viernes, 29 de enero de 2010 2 comentarios

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

Ya tenemos el R.D. que establece el Esquema Nacional de Seguridad. Era un secreto a voces tras la aprobación en Consejo de Ministros pero ya tenemos en el BOE el contenido integro del texto definitivo del Esquema Nacional de Seguridad.

Habrá que memorizar las siglas R.D. 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica ya que van a ser una referencia muy importante para la seguridad en las administraciones públicas.

Para quién no se ubique exactamente en qué es esto del Esquema Nacional de Seguridad, podéis leer un post más extenso en Qué es Esquema Nacional de Seguridad
viernes, 22 de enero de 2010 0 comentarios

La "Aurora" del Sol de Oriente

Los hechos que se están dando a conocer estos días ponen de manifiesto una vez mas el cambio de las tendencias en seguridad que se avecinan para Internet. Los que nos dedicamos a esto estamos al día de los foros y noticias del sector, pero es cierto que la inseguridad suele sacar los colores a las empresas y organizaciones que se ven forzadas a reconocer un incidente y por eso suelen ser tapados ante la verguenza de verse afectado.

La operación Aurora ha DE-mostrado que el hacking es una herramienta más en el mundo de los negocios y que en Internet, como en la vida, hay gente que gana el dinero con el sudor de su frente y otra que lo hace como puede, haciendo trampas o delinquiendo si es necesario. Y en este caso en concreto, el ataque ha sido bien planificado, han realizado un seguimiento de las víctimas, han encontrado una vulnerabilidad desconocida que por tanto, no podía ser evitada y han elaborado un plan para lograrlo y pasar desapercibido. En este enlace hay un análisis técnico del problema muy detallado y en este otro nos cuentan toda la trama del intento de robo.

Y hay empresas que su máximo activo, su mayor riqueza es el texto de los algoritmos que inventan. Aurora ha demostrado que quien tiene una puerta a Internet tiene un riesgo. Y quien tiene software accesible tiene elementos que al menos debe vigilar. A esta situación se la empieza a denominar Advanced Persistent Threat (APT) que no es más que el hecho de considerar que cualquier punto de conexión a Internet es una puerta hacia lo desconocido, pensando que al otro lado no hay nada bueno. Esto es similar a lo que ya hacemos en seguridd física con el fuego. No sabemos cuando puede ocurrir pero consideramos que es una amenaza continua, algo que en cualquier momento puede suceder.

Ello debe plantear a las organizaciones la necesidad cada vez más de no utilizar una estrategia basada en la detección sino una monitorización continua en busca de anomalías en los sistemas. Cada servicio o recursos suele tener un patrón más o menos estable de utilización. Excepto en situaciones donde se puede conocer que puede haber una demanda diferente (lanzamiento de nuevos servicios, campañas de publicidad, etc.) la utilización de recursos será más o menos estable. Y en este sentido, detectar cambios bruscos, aumentos extraños es la mejor forma de saber si está pasando algo raro.

Muchas empresas de seguridad empiezan a ofrecer este tipo de servicios bajo las siglas SOC (Security Operation Center) que no es más que un servicio de vigilancia y alarma, como los que contratamos habitualmente para la seguridad física, pero donde los sensores de movimiento y los detectores de movimiento se situan en los sistemas de información. Hay muchos símiles entre la seguridad física y la seguridad lógica, pero la primera todo el mundo la entiende porque es capaz de identificar las amenazas y esta segunda sólo es gestionada cuando el personal técnico es capaz de valorar el riesgo que la empresa asume. Esta transparencia suelo utilizarla para ilustrar este hecho.



La operación Aurora, como todo incidente, debe servir para aprender de la experiencia. En Networkworld.com nos cuentan las tres lecciones que debemos aprender tras estos hechos que a continuación extracto:
  • El enemigo no es sólamente el malware y la delincuencia organizada: Dado el enorme crecimiento de la delincuencia organizada en los últimos años, la mayoría de las empresas han implementado las defensas para proteger los datos personales y financieros de robo. Si bien eso es importante, es también esencial para las empresas a pensar en la protección de sus datos de propiedad intelectual. El Cibercrimen está ahora más interesado en el espionaje industrial y en el robo de propiedad intelectual que en números de tarjeta de crédito o datos de salud del paciente.

  • Añadir la monitorización de red a la lista de tareas de operación diaria: Los nuevos atacantes están capacitados para sortear cortafuegos, antivirus, sistemas de detección de intrusos y otros controles que una empresa puede tener en el lugar para bloquear el acceso ilegal a los datos. Así, las empresas necesitan contar con herramientas para monitorizar el comportamiento anómalo de su red, y para detectar comportamientos extraños.

