2. EL ANÁLISIS DE RIESGOS:EL ANÁLISIS DE RIESGOS:
APLICACIÓN EN LOSAPLICACIÓN EN LOS
SERVICIOS DE LASERVICIOS DE LA
ADMINISTRACIÓN PÚBLICAADMINISTRACIÓN PÚBLICA
Laura Prats Abadía
Responsable seguridad TI Applus
lprats@appluscorp.com
28 Octubre 2010
3. INTRODUCCION.
• Las Administraciones Públicas deben proporcionar al ciudadano el acceso a
los servicios propios de la administración a través de los nuevos Sistemas
de Información.
• Para garantizar la debida confidencialidad y buen uso de los mismos, es
necesario garantizar un nivel adecuado de la seguridad.
• Seguridad:
– Al menos igual nivel que en medios no electrónicos.
– Nivel proporcional a garantías y medidas de seguridad adecuadas a la
naturaleza y circunstancias de los distintos trámites y actuaciones.
– Basado en el Esquema Nacional de Seguridad
• Normativa relacionada
– Ley 59/2003 de Firma Electrónica
– Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios
Públicos
– Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica.
4. Esquema Nacional de Seguridad
La seguridad, en el ENS se entiende como una actividad integral en todos los ámbitos
que afecten a los sistemas.
El ENS determina unas medidas de seguridad obligatorias en función de la
clasificación de los sistemas.
Los sistemas se clasifican en categorías en función del impacto que tendrían los
incidentes de seguridad sobre la información, los sistemas o en la capacidad
organizativa para:
a) Alcanzar sus objetivos.
b) Proteger los activos a su cargo.
c) Cumplir sus obligaciones diarias de servicio.
d) Respetar la legalidad vigente.
e) Respetar los derechos de las personas.
5. ENS: Proceso para clasificar los sistemas
1.- Determinar Servicios /
Información
2.- Definir dimensiones
(D,A,I,C,T)
3.- Asignar niveles
a las dimensiones
(ALTO MEDIO BAJO)
4.- Asignar nivel al Sistema
(ALTO MEDIO BAJO)
6. DEFINIR LAS DIMENSIONES
Para analizar el impacto que tendría un incidente de seguridad sobre un sistema, y por
lo tanto, determinar el nivel de seguridad, se analizarán las siguientes
dimensiones:
a) Disponibilidad [D]. Capacidad para acceder al servicio y/o información.
b) Autenticidad [A]. Capacidad de identificar el origen de la información o
servicio
c) Integridad [I]. Garantía de la no alteración de la información o servicio.
d) Confidencialidad [C]. Garantía de que el acceso a los servicios e
información se realiza en función de los requisitos del servicio y autorización
para el
e) Trazabilidad [T]. Garantía de poder seguir el proceso del servicio para
conservar la totalidad de la información y el seguimiento adecuado de los
procesos.
DEFINIR LAS DIMENSIONES A CONSIDERAR EN CADA ACTIVO DEFINIDO
7. ASIGNAR NIVELES A LAS DIMENSIONES
Para cada dimensión definida en los activos, se asignará un nivel en función
NIVEL BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad
que afecte a alguna de las dimensiones de seguridad supongan un perjuicio
limitado sobre las funciones de la organización, sobre sus activos o sobre los
individuos afectados.
NIVEL MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad
que afecte a alguna de las dimensiones de seguridad supongan un perjuicio
grave sobre las funciones de la organización, sobre sus activos o sobre los
individuos afectados.
NIVEL ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad
que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy
grave sobre las funciones de la organización, sobre sus activos o sobre los
individuos afectados.
8. NIVEL DEL SISTEMA Y
ANALISIS DE RIESGOS
CATEGORIA DEL SISTEMAS DE INFORMACION
• ALTA si alguna de sus dimensiones de seguridad alcanza el nivel ALTO.
infracciones de seguridad que pueden producir pérdidas económicas importantes,
pérdida de información altamente sensible o crítica, o la refutación de una
transacción con impacto económico muy significativo.
• MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel MEDIO como
máximo
mecanismos de seguridad apropiada para la mayoría de aplicaciones de las AAPP.
La infracción de la seguridad de este nivel puede producir pérdidas económicas
moderadas, pérdida de información sensible o crítica, o la refutación de una
transacción con impacto económico.
• BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO como
máximo
sistemas que no están basados en firma electrónica y certificados digitales.
EN FUNCION DE LA CATEGORIA, SE DEBE REALIZAR EL ANALISIS DE RIESGOS Y
APLICAR LAS MEDIDAS DE SEGURIDAD.
9. NIVEL DEL SISTEMA Y
ANALISIS DE RIESGOS
BAJO
Análisis de riesgos documentado que:
a) Identifique los activos más valiosos del sistema.
b) Identifique las amenazas más probables.
c) Identifique las salvaguardas que protegen de dichas amenazas.
d) Identifique los principales riesgos residuales.
