Defensa Del Ciberespacio

Documentos de Seguridad y Defensa 60

Estrategia de la informacin y seguridad en el ciberespacio

Escuelade AltosEstudiosde laDefensa

MINISTERIO DE DEFENSA

CATLOGO GENERAL DE PUBLICACIONES OFICIALEShttp://publicacionesoficiales.boe.es/

Edita:

SECRETARAGENERALTCNICA

Autor y editor, 2014

NIPO: 083-14-063-8 (impresin bajo demanda)

Fecha de edicin: junio 2014

http://publicaciones.defensa.gob.es/

NIPO: 083-14-062-2 (edicin libro-e)ISBN: 978-84-9781-934-3 (edicin libro-e)

Las opiniones emitidas en esta publicacin son exclusiva responsabilidad del autor de la misma.Los derechos de explotacin de esta obra estn amparados por la Ley de Propiedad Intelectual. Ninguna de las partes de la misma puede ser reproducida, almacenada ni transmitida en ninguna forma ni por medio alguno, electrnico, mecnico o de grabacin, incluido fotocopias, o por cualquier otra forma, sin permiso previo, expreso y por escrito de los titulares del Copyright.

5NDICEPgina

Prlogo

Captulo primero mbito del trabajo de investigacinCiberespacio: concepto y mbito de aplicacin en seguridad y defensa ..... 14Estrategia de seguridad de la informacin en el ciberespacio ..................... 18

Captulo segundoSeguridad en el ciberespacioAnlisis y gestin del riesgo social ...................................................................... 21Gestin de riesgos .................................................................................................... 23

Activos estratgicos: infraestructuras crticas ............................................. 23Amenazas ............................................................................................................ 27Vulnerabilidades ................................................................................................. 31Catalogacin de las vulnerabilidades ............................................................. 34Metodologas y buenas prcticas para el anlisis y la gestin de riesgos ...... 36

Proteccin del ciberespacio ................................................................................... 36Seguridad de la informacin en el ciberespacio ........................................... 36

Capacidad de respuesta ante incidentes informticos ..................... 36Ciberdefensa ....................................................................................................... 40

Capacidades de ciberdefensa ................................................................. 40Ciberejrcito ................................................................................................ 41Ciberdefensa en Espaa: regulacin y recursos ................................. 48Ciberdefesa em Portugal: Enquadramento e Iniciativas em Curso .. 52

Regulao e Recursos ......................................................................... 52Cibersegurana nas foras armadas ................................................ 54Capacidade de ciberdefesa: O Papel das Foras Armadas ............ 55

Captulo terceroEstado del arte en Portugal y EspaaEstrategias nacionales de seguridad en el ciberespacio ................................ 57

Estrategia Espaola de Ciberseguridad ......................................................... 57Ciberdefensa en Espaa: Regulacin y Recursos ......................................... 59

Pgina

Estrategia Portuguesa de Cibersegurana .................................................... 65Enquadramento Conceptual ................................................................... 65Estratgia Nacional de Cibersegurana: a Viso ................................ 67Objetivos e Linhas de Ao Estratgica ................................................ 67

Garantir a Segurana no Ciberespao .............................................. 68Fortalecer a Cibersegurana das Infraestruturas Crticas ........... 69Defender Interesses Nacionais e a Liberdade de Ao no Cibe-

respao .......................................................................................... 69Lneas de accin estratgica comunesEstado del arte en organizaciones internacionales comunes ....................... 70

OTAN ..................................................................................................................... 70Unin Europea ..................................................................................................... 75Otras organizaciones internacionales ............................................................ 80

Las Naciones Unidas y la Unin Internacional de Telecomunica-ciones .................................................................................................... 80

Organizacin para la Cooperacin y el Desarrollo Econmico (ocde) ... 83Organizaciones de normalizacin y gestin de Internet ................... 84

Iniciativas comunes para la cooperacin internacional .............................. 85

Captulo cuartoConclusiones y reflexiones

Referencias

ANEXO IVAM DOD .................................................................................................................. 99NIST SP800-30 .......................................................................................................... 100ISO/IEC 27005 ............................................................................................................ 100CVSSV2 ........................................................................................................................ 101CWE .............................................................................................................................. 101

ANEXO IIMAGERIT ..................................................................................................................... 103Manual Austraco de Seguridad TI ........................................................................ 104CRAMM ........................................................................................................................ 105A&K .............................................................................................................................. 106EBIOS ........................................................................................................................... 106Mtodos ISF para la Gestin y Valoracin de Riesgos ..................................... 107ISO/IEC 27005 ............................................................................................................ 109MARION ....................................................................................................................... 109MEHARI ........................................................................................................................ 110OCTAVE ....................................................................................................................... 110NIST SP800-30 .......................................................................................................... 111

ANEXO IIIClasificacin o taxonoma de las Capacidades de Ciberdefensa elaborada

por la nc3A de la otAn. ....................................................................................... 113

Composicin del grupo de trabajo ...................................................... 121

Documentos de Seguridad y Defensa ................................................ 123

6

7Prlogo

La estructuracin en red de las sociedades ms desarrolladas y la cons-truccin del ciberespacio son caractersticas fundamentales del entorno estratgico del siglo xxi. El ciberespacio constituye un vector estratgico privilegiado para el desarrollo cultural, social y econmico, y la defensa de los valores de las sociedades modernas, de la informacin y el ci-berespacio impone una clara percepcin del marco de las amenazas y vulnerabilidades.

Dentro de este marco, se considera que el modo en que los diferentes agentes utilizan la informacin resulta ser, de forma simultnea, gene-radora tanto de nuevas oportunidades como de nuevas amenazas en el ciberespacio, provocando as importantes consecuencias para la conduc-cin poltica y estratgica de los Estados.

La presente monografa es el fruto de la cooperacin que, durante los aos 2012 y 2013, han mantenido el Instituto da Defesa Nacional (idn) de Portugal y la Escuela de Altos Estudios de la Defensa (ealede) del Cen-tro Superior de Estudios de la Defensa Nacional (ceseden) en torno a un asunto de plena actualidad, la ciberseguridad, que, cuando se iniciaron estos estudios, ya se percibi como tema emergente de gran importancia.

Bajo el ttulo genrico Estrategia de la Informacin y Seguridad en el Ciberespacio, se afronta, unas veces de forma conjunta y otras describiendo las particularidades especficas en cada pas, un repaso en profundidad a algunos temas clave que se pueden articular en:

Alonso de la Rosa Moreno y Victor Daniel Rodrigues Viana

8

1. ciberespacio: concepto y mbito de aplicacin en seguridad y defensa,

2. estrategia de seguridad de la informacin en el ciberespacio.

En lo relacionado con la seguridad en el ciberespacio, se desarrollan en profundidad:

el anlisis y la gestin del riesgo social; la gestin de riesgos: infraestructuras crticas, amenazas, vulne-

rabilidades y las buenas prcticas para el anlisis y la gestin de riesgos;

la seguridad de la informacin en el ciberespacio y la capacidad de respuesta ante incidentes informticos;

ciberdefensa: capacidades de ciberdefensa, ciberejrcito.

Igualmente se afronta el estado del arte en Portugal y Espaa, para lle-gar, por ltimo, a unas conclusiones conjuntas.

Este proyecto de definicin de las implicaciones y percepcin del impacto del ciberespacio en la seguridad y defensa de los Estados pretende ca-racterizar el marco conceptual y operativo adoptado por Portugal y Es-paa. En este contexto, teniendo en cuenta los esfuerzos actualmente en curso en ambos pases, se busca identificar los puntos de convergencia y examinar la posibilidad de desarrollo futuro de iniciativas conjuntas, sobre todo de naturaleza bilateral, y tambin multilateral, en el marco de las organizaciones internacionales, en particular la otan y la ue.

El texto es el resultado de aproximacin de posiciones iniciales, supera-cin de diferencias y flexibilizacin de posturas un ejercicio ejemplar del valor de la negociacin con resultados que dan valor aadido a am-bos pases. Se ha obtenido un producto moderno, incisivo y prospectivo, que, sin duda, ser referente para muchos otros pases.

Adems, este proyecto ha servido para afianzar los proyectos comunes, que se iniciaron en 2010, y que tendr su continuidad en el perodo 2013-2014, evidencia del xito obtenido en esta apuesta conjunta que se ha transformado en una realidad cooperativa ejemplar.

Alfonso de la Rosa Morena Vtor Daniel Rodrigues Viana

Teniente general Major-general

Director del ceseden Diretor do idn

9Prlogo

Pensar la sociedad y el mundo globalizado en el que estamos pasa por visualizar una sociedad en red, en la que Internet y el ciberespacio representan un papel aglutinador de las interacciones, imponiendo la percepcin de que vivimos en una aldea global. De acuerdo con esta perspectiva, aparecen nuevos parmetros de mejora de procesos, de la estructura de encuadre y de la competitividad, no solo de las or-ganizaciones, sino tambin de los Estados. Las infraestructuras de informacin, con las que cada vez nos hallamos ms interconectados, permiten la visin de que no contamos con mltiples redes, sino con una sola red global.

Pensar a sociedade e o mundo globalizado em que nos inserimos passa por visualizar uma sociedade em rede, na qual a Internet e o ciberespao assumem um papel aglutinador das interaes, impondo a perceo de que vivemos numa aldeia global. Segundo esta perspetiva, surgem novos parmetros de melhoria dos processos, da estrutura de enquadramento e da competitividade, no s das organizaes mas tambm dos prprios Estados. As infraestruturas de informao, cada vez mais interligadas, favorecem a viso de que no dispomos de vrias redes, mas sim de uma s rede global.

La dependencia de las sociedades modernas en relacin con los flujos de informacin que circula en el ciberespacio tambin ha aumentado los riesgos sociales, lo que ha impuesto la necesidad de una comprensin clara del marco de las amenazas y vulnerabilidades, as como una re-

Alonso de la Rosa Moreno y Victor Daniel Rodrigues Viana

10

flexin profunda con el objetivo de reducir el creciente impacto de los ataques cibernticos y promover el desarrollo de una estrategia de infor-macin y garantizar la seguridad del ciberespacio.