  • La mayoría de los ataques Web todavía requieren la intervención humana para tener éxito:Los ataques dirigidos dependen de los seres humanos haciendo clic en algo o sobre la navegación a un sitio web malicioso. El análisis de McAfee de los ataques en contra de Google y otras compañías mostraron que los intrusos tuvieron acceso a una organización mediante el envío de un ataque a medida contra uno o varios individuos específicos.Los ataques fueron diseñados para que pareciera que provenían de una fuente de confianza y lograr su principal objetivo: hacer clic en un enlace o archivo. Hay mucho más de conocimiento por adelantado en estos días. Los intrusos acechan a su enemigo y lo vigilan, recabando información sobre su perfil y su esfera a través de las redes sociales.


Con este panorama, muchos os estaréis preguntando cuales son realmente los problemas que pueden llevar por la Web. He encontrado este excelente análisis de las amenazas de la Web y una explicación detallada de su taxonomía en Web Security: Are You Part Of The Problem?
En el enlace tenéis una explicación bastante completa de todos los posibles inicios de ataque y las recomendaciones generales que se deben de cubrir en el escaparate que toda organización cuelga hacia Internet.

Estos resultados demuestran cuales son los más utilizados, pero no quita que cuando un tipo de problema se vaya solucionando, los malos lo intenten con otros menos conocidos. Muchos responsables seguirán viendo estos hechos como "de película" pero nunca se sabe qué puede considerar de valor un ladrón y tener las puertas abiertas suele ser muy tentador para los amigos de lo ajeno.
martes, 19 de enero de 2010 1 comentarios

Del phishing de nuevo a la seguridad física.

El mundo del malware y en general, los delincuentes afinan cada vez más sus instrumentos de lucro ilegítimo. Aunque no he podido hacer el post dedicado a pronosticar qué va a ocurrir en el 2010, hay una tendencia clara que se repite en estos últimos años. El cibercrimen da pasta, mucha pasta y eso hace que aumente el "factor motivación" y que se busquen nuevas formas de hacer crecer el árbol de ataque. Y este año va a ser más de lo mismo (robo de dinero) pero en todos los frentes donde esto sea posible, ya sea troyanos en dispositivos móviles, fraude en cajeros, troyanos en cajeros, estafas en juego online, etc. Allá donde haya una buena recompensa habrá delincuentes intentando buscar la manera de lorgarla. Si a ello sumamos la dificultad de la investigación policial y la complejidad de muchos de los casos por la extensión geográfica donde viven los delincuentes, con legislación diferente, se propicia un caldo de cultivo de todo esto.

He podido encontrar en KrebsonSecurity fotos de los nuevos métodos utilizados para obtener información de las tarjetas de crédito y poderlas duplicar. De nuevo, la banca tiene que volver a preocuparse de la seguridad física de los cajeros o mejorar la tecnología de sus tarjetas para no ser víctima del fraude.


Obviamente lo que pretenden con la sofisticación de estos lectores es que pasen completamente desapercibidos tanto para los clientes como para los responsables de las oficinas que los gestionan.

Y ciertamente sonroja un poco ver como la criminalidad de Internet se enfoca hacia la descarga de material protegido con propiedad intelectual, donde se establecen protocolos rápidos para el cierre de Webs y sin embargo, hay ausencia de coordinación en otros delitos más importantes o más delicados como puede ser la pornografía infantil, la estafa online, la venta de fármacos sin autorización previa, etc.

Lo que más me preocupa además es que los escasos y limitados recursos policiales que precisamente están centrados en los delitos tecnológicos que más nos deben preocupar vean ahora modificadas sus prioridades establecidas con un criterio policial basado en la gravedad del delito por un criterio político.
lunes, 18 de enero de 2010 2 comentarios

Enjuto Mojamuto: el spam

Muchas veces, cuando intentamos explicar los incidentes más comunes de seguridad, recurrimos a ejemplos complicados que se entienden poco. Hoy he dado con un video muy bueno de Enjuto Mojamuto donde expresa de "otra forma" aquello que realmente tiene que conocer el usuario, el spam no trae nada bueno y menos cuando viene acompañado de su amigo el phishing.

miércoles, 13 de enero de 2010 1 comentarios

Formación online del INTECO sobre SGSI

El INTECO acaba de publicar información sobre un Curso introductorio a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. En él se darán a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un Sistema de Gestión de Seguridad de la Información en una Organización, en base a la norma ISO/IEC 27001.
La duración del mismo es de 20 horas y el coste gratuito.


