2262.esquema Nacional Seguridad Con Microsoft

Esquema Nacional de Seguridad...
con Microsoft
Juan Luis G. Rambla

Jos Mara Alonso Cebrin
I
Publicado por:
Microsoft Ibrica S.R.L.

Centro Empresarial La Finca
(GLFLR
3DVHRGHO&OXE'HSRUWLYR
28223 Pozuelo de Alarcn Madrid (Espaa)
Copyright 2009 Microsoft Ibrica S.R.L.
Aviso Legal:
Los autores, colaboradores, organismos pblicos y empresas mencionadas en este libro, no se hacen re-
sponsables de que lo contenido en este libro garantice el total cumplimiento de los requisitos establecidos
en la legislacin espaola sobre el cumplimiento del Esquema Nacional de Seguridad. Este libro nica y
exclusivamente posee un propsito informativo en relacin a la legislacin espaola sobre el cumplimiento
del Esquema Nacional de Seguridad.
La informacin sobre los productos de Microsoft representa la visin que los autores, colaboradores y
empresas mencionadas en este libro tienen sobre los mismos, por lo que no otorgan ninguna garanta, ni
expresa ni implcita, en referencia a la informacin incluida en este libro sobre los mencionados productos.
Es responsabilidad del usuario el cumplimiento de toda la legislacin sobre el cumplimiento del Esquema
Nacional de Seguridad. Sin limitar los derechos que se deriven sobre propiedad intelectual, ninguna parte
de este documento puede ser reproducida, almacenada, ni introducida en ningn sistema de recuperacin,
ni transmitida de ninguna forma, ni por ningn medio, ya sea electrnico, mecnico por fotocopia, gra-
bacin o de otro tipo, con ningn propsito, sin la autorizacin por escrito de los titulares de los derechos de
propiedad intelectual de este libro. Quedan reservados todos los derechos. Los nombres de las compaas
y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios.
EJEMPLAR GRATUITO. PROHIBIDA SU VENTA
Depsito Legal: M. 20.093-2011

Coordinador Editorial: Hctor Snchez Montenegro.
Diseo y maquetacin: Jos Manuel Daz. / Newcomlab S.L.L.
Revisin tcnica: Newcomlab S.L.L.
Imprime: Pardetres.net
Impreso en Espaa Printed in Spain
II
Agradecimientos
Hctor Snchez Montenegro, National Technology Officer de Microsoft Ibrica

y coordinador de esta obra, desea trasmitir un agradecimiento muy especial, adems
de a los autores y prologuistas, a las siguientes personas:
Luis Miguel Garca de la Oliva, Director de Plataforma de Microsoft Ibrica.
Jos Parada Gimeno, Chief Security Advisor de Microsoft Ibrica.
Francesca di Massimo, Directora de Seguridad e Interoperabilidad de Microsoft

WE.
Carlos de la Iglesia, Director de Comunicaciones de Microsoft.
Manuel Snchez Chumillas, de Informtica 64.
Nacho de Bustos Martn, Director General de Newcomlab.
III
IV
Microsoft Ibrica
La Administracin Espaola lidera un encomiable esfuerzo hacia el Desarrollo

de la Sociedad de la Informacin en Espaa, as como en el uso ptimo de las tec-
nologas de la Informacin en pro de una prestacin de servicios ms eficiente hacia
los ciudadanos.
Aunque este tipo de contenidos no siempre son fciles de tratar sin caer en un
excesivo dogmatismo y lenguaje ortodoxo, s es cierto que en el marco de la Ley 11/2007
del 22 de Junio, de acceso electrnico de los ciudadanos a los Servicios Pblicos, se
anunci la creacin de los Esquemas Nacionales de Interoperabilidad y de Seguridad
con la misin de garantizar un derecho ciudadano, como el recogido en dicha ley, lo
que sin duda es un reto y una responsabilidad de primera magnitud.
Pero lo es an ms el garantizar ese derecho con las garantas de confidencialidad,

seguridad, confianza y privacidad necesarias.
No son asuntos menores, en tanto en cuanto hablamos de derechos ciudadanos.

Y, desde luego, si siempre ha sido deseable el mayor alineamiento posible entre la
industria tecnolgica y el uso que de la tecnologa hace la Administracin Pblica, en
esta ocasin resulta ms importante que nunca. Retos tan elevados como los descritos
solo pueden conseguirse desde la ms estrecha colaboracin con la industria.
Microsoft Ibrica lleva 25 aos acompaando el desarrollo de la Administracin

Pblica Espaola. Navegando juntos por la historia del progreso tecnolgico ms es-
pectacular de los ltimos aos, aprendiendo juntos, y en definitiva siendo compaeros
de viaje en el proceso modernizador de nuestro pas.
Y son aquellos proyectos ms estratgicos para la Administracin los que marcan

nuestra estrategia y atencin. En esta ocasin en reas como la seguridad o la privaci-
dad, desde donde ya hemos trabajado para acercar y ayudar a las empresas Espaolas
V
Esquema Nacional de Seguridad... con Microsoft
en el cumplimiento de los requisitos tecnolgicos derivados del cumplimiento del

