jueves, 30 de junio de 2011 1 comentarios

Regulada la obligación de reconocer los incidentes de seguridad en la reforma de la Ley General de Telecomunicaciones.

Llevamos estos últimos meses leyendo mucho sobre intrusiones en sistemas de información, grupos organizados de hackers que amenazan a Organismos y Empresas y demás noticias que empiezan a ser cotidianas. Quizás la más relevante sea el caso Sony aunque en España también el Inteco ha sido víctima de hechos similares, todos ellos recogidos en el artículo de El País titulado "Intensa temporada Hacker"
Si bien ahora son populares, llevan fraguandose desde hace  mucho tiempo. Ya en la entrada "¿Qué elegir, gestionar vulnerabilidades o detectar ataques con IDS? comenté el cuadrante de amenazas que siempre hay que contemplar y que responde a esta frase que empleaba Joseba Enjuto mediante el juego de palabras "Lo que sé que sé, lo que sé que no sé, lo que no sé que sé y lo que no sé que no sé"
Quizás, la tónica general en materia de seguridad ha sido aplicar la filosofía "Ojos que no ven, corazón que no siente" hasta que viene un externo y te demuestra que por mucho que aprietes los ojos por no ver, "las vulnerabilidades están ahí fuera" como diría el Agente Malder de Expediente X. Lo que ya es notorio es el cambio general de tendencia respecto al objetivo y motivación de estos ataques que cada vez son más atractivos para los criminales que los perpetran y que generan unos (ingresos para el atacante/perdidas para el atacado) bastante significativos. La siguiente infografía representa el "Hall of fame" de los robos de datos más notorios de los últimos tiempos donde se aprecia el volumen de información robada en cada caso.


Esta otra infografía complementa a la anterior y hace un repaso rápido de la historia del Hacking, pudiendo verse aquí el incremento del coste económico de los ataques a lo largo del tiempo.


Esta tercera infografía relata en concreto el caso Sony PS3 donde al final de la misma podéis ver la estimación del coste del incidente de seguridad: 171millones de dolares gastados, una estimación de 24 Billones de dolares. El coste de las medidas de prevención no llega a 10.000 dolares. Por desgracia, este tipo de análisis del Return of Security Investment (ROSI) se hacen a posteriori y los financieros de las empresas no entienden de futuribles sino de hechos contrastados. En cualquier caso, la lección a aprender es clara.

Sony PSN hack

Infographic by Veracode Application Security



Todo esto viene a colación por la introducción en la futura modificación de la Ley 32/2003, General de Telecomunicaciones de un par de apartados que merecen cierta mención porque aparece por primera vez la obligación de reconocer los incidentes de seguridad y de notificar a los potenciales afectados de estos hechos siendo sancionado el hecho de no hacerlo. Todo ello limitado por supuesto por el objeto de aplicación de esta ley aunque ya es un primer avance en el tema.

En los aspectos relativos al secreto de las comunicaciones y a la protección de datos de carácter personal, se hace una apuesta clara por un refuerzo de las obliga­ciones para alcanzar mayores niveles de seguridad en el tratamiento de los datos, extremando las cautelas en lo que se refiere al tratamiento y la protección de datos por parte de los operadores. En este sentido la nueva redacción dada al artículo 34 establece, además de la información a los usuarios de los riesgos potenciales de violación de sus datos personales, se introduce ahora la obligación, cuando se produzca una violación de datos personales, de informar a la Agencia Española de Pro­tección de Datos, que queda reforzada además como autoridad nacional de reglamentación para que pueda valorar el alcance de la violación e idoneidad de las medidas adoptadas por el operador.
Ello expresamente queda regulado por las modificaciones introducidas en la Ley General de Telecomunicaciones que en esta propuesta de Ley quedan redactadas como sigue:
«Artículo 34. Protección de los datos de carácter personal.
1. Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comuni­caciones electrónicas o que presten servicios de comu­nicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legisla­ción vigente.

