. INTRODUCCIÓN... 3 2. PRIORIDADES DE UNA ENTIDAD... 4 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD... 4 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO... 4 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO... 4 2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO... 5 2.5. PROTECCIÓN INTERNA: SERVIDORES... 5 2.6. COPIAS DE SEGURIDAD (BACKUP)... 5 2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS)... 6 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD... 6 2.9. MONITORIZACIÓN Y REACCIÓN... 6 2.10. CONCIENCIACIÓN... 7 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES... 7 3.1. ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES... 8 3.2. PROTOCOLOS DE COORDINACIÓN... 9 3.3. USO DE UNA ESTRUCTURA VIRTUALIZADA... 9 4. RELACIÓN CON NORMATIVA... 10 5. PERFILES DE SEGURIDAD... 12 6. COSTE... 13 7. EFICACIA... 13 8. TIPO DE PROTECCIÓN... 13 9. REFERENCIAS... 15 Centro Criptológico Nacional 2
1. INTRODUCCIÓN 1. El Esquema Nacional de Seguridad, en su Disposición Transitoria sobre Adecuación de los Sistema, dice que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes. 2. Este documento proporciona orientación para priorizar la implantación de las medidas de seguridad del Esquema Nacional de Seguridad. Esta orientación se materializa en una serie de actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS. 3. Estas actuaciones no sustituyen a lo establecido en el Real Decreto 3/2010 en cuanto al cumplimiento de los principios básicos y requisitos mínimos mediante la aplicación de las medidas indicadas en su anexo II. 4. La orientación aquí proporcionada es aplicable a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 5. El apartado 2 expone una serie de actuaciones a nivel de entidad individual, ordenadas por prioridad, es decir, empezando por aquellas que presentan una mejor relación entre coste (bajo) y mejora de la seguridad (alto). Para cada actuación se indica la correspondencia con la medida o medidas relacionadas del anexo II y en su caso con las guías CCN-STIC en las que se trata la cuestión. 6. El apartado 3 trata las oportunidades que ofrecen las infraestructuras y servicios comunes en relación con las actuaciones expuestas para priorizar las medidas del ENS. 7. El apartado 4 proporciona, en relación con las actuaciones citadas, una tabla de correspondencias entre el ENS y otros instrumentos como NISP-SP 800-53 e ISO 27000. 8. El apartado 5 trata los perfiles de seguridad. 9. Los apartados 6, 7 y 8 contienen las leyendas relativas a las expresiones de coste, eficacia y medidas de protección utilizadas en el documento. 10. El apartado 9 contiene referencias a documentación. Centro Criptológico Nacional 3
2. PRIORIDADES DE UNA ENTIDAD 11. Las actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS son las siguientes: Prioridad Acción Medidas Guías Tipo Coste Eficacia CCN-STIC 1 Definir y nombrar al [org.1] Política de seguridad 801 AD BAJO BAJA responsable de la seguridad 2 Inventariar el equipamiento [op.exp.1] Inventario de activos AD BAJO BAJA informático 3 Definir y proteger el [mp.if.1] Áreas separadas y con control de PR MEDIO ALTA perímetro físico acceso 4 Definir y proteger el perímetro lógico [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad 811 406, 408, 416 PR MEDIO ALTA 5 Protección interna: servidores [op.acc.7] Control del acceso remoto [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Series 500 y 600 Series 400, 500 y 600 PR MEDIO ALTA 6 Copias de seguridad (backup) [mp.info.9] Copias de seguridad (backups) RC BAJO ALTA 7 Protección interna: puestos [op.exp.2] Configuración de seguridad Series 400, 500 PR MEDIO MEDIA de trabajo (PC) [op.exp.6] Protección frente a código y 600 8 Protección interna: portátiles, smart phones, byod dañino [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino 9 Monitorización y reacción [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios 10 Concienciación [mp.per.3] Concienciación [org.2] Normativa de seguridad Series 400, 500 y 600 403 817 PR MEDIO MEDIA MN + CR MEDIO ALTA AW MEDIO MEDIA 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD 12. Debe haber una (1) persona responsable de velar por todos los aspectos de seguridad del sistema. La misma, o personal bajo su dirección, se encargará de la administración y operación de las medidas de seguridad que se consideren oportunas. El responsable de seguridad será el interlocutor único en materia de seguridad. [org.1] Política de seguridad Guías CCN-STIC: 801 Roles y funciones 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO 13. Hay que tener una lista o base de datos actualizada que cubra los equipos (servidores, pc y portátiles) con el software instalado en los mismos. [op.exp.1] Inventario de activos 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO 14. Seguridad física: instalación de los equipos en una sala cerrada con control de acceso [mp.if.1] Áreas separadas y con control de acceso Centro Criptológico Nacional 4