Real Decreto de la LOPD, publicando un exhaustivo trabajo sobre cmo acercarnos a
su cumplimiento con la configuracin adecuada de tecnologas Microsoft. O la com-
particin del cdigo fuente de nuestros sistemas operativos y aplicaciones ofimticas
con el Centro Nacional de Inteligencia a travs de su Centro Criptolgico Nacional. Y
en esa lnea presentamos este trabajo centrado en el Esquema Nacional de Seguridad.
Es un trabajo eminentemente divulgativo, dirigido a los responsables tcnicos

de las administraciones, encargados de cumplir los requisitos y las recomendaciones
del Esquema.
Este manual es un nexo entre las medidas con implicaciones tecnolgicas descri-
tas en el Esquema, y su implementacin prctica en aquellos entornos con tecnologa
Microsoft. El libro toma como hilo conductor los grandes principios que conforman
el esquema Nacional de Seguridad, tales como sus principios, dimensiones, medidas,
implementaciones, explotacin, proteccin etc., para a continuacin comentarlos de
forma sencilla y detallar cules seran las configuraciones y recomendaciones tcnicas
ms adecuadas para su cumplimiento.
Tenemos la esperanza de que este manual sirva para facilitar a los responsables
de seguridad el cumplimiento de los aspectos tecnolgicos derivados del cumplim-
iento del ENS, as como servir de vehculo de difusin de un conocimiento importante
como es el relativo a la seguridad de los servicios pblicos de las Administraciones y
la garanta de seguridad hacia los ciudadanos en el ejercicio de sus derechos recono-
cidos por la Ley.
Mara Garaa
Presidenta de Microsoft Espaa
VI
INTECO
Imagine que el banco en el que usted deposita sus ahorros, por la noche dejara las
puertas sin cerrar y el dinero en los mostradores. Seguramente, esta entidad perdera
VXFRQDQ]D<SUREDEOHPHQWHQRSDVDUtDPXFKRWLHPSRDQWHVGHTXHVXVDGPLQLV-
WUDGRUHVIXHUDQREMHWRGHXQDMXVWLFDGDGHQXQFLDSRUQHJOLJHQFLD
Las Administraciones Pblicas son tambin depositarias de activos de gran valor,

entre los que destacan por su trascendencia para el correcto funcionamiento de la so-
ciedad la informacin y los sistemas que la sustentan. Todos los ciudadanos espaoles
TXHUHPRV\WHQHPRVGHUHFKRDWHQHUXQDV$GPLQLVWUDFLRQHV3~EOLFDVGHFRQDQ]D
que no dejen las puertas abiertas y los activos valiosos al alcance de cualquiera. Que
protejan su capacidad para seguir prestndonos servicios y nuestros datos de manera
proporcionada al valor que tienen, o al dao que podra causarnos su robo, prdida
o falseamiento.
Por ello, la sociedad necesita dotarse de los mecanismos que permitan a los
responsables pblicos evaluar adecuadamente los riesgos para la informacin y los
sistemas que la soportan, y que impongan la obligacin de actuar en consecuencia.
La seguridad de los datos que las administraciones tienen de nosotros, y la de los
VHUYLFLRVTXHQRVSUHVWDQHVODEDVHIXQGDPHQWDOGHODFRQDQ]DGHORVFLXGDGDQRV
en sus instituciones.
El crecimiento econmico y el progreso de la sociedad, as como unas institu-

FLRQHVS~EOLFDVHFLHQWHVKR\GtDVHFLPHQWDQHQHOXVRGHODVQXHYDVWHFQRORJtDV
Y los ciudadanos no harn uso de esas nuevas tecnologas, ni de los servicios de la
Sociedad de la Informacin, si no confan en los sistemas y procesos que los sustentan.
Por tanto, podemos decir que colaborar para la promocin, entendimiento e im-
plementacin correcta del Esquema Nacional de Seguridad (ENS) equivale a favorecer
VII
el progreso de la sociedad, la mejora econmica, el buen gobierno y la confianza de

los ciudadanos en sus administraciones.
INTECO, cuya misin es contribuir a reforzar la confianza en la Sociedad de

la Informacin y que como medio propio de la Administracin General del Estado
dedica gran parte de sus recursos y esfuerzos a la implantacin del ENS en las Admin-
istraciones Pblicas, da la bienvenida al presente manual que sin duda contribuir a
fomentar la seguridad de la informacin en las Administraciones Pblicas, y por tanto
la confianza en la Sociedad de la Informacin.
Vctor M. Izquierdo Loyola

Director General del Instituto Nacional de
Tecnologas de la Comunicacin, S.A. (INTECO)
VIII
Ministerio de Poltica Territorial
y Administracin Pblica
El Esquema Nacional de Seguridad, materializado en el Real Decreto 3/2010,

tiene como objetivo fundamental crear las condiciones necesarias de confianza en
el uso de los medios electrnicos, a travs de medidas para garantizar la seguridad
de la informacin que se maneja y de los servicios electrnicos que se prestan, que
permita a los ciudadanos y a las Administraciones Pblicas el ejercicio de derechos y
el cumplimiento de deberes a travs de estos medios.
Efectivamente, los ciudadanos esperan que el acceso electrnico a los servicios

pblicos se produzca en unas condiciones de confianza y de seguridad equiparables
a las que puedan encontrar si se acercan de manera presencial a las oficinas de la
Administracin. El Esquema Nacional de Seguridad se encuentra, en definitiva, al
servicio de la realizacin del derecho de los ciudadanos a relacionarse por medios
electrnicos con las Administraciones pblicas.
El Esquema Nacional de Seguridad es, por tanto, una respuesta a la obligacin

de las Administraciones Pblicas de adoptar medidas de seguridad adecuadas a la
naturaleza de la informacin y los servicios y los riesgos a los que estn expuestos.
Para ello establece la poltica de seguridad en la utilizacin de medios electrnicos en
el mbito de la Ley 11/2007 y est constituido por los principios bsicos y requisitos
mnimos que permitan una proteccin adecuada de la informacin.
Adems, el Esquema introduce los elementos comunes que han de guiar la ac-
tuacin de las Administraciones Pblicas en materia de seguridad de las tecnologas
de la informacin y que han de facilitar la interaccin entre ellas, as como la comuni-
cacin de los requisitos de seguridad de la informacin a la Industria.
El Esquema Nacional de Seguridad, al igual que el Esquema Nacional de Inter-