A dependncia das modernas sociedades, relativamente aos fluxos de informao que circulam no ciberespao, aumentou tambm os riscos sociais, impondo uma clara percepo do quadro de ameaas e vul-nerabilidades bem como uma profunda reflexo destinada a reduzir o impacto crescente dos ciberataques, a promover o desenvolvimento de uma estratgia da informao e a garantir a segurana do ciberespao.

El ciberespacio constituye un vector estratgico privilegiado para el de-sarrollo cultural, social, econmico y de defensa de los valores de las sociedades modernas, y cada vez se ve ms como un importante espacio para el ejercicio de la ciudadana y la afirmacin de la soberana de los Estados.

O ciberespao constitui um vetor estratgico privilegiado para o desen-volvimento cultural, social, econmico e de defesa de valores das mo-dernas sociedades, sendo perspetivado cada vez mais como um espao fundamental de exerccio de cidadania e afirmao da soberania dos Estados.

Este proyecto, al definir las implicaciones y observar el impacto del ci-berespacio en la seguridad y la defensa de los Estados, demanda carac-terizar el marco conceptual y operativo adoptado por Portugal y Espaa. En este contexto, teniendo en cuenta los esfuerzos actualmente en curso en ambos pases, se busca identificar los puntos de convergencia y exa-minar la posibilidad de desarrollo futuro de iniciativas conjuntas, sobre todo de naturaleza bilateral, pero tambin multilateral, en el marco de las organizaciones internacionales, en particular la otan y la ue.

Este projeto, definindo as implicaes e perspetivando o impacto do cibe-respao na segurana e defesa dos Estados, procura caracterizar o en-quadramento conceptual e operacional adotado por Portugal e Espanha. Neste contexto, atendendo aos esforos atualmente em curso nos dois Pases, procura-se identificar pontos de convergncia e analisar a possi-bilidade de desenvolvimento futuro de iniciativas conjuntas, sobretudo de natureza bilateral mas tambm multilateral, no quadro de organizaes internacionais, em especial da nato e da ue.

El proyecto, por su relevancia y actualidad, tambin llega en un momento especialmente oportuno, ya que estos dos pases ibricos estn compro-metidos, en un esfuerzo de reflexin y de debate nacional, a la creacin de una estrategia nacional de ciberseguridad. Por lo tanto, como una forma de sensibilizacin, tambin se cree ajustado dar una cierta rele-vancia a la dimensin de la ciberdefensa en el contexto de las polticas de ciberseguridad.

Este Projeto, pela sua pertinncia e atualidade, surge tambm num mo-mento especialmente oportuno uma vez que estes dois pases ibricos

Prlogo

11

se encontram empenhados num esforo de reflexo e debate nacional, conducente definio de uma estratgia nacional de cibersegurana. Por isso, como forma de sensibilizao, tambm se entende ajustado dar alguma relevncia dimenso da ciberdefesa no contexto das polticas de cibersegurana.

Alfonso de la Rosa Morena Vtor Daniel Rodrigues Viana

Teniente general Major-general

Director del ceseden Diretor do idn

13

Captulo primero

mbito del trabajo de investigacin

La estructuracin en red de las sociedades ms desarrolladas y la cons-truccin del ciberespacio son caractersticas fundamentales del entorno estratgico del siglo xxi. En este contexto, pensar el mundo en que vivi-mos pasa por percibir una sociedad en red donde la interaccin entre los hombres deja de estar influida por barreras geogrficas y da entrada a otros requisitos como la disponibilidad y el tiempo de acceso a los recur-sos de informacin.

Entendiendo la evolucin tecnolgica como un reto y una oportunidad de alcanzar unos niveles de desarrollo econmico y social ms eleva-dos, corresponde fomentar la innovacin y promover la adopcin de las nuevas tecnologas de la informacin y comunicacin (tic) para asegurar la convergencia nacional hacia la sociedad de la informacin de forma sostenida. Dentro de este marco, se considera que el modo en que los di-ferentes agentes utilizan la informacin resulta ser, de forma simultnea, generadora tanto de nuevas oportunidades como de nuevas amenazas en el ciberespacio, provocando as importantes consecuencias para la conduccin poltica y estratgica de los Estados.

Ejemplos como los de Estonia en 2007 y Georgia en 2008 ensean que cada Estado tendr no solo que garantizar un uso seguro del ciberespa-cio para sus ciudadanos, sino tambin como salvaguardia de su propia soberana. Por esta razn se considera relevante llevar a cabo un anlisis del riesgo y del impacto social de los diferentes tipos de ataques ciber-nticos, diferenciando los de motivacin criminal de aquellos que pueden


14

poner en peligro la seguridad y defensa del Estado. En este contexto, se reconoce tambin la existencia de un nivel nacional y otro supranacional de seguridad ciberntica; distribuidos ambos en dos dominios diferentes, y complementarios: la ciberseguridad y la ciberdefensa.

En la era de la informacin se generan cada vez ms dependencias de-rivadas del funcionamiento en red. Por tanto, no es posible asegurar el desarrollo y el bienestar social sin garantizar la seguridad y proteccin de las infraestructuras esenciales para el funcionamiento normal de la vida en sociedad, conocidas como infraestructuras crticas nacionales y conjuntas, entre las que se incluyen las de la informacin. As, es preciso reflexionar sobre los principales aspectos asociados a la utilizacin de este entorno, en particular al desarrollo de las estrategias nacionales de informacin y la organizacin de sistemas responsables de la proteccin de las infraestructuras capaces de promover el libre acceso y garantizar la seguridad del ciberespacio.

Ciberespacio: concepto y mbito de aplicacin en seguridad y defensa

No cabe duda de que el ciberespacio, como entorno virtual donde se agrupan y relacionan usuarios, lneas de comunicacin, pginas web, foros, servicios de Internet y otras redes [1], se ha convertido en un nuevo mbito que, junto con los tradicionales de tierra, mar, aire y es-pacio, es el medio donde se desarrollan las actividades econmicas, productivas y sociales de las naciones modernas. El ciberespacio toca prcticamente todo y a todos. Proporciona una plataforma para la inno-vacin y la prosperidad y los medios para mejorar el bienestar general de todo el mundo [2].

Por ello, no es de extraar que los Gobiernos de dichas naciones ma-nifiesten su intencin de defender sus activos e intereses estratgicos en dicho mbito. As, en la Estrategia Internacional para el Ciberespa-cio, suscrita por el presidente estadounidense Barack Obama, podemos leer:

Todos los Estados tienen el derecho inherente a la propia defensa y reconocemos que ciertos actos hostiles llevados a cabo en el ci-berespacio podran obligar a tomar acciones en el marco de los compromisos que tenemos con nuestros aliados militares. Nos reser-vamos el derecho a utilizar todos los medios necesarios: diplomticos, informativos, militares y econmicos, adecuados y coherentes con el derecho internacional aplicable, con el fin de defender a nuestra Na-cin, nuestros aliados, nuestros socios y nuestros intereses [3].

Segn el Diccionario de la Real Academia Espaola (drae), ciberespacio es el mbito artificial creado por medios informticos [4], mientras que cibernauta es la persona que navega por ciberespacios [5]. No encon-


15

traremos en el drae la definicin de ciberseguridad o ciberdefensa, pero s podemos encontrar que el prefijo ciber [6] es un elemento compositivo que significa ciberntico y proviene de la palabra ciberntica. Esta, a su vez, hace referencia al estudio de las analogas entre los sistemas de control y comunicacin de los seres vivos y los de las mquinas; y en par-ticular, el de las aplicaciones de los mecanismos de regulacin biolgica a la tecnologa [7]. Etimolgicamente nos llega del francs (cyberntique), que, a su vez, lo tom del ingls (cybernetics), aunque originalmente viene del griego (), donde haca referencia al arte de gober-nar una nave. De este modo, podemos concluir que ciberseguridad hace referencia a la seguridad ciberntica, as como ciberdefensa se refiere a la defensa ciberntica.

Atendiendo a su aspecto ms tcnico, el ciberespacio podra ser definido como un conjunto de redes de comunicacin y sistemas que estn inter-conectados entre s de forma directa o indirecta [8]. El ciberespacio es, as, un entorno en s mismo en el que se deben tener en cuenta tanto su componente tecnolgico esto es, las vulnerabilidades inherentes a su empleo y las amenazas que pueden afectarlas como el factor huma-no, al ser las personas los usuarios de dicho entorno. Se debe prestar especial atencin a las personas que acceden al ciberespacio, con sus diferentes culturas y motivaciones, para poder entender adecuadamente su funcionamiento y sus riesgos.

En un mundo globalizado como el actual, en el que se demanda el acceso a grandes cantidades de informacin, en tiempo y forma, el ciberespacio constituye una dimensin crtica y, por tanto, necesaria para el normal funcionamiento de nuestra sociedad moderna, de su seguridad, de su economa, de sus empresas, etc. Esta necesidad de acceso e intercambio de informacin lleva inherentemente asociada la seguridad, ya que dicha informacin debe estar protegida frente a accesos o modificaciones no autorizadas.

Pero el ciberespacio tiene una serie de caractersticas particulares, que le son propias y que es necesario estudiar con detenimiento, con objeto de poder identificar su relevancia en los mbitos de la seguridad y la de-fensa. Veamos brevemente cules son:

Carcter dinmico: Los componentes del ciberespacio poseen una frecuencia de cambio elevada. Los diferentes sistemas que lo in-tegran cambian y se modifican constantemente, especialmente las interconexiones entre los mismos. Las vulnerabilidades son des-cubiertas casi diariamente y las amenazas surgen y cambian sin cesar.

Irrelevante coste de acceso: Hoy en da la barrera de acceso al ciberespacio es muy pequea; se estima que actualmente ms de un tercio [9] de la poblacin mundial tiene acceso a Internet.

Enorme capacidad de crecimiento: Tanto a nivel de funcionalida-des como de velocidad de intercambio de informacin.


16

Alta capacidad de procesamiento: Y tambin de almacenamiento de informacin.

Carcter asimtrico: En este nuevo dominio, con muy pocos re-cursos se pueden desarrollar acciones hostiles de gran impac-to. La asimetra se muestra, asimismo, en cuanto a la capacidad de adquirir los conocimientos necesarios para desarrollar estas acciones.