2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO 15. Seguridad de las comunicaciones. Poner, configurar y proteger el cortafuegos. [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad [op.acc.7] Control del acceso remoto Guías CCN-STIC: Guía 811 - Interconexión en el Esquema Nacional de Seguridad Serie 400 Guías generales o 406 Seguridad en redes inalámbricas o 408 Seguridad perimetral cortafuegos o 416 Seguridad en VPN s Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.5. PROTECCIÓN INTERNA: SERVIDORES 16. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.6. COPIAS DE SEGURIDAD (BACKUP) 17. Debe identificarse la información crítica y establecer un mecanismo automático para tener copias regulares a las que recurrir en caso de pérdida. Las copias deben ubicarse de forma que no se vean afectadas por los mismos incidentes que pueden destruir la información en uso rutinario. [mp.info.9] Copias de seguridad (backups) Guías CCN-STIC Centro Criptológico Nacional 5
2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) 18. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entorno 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD 19. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado 5. 1. pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.9. MONITORIZACIÓN Y REACCIÓN 20. Resolución de problemas detectados, y actitud proactiva en la localización de los mismos. 21. De forma reactiva hay que atender a los anuncios de parches de los fabricantes y a los incidentes de seguridad que ocurran. De forma preventiva hay que recoger registros de actividad de los usuarios y protegerlos para que sirvan de fuente de conocimiento en caso de incidencia. [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento Centro Criptológico Nacional 6
[op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios Guías CCN-STIC: 403 Gestión de incidentes de seguridad 817 Criterios comunes para la gestión de incidentes de seguridad en el Esquema Nacional de Seguridad (ENS). Procedimientos de actuación del CCN-CERT. 2.10. CONCIENCIACIÓN 22. Debe existir una normativa escrita que describa lo que es el uso adecuado del sistema de información y lo que es uso indebido. Debe transmitirse esta normativa a todas las personas que tienen algún derecho de acceso al sistema, de forma recurrente. [mp.per.3] Concienciación [org.2] Normativa de seguridad 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 23. El Artículo 28 del ENS Infraestructuras y servicios comunes dice que: La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración. 24. En particular, la Administración General del Estado proporciona una serie de infraestructuras y servicios comunes, con soporte legal, destinadas a proporcionar soluciones a necesidades comunes de las AA.PP. en relación con cuestiones tales como, sin ánimo de exhaustividad, la Red de comunicaciones de las Administraciones Públicas, prestada por la Red SARA; la plataforma de validación de firma electrónica @Firma relativa a identificación, autenticación, firma electrónica y sellado de tiempo; la interconexión de registros electrónicos y el intercambio de asientos registrales (SIR/ORVE), la Plataforma de intermediación de datos, el documento y el expediente electrónicos (INSIDE, G_INISDE), las notificaciones electrónicas, la sede electrónica (ACCEDA) entre otras, que simplifican la complejidad de las diversas dimensiones de la interoperabilidad y propagan la interoperabilidad entre las AA.PP. y con los ciudadanos. 25. Las demás AA.PP. también disponen de infraestructuras y servicios comunes en su ámbito, a la vez que el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dispone en su artículo 12 que: Las Administraciones públicas enlazarán aquellas infraestructuras y servicios que puedan implantar en su ámbito de actuación con las infraestructuras y servicios comunes que proporcione la Administración General del Estado para facilitar la interoperabilidad y la relación multilateral en el intercambio de información y de servicios entre todas las Administraciones públicas. Centro Criptológico Nacional 7