MEDIO
Análisis de riesgos documentado y formalizado. Al menos una
presentación en tablas que:
a) Identifique y valore cualitativamente los activos más valiosos del sistema.
b) Identifique y cuantifique las amenazas más probables.
c) Identifique y valore las salvaguardas que protegen de dichas amenazas.
d) Identifique y valore el riesgo residual.
ALTO
Análisis de riesgos formalizado. Utilización de metodología
reconocida (p.e. MAGERIT-PILAR)
a) Identifique y valore cualitativamente los activos más valiosos del sistema.
b) Identifique y cuantifique las amenazas posibles.
c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
d) Identifique y valore las salvaguardas adecuadas.
e) Identifique y valore el riesgo residual.
NIVELDELSISTEMA
10. MEDIDAS OBLIGATORIAS DE SEGURIDAD. ANEXO II ENS
MECANISMOS DE AUTENTICACION
Dimensiones Integridad I, Confidencialidad C, Autenticidad
A
Nivel Sistema
Bajo Medio Alto
Aplica + ++
Se admite cualquier
mecanismo de
autenticación.
Medidas de seguridad en
contraseñas y
autenticadores
NO se recomienda claves
concertadas.
Recomendado: tokens,
certificados u equivalentes
biométricos.
No claves concertadas
Exigido: dispositivos físicos
personalizados usando
algoritmos acreditados por el
CCN o biometría.
Recomendado: Productos
certificados
18. CONCLUSIONES
• La seguridad de los servicios de la Administración Pública al ciudadano
debe realizarse con unos niveles de seguridad apropiados para el
riesgo asociado al servicio.
• El Esquema Nacional de Seguridad define la clasificación de los
sistemas y las medidas de seguridad mínimas a aplicar en cada caso.
• Al menos para sistemas de nivel Medio y Alto, se debe utilizar una
herramienta basada en una metodología contrastada como PILAR.
Muchas gracias
por vuestra
atención
Las Administraciones Públicas deben proporcionar al ciudadano el acceso a los servicios propios de la administración a través de los nuevos Sistemas de Información.
Para garantizar la debida confidencialidad y buen uso de los mismos, es necesario garantizar la autenticación usuarios de los sistemas.
Así mismo, la documentación en formato digital deben tener la misma validez legal en el sentido de validez del contenido, origen, fecha, etc.
Ley 59/2003 de Firma Electrónica
Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
En concreto, la Sección II sobre identificación de ciudadanos y autenticación de su actuación de la Ley 11/2007, permite a cada administración determinar, teniendo en cuenta su propio análisis de riesgos, los mecanismos de firma electrónica admisibles, ya sean de firma avanzada, reconocida u otros sistemas no criptográficos (art. 16.1), estableciendo un esquema multinivel por la identificación de los usuarios de los sistemas informáticos en relación al nivel de seguridad que requieren. Este nivel de seguridad debería de establecerse según un análisis de riesgos, siguiendo las pautas marcadas por El Esquema Nacional de Seguridad (RD 3/2010).
¿Qué son los niveles de aseguramiento en el uso de la identificación y firma electrónica?En todos los servicios y aplicaciones de administración electrónica no se requieren las mismas garantías de identificación y autenticación. Hay una dependencia directa entre el nivel de riesgos asumible y las garantías de seguridad que ofrece un proceso de identificación o autenticación con un determinado certificado electrónico. Será el propio organismo de la Administración pública estatal el que, en función de los servicios que se ofrezcan y el nivel de riesgo que estos conlleven, decidirá el nivel de aseguramiento que corresponderá al servicio específico.El nivel de aseguramiento determinará si es admisible un certificado en soporte software o hardware, o el uso admisible para dicho certificado, como cifrado, autenticación o firma electrónica.
¿Cuáles los niveles de aseguramiento establecidos?De acuerdo a los riesgos de cada procedimiento, se definen los siguientes niveles de aseguramiento:
Nivel de aseguramiento alto: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para las aplicaciones de las Administraciones Públicas que precisan medidas de seguridad altas, cuyas infracciones de seguridad pueden pérdidas económicas importantes, pérdida de información altamente sensible o crítica, o la refutación de una transacción con impacto económico muy significativo.
Nivel de aseguramiento medio: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para la mayoría de aplicaciones de las Administraciones públicas. La infracción de la seguridad de este nivel puede producir pérdidas económicas moderadas, pérdida de información sensible o crítica, o la refutación de una transacción con impacto económico.
Nivel de aseguramiento bajo: Este nivel se corresponde con sistemas que no están basados en firma electrónica y certificados digitales.