También se puede acceder a información online entre la que destaca una acción formativa basada en flash donde se puede poco a poco ir profundizando sobre la norma y la implicación de aventurarse a montar un SGSI. Aunque no me ha dado tiempo nada mas que a verlo por encima, tiene una pinta excelente, con gráficos muy claros y una extensión suficiente para ser un buen arranque en esta materia. A continuación podéis identificar enlaces a las partes de este material.
  • Acceso a los conceptos más importantes: Conceptos de un SGSI.
    El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir.

  • Acceso al videotutorial: formación.
    Para la concienciación y sensibilización de las PYMES en los Sistemas de Gestión de la Seguridad de la Información (SGSI) se han elaborado una serie de materiales que ayudarán a las PYMES a conocer mejor este tipo de sistemas y qué conlleva su implantación y certificación.

    En primer lugar, se ha elaborado un video-tutorial que ayudará a los usuarios a comprender de manera sencilla qué es un SGSI y las fases que contempla su implantación y su certificación.

    La duración total del video-tutorial es de, aproximadamente 1 hora, dando la posibilidad al usuario de su visualización total o parcial, en módulos de unos 5 minutos.
lunes, 11 de enero de 2010 0 comentarios

Aprobado el Esquema Nacional de Seguridad

Tenemos desde hoy una buena noticia entre todos los que nos dedicamos a la seguridad de la información en las Administraciones Públicas. Vía Miguel Angel Hernandez y posteriormente accediendo a Moncloa he podido confirmar que el Consejo de Ministros ha aprobado dos Reales Decretos que regulan los Esquemas Nacionales de Interoperabilidad y de Seguridad, dos herramientas esenciales para afianzar una administración electrónica más segura y eficaz.

Tal como anuncia la Web de Moncloa.es

Con estos Reales Decretos se desarrolla la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos de 2007 y se sientan las bases para generar la interoperabilidad y la confianza en el uso de los medios electrónicos que permitan el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Estos Esquemas establecen los requisitos mínimos que cada Administración deberá aplicar para poder ofrecer al ciudadano un servicio unificado. Es decir, un ciudadano podrá realizar su gestión sin necesidad de conocer la administración competente.

Esquema Nacional de Seguridad:

Fija la política de seguridad en la utilización de medios electrónicos. Supone los principios básicos y requisitos mínimos que permiten una protección adecuada de la información a través de medidas para garantizar la seguridad de los sistemas, de los datos, de las comunicaciones y de los servicios electrónicos.

Concede especial atención a la protección de la información que se maneja y de los servicios que se prestan, de forma proporcionada a través de la categorización de los sistemas de información, y a la seguridad de las comunicaciones electrónicas y a la necesidad de efectuar auditorías de seguridad periódicas al menos cada dos años.
Define la metodología para afrontar la respuesta a incidentes que afecten a la seguridad, y el importante papel que juega el Centro Criptológico Nacional, tanto como redactor de Guías de seguridad para la Administración, como protagonista principal en la articulación de respuesta ante incidentes que afecten a la seguridad.

Esquema Nacional de Interoperabilidad:

Es el conjunto de criterios y recomendaciones tecnológicas en materia de conservación y normalización de la información, así como de los formatos y aplicaciones que deben tener en cuenta las Administraciones Públicas cuando tomen decisiones que afecten a la interoperabilidad de los sistemas.
Establece las condiciones necesarias para asegurar un adecuado nivel de interacción tecnológica entre administraciones.
Aborda algunas cuestiones esenciales para el avance de la Administración Electrónica como las dimensiones de la interoperabilidad, las comunicaciones interadministrativas, la reutilización y transferencia de la tecnología, la interoperabilidad en la política de firma electrónica, la recuperación y conservación del documento electrónico y la propia actualización permanente del Esquema.
martes, 5 de enero de 2010 1 comentarios

EU2010.es, Mr Bean y la gestión de la seguridad

Estaba cocinando varios post sobre la revisión del año 2009 y los pronósticos del año 2010 pero la actualidad informativa obliga hoy a saltarse la planificación previa. Nos hemos levantado con la noticia del señor Mr. Bean como portada de algunos de los periódicos en relación al incidente sucedido ayer con el portal de la presidencia de la Unión Europea. Los hechos salen a la luz en los medios de comunicación tradicionales seguramente haciéndose eco de algunos comentarios que corrían ya por otros canales de difusión más populares en la Red como son menéame.net y el propio Twitter.