Anonimato: Es muy difcil la deteccin y seguimiento del origen de un ataque, lo que dificulta su disuasin y respuesta.

Alta capacidad de producir efectos fsicos: En una muy amplia gama de sectores y dispositivos.

Transversalidad: Una accin o evento ocurrido en el ciberespacio puede afectar a una o ms reas de actividad de las modernas sociedades, tales como la poltica, econmica, social e incluso la seguridad y defensa de los Estados.

En el mbito particular de la defensa, tierra, mar, aire y espacio han sido los dominios tradicionales en los que se han desarrollado las opera-ciones militares y, por tanto, en los que se han focalizado los esfuerzos relacionados con la obtencin de las capacidades militares. Sin embargo, el ciberespacio ya ha sido definido y aceptado como el quinto dominio, en el cual se llevarn a cabo operaciones militares especficas y que ya apoyan actualmente las operaciones militares que se desarrollan en el resto de dominios.

Hasta hace relativamente poco tiempo, la orientacin en el mbito de Defensa respecto a la proteccin del ciberespacio ha sido de carcter esttico, enfocada a la defensa de los sistemas de informacin y tele-comunicaciones mediante la aplicacin de medidas preventivas, de deteccin y de recuperacin de diferente naturaleza (fsicas, de personal, tcnicas, etc.). Esta aproximacin se ha denominado tradicionalmente infosec1, que en Espaa llamamos stic2 [10] y en Portugal seguridad de la informacin.

A nivel internacional, para referirse a la seguridad de la informacin y del ciberespacio, se suelen utilizar los trminos en ingls (information assurance3 cyber security, infosec, computer security, computer networks security, computer networks defence, cyber defence, critical information infrastructure protection [12]), aunque normalmente su significado tiene diferentes matices, dependiendo del pas de origen de quien los usa, y no siempre concuerda con la traduccin directa de los trminos anglosa-jones que los componen.

1 Infosec es el acrnimo anglosajn de information security.2 stic, seguridad de las tecnologas de la informacin y las comunicaciones.3 Information assurance suele traducirse como seguridad de la informacin, aunque seguramente sera ms adecuado traducirlo como garanta o aseguramiento de la infor-macin [11], para poder diferenciarlo de information security, que normalmente tiene un significado ms restringido cuando se habla en ingls.


17

Debido a la naturaleza dinmica del propio ciberespacio, las ya mencio-nadas medidas infosec, aunque necesarias, actualmente resultan ya una aproximacin insuficiente para proporcionar un nivel de proteccin ade-cuado en lo que a la seguridad de la informacin se refiere. Es as como surge el concepto de ciberdefensa4, al agrupar el conjunto de medidas y acciones que se adaptan a este entorno dinmico y son capaces de pro-porcionar un tipo de proteccin de la informacin y los sistemas que la manejan acorde a este nuevo escenario. Adems, se realiza un estudio ms amplio de los servicios de seguridad que han de proporcionarse en el propio ciberespacio, no solo enfocado a la proteccin de la disponib-ilidad, integridad y confidencialidad, sino incluyendo tambin servicios como autenticidad, trazabilidad o el no repudio.

El entorno del campo de batalla moderno es cada vez ms multidimen-sional y discontinuo; se observa que las operaciones militares se han ampliado progresivamente a reas tradicionalmente no militares. Las Fuerzas Armadas de la era de la informacin dependen, cada vez ms, del uso libre del entorno de la informacin y el ciberespacio para llevar a cabo todo el espectro de operaciones.

En este contexto, en el mbito militar y muy ligadas al concepto de ciberdefensa, surgen las operaciones en el ciberespacio, o computer network operations (cno5), que incluyen las acciones tanto de naturale-za defensiva como de explotacin de las capacidades de los posibles adversarios y de respuesta. A nivel internacional, diferentes naciones y organizaciones han definido este concepto y estn realizando esfuerzos para la obtencin de las capacidades relacionadas. As, en la doctrina tradicional de nuestros aliados, como es la del Departamento de Defensa de Estados Unidos (dod6), el Estado Mayor Conjunto indica, dentro de la Doctrina de las Operaciones de Informacin [14], que las capacidades de las cno se componen de:

Computer network defense7, que incluye las medidas adoptadas a travs del uso de redes de ordenadores para proteger, controlar, analizar, detectar y responder a la actividad no autorizada en los sistemas de informacin y comunicaciones. Las acciones cnd no solo buscan proteger los sistemas de un adversario externo, sino tambin de su explotacin desde dentro de la propia organizacin.

4 Ciberdefensa, que, como traduccin del ingls cyber defence, sera la aplicacin de las medidas de seguridad para proteger los componentes de la infraestructura tic contra ataques cibernticos [13]. Estos ltimos son una forma de guerra ciberntica, ya sea en combinacin con un ataque fsico o no, que est destinada a perturbar los sistemas de informacin de un adversario.5 cno, computer network operations, lo que se podra traducir como operaciones de la red de ordenadores.6 dod, United States Department of Defense.7 cnd, computer network defense, que puede equivaler a defensa de la red de ordenadores.


18

Computer network exploitation8, que incluye las capacidades de re-coleccin de inteligencia llevadas a cabo a travs del uso de redes de computadoras para recopilar datos de los sistemas de informa-cin y comunicaciones del posible adversario.

Computer network attack9, que se compone de las medidas adop-tadas a travs del uso de las redes informticas para interrumpir, negar, degradar o destruir la informacin manejada por los siste-mas de informacin y comunicaciones (del posible adversario), o los propios sistemas de informacin y comunicaciones.

Tras haber observado la tendencia al aumento de la capacidad disruptiva y destructiva de las amenazas en el ciberespacio, tanto a nivel internacio-nal como nacional, los pases ms evolucionados han desarrollado una capacidad nacional de ciberdefensa, explotando as, de forma sinrgica y cooperativa, las capacidades propias de sus Fuerzas Armadas. En el caso de Portugal y Espaa se ha incrementado la cooperacin con las estructuras de la otan y la ue con la intencin de defender los intereses nacionales y hacer frente al espectro global de las amenazas emergentes en el ciberespacio.

Estrategia de seguridad de la informacin en el ciberespacio

El extraordinario desarrollo experimentado por las tecnologas de la informacin y las comunicaciones ha convertido al ciberespacio en un recurso vital para el funcionamiento de la sociedad actual, ya que, por una parte, favorece y simplifica la relacin entre ciudadanos, adminis-traciones pblicas y empresas y, por otra, es una pieza bsica para la prestacin de servicios esenciales para la comunidad. Su creciente nivel de importancia ha suscitado desde hace tiempo el inters de organismos internacionales del mximo nivel, como la Organizacin para la Coope-racin y el Desarrollo Econmico (ocde), que considera Internet como un elemento fundamental para impulsar el desarrollo econmico y el bien-estar social, as como para fortalecer la capacidad de las sociedades para mejorar la calidad de vida de sus ciudadanos [15].

La relevancia de las redes de comunicaciones en el mundo actual lleva asociada, de manera inseparable, la necesidad de protegerlas ante los incidentes de cualquier naturaleza que puedan alterar su operacin, ya que las consecuencias de la interrupcin o alteracin de las redes de comunicaciones podran afectar gravemente a funciones sociales funda-mentales, tal y como reconoce la Estrategia Espaola de Seguridad [1]:

La ciberseguridad no es un mero aspecto tcnico de la seguridad, sino un eje fundamental de nuestra sociedad y sistema econmico.

8 cne, computer network exploitation, que se podra traducir como explotacin o apro-vechamiento de la Red de ordenadores.9 cna, computer network attack, que en espaol podramos llamar ataque a la Red de ordenadores.


19

Dada la cada vez mayor importancia de los sistemas informticos en la economa, la estabilidad y prosperidad econmica del pas de-pender en buena medida de la seguridad de nuestro ciberespacio.

Tambin Portugal, al identificar la Estrategia de Informacin y Seguridad del Ciberespacio como un vector estratgico de revisin de su Estrategia Nacional de Seguridad y Defensa, reconoce la importancia de proteger y defender el proceso de generacin de valor asociado con el desarrollo del potencial estratgico nacional en esta materia.

Como caba esperar, el impresionante aumento de la actividad en el ciber-espacio ha trado aparejado un incremento similar de los usos maliciosos y los incidentes de seguridad [16]. En particular, los ataques intenciona-dos han sufrido una importante evolucin a lo largo de los ltimos aos, que se ha puesto de manifiesto por la utilizacin de la Red con fines de movilizacin social o protesta poltica y, sobre todo, por la aparicin y desarrollo de una autntica industria de creacin y explotacin de c-digo maligno (virus, troyanos, diseo y explotacin de botnets [17], etc.), caracterizada por un altsimo nivel de especializacin y cuyos beneficios econmicos suman ms que el trfico mundial de marihuana, cocana y herona [18].

Por esta razn, Gobiernos y organizaciones internacionales han mostra-do una creciente preocupacin por la seguridad del ciberespacio, que se ha materializado en la publicacin, por parte de numerosas naciones, de las respectivas estrategias nacionales de ciberseguridad. A ttulo de ejemplo, cabe mencionar los documentos elaborados por los Gobiernos de Estados Unidos [3], Canad [19], Japn [20], Reino Unido [21], Alemania [22], Francia [23] y Holanda [24]. En el mbito multinacional, diferentes organizaciones como la Unin Internacional de Telecomunicaciones [25], la Organizacin para la Cooperacin y el Desarrollo Econmico [26] o la Organizacin del Tratado del Atlntico Norte [13] han redactado docu-mentos que reflejan las respectivas posturas acerca de la seguridad de las redes de comunicacin.

Por lo que respecta a la Unin Europea, no se dispone an de una estra-tegia de ciberseguridad comn para todos los Estados miembros, aunque est prevista la publicacin de una estrategia de seguridad en Internet para Europa, de acuerdo con el Programa de Trabajo de la Comisin para 2012 [27].

Sin embargo, en el mbito militar, tras la aprobacin, en 2009, del Con-cepto de Operaciones en Redes de Ordenadores [28], el Estado Mayor de la Unin Europea (European Military Staff, eums) desarroll un concepto de ciberdefensa que ha sido recientemente aprobado por el Consejo de la Unin Europea [29].