2. Los operadores a los que se refiere el apartado anterior deberán adoptar las medidas técnicas y de ges­tión adecuadas para preservar la seguridad en la explo­tación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos de carácter personal que sean exigidos por la Ley Orgánica 15/1999, de 13 de diciembre y su normativa de desarrollo y, en su caso, por la que se dicte en desa­rrollo de esta ley en esta materia. Dichas medidas incluirán, como mínimo:
a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autoriza­dos por la ley.
b) La protección de los datos personales almace­nados o transmitidos de la destrucción accidental o ilí­cita, la pérdida o alteración accidentales o el almacena­miento, tratamiento, acceso o revelación no autorizados o ilícitos.
c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales.
3. En caso de que exista un riesgo particular de violación de la seguridad de la red pública o del servi­cio de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicacio­nes electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar.
4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebi­das dicha violación a la Agencia Española de Protec­ción de Datos. Si la violación de los datos pudiera afec­tar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará tam­bién la violación al abonado o particular sin dilaciones indebidas.
Lo previsto en el párrafo anterior será exigible una vez que mediante real decreto se establezca el conteni­do de las notificaciones dirigidas a los abonados o par­ticulares, así como los supuestos en que no será necesa­ria la misma. Asimismo, el real decreto podrá establecer los restantes requisitos de las notificaciones a las que se refiere el párrafo anterior en lo referente a su contenido y condiciones. Mediante real decreto podrá establecerse el formato y contenido del inventario. A los efectos establecidos en este artículo, se enten­derá como violación de los datos personales la viola­ción de la seguridad que provoque la destrucción, acci­dental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmiti­dos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
5. Los operadores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios por parte de las autori­dades legalmente autorizadas. Previa solicitud, facilita­rán a las Autoridades competentes información sobre
esos procedimientos, el número de solicitudes recibi­das, la motivación jurídica aducida y la respuesta ofre­cida.»

Todo esto está muy bien, pero lo más interesante llega ahora, cuando se establecen las "motivaciones suficientes" para hacer que estas medidas se apliquen que como bien supondréis están justificadas bajo el concepto de ROSI (Return of Security Investment) o dicho de otra forma, por qué es más barato hacer las cosas bien que pagar las multas por no haberlas hecho.
Disposición final primera. Modificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter Personal.

Uno. Se añaden dos párrafos al apartado 2 del artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal con la siguiente redacción:

«En el caso de que se trate de la infracción tipificada en el párrafo h) del apartado tercero del artículo 44 (Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen) y una ley impusiese al responsable del fichero o el encar­gado del tratamiento la obligación de notificar al afec­tado o a la Agencia Española de Protección de Datos la existencia de un fallo en la seguridad, sin haberse dado cumplimiento a esta obligación, la cuantía mínima de la sanción será de 60.000 euros. Si el incumplimiento al que se refiere el párrafo anterior fuera reiterado, la cuantía mínima de la san­ción será de 100.000 euros

Dos. Se añade un apartado 9 al artículo 45 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protec­ción de Datos de Carácter personal con el siguiente contenido:
«9. Lo dispuesto en los apartados 5 y 6 de este artículo será igualmente aplicable a las sanciones que la Agencia Española de Protección de Datos pudiera impo­ner de conformidad con lo dispuesto en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Infor­
mación y de Comercio Electrónico y en la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones.»
Dicho de otra forma, el coste de la no seguridad puede ser de 60.000€ por incidente que no sea notificado ante al AEPD (Independientemente de la sanción por incumplimiento del Artículo 9 Seguridad de los datos o 10 Deber de Secreto de la Ley 15/1999 de Protección de Datos de Carácter Personal). Si además no informas de las violaciones y lo haces de forma reiterada, te pueden caer hasta 100.000€ lo que da para destinar recursos a la gestión de vulnerabilidades técnicas y la prevención frente a ataques que pudieran suponer una violación de la confidencialidad de los datos. Por tanto, ya se puede empezar a hablar del ROSI bajo dos premisas: el coste del incidente o el coste de las sanciones.
miércoles, 1 de junio de 2011 0 comentarios

Primeros roces con el Esquema Nacional de Seguridad: pros y contras.