operabilidad, es el resultado de un esfuerzo colectivo en el que han participado todas
IX
las Administraciones Pblicas, a travs de los rganos colegiados con competencia

en materia de administracin electrnica.
Tambin la Industria del sector de tecnologas de la informacin y las comu-

nicaciones ha contribuido a la elaboracin del Esquema Nacional de Seguridad con
aportaciones a travs de las asociaciones de su sector; en relacin con esta partici-
pacin de la Industria, hay que resear que sta ha reconocido en todo momento el
carcter transcendente y necesario del Esquema para proporcionar una seguridad
imprescindible.
El presente Manual sobre cumplimiento del Esquema Nacional de Seguridad

es un testimonio concreto de este esfuerzo conjunto realizado por la Administracin
y por la Industria para facilitar que los servicios de las Administraciones Pblicas
disponibles por medios electrnicos se encuentren en las adecuadas condiciones de
confianza y de seguridad que les son exigibles.
Fernando de Pablo
Director General para el Impulso de la Administracin
Electrnica del Ministerio de Poltica Territorial y Administracin Pblica
X
Centro Criptolgico Nacional
Nuestra sociedad actual est en Internet, nuestro modo de vida y el de nuestros

hijos cada vez se encuentra ms vinculado a la Red y a sus tecnologas asociadas. La
Administracin no es ajena a esta situacin y la Ley 11/2007 est impulsando el empleo
de esta va y el esfuerzo realizado por los distintos organismos para que desde las
sedes electrnicas la relacin con los ciudadanos sea ms fluida ha sido impresionante.
Conscientes de que no podemos generar confianza en este nuevo modo de relacin

sin dotarnos de los medios adecuados para la proteccin y el control de la informacin
manejada por nuestros Sistemas, esta ley en su artculo 42 fij las bases de una necesidad
que ya demandaban muchos servidores pblicos, el Esquema Nacional de Seguridad.
A finales de enero del ao 2010 se aprob el RD 3/2010 por el que se regula el

Esquema Nacional de Seguridad en el mbito de la Administracin Electrnica. Esta
norma fija unos principios bsicos y requisitos mnimos, as como un conjunto de
medidas que permiten una proteccin adecuada de la informacin y los servicios.
El RD establece un plazo de implantacin que puede llegar a los 48 meses recono-

ciendo implcitamente la dificultad de su aplicacin especialmente en este escenario
de restricciones presupuestarias.
Se est realizando un esfuerzo en la serie CCN-STIC 800 para dar normas, guas
y recomendaciones en el CMO solucionar los retos planteados en el esquema y se
agradece cualquier gua prctica de aplicacin en las tecnologas de mayor presencia
en la Administracin.
En este sentido, este libro desde el punto de vista de la empresa intenta propor-
cionar una aproximacin prctica a cmo realizar y verificar este cumplimiento en
sistemas que utilicen tecnologas de MICROSOFT.
El esquema es una pieza clave para mejorar la seguridad de los sistemas de la

Administracin y nos exige adems un mayor esfuerzo de colaboracin y trabajo
XI
conjunto entre los diferentes organismos. Este documento es un ejemplo de esta co-
laboracin y espero que consiga de alguna manera facilitar la comprensin de algunos
aspectos de su implantacin.
Javier Garca Candau

Subdirector General Adjunto en funciones del Centro Criptolgico Nacional
XII
Prefacio
Actualmente, en la vida cotidiana del individuo toda una serie de aspectos y

mejoras hacen que sta sea ms cmoda para l. Las tecnologas de la informacin,
los grandes avances en el mundo de las comunicaciones y su generalizacin en todos
los mbitos sociales, son factores fundamentales que propician esta mejora en la cali-
dad de vida del ciudadano. Acciones que hace no mucho tiempo implicaban un serio
esfuerzo o consuman un tiempo excesivo, son resueltas a da de hoy de forma gil y
asequible. No han pasado tantos aos desde que el simple hecho de sacar dinero del
banco implicaba necesariamente ir a una sucursal determinada que mantena los datos
de la cuenta correspondiente. El esfuerzo que esto requera parece desproporcionado a
da de hoy. Sin embargo, y aunque se tenga la impresin de que se habla de un pasado
remoto, no ha transcurrido tanto tiempo desde ello.
Los avances en este sentido son innumerables. Ah est la telefona mvil, la

miniaturizacin de los sistemas informticos, la conectividad a Internet en los sistemas
domsticos y un largo etctera de avances significativos. Estas mejoras han implicado
mltiples cambios. En primer lugar de mentalidad, en la forma de entender las activi-
dades o de adaptarse a la realizacin de nuevas tareas. Evidentemente esto no es fcil
para todos. No se debe olvidar que estos avances y las nuevas formas de actuacin
asociadas no son igualmente aceptados por todos.
Estos cambios y mejoras han llegado tambin a algo tan habitual y necesario como
los trmites administrativos. Es un intento de dejar atrs el vuelva usted maana
que ha trado mltiples complicaciones a la vida de muchos espaoles: horas inter-
minables de colas, papeles que no aparecen o el recorrer una ventanilla tras otra en
espera de una respuesta a un problema que parece no tener solucin. La informtica
tambin ha cambiado esto, la burocracia administrativa. El objetivo es buscar una
mayor comodidad para el ciudadano. Agilizar tareas que antes podan implicar das
completos perdidos y la eterna espera hasta que se reciba el deseado papel firmado.
XIII
Afortunadamente, poco a poco esos tiempos van quedando atrs. Trmites de

una cierta complejidad, como la realizacin de la declaracin de la renta o la peticin
de la vida laboral, han adquirido una nueva dimensin con las mejoras aportadas por
los sistemas informticos. Las nuevas tecnologas se suman a las capacidades de los
sistemas tradicionales, abriendo con ello un abanico de posibilidades significativas. La
capacidad de tramitar un procedimiento administrativo, fuera de las horas de aperturas
clsicas de ministerios, ayuntamientos o universidades, es un claro ejemplo de ello.
Una muestra significativa en esta evolucin la constituye el DNI Electrnico. Este