Finalmente, en Espaa, el ministro del Interior anunci, a principios de 2012, la intencin del Gobierno de proceder a la redaccin de la Estrate-gia Espaola de Ciberseguridad [30].


20

Asimismo, el Gobierno de Portugal, mediante la Resolucin del Consejo de Ministros N. 12/2012 [31], estableci como prioridad la revisin de la Estructura Nacional de Seguridad de la Informacin y la creacin de un centro nacional de ciberseguridad. Con este propsito se ha presentado una primera propuesta de Estrategia Nacional de Ciberseguridad [32].

21

Captulo segundo

Seguridad en el ciberespacio

Anlisis y gestin del riesgo social

La cartografa tradicional no revela la existencia de muchas e importan-tes infraestructuras de informacin y comunicaciones que materializan los miles de enlaces transnacionales que permiten garantizar el acceso a Internet. Esta carencia de percepcin plantea algunos puntos de re-flexin: en primer lugar, sobre la indefinicin de fronteras tal y como se conocen en su expresin fsica o geogrfica; asimismo, respecto a la di-ficultad de definir la forma en que un Estado podr ejercer su soberana sobre un rea o entorno que no domina y no controla.

El alto ritmo de cambio tecnolgico tambin ha reducido significativa-mente el ciclo de vida de los productos asociados a las tic. El hecho de que sus aplicaciones sean objeto de amplia aceptacin por gran parte de la sociedad y tengan un ciclo de vida cada vez ms corto hace que mu-chas empresas aceleren el proceso de su comercializacin, originando un lanzamiento de productos al mercado (hardware y software) sin que hayan sido convenientemente verificados. Esto genera nuevas vulnera-bilidades estructurales y funcionales en las redes y en los sistemas que integran las infraestructuras de informacin, ya que ahora incluyen no solo distintas generaciones de equipos, sino tambin algunos con poten-ciales problemas de funcionamiento.

La preocupacin por estas vulnerabilidades adquiri especial importan-cia y evidencia en la transicin del ltimo milenio, cuando un problema


22

ciberntico (bug del ao 2000) oblig a llevar a cabo pruebas exhaus-tivas de todas las infraestructuras que utilizan procesadores. Solo una comprensin completa de la extensin de las interdependencias de una infraestructura (vertical u horizontal) permite identificar las medidas co-rrectoras necesarias para controlar este tipo de efectos. El hecho de que esta interdependencia sobrepase los lmites de la soberana de los Esta-dos introduce tambin un factor de complejidad adicional al problema.

En este contexto, es tambin motivo de preocupacin el hecho de la gran dependencia del funcionamiento de las infraestructuras de informacin respecto a las diferentes redes de todo tipo. Si fallara una de estas re-des se producira un efecto domin y, en poco tiempo, dejaran de operar muchos de los sistemas de que dependen las infraestructuras crticas, vitales para la vida de la sociedad.

En este caso destacan, principalmente, las redes de suministro elctri-co y las de telecomunicaciones, de las que dependen fsica, estructural y funcionalmente mltiples organismos y servicios, como las centrales productoras y distribuidoras de energa elctrica, los servicios de emer-gencia, el sistema bancario e incluso los sistemas de mando y control de las Fuerzas Armadas.

La magnitud del riesgo est estrechamente ligada al valor o a la depen-dencia que un agente presenta frente al recurso (informacin) y a las consecuencias negativas que su uso no adecuado pueda traer para su actividad. Los recursos de informacin pueden ser considerados tanto ms crticos cuanto mayor es el grado de dependencia existente sobre ellos. Las medidas de seguridad que se adopten deben ser proporciona-les al nivel de impacto negativo esperado cuando se verifica su falta de disponibilidad o mal funcionamiento.

De acuerdo con este enfoque, como se ver ms adelante, es posible de-terminar el riesgo a partir de mtodos cualitativos o cuantitativos que permitan su evaluacin1 basndose en el valor de la amenaza esperada, en la vulnerabilidad evaluada o determinada, en el valor de la medida de salvaguardia adoptada para minimizarlo y en el valor del impacto previs-to del ataque o amenaza en la infraestructura de informacin.

Al analizar el riesgo asociado a las infraestructuras nacionales de in-formacin, es necesario tener en cuenta que este es el resultado de un efecto combinado de tres factores importantes: los recursos que deben protegerse (los objetivos potenciales), la deteccin de vulnerabilidades de la infraestructura de informacin y la de las amenazas que, examinan-do esas vulnerabilidades, pueden afectar a los recursos que se intenta proteger.

1 La cuantificacin del riesgo se puede realizar por medio de la siguiente expresin: R = ( A.V / Ms ).I, donde R es el valor del riesgo, A el de la amenaza, V el de la vulnera-bilidad, Ms el de la medida de salvaguarda e I el del impacto previsto [33].


23

Una vez valorado el riesgo, tras el anlisis realizado, se puede gestionar de distintas maneras, en particular mediante su reduccin (adopcin de contramedidas), mantenimiento (aceptacin del riesgo) o transferencia a terceros. La eleccin de cada una de estas tres opciones se encuentra es-trechamente relacionada con el valor que se asigna al recurso protegido. Cuanto ms crtico es un recurso, mayor es la necesidad de garantizar la adopcin de las contramedidas para reducir el riesgo asociado. El objeti-vo es garantizar la disponibilidad de los recursos y evitar la posible rup-tura de la infraestructura crtica, incluso en presencia de un cibertaque.

Teniendo en cuenta este objetivo, la seguridad y la proteccin de las in-fraestructuras de informacin debe ser asumida como un proceso con-tinuo y sistemtico. Asociada con la realizacin de un anlisis de riesgo continuo, todos los pases deben tambin asegurar su gestin de forma permanente como se pretende detallar a continuacin.

Gestin de riesgos

Activos estratgicos: infraestructuras crticas

Cada da hacemos ms uso de las innovaciones que ofrece la tecnologa mvil, las comunicaciones electrnicas e Internet, tal y como reflejan los informes de organismos como la cmt2 que indican que, en abril de 2012, el nmero de lneas de telefona mvil operativas en Espaa as-cenda a 55,2 millones 119,6 lneas por cada 100 habitantes o que haba 11,2 millones de lneas de banda ancha 24,4 por cada 100 ha-bitantes [29].

Las personas, los Estados y las empresas son cada vez ms digitalmente dependientes, como demuestra el hecho de que un 30% del comercio mundial se base en Internet [30]. De ah que las tic3 y la seguridad de la informacin tengan una importancia cada vez ms crtica, tanto para pro-teger la privacidad y generar confianza en los canales electrnicos como para asegurar el funcionamiento eficaz de los Estados.

Por otro lado, dichas redes de comunicaciones son cada vez ms com-plejas y, en consecuencia, sus vulnerabilidades tambin aumentan con dicha complejidad. Las brechas de seguridad y los ciberataques pueden causar importantes daos a individuos y organizaciones, y el elevado grado de su interconexin puede propagar rapidsimamente su efecto a nivel nacional e internacional. En resumen, la ciberseguridad debe ser una preocupacin para todos.

Las infraestructuras sobre las que descansan los servicios esenciales es decir, las funciones sociales vitales, la salud, la integridad fsica, la se-

2 cmt, Comisin del Mercado de las Telecomunicaciones. Su pgina web es http://www.cmt.es/.3 tic, tecnologas de la informacin y las comunicaciones.


24

guridad, el bienestar social y econmico de la poblacin no son ajenas a esta tendencia. As, por ejemplo, las plantas de generacin y los sistemas de transporte de energa, las refineras de hidrocarburos o la distribucin de gas, emplean sistemas de control industrial (ics4) para la gestin y la monitorizacin de los correspondientes procesos. Estos ics han sufrido una transformacin significante en los ltimos aos; han pasado de ser sistemas aislados de tecnologas propietarias a arquitecturas abiertas altamente interconectadas con los sistemas corporativos e incluso Inter-net [31]. Estas infraestructuras pasan a ser consideradas infraestructu-ras crticas (ic) [32] cuando su perturbacin o destruccin puede afectar gravemente a un Estado al no poder mantener los servicios esenciales que desempean [33].

Los antecedentes sobre la proteccin de ic en Europa5 se remontan al Libro Verde de 17 de noviembre de 2005 sobre un Programa Europeo para la Proteccin de Infraestructuras Crticas [34], que presentaba las opciones para una respuesta de la Comisin a la solicitud del Consejo de establecer el Programa Europeo para la Proteccin de Infraestructuras Crticas (pepic6) y la Red de Informacin sobre Alertas en Infraestructuras Crticas (ciwin7).

El 12 de diciembre de 2006, la Comisin aprueba la comunicacin sobre el pepic por el que se estableca un marco legislativo para las actividades de proteccin de las infraestructuras crticas en la ue8, y, posteriormente, la Directiva 2008/114/ce del Consejo [35] estableca un procedimiento de identificacin y designacin de infraestructuras crticas europeas (ice) y un planteamiento comn para evaluar dichas infraestructuras, con el fin de mejorar y, as, proteger las necesidades de la poblacin.

En Espaa, y como transposicin de la citada directiva, la Ley 8/2011, por la que se establecen medidas para la proteccin de las infraestructuras crticas, define doce sectores estratgicos en los que se proporcionan servicios esenciales al Estado y a los ciudadanos [36].

Dentro de cada uno de estos sectores administracin, espacio, in-dustria nuclear, industria qumica, instalaciones de investigacin, agua, energa, sanidad, tecnologas de la informacin y las comunicaciones (tic), transporte, alimentacin, sistema financiero y tributario, existen infraestructuras de cuyo funcionamiento dependen esos servicios esen-

4 ics, industrial control systems, son los sistemas y redes de mando y control disea-dos para apoyar los procesos industriales. El subgrupo ms grande de los ics son los sistemas scada (supervisory control and data acquisition).5 Infraestructuras crticas europeas son aquellas infraestructuras crticas situadas en algn Estado miembro de la Unin Europea cuya perturbacin o destruccin afectara gravemente al menos a dos Estados miembros. 6 En ingls, epcip, European Programme for Critical Infrastructure Protection.7 ciwin, Critical Infrastructure Warning Information Network.8 ue, Unin Europea.