Lo que hoy quiero contar son mis primeras impresiones ya algo más fundadas tras unos meses trabajando a diario con el R.D. 3/2010 de desarrollo del Esquema Nacional de Seguridad. Este post va a ser como contar el diario de una relación tras unos meses de convivencia. Bueno, empecemos.Los primeros contactos fueron ya hace un par de años con la publicación del borrador y las primeras impresiones fueron ya objeto de una primera impresiones en el post "Esquema Nacional de Seguridad, las Administraciones Públicas se ponen las pilas en la materia". Poniendo en contexto el ENS respecto a la legislación que regulaba la seguridad de la información para Administraciones Públicas, el R.D. 3/2010 es una auténtica R-evolución. Por un lado, establece un marco de trabajo correcto, alineado con las normas internacionales que se van publicando en la materia dentro de la serie ISO 27000 y por otro, establece unos criterios mínimos y esenciales que todo Organismo debe contemplar para tener sus sistemas de información en unas mínimas condiciones. Por tanto, el ENS es un impulso a la seguridad que afecta a Administraciones Públicas y a otras entidades de derecho privado que se relacionan con ellas. Dejando claro de antemano que supone una ayuda, ahora empiezo ya con las primeras reflexiones basadas en los esfuerzos de desarrollo e implantación del R.D. 3/2010.


Lo que me gusta.
Las primeras virtudes son existenciales y tienen que ver con la regulación de los denominados "Principios básicos". Estos se contemplan en el Capitulo II y se extienden desde el Artículo 4 al Artículo 10. Todos ellos son auténticas apuestas estratégicas de cuales deben ser los pilares que deben regir la gestión de la seguridad y determinan aspectos tan relevantes como:
  • Seguridad como proceso holístico: todas las partes suman y por tanto, la seguridad debe verse como un proceso integral de protección que contemple todos los aspectos relacionados: físicos, lógicos, organizativos, jurídicos, de gestión y seguimiento, etc.
  • Seguridad basada en la prevención, detección y reacción: Es básica la proactividad para evitar incidentes y mitigar más las vulnerabilidades que los daños.
  • Gestión basada en riesgos: es necesario analizar los riesgos para determinar y decidir si las medidas son suficientes o requieren de mejoras. La gestión del riesgo debe ir proporcionando como beneficio el incremento de la madurez de los controles y la evolución lógica hacia la mejora continua. Todo ello con el soporte de otro principio básico que es la reevaluación periódica para verificar que el grado de control de los riesgos es el esperado y que las medidas de seguridad funcionan tal como se tiene previsto.
  • Lineas de defensa: Las Administraciones Públicas ya contemplan como principio de diseño que deben ser capaces de resistir porque serán atacadas desde agentes externos o internos. Por tanto, la seguridad debe ser un principio a contemplar desde el diseño de los sistemas de información para contar con las medidas y controles adecuados que eviten posibles incidentes.
  • Segregación de funciones en las tareas de operación y seguridad: Este principio es esencial para evitar la acumulación de privilegios y disponer de personal que pueda hacer labores de control interno sobre las áreas técnicas implicadas en el desarrollo y operación o explotación de los sistemas de información. Por tanto, aparece un área control interno que debe velar por el correcto funcionamiento de las cosas y el cumplimiento de la legislación vigente.
Todos estos principios se desarrollan en el Capitulo III a través de los "Requisitos mínimos". Estos van desde el artículo 11 al 30 y desarrollan diferentes aspectos esenciales para poder garantizar que los principios básicos se encuentran correctamente aplicados. De ellos, merecen ser destacados especialmente los siguientes artículos:
  • Artículo 12- Organización e implantación del proceso de la seguridad, donde se indica que debe establecerse una política que debe identificar unos claros responsables de velar por el cumplimiento. Detras de todo esto debe haber "PERSONAS" que hagan cosas en relación con las "RESPONSABILIDADES" atribuidas. Si algo contribuye en mucho a la seguridad es determinar quién tiene que hacer qué para que no exista la sensación de que la seguridad se gestiona sola y que "alguien se encarga" aunque eso sea sólo una sensación que no se concreta en nadie físico.
  • Artículo 15. Profesionalidad, donde viene a decir que quien se dedique a estos temas debe saber lo que tiene entre manos. Además, como puntilla se dice que las Administraciones Públicas deben exigir a sus terceros que cuenten con unos niveles de seguridad adecuados en relación a los servicios prestados, o sea, deben acreditar que gozan de ciertos niveles de seguridad.
  • Artículo 19. Seguridad por defecto, otro elemento esencial que debe empezar a formar parte de la cultura de la seguridad que debe implantarse en las áreas TI de las AA.PP. Las cosas se protegen antes de ser expuestas en los entornos de producción.
  • Artículo 23. Registro de actividad, donde determina la necesidad de disponer de trazas y registros de auditoría que permitan la investigación frente a incidentes y lo que es quizás más importante, la depuración de responsabilidades.
  • Artículo 26. Mejora continua del proceso de seguridad. Este es quizás un guiño del ENS para que las AA.PP. se planteen establecer un SGSI como marco de gestión del cumplimiento del R.D. 3/2010 siendo la ISO 27001 la norma certificable que demuestra el cumplimiento de ese compromiso por la mejora.
Personalmente creo que el quíd de la cuestión respecto a cómo se cumplen estos requisitos mínimos queda establecido por el artículo 27 que voy a copiar integramente.
Artículo 27. Cumplimiento de requisitos mínimos.
1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II
  1. Los activos que constituyen el sistema.
  2. La categoría del sistema, según lo previsto en el artículo 43.
  3. Las decisiones que se adopten para gestionar los riesgos identificados.
2. Cuando un sistema al que afecte el presente Real Decreto maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad.
3. Los medidas a las que se refieren los apartados 1 y 2 tendrán la condición de mínimos exigibles, y podrán ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la seguridad del sistema, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.
Por tanto, todos estos requisitos son concretados en el Anexo II donde se encuentra el listado de medidas de seguridad que deben servir para garantizar dichos requisitos. Como se puede ver, el criterio de selección de "LO MÍNIMO" a aplicar queda establecido en el siguiente orden por:
  1. El tipo de activo y su valoración de las dimensiones A-C-I-D-T
  2. La categoría que corresponde al sistema de información como valoración global de los activos que contiene y que siempre será asignada atendiendo al máximo valor de los activos.
  3. Las decisiones que se adopten en base a la gestión de los riesgos identificados en el proceso de análisis.
Toda esta parte filosófica y de establecimiento de las lineas estratégicas de trabajo me parecen perfectas y muy alineadas con la tendencia general que viene siendo consensuada como el marco de trabajo de la "gestión de la seguridad de la información".