mecanismo de validacin ha convertido a Espaa en una referencia mundial en los
sistemas de autenticacin electrnica. Se ha sumado a otros mecanismos ya previa-
mente empleados para la realizacin de tramitaciones, garantizando que el usuario es
correctamente identificado; por ejemplo, los certificados que durante algunos aos se
llevan suministrando a travs del proyecto CERES (CERtificacin ESpaola). Liderado
por la Fbrica Nacional de Moneda y Timbre, establece una entidad pblica de certi-
ficacin que permite garantizar entre otras cosas la identificacin de los ciudadanos
y la confidencialidad de los datos.
El tratamiento de la informacin, su acceso o la disponibilidad de los sistemas

facilitan sensiblemente el acercamiento a la Administracin Pblica. Sin embargo este
cambio lleva tambin asociados nuevos conceptos, afrontando el uso de terminologas
y escenarios que hasta la fecha estaban reservados prcticamente a la empresa privada.
Portales de acceso, tratamiento automatizado de la informacin, disponibilidad, inte-
gridad o autenticidad son palabras que ahora forman tambin parte del vocabulario
de la Administracin Pblica.
El tratamiento y utilizacin de sistemas informticos por parte de los ciudada-

nos implica la aparicin de necesidades de seguridad. De forma original ya se haban
realizado avances significativos, como la garanta de los sistemas de autenticacin.
Sin embargo, la seguridad es mucho ms que todo eso. No sirve con garantizar que
Juan es quien dice ser. Sino que tambin sus datos deben estar a salvo, no pudiendo
ser modificados de forma indiscriminada o accedidos por quien no debe. Igualmente,
debe hacerse un uso eficiente de los mismos y asegurar que los propsitos y la dis-
ponibilidad de los servicios son los adecuados.
La seguridad va mucho ms all de lo que simplemente se ve o se intuye. Es

tan importante la visin y apariencia de seguridad del portal de acceso a un servicio,
como garantizar que los datos pueden ser recuperados ante una posible incidencia
de seguridad. As como que en caso de que sta ocurra, se dispondr de medios para
detectarla y procedimientos para subsanarla y prevenirla en futuras ocasiones.
La seguridad debe tener en cuenta todos los escenarios posibles. Aunque la

visin y la perspectiva de un potencial ataque parecen provenir de Internet, estudios
reputados avalan que muchos incidentes se producen internamente. Por desidia o
desconocimiento, los sistemas de proteccin definidos internamente son a me-nudo
ms laxos que los que se plantean perimetralmente para una defensa externa. Sin
embargo, los ataques y los atacantes no conocen fronteras.
XIV
Prefacio
Un hacker puede operar desde fuera, pero un virus informtico de forma interna
puede provocar la cada de los servicios o la eliminacin de informacin altamente
sensible. El uso de redes inalmbricas proporciona mucha movilidad, pero abre nuevos
vectores de ataque que puede utilizar un potencial atacante. Software malicioso en
constante evolucin, como son los troyanos, se adaptan para evitar los sistemas de
proteccin que originalmente conseguan bloquearlos acertadamente.
El uso de las nuevas tecnologas lleva aparejada la palabra adaptabilidad, que

en el caso especfico de la seguridad es casi ms evidente todava. Tanto los sistemas
externos, como los internos deben tener en cuenta esa capacidad para adaptarse, para
mejorar y evolucionar con la tecnologa. Sistemas o mecanismos que hoy pueden ser
punteros, en un tiempo razonable han podido quedar desfasados. A veces se plantean
mecanismos y sistemas de proteccin que deben ser rediseados en pleno proceso de
implantacin, puesto que una nueva tcnica descubierta los convierte en vulnerables.
La seguridad informtica se encuentra en constante evolucin, al igual que los

sistemas de ataque que constantemente la ponen a prueba. En la actualidad, es difcil
entender la informtica sin la seguridad. Por tanto, cualquier mecanismo que se dis-
ponga, cualquier proyecto o iniciativa que se lleve a cabo desde la Administracin
Pblica, debera contar desde su base con el concurso de la seguridad. Aunque en mu-
chas ocasiones prima la funcionalidad y la usabilidad, slo se alcanzarn los objetivos
si las garantas que se ofrecen son suficientes para generar confianza en las mismas.
Por ejemplo, no se entendera la banca electrnica sin unas garantas para su uso.
Si cayera la confianza de este servicio o los ataques con xito fueran tan significativos
que hicieran perder su credibilidad, acabara este modelo de negocio. Por tanto, la
seguridad es uno de sus pilares fundamentales. No deben olvidarse otros posibles
factores, pero ste es siempre tan crtico o ms que los otros.
La relacin de los ciudadanos con la Administracin Pblica debe entenderse

tambin desde esta perspectiva. La seguridad debe ser uno de los puntos neurlgi-
cos, permitiendo que los usuarios confen abiertamente en el servicio. Esta debe ser
garantizada desde la base de la prestacin del servicio. Los proyectos ya puestos en
marcha deben adaptarse a esta premisa, mientras que los nuevos debern nacer bajo
el paraguas de la seguridad.
As lo entiende la comunidad tcnica y as ha sido entendido tambin desde la

Administracin. El ao 2010 supone un hito en la aplicacin de sistemas de seguridad
en la relacin de los ciudadanos con las diferentes administraciones pblicas y en la
colaboracin electrnica entre ellas. Tras aos de consultas, anlisis y modificaciones, ve
la luz el Esquema Nacional de Seguridad (ENS) que fue ya anticipado en el ao 2007.
Su aparicin inicia el ciclo de adaptacin de los sistemas y tecnologas de las

entidades pblicas para hacerlas ms seguras. No slo tcnicamente, sino conceptual-
mente. Debern definirse procedimientos y casos de uso. La seguridad es cuestin ya
de todos, no nicamente de los informticos. Todo aquel que realiza un tratamiento
de la informacin deber ser consciente del riesgo a asumir. Ser necesario disponer
XV
de los elementos tcnicos para el cumplimiento de los objetivos, pero ser el colectivo
que los usa el valedor de la seguridad. El Esquema Nacional de Seguridad equipara
la necesidad de proteccin de la informacin con la propia prestacin del servicio.
Evidentemente, tal y como demostrar el libro, el camino a recorrer no es trivial.