26. Lo que sigue se ha redactado pensando en el uso de: a. Infraestructuras y servicios comunes proporcionados por la propia administración pública (private cloud); aunque no se precisa la titularidad de los mismos, ni se requiere que haya un único centro de servicios. b. Uso de estructuras virtualizadas en la nube y requisitos a considerar. 27. Los aspectos de seguridad relativos a al empleo de Cloud Computing se tratan en la guía 823. 3.1. ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 28. La utilización de infraestructuras y servicios comunes ofrece en materia de seguridad las oportunidades que se citan a continuación, considerando lo que se debe tener presente en cuanto a la delegación de responsabilidades y funciones. acción 1.Definir y nombrar al responsable de la seguridad 2.Inventariar el equipamiento informático 3.Definir y proteger el perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación oportunidades esta actuación es necesariamente local: se pueden delegar funciones; pero no responsabilidades se puede apoyar con herramientas centralizadas de descubrimiento de componentes y mantenimiento del inventario si se utiliza equipamiento virtual (en la nube) las entidades no necesitan inventariar su equipamiento, sólo los servicios que utilizan si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro físico a los equipos de comunicaciones y las áreas de trabajo si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro lógico a su acceso remoto a los servicios centrales; pero estos se encargan de la interfaz con los ciudadanos si se utiliza equipamiento virtual (en la nube), la configuración de los equipos y el mantenimiento de versiones pasan a los servicios comunes; ver sección 3.2 si se utiliza equipamiento virtual (en la nube) la realización y gestión de copias de seguridad pasa a los servicios comunes, parametrizada por la política de cada organismo usuario la configuración puede facilitarse desde un repositorio central la administración de los sistemas puede delegarse a los servicios comunes ver sección 3.2 se pueden proporcionar recursos comunes de concienciación, tanto en la elaboración de material como en la presentación online y control de asistencia y Centro Criptológico Nacional 8
aprovechamiento (servicio de tele-formación) 3.2. PROTOCOLOS DE COORDINACIÓN 29. La provisión de equipamiento virtual y de servicios comunes ofrece ventajas de economía de escala en varios aspectos: adquisición de equipos adquisición de aplicaciones software medios de respaldo para garantizar la continuidad de los servicios seguridad física dotación de administradores de sistemas y de seguridad 30. Pero requiere el establecimiento de algunos protocolos de actuación conjunta para atender a las singularidades recogidas en la política y normativa de cada entidad. 31. Actualizaciones y gestión de cambios Hay que establecer un protocolo para combinar una actualización rápida con un mínimo impacto en la prestación del servicio. Es necesario que entidades usuarias dispongan de un periodo de transición individualizado para adecuar sus servicios a la nueva plataforma. 32. Monitorización Registro de la actividad de los usuarios Los registros y su tratamiento (consolidación y retención) pueden automatizarse respetando la política establecida en cada entidad usuaria, garantizando el control de acceso rutinario y en caso de incidente. 33. Gestión de incidencias La respuesta técnica a las incidencias puede ser centralizada, rápida y beneficiar a todos los usuarios; pero debe habilitar el tratamiento individualizado de la respuesta administrativa al incidente. 34. Gestión de identidades y privilegios Aunque se puede centralizar la gestión de identidades y los mecanismos técnicos de altas, bajas, suspensiones y control de acceso, siempre debe quedar en manos de la entidad usuaria el proceso de gestión de autorizaciones. 