Lo que no me gusta.
El primer gran problema es un tema de recursos. La seguridad por desgracia no se encuentra dentro de la cultura organizativa de las Administraciones Públicas (Al menos de las que conozco) y por tanto, este R.D. 3/2010 viene a sumar una serie de obligaciones que van a recaer sobre las áreas TI de las organizaciones que ya están bastante saturadas. Además, se añade el principio de la función diferenciada pero en general no existen "Responsables de seguridad" que tengan atribuida esa función como labor que suponga el 100% de su tiempo. Por tanto, la primera queja es que por desgracia este incremento de obligaciones no parece que venga con un incremento de los recursos y por tanto, va a costar ponerlo en marcha y más en los tiempos de crisis que han producido recortes en los presupuestos de todas las áreas TI.

El segundo gran problema son las categorías de los sistemas de información. En el ánimo de hacer sencilla la aplicación del R.D. se han establecido tres niveles de seguridad. Sin embargo, el hecho de tener que determinar un único valor para la categoría del sistema siendo éste el máximo valor de cualquiera de sus dimensiones "se carga" el principio de proporcionalidad. Si la intención es aplicar las medidas en base a los impactos o los riesgos, no tiene mucha coherencia que las medidas a aplicar se correspondan con un nivel Alto, Medio o Básico ignorando cuales son los valores de cada dimensión. Pongo un ejemplo para que se entienda claro. Si tenemos un activo que tiene una valoración Básica para la confidencialidad, integridad y disponibilidad pero Alto para la trazabilidad, ese activo tiene una valoración final de Alto. Según interpreto yo y establece así el Anexo I, la categoría final de este sistema de información será Alto. Por tanto, habrá que aplicar unas medidas de seguridad bastante fuertes a dimensiones del activo que realmente no tiene un valor de impacto alto, lo que contradice el principio de proporcionalidad que trata de poner más resistencia en las partes que son más importantes pero no generalizarlo para todo. Por tanto, esta necesidad de hacer sencilla la asignación de niveles contradice el aplicar más seguridad en las partes más importantes y puede incluso ir en contra de la filosofía basada en riesgo. Cuando un sistema tenga un activo de nivel alto, tendrá que aplicar TODAS las medidas del ENS y por tanto, será raro que además de ellas tenga que añadir alguna más para mitigar riesgos.