Se requerirn esfuerzos tcnicos y humanos, y lgicamente en ocasiones tambin
econmicos. Sin embargo, los mecanismos para cumplir lo exigido en el Esquema
Nacional de Seguridad se encuentran disponibles. Solo habr que utilizarlos ade-
cuadamente. Este libro, adems de introducirle en los pormenores de la normativa,
intentar ofrecer resoluciones tcnicas a las medidas previstas haciendo uso para ello
de soluciones basadas en productos Microsoft.
XVI
ndice de contenidos
Captulo 1. Antecedentes ....................................................................................... 1
Captulo 2. El Esquema Nacional de Seguridad ................................................... 9
2.1. Principios bsicos ....................................................................................... 10

2.2. Requisitos mnimos ..................................................................................... 17
2.3. Comunicaciones electrnicas ..................................................................... 22
2.4. Auditora de seguridad ................................................................................ 24
2.5. Respuesta a incidentes de seguridad ......................................................... 25
2.6. Adecuacin tras la entrada en vigor del ENS ............................................. 26
2.7. Rgimen sancionador ................................................................................. 26
Captulo 3. Principios de seguridad: seguridad por defecto ............................. 29
Captulo 4. Dimensiones de seguridad................................................................ 39
4.1. Disponibilidad.............................................................................................. 40
4.2. Autenticidad ................................................................................................ 42
4.3. Integridad .................................................................................................... 43
4.4. Confidencialidad ......................................................................................... 44
4.5. Trazabilidad ................................................................................................. 46
4.6. Niveles de la dimensin de seguridad ........................................................ 47
Captulo 5. Medidas de seguridad. Naturaleza de las medidas ........................ 51
5.1. Marco organizativo ...................................................................................... 54

5.2. Marco operacional ...................................................................................... 56
5.3. Medidas de proteccin ............................................................................... 59
XVII
Captulo 6. La implementacin del ENS con tecnologa Microsoft .................. 63
6.1. Control de acceso ....................................................................................... 70

6.1.1. Identificacin ....................................................................................... 71
6.1.2. Requisitos de acceso .......................................................................... 79
6.1.3. Segregacin de funciones y tareas ..................................................... 86
6.1.4. Proceso de gestin de derechos de acceso....................................... 88
6.1.5. Mecanismos de autenticacin ............................................................ 95
6.1.6. Acceso local ..................................................................................... 106
6.1.7. Acceso remoto .................................................................................. 111
6.2. Explotacin................................................................................................ 113
6.2.1. Gestin y configuracin de activos ..............................114
6.2.2. Proteccin y prevencin frente a incidencias ...............123
6.2.3. Sistemas de registros y gestin de logs .......................126
6.3. Proteccin de los equipos......................................................................... 133
6.4. Proteccin de los soportes de informacin .............................................. 143
6.5. Proteccin de las comunicaciones ........................................................... 149
6.5.1. Permetro seguro ............................................................................... 149
6.5.2. Proteccin de la confidencialidad ..................................................... 151
6.5.3. Proteccin de la autenticidad y la integridad .................................... 153
6.5.4. Segregacin de redes ....................................................................... 159
6.5.5. Medios alternativos ........................................................................... 163
6.6. Proteccin de las aplicaciones informticas ............................................. 164
6.7. Proteccin de la informacin .................................................................... 169
6.8. Proteccin de los servicios ....................................................................... 178
6.8.1. Proteccin del correo electrnico ..................................................... 179
6.8.2. Proteccin de servicios y aplicaciones web [mp.s.2] ....................... 188
6.8.3. Proteccin frente a la denegacin de servicios ................................ 191
6.8.4. Medios alternativos ........................................................................... 191
Captulo 7. Premios, reconocimientos y certificaciones de los productos

Microsoft .............................................................................................................. 193
XVIII
ndice de contenidos
Captulo 8. Seguridad y privacidad en la nube ................................................. 197
8.1. Seguridad y privacidad: un proceso integral y continuo.......................... 197

8.2. Sistemas de gestin de Microsoft y control de acceso ............................ 198
8.3. Eventos y actividades de registro ............................................................. 198
8.4. Certificados estndar de cumplimiento .................................................... 199
8.5. Gua de cliente para polticas de cumplimiento ........................................ 199
8.6. Data centers, procesador y controlador de datos .................................... 200
XIX
1
Antecedentes
Aunque el Esquema Nacional de Seguridad vio la luz en el ao 2010, su con-

cepcin es mucho anterior. El 22 de Julio del ao 2007, con la aparicin en el Boletn
Oficial del Estado de la Ley 11/2007 de Acceso Electrnico de los Ciudadanos a la
Administracin Pblica (LAE), se sentaban las bases para su aparicin. Entre el articu-
lado de la ley destacaba el nmero 42 sobre el Esquema Nacional de Interoperabilidad
y Esquema Nacional de Seguridad.
1. El Esquema Nacional de Interoperabilidad comprender el conjunto de criterios