Parece que siempre aprendemos más por "lo sufrido" que por "lo avisado" y el presente post quiere ser una reflexión sobre varios aspectos que hay que meditar en relación a los hechos acontecidos. Más vale prevenir que curar, pero siempre acabamos con las tiritas en la mano. Lo secuenciaré por escenarios.

Los hechos.
Durante el día de ayer, y según lo que he podido leer en la prensa técnica y no técnica, durante cierto tiempo la Web de la Presidencia Española de la Unión Europea albergada en el dominio www.eu2010.es permitía Cross-Site Scriptings que hacía que cierto enlace creado a tal efecto fuera visualizado por los navegadores de los usuarios que lo pulsaban con la presencia de Mr. Bean en vez de Zapatero. Hay dos blogueros que explican con precisión lo sucedido:
Los daños.
En relación a la seguridad de la información pura y dura de la Web, realmente este incidente supone un "cero zapatero" dado que el supuesto problema de seguridad no afectaba ni a la confidencialidad de los datos, ni a la disponibilidad (inicialmente, luego veremos que sí) ni a la integridad (dado que en el lado servidor no hay alteración alguna). Por tanto, los daños calificables como operativos son CERO. Sin embargo, atendiendo a otras valoraciones que siempre han de hacerse sobre todo "activo de información", si se ha producido un impacto o daño. El hecho de que hoy aparezca en prensa una noticia sobre un fallo de seguridad, se cuestione la inversión en el portal y la diligencia de la empresa encargada de gestionarlo es en sí mismo un daño en imagen. Una Web institucional es el escaparate de una Organización y por tanto SI tiene asignada una valoración en relación al daño a la imagen corporativa de la organización que representa. En este sentido, este incidente de seguridad mancha la imagen institucional que la presidencia europea ha querido dar y arranca su andadura con una noticia negativa. Además y de forma colateral (y me atrevo a aventurar que también atrevida) se está cuestionando la diligencia de la empresa contratada a tal efecto sin haber todavía asistido a un análisis técnico detallado de los hechos. Este quizás haya sido también el fallo de los responsables del portal que no han sabido dar quizás unas explicaciones técnicamente clarificadoras a los hechos (Mal porque todo plan de contingencia/continuidad de negocio debe contemplar también los aspectos mediáticos del incidente y controlar la información que se proporciona a prensa para aclarar los hechos).
En este sentido, es muy criticable también el papel desempeñado por los medios de comunicación. Reconozco que lograr llamar la atención en la actual sociedad de la información es el hito que todos los medios (y sobre todo los online) buscan a diario. Pero dado que la principal misión del periodismo es contar la verdad, el rigor informativo, la precisión de los datos y el contraste de las fuentes son pilares que deben sostener todo trabajo. La noticia publicada ayer por "El Mundo" decía textualmente:
"Los hackers consiguieron saltarse los sistemas de seguridad de la web de la Presidencia española el lunes, bloquear la página y colocar una imagen de Mr. Bean, sonriente, con los ojos muy abiertos y con cara de sorpresa, que saludaba con un "Hi there" ("Hola a todos", en un inglés coloquial)."
Como bien nos han contado MMadrigal.com y Securitybydefault.com, podemos afirmar que realmente el problema se sitúa más en el lado cliente que en el lado servidor. Por intentar hacer un símil con la seguridad física que sea entendible, sería algo como decir que por pintar la fachada del muro exterior del Palacio de la Moncloa se ha vulnerado la seguridad del Palacio de la Moncloa. Un poco exagerado, ¿no? El supuesto ataque ha consistido en que se ha empleado una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección (url o enlace) que luego se ha distribuido en Internet, a través de redes sociales y blogs. El Instituto Nacional de Tecnologías de la Comunicación (INTECO), adscrito al Ministerio de Industria, Turismo y Comercio, confirma en su auditoría de seguridad sobre http://www.eu2010.es que “el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross site scripting) dirigida a los usuarios de la web y no a la web en sí misma”. Según Inteco “este tipo de ataques, para resultar efectivos, deben combinarse con alguna técnica adicional que engañe al usuario de la web para que pinche en un enlace modificado malintencionadamente, por ejemplo, con ingeniería social”. Sin embargo, el incidente inicial tuvo un efecto colateral no deseado pero algo más serio que acabó afectando a la disponibilidad de la Web. Una noticia llamativa y una Web de relevancia que presentaba un aspecto gracioso hizo que muchos internautas, picados por la curiosidad quisieran en un breve espacio de tiempo consultar la página y ello acabo (de forma improvisada) generando una denegación de servicio en toda regla.