El tercer gran problema que además agrava mucho mas el tema de las categorías está en cómo se han establecido los criterios de valoración de los activos. En el Anexo I, punto 3 se determina que la valoración de los activos se realiza atendiendo al daño causado a la organización para:
  • alcanzar objetivos.
  • proteger activos a su cargo
  • cumplir con las obligaciones diarias de proporcionar servicios.
  • respetar la legislación vigente.
  • respetar los derechos de las personas.
Es lógico que en la valoración se contemplen aspectos legales, operativos, económicos o de carácter organizativo. Sin embargo, el gran problema está en la descripción que ha sido redactada para estas escalas de valoración en los tres niveles establecidos.
Por poner un ejemplo, a un responsable de servicio o responsable de información se le deberá preguntar qué consecuencias tiene un incidente que afectara a la confidencialidad. Por tanto, debe determinar si supone un perjuicio limitado, grave o muy grave. Sin embargo, la justificación de estos tres grados se corresponde con las siguientes frases:
  • BAJO: El incumplimiento formal de alguna ley o regulación, que tenga carácter subsanable.
  • MEDIO: El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter subsanable.
  • ALTO: El incumplimiento grave de alguna ley o regulación.
Estas frases abiertas y poco concretas por ser ausentes de contexto pueden dar lugar a diferentes interpretaciones y dificultan de forma extrema el seleccionar un valor que no dependa del criterio personal de quien valora. Además, los valores establecidos en las diferentes escalas deberían ser similares para que el nivel alto represente un tipo de incidente de gravedad similar en todas las escalas. Para representar esto segundo imaginemos que sobre un activo se diera un incidente que supusiera una infracción grave de la LOPD. Según el criterio de valoración sería un activo de nivel ALTO. Sin embargo, si miramos qué valores tiene el nivel alto en el resto de escalas tenemos la anulación de la capacidad de la organización para atender sus obligaciones o el perjuicio grave a un individuo de difícil reparación. No parecen del mismo rango los daños en las tres escalas y si a eso sumamos que por un problema de confidencialidad. Aun así, si consideramos que el hecho es grave, por el razonamiento anterior para proteger la confidencialidad del activo, se van a tener que aplicar medidas muy duras relacionadas con el resto de dimensiones.

El cuarto y quizás también muy relevante es que no se ha definido un organismo supervisión que vele por garantizar el cumplimiento ni se atribuye un régimen sancionador debido al incumplimiento. Al menos, para consuelo de todos, el Artículo 41. Publicación de conformidad establece lo siguiente:

Artículo 41. Publicación de conformidad.
Los órganos y Entidades de Derecho Público darán publicidad en las correspondientes sedes electrónicas a las declaraciones de conformidad, y a los distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento del Esquema Nacional de Seguridad.
Según  se puede ver, todos los Organismos debieran decir en su sede electrónica cual es su declaración de conformidad respecto al cumplimiento del ENS y cualquier otro distintivo que acredite gestión de la seguridad como pudieran ser las certificaciones ISO 27001. En la Web del CCN-CERT hay incluso colgado un documento a modo de ejemplo de la redacción que debería tener esa declaración y que os animo a consultar en este enlace.  La base por la que se declara la conformidad con los requisitos esenciales del ENS, es la superación en conformidad de la evaluación efectuada, realizada por el Responsable de Seguridad, mediante la elaboración de un dictamen técnico en el que se señale, de forma expresa, que el sistema a que se refiere es conforme al Esquema Nacional de Seguridad.Esta información debiera estar colgada en la sede para que el ciudadano pueda comprobar que la Web de ese organismo goza de las medidas de protección adecuadas y por tanto, le genere la confianza que es el fin último por el que se ha desarrollado el ENS. Por tanto, no existe una Agencia supervisora que determine quién está en condiciones de dar servicios telemáticos y quien no pero al menos obliga a todas las AA.PP. a publicar una declaración donde digan que superan las medidas de seguridad. Por tanto, si hubiera un incidente se podría saber quién es el responsable en base a detectar qué medidas de las aplicadas fallaron.



Para terminar, os planteo un reto. Del directorio de Sedes que se publica en la Web del 060.es, mirar cuantas dan cumplimiento al citado artículo 41 y disponen de la publicación de conformidad. El listado está accesible aquí. Si encontráis alguna, indicarlo en los comentarios porque yo por más que busco, no encuentro...
 
;