y recomendaciones en materia de seguridad, conservacin y normalizacin de
la informacin, de los formatos y de las aplicaciones que debern ser tenidos en
cuenta por las Administraciones Pblicas para la toma de decisiones tecnolgicas
que garanticen la interoperabilidad.
2. El Esquema Nacional de Seguridad tiene por objeto establecer la poltica de se-
guridad en la utilizacin de medios electrnicos en el mbito de la presente Ley,
y est constituido por los principios bsicos y requisitos mnimos que permitan
una proteccin adecuada de la informacin.
3. Ambos Esquemas se elaborarn con la participacin de todas las Adminis-
traciones y se aprobarn por Real Decreto del Gobierno, a propuesta de la
Conferencia Sectorial de Administracin Pblica y previo informe de la Co-
misin Nacional de Administracin Local, debiendo mantenerse actualizados
de manera permanente.
4. En la elaboracin de ambos Esquemas se tendrn en cuenta las recomen-

daciones de la Unin Europea, la situacin tecnolgica de las diferentes
Administraciones Pblicas, as como los servicios electrnicos ya existen-
tes. A estos efectos considerarn la utilizacin de estndares abiertos as
como, en su caso y de forma complementaria, estndares que sean de uso
generalizado por los ciudadanos.
1
Para entender en qu consiste tanto la Ley 11/2007 como el Esquema Nacional de

Seguridad (ENS), es necesario conocer primeramente sus motivaciones, qu objetivos
persiguen y cules son sus fundamentos. Los primeros antecedentes se recogen en la
Ley 30/1992 del 26 Noviembre de Rgimen Jurdico de las Administraciones Pblicas
y del Procedimiento Administrativo Comn (LRJAP-PAC). En su primera versin ya
recogi, a travs de su artculo 45, el impulso al empleo y la aplicacin de las tcnicas
y medios electrnicos, informticos y telemticos, por parte de la Administracin. Su
objetivo era desarrollar su actividad y el ejercicio de sus competencias, permitiendo
a los ciudadanos relacionarse con las Administraciones cuando fuese compatible con
los medios tcnicos de que los que dispusieran.
Esa previsin, junto con la de la informatizacin de registros y archivos que co-

rresponden al artculo 38 de esa misma ley, abra el paso a la utilizacin de los sistemas
electrnicos para relacionarse con la Administracin. Esta circunstancia fue corroborada
en la redaccin que le dio la Ley 24/2001 de 27 de diciembre del ao 2001 sobre Medidas
Fiscales, Administrativas y del Orden Social, al permitir el establecimiento de registros
telemticos para la recepcin o salida de solicitudes, escritos y comunicaciones por
medios telemticos.
La misma Ley 24/2001 modific el artculo 59 de la LRJAP-PAC, permitiendo

la notificacin por medios telemticos si el interesado hubiera sealado dicho medio
como preferente o consentido expresamente.
Artculo 68. Modificaciones de la Ley 30/1992, de Rgimen Jurdico de las Admi-

nistraciones Pblicas y del Procedimiento Administrativo Comn para impulsar la
administracin electrnica.
Uno. Se aade un nuevo apartado nueve al artculo 38 de la Ley 30/1992, de

Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Ad-
ministrativo Comn, con la siguiente redaccin:
Se podrn crear registros telemticos para la recepcin o salida de solicitudes,

escritos y comunicaciones que se transmitan por medios telemticos, con suje-
cin a los requisitos establecidos en el apartado 3 de este artculo. Los registros
telemticos slo estarn habilitados para la recepcin o salida de las solicitudes,
escritos y comunicaciones relativas a los procedimientos y trmites de la compe-
tencia del rgano o entidad que cre el registro y que se especifiquen en la norma
de creacin de ste, as como que cumplan con los criterios de disponibilidad,
autenticidad, integridad, confidencialidad y conservacin de la informacin que
igualmente se sealen en la citada norma.
Los registros telemticos permitirn la presentacin de solicitudes, escritos y comuni-

caciones todos los das del ao durante las veinticuatro horas. A efectos del cmputo de
plazos, la recepcin en un da inhbil para el rgano o entidad se entender efectuada
en el primer da hbil siguiente.
Dos. Se aade un nuevo apartado 3 al artculo 59 de la Ley 30/1992, de Rgimen

Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn,
2
Antecedentes
con la redaccin que a continuacin se seala, pasando los actuales apartados 3, 4 y

5 del citado artculo a numerarse como 4, 5 y 6.
Para que la notificacin se practique utilizando medios telemticos se requerir que

el interesado haya sealado dicho medio como preferente o consentido expresamente
su utilizacin, identificando adems la direccin electrnica correspondiente, que
deber cumplir con los requisitos reglamentariamente establecidos. En estos casos, la
notificacin se entender practicada a todos los efectos legales en el momento en que
se produzca el acceso a su contenido en la direccin electrnica. Cuando, existiendo
constancia de la recepcin de la notificacin en la direccin electrnica, transcurrieran
diez das naturales sin que se acceda a su contenido, se entender que la notificacin ha
sido rechazada con los efectos previstos en el siguiente apartado, salvo que de oficio o a
instancia del destinatario se compruebe la imposibilidad tcnica o material del acceso.
Estos cambios adaptativos en las normas iban sentando las bases para la aplicacin
de medidas tcnicas asociadas a las nuevas tecnologas. Sin embargo, el desarrollo
de la administracin electrnica era todava insuficiente. La causa de ello en buena
medida era que segn la Ley de Rgimen Jurdico de las Administraciones Pblicas
y del Procedimiento Administrativo Comn, estas implicaciones son meramente fa-
cultativas. Es decir, dejan en manos de las propias Administraciones determinar si los
ciudadanos van a poder de modo efectivo o no, relacionarse por medios electrnicos
con ellas. Nada exiga la puesta en marcha de medios informticos para la relacin con
los ciudadanos. Esta sera factible en funcin de que las diferentes administraciones
quisieran poner en marcha aquellos instrumentos necesarios para permitir este tipo
de comunicacin,
La puesta en marcha de normativas como la Ley Orgnica 15/1999 de Proteccin