25

ciales, denominadas infraestructuras estratgicas (ie9). Aquellas ie in-dispensables para el correcto funcionamiento del servicio esencial son denominadas ic10.

En esta ley, se establece el Sistema de Proteccin de Infraestructu-ras Crticas, compuesto por una serie de instituciones, rganos y em-presas, procedentes tanto del sector pblico como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos y que hacen especial hincapi en la necesidad de considerar la seguridad desde una pers-pectiva integral.

Con la finalidad de desarrollar, concretar y ampliar los aspectos contem-plados en la citada ley, se publica el Real Decreto 704/2011 [37], por el que se aprueba el reglamento de proteccin de las infraestructuras cr-ticas. Como aspectos reseables, podemos citar los diferentes planes de proteccin recogidos en el real decreto:

Planes estratgicos sectoriales (pes): Son los instrumentos de es-tudio y planificacin con alcance en todo el territorio nacional que permitirn conocer, en cada uno de los sectores contemplados, cules son los servicios esenciales proporcionados a la sociedad, el funcionamiento general de estos, las vulnerabilidades del siste-ma, las consecuencias potenciales de su inactividad y las medidas estratgicas necesarias para su mantenimiento.

Planes de seguridad del operador (pso): Son los documentos es-tratgicos definidores de las polticas generales de los operadores crticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestin.

Planes de proteccin especficos (ppe): Son los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que vayan a adoptar los operadores crticos para garantizar la seguridad integral (fsica y lgica) de sus infraes-tructuras crticas.

Tal y como se ha hecho referencia previamente, las ic no son ajenas a los avances tecnolgicos y, por tanto, se puede afirmar que prcticamente todas tienen como comn denominador una base que las sustenta, las tic. Por ello, a la hora de hablar de la proteccin de ic, la ciberseguridad tendr un peso muy importante:

9 Infraestructuras estratgicas son aquellas instalaciones, redes, sistemas y equipos fsicos y de tecnologa de la informacin sobre las que descansa el funcionamiento de los servicios esenciales.10 Infraestructuras crticas son aquellas infraestructuras estratgicas cuyo funciona-miento es indispensable y no permite soluciones alternativas, por lo que su perturba-cin o destruccin tendra un grave impacto sobre los servicios esenciales [36].


26

Por una parte, tendremos las tic que, en s mismas, prestan un servicio esencial en el sector estratgico de las tic y que, por tanto, constituyen las ic de dicho sector estratgico, o infraestructuras crticas de la informacin;

por otra, las tic necesarias para la correcta prestacin de un ser-vicio esencial por parte de una ic de otros sectores estratgicos, como, por ejemplo, los ics, los sistemas scada, etc.

Referente al primer aspecto, los antecedentes a nivel europeo se ini-cian con la com(2006) 251 de la Comisin Europea [38], en la que se establece un planteamiento a tres niveles que incluye medidas es-pecficas para la seguridad de las redes y de la informacin, el mar-co regulador de las comunicaciones electrnicas y la lucha contra la ciberdelincuencia.

Posteriormente, con la com(2009) 149 de la Comisin Europea [39], se definan cinco pilares: preparacin y prevencin, deteccin y respuesta, mitigacin y recuperacin, cooperacin internacional y criterios para el sector estratgico de las tic.

Finalmente, la com(2011) 163 de la Comisin Europea [40] es el detonante para la obtencin de la Estrategia Europea para la Seguridad de Internet (esis11), que persigue la proteccin de las ic del sector estratgico de las tic y no solo de Internet, aunque su nombre se limite a este. El borrador actual de la esis propone, entre otras, las siguientes acciones:

Designar agencias en cada Estado miembro. Integrar los cert12 gubernamentales en una red para el intercam-

bio de informacin. Definir medidas orientadas a la creacin de una cultura de seguri-

dad y fomentar la colaboracin pblico-privada. Acordar el establecimiento de protocolos en caso de incidentes. Alentar al sector privado para que se mejore tanto la adopcin de

buenas prcticas de seguridad como la seguridad de productos y servicios.

Reforzar y coordinar mejor los esfuerzos de i+d+i en el rea de la seguridad de la informacin.

Fomentar, desde la ue, que los Estados miembros refuercen los mecanismos apropiados para mejorar su ciberseguridad.

Como ya se ha mencionado anteriormente, la mayora de naciones no son ajenas a esta tendencia, y se pueden citar multitud de estrategias nacio-nales en materia de ciberseguridad, algunas de las cuales ya han sufrido revisiones: Estonia (2008), Finlandia (2008), Eslovaquia (2008), Canad (2010), Japn (2010), Repblica Checa (2011), Francia (2011), Alemania

11 esis, European Strategy for Internet Security.12 cert, Computer Emergency Response Teams.


27

(2011), Lituania (2011), Luxemburgo (2011), Pases bajos (2011) o Reino Unido (2011).

Del estudio realizado por enisa sobre las estrategias nacionales de ciber-seguridad [41], los aspectos comunes a todas ellas relacionados especfi-camente con las ic son los siguientes:

Necesidad de identificar las ic, incluyendo los activos crticos, los servicios y las interdependencias entre ellas.

Desarrollo o mejora de la prevencin, la deteccin, la respuesta y los planes de recuperacin y las medidas de proteccin de las ic.

Por otro lado, merecen una mencin especial las iniciativas llevadas a cabo por Estados Unidos, que, ya en el ao 2002, emiti el Proyecto de Im-plementacin de la Ley de Gestin Federal de la Seguridad de la Informa-cin (fisma13) y que tena como objetivo la proteccin de las infraestruc-turas crticas de la informacin en el mbito federal [42]. Posteriormente, en el Plan de Proteccin de Infraestructuras Nacionales (nipp14) del ao 2009, se recalca la necesidad de incluir las amenazas cibernticas en los anlisis de riesgos de las ic [43]. Actualmente, el Cybersecurity Act of 2012 [44] ya requiere que los operadores realicen anlisis de riesgos cibernticos en sus ic.

En Espaa, ya hemos indicado que se estn desarrollando los trabajos para la publicacin de la Estrategia Nacional de Ciberseguridad, en la que es de esperar que se lleve a cabo un nfasis particular en la proteccin de las ic, al igual que en el resto de estrategias.

Respecto a la proteccin de las tic que sustentan las ic de otros sectores estratgicos, podemos citar como referencias nacionales en Espaa las Guas stic del ccn15, en concreto la serie 480, centrada en la proteccin de los sistemas scada:

ccn-stic-480a scada: Gua de Buenas Prcticas. ccn-stic-480b scada: Comprender el riesgo del negocio. ccn-stic-480c scada: Implementar una arquitectura segura. ccn-stic-480d scada: Establecer capacidades de respuesta. ccn-stic-480e scada: Mejorar la concienciacin y las habilidades. ccn-stic-480f scada: Gestionar el riesgo de terceros. ccn-stic-480g scada: Afrontar proyectos. ccn-stic-480h scada: Establecer una direccin permanente.

Amenazas

Una amenaza a la seguridad de las tic puede ser definida como cual-quier circunstancia o evento que puede explotar, intencionadamente o no,

13 fisma, Federal Information Security Management Act.14 nipp, National Infrastructure Protection Plan.15 ccn, Centro Criptolgico Nacional ( https://www.ccn.cni.es/).


28

una vulnerabilidad especfica en un sistema de las tic resultando en una prdida de confidencialidad, integridad o disponibilidad de la informacin manejada o de la integridad o disponibilidad del propio sistema [10]. To-mando como base la clasificacin que realiza dicha metodologa, existen diferentes tipologas de amenazas que pueden afectar a los sistemas, y se pueden agrupar en:

desastres naturales, amenazas de origen industrial, errores o fallos no intencionados, ataques deliberados.

Si bien las amenazas asociadas a desastres naturales, las de origen in-dustrial y las relacionadas con errores o fallos no intencionados siem-pre estarn presentes, es necesario analizar con mayor profundidad los ataques deliberados, ya que su sofisticacin, precisin y posible impacto estn en continua evolucin y elevan el nivel de riesgo al que estn sometidos los sistemas. Su identificacin y correcta catalogacin es clave para poder establecer adecuadas estrategias de proteccin del ciberespacio.

Dependiendo de la motivacin de los susodichos ataques deliberados, podemos agrupar las amenazas en [8]:

Cibercrimen, centradas en la obtencin de beneficios econmicos mediante la realizacin de acciones ilegales. Por ejemplo, las ac-ciones relacionadas con el fraude bancario, las tarjetas de crdito o la realizacin de transacciones en diferentes pginas web son acciones comunes relacionadas con este campo.

Ciberespionaje, centradas en la obtencin de informacin, bien sea para beneficio propio o para obtener un beneficio monetario posterior con su venta. La informacin ms susceptible de identifi-carse en este campo puede pertenecer directamente a un Gobier-no y ser clasificada o a organizaciones privadas, siendo de vala para los atacantes.

Ciberterrorismo, donde se busca un impacto significativo median-te la destruccin fsica. En este contexto, las infraestructuras cr-ticas pueden ser uno de los objetivos de ataque ms probables.

Ciberguerra, que puede ser definida como la lucha o el conflicto entre dos o ms naciones o entre diferentes bandos dentro de una nacin, donde el ciberespacio es el campo de batalla.

Finalmente, el hacktivismo o ciberactivismo tambin podra em-pezar a considerarse un campo de actuacin de la ciberamenaza.

Para poder analizar cules son las amenazas que pueden afectar a cada infraestructura, es conveniente saber cules son las fuentes de amena-zas o actores con ms posibilidad de llegar a atacar, as como la probabi-lidad de que esto ocurra con base en sus motivaciones. Esas fuentes de amenaza pueden ser clasificadas de la siguiente forma [45]:


29

cibercriminales, espas industriales, hacktivistas, terroristas, naciones, hackers, personal interno.

Por otro lado, las motivaciones, que pueden ser independientes del ori-gen de la amenaza, podran clasificarse, a su vez, del siguiente modo [45]:

Beneficios econmicos: Es una de las ms usuales dentro del domi-nio del ciberespacio. La realizacin de actos fraudulentos para con-seguir dinero, el robo de informacin para venderla al mejor postor o la ejecucin de ataques (o poner los medios para ello) a cambio de un beneficio monetario son actos comunes que responden a esta motivacin. Los cibercriminales, los espas industriales y el perso-nal interno son los perfiles que ms suelen tener esta motivacin.