Las reflexiones.
La primera reflexión es un tirón de orejas contra los medios de comunicación tradicionales que han caído en el sensacionalismo tecnológico. O bien por su ignorancia técnica no suplida por asesoramiento específico, o bien por sus dobles intenciones de otra índole, finalmente el verdadero "incidente de seguridad" ha sido el causado por la noticia y no en sí mismo por el hecho contado en la misma.


Además, bastante mal se están haciendo las cosas en seguridad como para meter más leña al tema. El pie de página de la captura de página de la noticia dice "La presidencia ha invertido 11,9 millones de euros en la seguridad de su web". Por favor, seamos serios. Esa cuantía no se corresponde con la seguridad solamente y antes de afirmarlo, informense porque los pliegos de contratación son públicos y se puede saber perfectamente qué se licita. Lo hace www.securitybydefault.com, qué mínimo que un periodista. Además, san Google lo localiza todo rápidamente pero hay que tener interés por contrastar la información.

La segunda tiene que ver con la importancia no cuantitativa de algunos activos de información. Es cierto que en la Web Eu2010.es no hay quizás información confidencial o datos de carácter personal pero sin embargo, tiene un peso simbólico que debe ser protegido. Por tanto, cualquier amenaza que pudiera afectar a su contenido, aspecto o disponibilidad debe ser bien valorada. Si además, es un "activo muy expuesto" y este lo es porque está accesible por Internet, ciertas medidas de seguridad deben ser cuidadosamente implantadas, auditadas y posteriormente vigiladas. Los hechos han demostrado que no ha sido el caso. La valoración final de los hechos es que no hay daño de seguridad pero si impacto para la imagen de la Presidencia Europea representada por España, dado que otros medios se hacen eco hoy del incidente, sin entrar en la gravedad. La noticia es el hecho, no los daños.

La tercera tiene que ver con la gestión de la seguridad y más específicamente con la gestión de la vulnerabilidad. No es de recibo que una Web que va a ser visitada a lo largo del mandato de España en la Presidencia Europea y que cuenta con un presupuesto bastante cuantioso no haya sido convenientemente protegida. La gestión de la vulnerabilidad no es una actividad estática, no es realizar un chequeo de vulnerabilidades, generar un informe y solventar las deficiencias. Es un proceso porque las vulnerabilidades nacen, crecen, se reproducen y finalmente se mitigan, como las cucarachas. Por tanto, su vigilancia no es simplemente cada cierto tiempo hacer una revisión, es una tarea continua de investigar si se conocen para los productos que tenemos instalados nuevas vulnerabilidades, si hay que aplicar parches, programar las tareas para mitigarlas y vuelta a empezar. Queda muy bien explicado por el siguiente dibujo.



En este sentido, ya empiezan a aparecer en el mercado de este segmento de medidas de seguridad soluciones donde su principal valor añadido es precisamente esta gestión asistida. A mí personalmente me encanta el enfoque que le han dado la gente de Outpost24 y que podéis ver en esta presentación. También es importante considerar la monitorización de servicios y noticias. Si por lo que parece, en varias Webs ya se iba comentando que en el dominio había problemas de "cross site scripting" lo prudente habría sido haber auditado si algo podía fallar. Tan sencillo como usar los servicio de Google Alerts y establecer cadenas como el nombre del dominio y podríamos al menos advertir que Google empieza a indexar demasiadas cosas sobre nuestros recursos. Yo lo hago sobre mi blog para detectar quién me referencia.

La cuarta tiene que ver con la auditoría de seguridad como evidencia de haber atado cabos. La seguridad no existe nunca al 100% y siempre toca asumir riesgos. Sin embargo, no es lo mismo no haber hecho nada que haber hecho algo aunque no haya evitado el incidente. Lo primero demuestra NEGLIGENCIA, lo segundo, GESTIÓN DEL RIESGO. Las auditorias siempre tienen un doble objetivo. El primero y fundamental es encontrar deficiencias pero el segundo es evidenciar una situación en un momento dado. En este caso, contar con una auditoría de vulnerabilidades sirve para saber si se revisaron los sistemas y no se encontró el fallo o bien, el problema era conocido pero no se había "gestionado".