de Datos de Carcter Personal y la Ley 59/2003, de 19 de diciembre de Firma Electr-
nica, abran tambin un importante camino a la necesidad de uso de las tecnologas
en la Administracin Pblica. La informtica empezaba a establecer los diferentes vn-
culos entre la ciudadana y las diferentes operaciones administrativas. Tambin desde
Europa se estableca la necesidad de fomentar el uso de la tecnologa en la relacin de
los usuarios con las diferentes administraciones. A travs de la Directiva 2006/123/
CE del Parlamento Europeo y del Consejo del 12 de diciembre de 2006 relativa a los
servicios en el mercado interior, se incentivaba el uso de los sistemas telemticos para
el acceso de los ciudadanos.
Artculo 5. Simplificacin de los procedimientos.
1. Los Estados miembros verificarn los procedimientos y trmites aplicables al acceso

a una actividad de servicios y a su ejercicio. Cuando los procedimientos y forma-
lidades estudiados de conformidad coneste apartado no sean lo suficientemente
simples, los Estados miembros los simplificarn.
Artculo 6. Ventanilla nica
1. Los Estados miembros garantizarn que los prestadores puedan llevar a cabo los
siguientes procedimientos y trmites a travs de ventanillas nicas:
3
a) todos los procedimientos y trmites necesarios para acceder a sus actividades

de servicios, en especial las declaraciones, notificaciones o solicitudes necesarias
para la autorizacin por parte de las autoridades competentes, incluidas las
solicitudes de inscripcin en registros, listas oficiales, bases de datos o colegios
o asociaciones profesionales;
b) las solicitudes de autorizacin necesarias para el ejercicio de sus actividades

de servicios.
2. La creacin de ventanillas nicas no supone una interferencia en el reparto de

funciones o competencias entre las autoridades competentes dentro de cada sistema
nacional.
Artculo 7. Derecho de informacin
1. Los Estados miembros harn lo necesario para que los prestadores y los destinatarios
puedan acceder fcilmente a la informacin por medio de ventanillas nicas.
Artculo 8. Procedimientos por va electrnica
Los Estados miembros harn lo necesario para que todos los procedimientos y trmi-
tes relativos al acceso a una actividad de servicios y a su ejercicio se puedan realizar
fcilmente, a distancia y por va electrnica, a travs de la ventanilla nica de que se
trate y ante las autoridades competentes.
El apartado 1 no se aplicar a las inspecciones del lugar en que se presta el servicio o

del equipo utilizado por el prestador ni al examen fsico de la capacidad o de la inte-
gridad personal del prestador o del personal responsable.
Con arreglo al procedimiento contemplado en el artculo 40, apartado 2, la Comisin

adoptar normas de desarrollo para la aplicacin del apartado 1 del presente artculo,
con el fin de facilitar la interoperabilidad de los sistemas de informacin y la utilizacin
de los procedimientos electrnicos entre los Estados miembros, teniendo en cuenta las
normas comunes desarrolladas a escala comunitaria.
Esta importante directiva marcaba las bases fundamentales para el establecimien-

to de dos tipos de relaciones. La de los ciudadanos con las diferentes administraciones
pblicas de los estados miembros, as como la relacin entre ellas. Tambin creaban
figuras administrativas como las de la ventanilla nica, que son ya una realidad en
el estado espaol.
Con las metas ya fijadas, slo quedaba esperar la salida de la normativa que
permitiera cumplir las prerrogativas exigidas. Estas vieron la luz finalmente el 22 de
Julio del ao 2007 con la publicacin de la Ley 11/2007. La Ley de Acceso Electrnico
se encuentra articulada en 4 ttulos principales ms uno preliminar y una serie de
disposiciones. El objetivo principal de la norma consiste en reconocer el derecho de los
ciudadanos a relacionarse con las Administraciones Pblicas por medios electrnicos.
Tambin regula los aspectos bsicos de la utilizacin de las tecnologas de la informa-
cin en la actividad administrativa y en las relaciones entre Administraciones. De igual
4
Antecedentes
modo pasa a regular tambin las relaciones de los ciudadanos con stas. Se presenta
como finalidad la de garantizar sus derechos, un tratamiento comn ante ellas y la
validez y eficacia de la actividad administrativa en condiciones de seguridad jurdica.
Las diferentes Administraciones Pblicas debern para ello utilizar las tecnologas
de la informacin de acuerdo a una serie de normas definidas en la Ley. Las mximas
para ello son asegurar la disponibilidad, el acceso, la integridad, la autenticidad, la
confidencialidad y la conservacin de los datos, informaciones y servicios que se
gestionen en el ejercicio de sus competencias. Estas premisas son procedimientos y
terminologas ampliamente utilizadas entre los profesionales de TI, siendo objeto de
desarrollo en cualquier proyecto informtico. Muchas partes de la ley vienen a precisar
cules son estas garantas, aunque sern desarrolladas tcnicamente en el Esquema
Nacional de Seguridad.
Para la resolucin de los objetivos se establecen a travs de la ley una serie de
principios. Estos regulan los derechos reconocidos en otras normas como la LOPD o
los propiamente marcados por la Constitucin. Los principios ms significativos que
se encuentran en la norma son:
l Principio de accesibilidad a la informacin y a los servicios por medios
electrnicos. Se proporcionarn mecanismos, que a travs de sistemas que
permitan su utilizacin de manera segura y comprensible, garanticen espe-
cialmente la accesibilidad universal y el diseo para todos de los soportes,
canales y entornos.
l Principio de legalidad. Presenta como base al mantenimiento de la integri-