Ventaja tctica o competitiva: Esta es otra motivacin que puede llevar a actuar a diferentes agentes. Por ejemplo, el robo de infor-macin de una nacin en medio de un conflicto puede dar una ven-taja tctica al enemigo, o la obtencin de informacin relacionada con una organizacin podra dar una ventaja competitiva a otra entidad. Las naciones y los espas industriales son los agentes se-alados con ms probabilidad de tener esta motivacin.

Motivaciones polticas: Podran llevar a diferentes organizaciones a atacar o realizar acciones perjudiciales contra los Gobiernos u organizaciones pblicas. Los perfiles que ms pueden encajar en esta motivacin son los terroristas y los hacktivistas. Adems, los conflictos entre diferentes naciones tambin encajan dentro de este mbito.

Destruccin o dao: En este caso, los terroristas se pueden aso-ciar claramente a esta motivacin, ya que pueden buscar la ejecu-cin de ataques que tengan este efecto; adems, las naciones que entren en conflicto tambin pueden estar en este grupo.

Fama o venganza: La motivacin de la fama est normalmente li-gada a los hackers, que buscan reconocimiento en diferentes co-munidades y foros. Su objetivo es saltar las barreras de seguridad, pero no causar dao, aunque podran acceder a informacin sensi-ble. El personal interno podra tener tambin esta motivacin, pero estos suelen estar ms relacionados con la de la venganza.

Un primer criterio para la clasificacin de los ciberataques puede ser ana-lizar el nivel de organizacin de estos, con lo que se agruparan en [45]:

Ataques simples: Ataques sin coordinacin o con un nivel de organiza-cin muy reducido, ejecutados por una persona o varias pero que nunca forman una organizacin. Su impacto es medio-bajo.


30

Ataques organizados: Ataques que son ejecutados y coordinados por un nmero medio de personas que forman parte de un grupo organizado. El impacto suele ser medio, aunque depende del tipo de objetivo que busquen.

Amenazas avanzadas persistentes (apt16): Estas amenazas son creadas por un grupo de personas con un perfil de experto tec-nolgico; permanecen a lo largo del tiempo y su desarrollo est particularizado y enfocado a un objetivo concreto con una pre-cisin muy elevada, por lo que la probabilidad de que ocurran es alta y su impacto podra ser bastante fuerte.

Ataques coordinados a gran escala: Este tipo de ataques son eje-cutados y dirigidos por una organizacin o una nacin, y en ellos participa un elevado nmero de actores, que pueden pertenecer o no a la organizacin. El impacto podra ser alto o muy alto.

Ciberataques coordinados con ataques fsicos: El nivel de coor-dinacin que requiere este tipo de ataques es el ms elevado, y la combinacin entre los ataques en las diferentes dimensiones (tierra, mar y aire) debe ser ejecutado con una gran precisin. El impacto es extremadamente elevado.

Segn el ltimo informe del Centro Criptolgico Nacional [46] sobre el estado de las ciberamenazas en 2011, las ms comunes son:

Las amenazas relacionadas con el campo del ciberespionaje. Son las ms dinmicas y, dentro de este mbito, las apt han ido ele-vando el riesgo progresivamente, hasta llegar a proporcionar un nivel de riesgo bastante elevado. Los ataques dirigidos pueden ser predecesores de una apt.

El hacktivismo ha cobrado especial importancia en el ao 2011, no solamente por el nmero de ataques y su frecuencia de ejecucin, sino tambin por su agresividad, as como por su alto nivel de di-vulgacin social.

Ataques contra herramientas y productos de autenticacin y autoridades de certificacin (ca17). El objetivo final es atacar a las organizaciones con un alto valor en propiedad intelectual, y la estrategia planteada se basa en atacar aquellas entidades que pueden proporcionar medios para atacar a las primeras de forma ms eficiente.

16 apt, advanced persistent threats.17 Autoridad de certificacin (ac o ca, segn las siglas de certification authority) es la entidad que garantiza la autenticidad y veracidad de los datos recogidos en un certifica-do digital expedido. Se trata de una suerte de institucin notarial que ofrece fidelidad a un hecho jurdico. El procedimiento de la autoridad de certificacin se produce gracias a la posesin y utilizacin de una clave privada que garantiza la identidad del propie-tario del certificado digital. Esto provoca la posibilidad de firmar electrnicamente los certificados emitidos.


31

El malware contina evolucionando. El troyano es el tipo de malware dominante, y la evolucin de ZeuS, un problema que se debe tener en cuenta. Los exploitskits y las botnets siguen siendo am-pliamente utilizados y el spam y las tcnicas de phishing siguen a niveles bastante elevados.

Los ataques contra dispositivos mviles han aumentado a la par que la utilizacin de los telfonos inteligentes, particularmente las amenazas relacionadas con el malware mvil y la prdida de datos.

Los ataques contra entidades financieras y tarjetas, relacionados directamente con el campo del cibercrimen, han continuado pro-liferando, teniendo en cuenta, adems, que su llamado mercado negro se ha diversificado en los productos que ofrece.

Las amenazas contra redes sociales han continuado actuando activamente.

Las amenazas de naturaleza tecnolgica que pueden afectar a las infraestructuras crticas podran causar daos muy elevados. Las ms peligrosas, por probabilidad de ocurrencia e impacto poten-cial, son los ciberataques. Se han detectado ataques dirigidos a ic, como Stuxnet. El riesgo al que estn sometidas las ic son uno de los puntos ms preocupantes.

Vulnerabilidades

Desde el punto de vista de la seguridad de la informacin, una vulnerabi-lidad se puede definir como cualquier debilidad de un activo o grupo de activos que puede ser explotada por una o ms amenazas [47]. Las vul-nerabilidades no solamente son caractersticas inherentes a la naturale-za de sus activos; tambin se considera una vulnerabilidad la presencia de errores de diseo, implementacin, operacin o administracin de un sistema de informacin que puedan ser explotados y deriven en un efecto no deseado o no esperado que comprometa la directiva de seguridad del sistema [48].

Una misma vulnerabilidad afecta de manera diferente al nivel global de riesgo de una organizacin. Esto depende de factores como la facilidad con la que esta pueda ser explotada o el propio activo ser alcanzado por un atacante dentro de la organizacin. Tambin del valor del propio activo o de si existen contramedidas en la organizacin que eviten la materiali-zacin de amenazas sobre esa vulnerabilidad. A la hora de gestionar las vulnerabilidades, los sistemas de gestin de la seguridad de la informa-cin (sgsi) [49] y diferentes metodologas introducen factores de ponde-racin y medida de las vulnerabilidades dentro del contexto del sistema it afectado.

Desde el momento en el que una vulnerabilidad se crea involuntariamen-te en el sistema hasta que se mitiga, esta atraviesa diferentes etapas, que incluyen fases de descubrimiento, explotacin, publicacin y reso-


32

lucin o mitigacin. En la figura 1 se muestra esquemticamente lo que podra constituir el ciclo de vida de una vulnerabilidad, pasando por sus diferentes fases y reflejando las actividades que van encaminadas a ex-plotar las oportunidades que brinda dicha vulnerabilidad, frente a las que se centran en solucionarla para dejarla definitivamente resuelta.

Las citadas fases no son necesariamente consecutivas, ya que existen vulnerabilidades que son explotadas activamente por atacantes sin que el fabricante o responsable del sistema tenga conocimiento del proble-ma. Estas vulnerabilidades se denominan de da cero18 y son extrema-damente peligrosas ya que, al no ser conocidas por los fabricantes, no existen mecanismos de mitigacin pblicos, como pueda ser un parche para un paquete de software o una serie de reglas para los elementos de proteccin de permetro de red que eviten que los ataques progresen hasta los elementos vulnerables del sistema.

En este sentido, empresas y organizaciones desarrolladoras de software informtico mantienen programas de recompensa para aquellos indivi-duos que descubran e informen de fallos en sus programas19. Los pro-

18 Un ataque de da cero (en ingls 0day o zero day) es un ataque contra un sistema de informacin que se basa en encontrar vulnerabilidades desconocidas en sus apli-cativos informticos. Este tipo de informacin circula generalmente entre potenciales atacantes hasta que finalmente es publicado en foros de acceso pblico.19 Ejemplos de este tipo de programas son el Mozilla Security Bug Bounty Program (http://www.mozilla.org/security/bug-bounty.html), que, segn sus propios creadores, est diseado para alentar la investigacin sobre seguridad en el software de Mozilla y para recompensar a aquellos que nos ayudan a crear los clientes ms seguros de In-ternet en la existencia; o el Google Vulnerability Reward Program (http://www.google.com/about/company/rewardprogram.html), que basado en la estrecha cooperacin con la comunidad de investigacin de seguridad invita a la investigacin de vanguardia externa que nos ayude a mantener a nuestros usuarios a salvo.

Figura 1. Ciclo de vida de las vulnerabilidades


33

gramas de recompensas para descubrir vulnerabilidades en aplicaciones son una de las medidas de seguridad que estn llevando a cabo cada da ms empresas relacionadas con el mundo de las tecnologas. Esto puede llevar a mitigar en gran medida que las vulnerabilidades de sus aplica-ciones sean publicadas y que sus usuarios e informacin estn expues-tos a posibles ataques que vulneren su privacidad y confidencialidad.

Por otro lado, en foros ms o menos clandestinos de Internet, se pue-de encontrar el lado ms oscuro del mercado de las vulnerabilidades, a travs de ofertas de venta de herramientas de ataque o exploits20 que afectan a diferentes productos para ser usadas de manera ilegtima. Or-ganizaciones criminales ofrecen cantidades similares o incluso mayores a las que puedan ofrecer las empresas responsables del cdigo afectado por estas vulnerabilidades, para usarlas en ataques, ya sean dirigidos contra objetivos y organizaciones concretos o masivamente contra usua-rios domsticos, para robarles, por ejemplo, informacin bancaria que puedan almacenar en sus equipos informticos.