¿Qué son los niveles de aseguramiento en el uso de la identificación y firma electrónica?En todos los servicios y aplicaciones de administración electrónica no se requieren las mismas garantías de identificación y autenticación. Hay una dependencia directa entre el nivel de riesgos asumible y las garantías de seguridad que ofrece un proceso de identificación o autenticación con un determinado certificado electrónico. Será el propio organismo de la Administración pública estatal el que, en función de los servicios que se ofrezcan y el nivel de riesgo que estos conlleven, decidirá el nivel de aseguramiento que corresponderá al servicio específico.El nivel de aseguramiento determinará si es admisible un certificado en soporte software o hardware, o el uso admisible para dicho certificado, como cifrado, autenticación o firma electrónica.
¿Cuáles los niveles de aseguramiento establecidos?De acuerdo a los riesgos de cada procedimiento, se definen los siguientes niveles de aseguramiento:
Nivel de aseguramiento alto: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para las aplicaciones de las Administraciones Públicas que precisan medidas de seguridad altas, cuyas infracciones de seguridad pueden pérdidas económicas importantes, pérdida de información altamente sensible o crítica, o la refutación de una transacción con impacto económico muy significativo.
Nivel de aseguramiento medio: Este nivel corresponde a una configuración de mecanismos de seguridad apropiada para la mayoría de aplicaciones de las Administraciones públicas. La infracción de la seguridad de este nivel puede producir pérdidas económicas moderadas, pérdida de información sensible o crítica, o la refutación de una transacción con impacto económico.
Nivel de aseguramiento bajo: Este nivel se corresponde con sistemas que no están basados en firma electrónica y certificados digitales.
Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles:
BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel.
Se entenderá por perjuicio limitado:
1.º La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
2.º El sufrimiento de un daño menor por los activos de la organización.
3.º El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4.º Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
5.º Otros de naturaleza análoga.
Se entenderá por perjuicio grave:
1.º La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
2.º El sufrimiento de un daño significativo por los activos de la organización.
3.º El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
4.º Causar un perjuicio significativo a algún individuo, de difícil reparación.
5.º Otros de naturaleza análoga.
Se entenderá por perjuicio muy grave:
1.º La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
2.º El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
3.º El incumplimiento grave de alguna ley o regulación.
4.º Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
5.º Otros de naturaleza análoga.
Categoría BÁSICA
Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que
describa los siguientes aspectos:
a) Identifique los activos más valiosos del sistema.
b) Identifique las amenazas más probables.
c) Identifique las salvaguardas que protegen de dichas amenazas.
d) Identifique los principales riesgos residuales.
Categoría MEDIA
Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo
básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa
los siguientes aspectos:
a) Identifique y valore cualitativamente los activos más valiosos del sistema.
b) Identifique y cuantifique las amenazas más probables.
c) Identifique y valore las salvaguardas que protegen de dichas amenazas.
d) Identifique y valore el riesgo residual.
Categoría ALTA
Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento
matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos:
a) Identifique y valore cualitativamente los activos más valiosos del sistema.
b) Identifique y cuantifique las amenazas posibles.
c) Identifique las vulnerabilidades habilitantes de dichas amenazas.
d) Identifique y valore las salvaguardas adecuadas.
e) Identifique y valore el riesgo residual.
Nivel BAJO
a) Se admitirá el uso de cualquier mecanismo de autenticación: claves concertadas, o
dispositivos físicos (en expresión inglesa »tokens») o componentes lógicos tales como certificados
software u otros equivalentes o mecanismos biométricos.
b) En el caso de usar contraseñas se aplicarán reglas básicas de calidad de las mismas.
c) Se atenderá a la seguridad de los autenticadores de forma que:
1.º Los autenticadores se activarán una vez estén bajo el control efectivo del usuario.
2.º Los autenticadores estarán bajo el control exclusivo del usuario.
3.º El usuario reconocerá que los ha recibido y que conoce y acepta las obligaciones que
implica su tenencia, en particular el deber de custodia diligente, protección de su confidencialidad e
información inmediata en caso de pérdida.
4.º Los autenticadores se cambiarán con una periodicidad marcada por la política de la
organización, atendiendo a la categoría del sistema al que se accede.
5.º Los autenticadores se retirarán y serán deshabilitados cuando la entidad (persona, equipo o
proceso) que autentican termina su relación con el sistema.
Nivel MEDIO
a) No se recomendará el uso de claves concertadas.
b) Se recomendará el uso de otro tipo de mecanismos del tipo dispositivos físicos (tokens) o
componentes lógicos tales como certificados software u otros equivalentes o biométricos.
c) En el caso de usar contraseñas se aplicarán políticas rigurosas de calidad de la contraseña y
renovación frecuente.
Nivel ALTO
a) Los autenticadores se suspenderán tras un periodo definido de no utilización.
b) No se admitirá el uso de claves concertadas.
c) Se exigirá el uso de dispositivos físicos (tokens) personalizados o biometría.
29
d) En el caso de utilización de dispositivos físicos (tokens) se emplearán algoritmos acreditados
por el Centro Criptológico Nacional.
e) Se emplearán, preferentemente, productos certificados [op.pl.5].