3.3. USO DE UNA ESTRUCTURA VIRTUALIZADA 35. El uso de una estructura virtualizada en la nube requeriría los siguientes pasos: 1. Determinar los requisitos de seguridad de la información y servicios según el Anexo I del ENS. 2. Verificar que dichos requisitos los puede atender el servicio en la nube (tanto del proveedor de servicios virtuales como del proveedor de comunicaciones); si no fuera así, hay que abandonar la opción del uso de la estructura virtualizada. 3. Revisar la política de seguridad de la entidad y ajustarla si es necesario y posible. 4. Revisar la normativa de seguridad, en particular los requisitos de seguridad, y ajustarla si es necesario y posible. 5. Realizar un análisis de riesgos para cubrir el nuevo escenario, calculando el riesgo residual, y conseguir la aceptación del nuevo riesgo por los órganos de gobierno Centro Criptológico Nacional 9
del organismo; si no fuera así, hay que desarrollar un plan de adecuación de forma que en todo momento el riesgo sea aceptable por la entidad. 6. Revisar los procedimientos operativos de seguridad para ajustarlos al nuevo escenario. 7. Formar a los administradores de sistemas y de seguridad para el nuevo escenario. 8. Diseñar y ejecutar un plan de transición ordenada de la información y los servicios al nuevo escenario, buscando el mínimo impacto en los servicios percibidos por el ciudadano. 36. Si no se pueden satisfacer los puntos 2, 3 y 4 entonces no se puede recurrir al uso de la estructura virtualizada en la nube. 3.4. REQUISITOS PARA USAR LA NUBE 37. La guía CCN-STIC 823 establece los siguientes requisitos a la hora de seleccionar un proveedor de servicios en la nube: categoría del sistema BAJA MEDIA ALTA nube pública sí no no nube comunitaria externalizada sí sí no nube comunitaria interna sí sí sí nube privada externalizada sí sí no nube privada interna sí sí sí 38. Adicionalmente se deberá atender especialmente a los siguientes aspectos en el proveedor de servicios en la nube, de cara a asegurar que la información y los servicios están adecuadamente protegidos: 39. Protección de la información. 40. Hay que asegurarse de que el proveedor protege la información adecuadamente: su integridad, su confidencialidad, su disponibilidad y, cuando hay normativa que aplica, el cumplimiento de dicha normativa. Este último punto es especialmente relevante en lo que respecta a datos de carácter personal. 41. Cifrado. 42. Es frecuente que se empleen técnicas criptográficas tanto para la autenticación de las sesiones de acceso, como para proteger la sesión y para proteger la información internamente. Hay que asegurar de que la criptografía cumple la normativa correspondiente (algoritmos y parámetros autorizados) y que los procedimientos de gestión de claves son adecuados. 43. Borrado de datos. 44. Hay que asegurarse de que el proveedor destruye los datos que ya no son necesarios usando mecanismos y procedimientos adecuados. Esto aplica tanto a copias efímeras (en equipamiento virtual) como a su destrucción definitiva. 45. Continuidad del servicio. 46. Hay que asegurar una calidad de servicio, tanto en cantidad (volumen de datos y velocidad de acceso) como el tiempo máximo que pudiera estar temporalmente interrumpido el servicio. Centro Criptológico Nacional 10
47. Los mismos aspectos se deben atender en el proveedor de servicios de comunicaciones que se emplee para acceder a los servicios en la nube. Aunque normalmente se emplearán redes privadas virtuales entre el usuario y el proveedor de servicios en la nube y por tanto sólo son de preocupar los aspectos de continuidad del servicio del proveedor de acceso. 48. El organismo usuario de estos servicios deberá prever los mecanismos adicionales que sean necesarios para casar las garantías de los proveedores con las necesidades establecidas siguiendo el Anexo I del ENS. 4. RELACIÓN CON NORMATIVA acción ENS NIST SP 800-53 SANS 20 ISO 27000 1.Definir y org.1 PM-2-6.1.3 nombrar al responsable de la seguridad 2.Inventariar el equipamiento op.exp.1 PM-5 CM-8 CC-1 CC-2 7.1.1 11.7.1 informático 3. Definir y proteger el mp.if.1 PE-2, -3, -6, -7, -8-9.1 perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación mp.com.1 op.pl.2 op.acc.7 op.exp.2 op.exp.6 AC-17 CA-3 SC-7 CM-2, -6, -7 SI-3 CC-10 CC-13 CC-3 CC-5 10.8.5 11.4.2 12.4.1 10.4.1 mp.info.9 CP-9 CC-8 10.5.1 op.exp.2 op.exp.6 op.exp.2 op.exp.6 op.exp.7 op.exp.4 op.exp.5 op.exp.8 mp.per.3 org.2 CM-2, -6, -7 SI-3 CM-2, -6, -7 SI-3 IR MA-2 AU-3 CC-3 CC-5 CC-3 CC-5 CC-18 CC-16 12.4.1 10.4.1 12.4.1 10.4.1 13 9.2.4 10.1.2 10.10.4 PL-4 CC-9 7.1.3 10.8.1 Centro Criptológico Nacional 11