La gran experiencia que han podido afianzar las empresas desarrolla-doras de software que antiguamente se vean afectadas por multitud de vulnerabilidades ha permitido que la tarea de explotar o localizar fallos de seguridad en sus aplicaciones no sea un trabajo sencillo, por lo que el usuario malintencionado ha tenido que evolucionar y buscar nuevos frentes.

Es aqu donde las nuevas tecnologas y las modas han permitido la loca-lizacin de nuevos vectores de ataques, que vulneran por completo la pri-vacidad de los usuarios comunes. Conceptos como servicios en la nube21, redes sociales22, tecnologas porttiles han ofrecido al usuario malinten-cionado una nueva puerta por explorar y, lo que es peor, poco testada.

Si a la problemtica anterior se le une el mal uso que se hace de los dispositivos porttiles, como los telfonos mviles o las ms modernas tablets23, donde se une informacin personal con informacin del trabajo por pura comodidad, no solo peligra la privacidad de los datos del usua-

20 Exploit, que podramos traducir como explotar o aprovechar, es una secuencia de co-mandos cuyo fin es causar un fallo en alguna aplicacin, buscando un comportamien-to no deseado o imprevisto en los programas informticos, hardware o componente electrnico.21 Nube (hace referencia a la computacin en la nube, del ingls cloud computing) es un paradigma que permite ofrecer servicios de computacin a travs de Internet.22 En este caso se refiere a las redes sociales en el mbito de Internet, es decir, a portales web que permiten a las personas conectar con sus amigos, incluso realizar nuevas amistades, a fin de compartir contenidos, interactuar, crear comunidades sobre intereses similares: trabajo, lecturas, juegos, amistad, relaciones interpersonales.23 Tablet, que podramos traducir como tableta, es un tipo de ordenador porttil, de mayor tamao que un telfono inteligente, integrado en una pantalla tctil, con la que se interacta con los dedos o con un puntero (pasivo o activo), sin necesidad de teclado fsico ni ratn, que se reemplazan por un teclado virtual.


34

rio, sino tambin la confidencialidad de informacin valiosa para una empresa.

Un ejemplo del uso centralizado de la tecnologa, y la gran vulnerabilidad que esto conlleva, se puede observar en el famoso caso del apagn de Blackberry24: un fallo en las instalaciones de la empresa comercializa-dora del telfono Blackberry25 hizo que los usuarios de este dispositivo no dispusieran de conexin a Internet durante varios das, impidiendo as acceder a aplicaciones e informacin necesarias para su trabajo diario.

Por otro lado, y debido a que el usuario final contina sin estar lo su-ficientemente concienciado con la seguridad y los riesgos que conlleva no actualizar su sistema operativo26 y las aplicaciones instaladas en su ordenador, se continuar detectando nuevas familias de malware cada da ms sofisticado y ms difcil de detectar y eliminar. Esto es posible, en gran medida, porque la automatizacin y desarrollo del malware por parte del usuario malintencionado se encuentran muy avanzados y por-que dichos programas malignos aprovechan la persistencia de las vulne-rabilidades en determinados dispositivos, a pesar de ser conocidas y de disponer de actualizaciones para dejarlas definitivamente solucionadas.

Catalogacin de las vulnerabilidades

Desde los orgenes de la informtica, muchas organizaciones e institutos han tratado de modelar y categorizar las vulnerabilidades, inicialmente centradas exclusivamente en las inherentes al software, para luego am-pliar el concepto y extenderlo a todos los aspectos de un sistema de in-formacin. De este modo, se puede encontrar, en 1978, una clasificacin inicial de los errores de proteccin en cdigo dentro del proyecto de Pro-tection Analysis, patrocinado por la divisin de investigacin del Departa-mento de Defensa de Estados Unidos (dod27) [50]. Este proyecto buscaba ya, en la dcada de los 70, mecanismos de identificacin automatizados

24 Se trata del incidente que se produjo desde aproximadamente las once de la maana (hora peninsular espaola) del lunes 10 de octubre, en el que los usuarios de Blackberry en Europa, frica y Oriente Medio experimentaron problemas de conexin a Internet. El inconveniente fue muy generalizado en todos los operadores de telefona mvil, por lo que fue evidente que la incidencia afectaba a ese tipo de telfonos, independientemente de con qu compaa se tuviera contratada la conexin.25 Blackberry es un modelo de telfonos inteligentes desarrollado por la compaa canadiense Research In Motion (rim) que integra el servicio de correo electrnico mvil e incluye las aplicaciones tpicas de estos dispositivos: libreta de direcciones, calendario, listas de tareas, bloc de notas, etc. Es fundamentalmente conocido por su teclado incorporado. (http://es.blackberry.com/).26 Sistema operativo se denomina a un conjunto de programas que, en un sistema informtico, gestiona los recursos de hardware, provee servicios a los programas de aplicacin y se ejecuta en modo privilegiado respecto de los restantes programas.27 dod, United States Department of Defense.


35

de vulnerabilidades en el software de sistemas de la poca, dentro de un proceso de mejora de la evaluacin de la proteccin de estos sistemas.

Muchas de las categorizaciones clsicas de vulnerabilidades arrastran problemas a la hora de clasificar bajo estructuras fijas vulnerabilidades, que, por su naturaleza o variables de explotacin, no son sencillamente categorizables bajo un nico criterio. Determinadas vulnerabilidades de software que puedan, por ejemplo, ser explotadas local o remotamente, o que dependan de ciertas configuraciones especficas del entorno, logran un mayor o menor impacto dentro de la organizacin. Estas metodologas basadas en la categorizacin clsica tienden a ser reemplazadas por met-odologas basadas en la teora del prototipo, que propone una concepcin de las categoras como clases heterogneas y no discretas. Segn esta habra algunos miembros ms representativos de la categora que otros. Los miembros ms representativos de cada clase se llaman prototipos, de ah el nombre de la teora.

Debido al problema que existe a la hora de identificar y catalogar vul-nerabilidades y que est presente en muchas metodologas clsicas de anlisis y gestin de riesgos, es necesario definir una serie de atributos, dimensiones y mtricas en las que se base la clasificacin de las dis-tintas vulnerabilidades presentes en diferentes organizaciones.

Mtricas y controles: Son valores que se asignan a las vulnerabi-lidades y que dependen de varios factores como el conocimiento o desconocimiento de la existencia de la vulnerabilidad, el grado de afectacin de la vulnerabilidad a la organizacin, etc.: por ejemplo, cada cunto tiempo se realiza el procedimiento de actualizacin de parches. Si este control se cumple mensualmente, existe una ventana de tiempo en la que el sistema puede ser ms vulnerable que si se realiza el parcheo semanalmente.

Atributos: Son caractersticas inherentes a las vulnerabilidades que pueden surgir en el diseo o la arquitectura de la organiza-cin, por el comportamiento o acciones del propio sistema o ca-ractersticas generales como el grado de dificultad asociado a la gestin de la propia vulnerabilidad.

Dimensin: Tambin se puede catalogar la vulnerabilidad atendien-do al alcance que tiene esta sobre el tipo de objetivo que puede ex-plotar. Pueden ser vulnerabilidades sobre objetos hardware o software, vulnerabilidades que afectan a factores humanos o sociales, vulnerabilidades asociadas a las condiciones del entorno, etc.

Existen diferentes metodologas que, bajo una serie de criterios propios, catalogan las vulnerabilidades de diferentes maneras. Pese a que los con-ceptos utilizados por cada una de ellas son distintos, todas persiguen el mismo objetivo: simplificar, homogeneizar y normalizar la clasificacin de las vulnerabilidades. Dichas vulnerabilidades normalmente se tratan de manera individual, pero tambin se estn realizando estudios [51] donde se analiza el comportamiento de las vulnerabilidades en su conjunto.


36

En el anexo I se hace una breve exposicin de algunas de las metodolo-gas ms extendidas en la actualidad.

Metodologas y buenas prcticas para el anlisis y la gestin de riesgos

Para llevar a cabo una adecuada valoracin y gestin del riesgo al que est sometida la seguridad de la informacin, es imprescindible analizar los activos que debemos proteger, las amenazas a las que estn some-tidos y las vulnerabilidades que le son propias. Pero, adems, conviene tambin seguir una metodologa, definida y formalmente establecida, que gue nuestros pasos en este proceso, que asegure que tenemos en cuenta todas las actividades necesarias y que no nos perdemos en el anlisis, que nos ayude a seleccionar medidas de proteccin para gestio-nar adecuadamente el riesgo al que nos enfrentamos.

En el anexo II se hace un resumen [57] de las principales metodologas, que son reconocidas como tales a nivel internacional [58], para el anlisis y la gestin de riesgos de seguridad de la informacin.

Proteccin del ciberespacio

Seguridad de la informacin en el ciberespacio

Capacidad de respuesta ante incidentes informticos

Debemos comenzar este apartado con una aclaracin terminolgica, pues son muchas las siglas (formadas a partir de los trminos en ingls) que se usan como sinnimos, o con un significado muy similar, para refe-rirse a la capacidad de respuesta ante incidentes informticos.

Seguramente la ms usada a nivel internacional es cert28, o Equipo de Respuesta a Emergencias Informticas, ya que fue la primera en apare-cer a finales de los aos 80. Unos das despus de su aparicin, la agencia darpa29, perteneciente al dod americano, cre el primer Centro de Coor-dinacin de Equipo de Respuesta a Emergencias Informticas (cert/cc30), ubicado en la Universidad Carnegie Mellon31, en Pittsburgh (Pensilvania).

28 Aunque este es el significado original del trmino cert, y as lo mantiene la Universi-dad Carnegie Mellon, conviene indicar, para evitar confusiones, que con posterioridad el Departamento de Seguridad Nacional de Estados Unidos, en su us-cert, usa esta misma sigla pero modificando el sentido de la letra R, que ya no corresponder a Response sino a Readiness. Seguramente esta denominacin es ms acorde con la realidad del servicio que se presta.29 Defense Advanced Research Projects Agency.30 Computer Emergency Response Team / Coordination Center (http://www.cert.org./).31 http://www.cmu.edu/.


37

Poco despus, el Departamento de Energa de Estados Unidos form la ciac32, o Capacidad de Asesoramiento ante Incidentes Informticos, con similar objetivo dentro de su mbito.