Lo inquietante.
De todo esto, la cosa que más me inquieta es ver cómo los servicios online caen ante la consulta masiva de usuarios. Es razonable que no se pueda dar servicio a demasiados usuarios simultáneos pero , ¿cuántos son la cifra razonable?. En el caso de un portal con información dirigida a ciudadanos de la Unión Europea situados en unas franjas horarias similares, ¿cuantas peticiones es razonable atender?. Lo razonable podría ser un ratio entre la población a la que se dirige el servicio y la probabilidad de que lo hagan de forma simultánea. En su momento se vendió la atención telemática como ese factor que permite servicios 24x7x365 de forma continua. Sin embargo y en los inicios de la e-Administración, ¿va a ser esto verdad? ¿Tendremos que acabar haciendo de nuevo cola ante los servidores Web?. Mucho me temo que cuando estemos al final de un plazo de recaudación, muchos ciudadanos olvidadizos o descuidados van a querer hacer sus trámites en el último momento y supuestamente la e-administración permite trabajar hasta las 23:59:59 del día antes del plazo.


Seamos positivos, miremos adelante pero aprendiendo de los errores del pasado.

Mucho ya he hablado en este blog sobre la inocencia que a veces demuestran tanto Administraciones Públicas como empresas en esto de la seguridad de la información. El peligro está ahí fuera porque siempre hay riesgos. Otra cosa es que no se manifiesten pero ello puede deberse simplemente a un "factor suerte" o a la no existencia de una motivación clara para producir daño.

En este sentido, ya comenté en su momento la aparición en escena del famoso "Esquema Nacional de Seguridad" que será una R.D. que establezca los mínimos necesarios en la materia exigibles a la e-Administración. Solo hay que leer el artículo primero para ver cuales son sus intenciones.

Artículo 1. Objeto.
1. El presente real decreto tiene por objeto regular el Esquema Nacional de Seguridad establecido en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, y determinar la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos a los que
se refiere la citada ley.
2. El Esquema Nacional de Seguridad está constituido por los principios básicos y requisitos mínimos requeridos para una protección adecuada de la información. Será aplicado por las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias.


Más adelante, entre sus principios básicos de protección, tenemos joyas como el artículo 7, 19 y 20.

Artículo 7. Prevención, reacción y recuperación.
1. La seguridad del sistema debe contemplar los aspectos de prevención, detección y corrección, para conseguir que las amenazas sobre el mismo no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan.
2. Las medidas de prevención deben eliminar o, al menos reducir, la posibilidad de que las amenazas lleguen a materializarse con perjuicio para el sistema. Estas medidas de prevención contemplarán, entre otras, la disuasión y la reducción de la exposición.
3. Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo.
4. Las medidas de recuperación permitirán la restauración de la información y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.
5. Sin merma de los demás principios básicos y requisitos mínimos establecidos, el sistema garantizará la conservación de los datos e informaciones en soporte electrónico.

De igual modo, el sistema mantendrá disponibles los servicios durante todo el ciclo vital de la información digital, a través de una concepción y procedimientos fiables que generen objetos digitales auténticos y estables, que sean la base para la preservación del patrimonio digital.

Artículo 19. Seguridad por defecto.
Los sistemas deben diseñarse y configurarse de forma que garanticen la
seguridad por defecto:
a) El sistema proporcionará la mínima funcionalidad requerida para que la organización sólo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional.
b) Las funciones de operación, administración y auditoría del sistema serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas autorizadas.
c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue.
d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario.

Artículo 20. Integridad y actualización del sistema.
1. Todo elemento físico o lógico requerirá autorización formal previa a su instalación en el sistema.
2. Se deberá conocer en todo momento el estado de seguridad de los sistemas, en relación a las especificaciones de los fabricantes, a las vulnerabilidades y a las actualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo a la vista del estado de seguridad de los mismos.


Y luego, dentro del Anexo referido a las medidas de seguridad a aplicar tenemos soluciones que de haberse aplicado, podrían evitado lo sucedido:

  • 4.1.1 Análisis de riesgos [op.pl.1].

  • 4.3.3 Gestión de la configuración [op.exp.3].

  • 5.6.2.Aceptación y puesta en servicio [mp.sw.2].


De todas formas, es el problema de siempre. Lo importante en seguridad no es saber qué hay que hacer sino hacerlo y mucho me temo que pasará igual que con la protección de datos, que el cumplimiento de la Ley no es suficiente motivación.

Por cerrar este extenso post y como conclusión final, que cada cual aguante sus riesgos. Nos vemos en el siguiente incidente. Buenas tardes y buena suerte ZP.
 
;