5. PERFILES DE SEGURIDAD 49. Se denominan perfiles de seguridad a configuraciones de los sistemas pensadas para habilitar una serie limitada de funciones en las mejores condiciones posibles de seguridad. 50. Las guías CCN-STIC proporcionan múltiples escenarios con productos de amplia difusión, tanto de software de base como aplicaciones. 51. Los perfiles de seguridad permiten cumplir algunos requisitos importantes recogidos en el Esquema Nacional de Seguridad: Capítulo III Requisitos Mínimos Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización solo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 52. Concretamente, un perfil de seguridad se materializa en los siguientes puntos: se eliminan las cuentas por defecto proporcionadas por el fabricante se eliminan o inhiben los servicios innecesarios mínimo privilegio: se limitan los derechos de los usuarios, inhibiendo la capacidad de: o instalar aplicaciones, o usar aplicaciones sin autorización, o conectar equipos periféricos y o cambiar la configuración del software o del hardware los servicios habilitados se configuran de forma segura acorde con la política y normativa del organismo se habilitan los registros de actividad (logs) según política, impidiendo el acceso de los usuarios a los mismos 53. Los sistemas deben revisarse regularmente para verificar que la configuración sigue siendo segura. Centro Criptológico Nacional 12
6. COSTE 54. Estimación del consumo de recursos económicos = euros humanos = personas tiempo = horas B BAJO medida económica en consumo de recursos M MEDIO medida que requiere unos ciertos recursos A ALTO medida costosa 7. EFICACIA B BAJA Es una medida interesante, pero de poco efecto en sí misma, completando la protección ofrecida por otras medidas. M MEDIA Es una medida importante, de efecto notable, aunque no es primera línea de protección. A ALTA Es una medida crítica, fundamental, sin la cual no se debiera estar operando. 8. TIPO DE PROTECCIÓN 55. Las salvaguardas pueden enfrentarse a los incidentes ofreciendo diferentes tipos de protección: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas,... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente,... [EL] eliminación Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya Centro Criptológico Nacional 13
producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, en general todo lo que tenga que ver con la fortificación o bastionado,..., cifrado de la información,..., armarios ignífugos,... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes,... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web,... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio,... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación,... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay Centro Criptológico Nacional 14
y por tanto impide que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad,... 9. REFERENCIAS CCN-CERT https://www.ccn-cert.cni.es/ CCN-STIC 823 Seguridad en entornos cloud, 2012 Portal de la Administración Electrónica, infraestructuras y servicios comunes http://administracionelectronica.gob.es DSD - Australian Defence Signals Directorate (DSD) Top 35 Mitigation Strategies http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm ENS Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010. https://www.ccn-cert.cni.es/publico/ens/ens/index.html ENI Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. BOE de 29 de enero de 2010. http://administracionelectronica.gob.es NIST - SP 800-53 Recommended Security Controls for Federal Information Systems, Rev. 3 (Aug. 2009); Rev. 4 (draft Feb. 2012) http://web.nvd.nist.gov/view/800-53/home http://csrc.nist.gov/ NIST - SP 800-144 Guidelines on Security and Privacy in Public Cloud Computing, Dec. 2011 http://csrc.nist.gov/ NIST - SP 800-145 The NIST Definition of Cloud Computing, Sept. 2011 http://csrc.nist.gov/ Centro Criptológico Nacional 15
NIST - SP 800-146 Cloud Computing Synopsis and Recommendations, May 2012 http://csrc.nist.gov/ NSA - Manageable Network Plan http://www.nsa.gov/ia/_files/vtechrep/manageablenetworkplan.pdf SANS 20 Critical Security Controls http://www.sans.org/critical-security-controls/ Centro Criptológico Nacional 16