Al cabo de un tiempo, el modelo es adoptado tambin en Europa, pero, en este caso, usando la denominacin csirt33, o Equipo de Respuesta a Inci-dentes de Seguridad Informtica, puesto que el trmino cert haba sido protegido como marca registrada por la Universidad Carnegie Mellon34.

En Portugal, la Fundacin para la Computacin Cientfica Nacional (fccn) es la entidad actualmente responsable del cert.pt, que es un servicio de respuesta a incidentes de seguridad informtica, que contribuye as a los esfuerzos de ciberseguridad nacional.

De esta forma van apareciendo otras muchas siglas para referirse a este mismo tipo de capacidad, como irt35 Equipo de Respuesta a In-cidentes, cirt36 Equipo de Respuesta a Incidentes Informticos o sert37 Equipo de Respuesta a Emergencias de Seguridad, pero todas ellas son mucho menos frecuentes que las mencionadas anteriormente.

Finalmente, la otan tambin se compromete a desplegar una capacidad similar a un cert, a raz de las decisiones tomadas en las cumbres de Praga (2002) y Estambul (2004), pero en este caso la denomina circ38 de la otan o ncirc39.

Aunque podemos concluir que los trminos cert, csirt o circ se utilizan para referirse al mismo tipo de capacidades cibernticas, no podemos pensar que estas son siempre las mismas. En funcin de la comunidad a la que deban dar servicio, o la misin a la que vayan a responder, ha-br diferentes tipos de circ [68], entre los que podemos citar: acadmi-cas, comerciales, para la proteccin de las infraestructuras crticas de la informacin (ciip40), del sector pblico, de defensa, nacionales, para la pyme41, etc.

Segn su tipo, cada cert estructurar su funcionamiento de diversas for-mas, que en general seguirn uno de los siguientes modelos organizati-vos [69]:

32 Computer Incident Advisory Capability.33 Computer Security Incident Response Team. 34 En todo caso, la Universidad Carnegie Mellon permite el uso de la marca cert a todos los csirt que compartan su compromiso con la mejora de la seguridad de las redes conectadas a Internet, para lo que deben solicitar la correspondiente autorizacin (para utilizar la marca cert junto al nombre de cada csirt).35 Incident Response Team.36 Computer Incident Response Team.37 Security Emergency Response Team.38 Computer Incident Response Capability.39 nato Computer Incident Response Capability, que podramos traducir como Capacidad de Respuesta ante Incidentes Informticos de la otan.40 Critical information infrastructure protection.41 Pequea y mediana empresa.


38

Independiente: Es un cert que acta como una organizacin in-dependiente, con sus propios responsables y recursos. Este es el modelo que mejor se ajusta a los cert comerciales, que se consti-tuyen como empresas independientes para prestar sus servicios.

Integrado: En este modelo, el cert est incrustado en la organiza-cin a la que presta servicio o que lo patrocina y funciona como un departamento, ms o menos autnomo, de ella. Suele estar dirigi-do por un responsable de las actividades, que es capaz de reclu-tar al personal tcnico preciso para la resolucin de un incidente, adems de a trabajadores propios del circ, acudiendo, si fuera ne-cesario, a otras reas de la organizacin para solicitar asistencia especializada. Este es el modelo de circ ms habitual.

Campus: Es el modelo que surge en las universidades y entornos de investigacin (de ah su nombre), en los que existe una sede central, que se denomina cert principal o madre, y muchas sedes distribuidas dependientes del principal, o cert hijos, que son ms pequeos y cuentan con una gran autonoma de accin. Este es el modelo que mejor se ajusta a empresas y organizaciones multina-cionales, con un elevado grado de descentralizacin.

Voluntario: En este modelo la capacidad circ se constituye ad hoc, formada por un grupo de especialistas que se unen de forma vo-luntaria para apoyarse entre s y prestar servicio a una comunidad. Las redes warp42 son un ejemplo de este modelo.

Segn el tipo y modelo organizativo de cada cert, encontraremos un n-mero y perfil diferente de personas trabajando en l, pero, en general, siempre se dispondr de personal con una alta cualificacin tcnica y una serie de rasgos de su personalidad que lo hagan apto para trabajar en este tipo de entornos tan exigentes. En general, el personal de un cert deber ser [70] dedicado, innovador, detallista, flexible, paciente, anal-tico, buen comunicador, tolerante al estrs, orientado a la resolucin de problemas y, sobre todo, ntegro.

Aunque, como ya hemos dicho, la composicin de cada cert variar mu-cho de uno a otro, en general nos encontraremos los siguientes roles [71]:

gerente o lder de equipo, subgerentes, supervisores o lderes de grupo, personal de ayuda en una situacin de crisis, personal para la gestin de incidentes, personal para el anlisis de vulnerabilidades, personal de anlisis de dispositivos, especialistas de diferentes plataformas,

42 Warning, Advice and Reporting Points. Se trata de un tipo de comunidades de intercambio de informacin de seguridad, ampliamente extendidas en el Reino Unido, que se han desarrollado para proporcionar un mtodo eficaz para apoyar la defensa frente ataques a pequeas organizaciones.


39

formadores, investigadores.

Aunque con menos frecuencia, tambin se pueden encontrar este otro tipo de roles en una circ:

personal de soporte, redactores tcnicos, administradores de red o de sistemas de la infraestructura propia, programadores o desarrolladores de herramientas especficas, desarrolladores y mantenedores web, responsable de relaciones con los medios, personal legal, personal de las fuerzas y cuerpos de seguridad del Estado, auditores o personal de aseguramiento de la calidad, personal de comercializacin.

Las capacidades circ se implementan para prestar una serie de servi-cios, que varan de unas a otras, pero que podemos estructurar en los siguientes tipos [72]:

Servicios reactivos: Son activados por un evento o una solicitud, como un informe de un servidor comprometido, cdigo malicioso ampliamente difundido, vulnerabilidades de software o algo que fue identificado por un sistema de deteccin de intrusos o un regis-tro de eventos. Los servicios reactivos constituyen el componente central del trabajo de una circ. Este tipo de servicios incluira:

o Alertas y advertencias. o Tratamiento de incidentes:

anlisis de incidentes, apoyo a la respuesta a incidentes, coordinacin de la respuesta a incidentes, respuesta a incidentes in situ.

o Tratamiento de vulnerabilidades:

anlisis de vulnerabilidades, respuesta a vulnerabilidades, coordinacin de la respuesta a vulnerabilidades.

o Tratamiento de dispositivos o artefactos:

anlisis de dispositivos o artefactos, respuesta a dispositivos o artefactos, coordinacin de la respuesta a dispositivos o artefactos.

Servicios proactivos: Estos servicios proporcionan asistencia e in-formacin para ayudar a preparar, proteger y asegurar los sistemas protegidos en previsin de ataques, problemas o acontecimientos.


40

La prestacin de estos servicios va directamente dirigida a reducir el nmero de incidentes futuros. Este tipo de servicios incluira:

o comunicaciones y anuncios, o observatorio de tecnologa, o evaluaciones o auditoras de seguridad, o configuracin y mantenimiento de herramientas, aplicaciones e infraestructuras de seguridad,

o desarrollo de herramientas de seguridad, o servicios de deteccin de intrusiones, o difusin de informacin relacionada con la seguridad.

Servicios de gestin de la calidad de la seguridad: Son los orientados a potenciar el resto de servicios existentes y suelen ser independientes de la gestin de incidentes. Tradicionalmente son prestados por otras reas de la organizacin, diferentes de la circ, como el departamento de las tic, el de auditora o el de formacin. La implicacin del personal circ en estos servicios ayudar a mejorar la seguridad general de la organiza-cin identificando sus riesgos, amenazas y debilidades. En general, son servicios proactivos y contribuyen indirectamente a reducir el nmero de incidentes, pero se diferencian del grupo anterior en que sus objetivos son a ms largo plazo. Este tipo de servicios incluira:

o anlisis de riesgos, o continuidad del negocio y recuperacin ante desastres, o consultora de seguridad, o sensibilizacin/concienciacin, o educacin/formacin, o evaluacin o certificacin de productos.

Ciberdefensa

Capacidades de ciberdefensa

Para hacer frente a la rpida evolucin tecnolgica y al creciente nmero de ataques cibernticos dirigidos contra sus redes y sistemas de infor-macin, la otan decidi desarrollar un esfuerzo concertado para encarar los nuevos retos de la seguridad global y la evolucin del espectro de la amenaza, eligiendo la defensa ciberntica como una prioridad estratgi-ca para la Alianza.

El nuevo Concepto Estratgico de la otan, aprobado en la Cumbre de Lisboa del 18-19 de noviembre de 2010, reconoce explcitamente que la creciente sofisticacin de los ataques cibernticos impone como tarea urgente el desarrollo de una capacidad de proteccin de la Alianza contra este tipo de ataques, pues de ella depende su propia seguridad.

El 8 de junio de 2011, los ministros de Defensa de los pases miembros aprobaron la revisin de la poltica de ciberdefensa de la otan y estable-


41

cieron as una clara visin de los esfuerzos que deban desarrollar en el contexto de la construccin de una capacidad de ciberdefensa coopera-tiva de la Alianza.

En el ao 2011, la Agencia c3 de la otan43 lanza su Iniciativa Multinacio-nal para el Desarrollo de la Capacidad de Ciberdefensa (mn cd244), como respuesta al reto de desarrollar las nuevas capacidades de ciberdefen-sa en tiempos de importantes restricciones financieras, lo que exige una aproximacin inteligente y eficiente para conseguir con rapidez las ca-pacidades necesarias tanto en la otan como en cada una de las naciones aliadas.

La nc3a entiende que la ciberdefensa, como aplicacin de medidas de se-guridad para la proteccin y reaccin frente a ataques cibernticos contra las infraestructuras de las tic, requiere una capacidad de preparacin, prevencin, deteccin, respuesta, recuperacin y extraccin de lecciones aprendidas de los ataques que podran afectar a la confidencialidad, in-tegridad y disponibilidad de la informacin, as como a los recursos y servicios de los sistema

Date post:	14-Oct-2015
Category:	Documents
Upload:	denis-gomez
View:	40 times
Download:	1 times

Defensa Del Ciberespacio

Documents