dad de las garantas jurdicas de los ciudadanos ante las Administraciones
Pblicas. Estas fueron establecidas en la Ley 30/1992, de Rgimen Jurdico de
las Administraciones Pblicas y del Procedimiento Administrativo Comn.
l Principio de seguridad. La implantacin y utilizacin de los medios electr-

nicos exigir al menos el mismo nivel de garantas y seguridad que se requiere
para la utilizacin de medios no electrnicos en la actividad administrativa.
l Principio de proporcionalidad. Slo se exigirn las garantas y medidas de
seguridad adecuadas atendiendo a la naturaleza y las circunstancias espec-
ficas de los distintos trmites y actuaciones. Asimismo, slo se requerirn a
los ciudadanos aquellos datos que sean estrictamente necesarios en atencin
a la finalidad para la que se soliciten.
l Principio de neutralidad tecnolgica y de adaptabilidad al progreso de las
tcnicas y sistemas de comunicaciones electrnicas. Deber garantizarse la
independencia en la eleccin de las alternativas tecnolgicas tanto por parte
de los ciudadanos, como por parte de las Administraciones Pblicas. De
igual modo, ser necesario garantizar la libertad de desarrollar e implantar
los avances tecnolgicos en un mbito de libre mercado. A estos efectos, las
Administraciones Pblicas utilizarn estndares abiertos, as como, de forma
complementaria, tecnologas que sean de uso generalizado por los ciudadanos.
5
De los diferentes ttulos que conforman la ley, y en lo concerniente a aspectos

tcnicos, es el II sobre Rgimen Jurdico de la Administracin Electrnica el ms signifi-
cativo. A travs de ste se establecen importantes figuras como las de sede electrnica,
identificacin, autentificacin, registros y seguridad de las comunicaciones.
Dentro de las figuras jurdicas definidas por la ley, uno de los mecanismos ms
importantes es el de sede electrnica. La misma ayudar con posterioridad a entender
el Esquema Nacional de Seguridad y en qu entornos ste ser de aplicacin. La sede
electrnica es aquella direccin electrnica disponible para los ciudadanos. Su acceso
se realizar a travs de redes de telecomunicaciones cuya titularidad, gestin y admi-
nistracin corresponde a una Administracin Pblica, rgano o entidad administrativa
en el ejercicio de sus competencias.
La norma implica que el establecimiento de una sede electrnica conlleva la res-

ponsabilidad por parte de su titular respecto de la integridad, veracidad y actualizacin,
tanto de la informacin como de los servicios a los que pueda accederse a travs de la
misma. Las sedes electrnicas dispondrn de sistemas que permitan el establecimiento
de comunicaciones seguras siempre que stas sean necesarias. Por tanto, la prestacin
de un servicio a travs de un acceso web con el objeto de llevar a efecto un procedi-
miento administrativo define dicho sistema como una sede electrnica.
De cara al acceso a las sedes electrnicas, se establecen las formas relativas a la

identificacin y autentificacin. Se admitirn como vlidas aquellas conformadas a
travs de la Ley 59/2003, de 19 de diciembre, de Firma Electrnica. En este sentido,
las personas fsicas podrn hacer uso del Documento Nacional de Identidad electr-
nico y otros sistemas autorizados. Por su parte, las sedes electrnicas podrn utilizar,
para identificarse y garantizar una comunicacin segura con las mismas, sistemas de
firma electrnica basados en certificados de dispositivo seguro o medios equivalentes.
Los sistemas de firma electrnica reconocidos oficialmente son aquellas prove-

nientes de las siguientes entidades:
l DNIe. Documento Nacional de Identidad Electrnico.

l Camerfirma. Servicio de certificacin digital de las cmaras de comercio,
industria y navegacin de Espaa.
l Izenpe. Proyecto impulsado por el Gobierno Vasco y las Diputaciones Forales.
Constituida a travs de sus sociedades informticas: EJIE, LANTIK, IZFE y
CCASA.
l CATCert. Agencia Catalana de Certificacin.
l ANF AC. Sistema abierto de certificacin electrnica.
l SCR. Servicio de Certificacin de los Registradores.
l ACA. Autoridad de Certificacin de la Abogaca espaola.
l ACCV Autoridad de Certificacin de la Comunidad Valenciana.
6
Antecedentes
l ANCERT. Agencia Notarial de Certificacin.

l FNMT. Fbrica Nacional de Moneda y Timbre.
l Firma profesional. Primer prestador privado de servicios de certificacin en
Espaa.
l BANESTO CA. Entidad certificadora del Banco Nacional Espaol de Crdito,
homologado por la Agencia Tributaria.
Los objetivos perseguidos por la ley y que son inherentes al uso de los certificados
electrnicos son:
l La autenticidad de las personas y entidades que intervienen en el intercambio

de informacin.
l La confidencialidad. Tan solo el emisor y el receptor deben ser capaces de
visualizar la informacin que se est manejando en el proceso administrativo.
l La integridad de la informacin intercambiada. Asegurar que no se produce
ningn tipo de manipulacin sobre los datos manejados. Aunque la infor-
macin vaya cifrada, esto no impedira que se pudiera realizar algn cambio
aleatorio que modifique y por lo tanto altere la validez del contenido de los
datos a asegurar.
l El no repudio. Garantiza al titular del certificado que nadie ms que l puede
generar una firma vinculada a su certificado. Por otra, le imposibilita a negar
su titularidad en los mensajes que haya firmado.
Para la resolucin de estos objetivos y a travs del certificado digital, podrn
realizarse las siguientes operaciones:
l Autentificar la identidad del usuario de forma electrnica ante otros.

l Cifrar datos para que slo el destinatario del documento pueda acceder a
su contenido.
l Firmar electrnicamente, de forma que se garantice la integridad de los datos
trasmitidos y la legitimidad de su procedencia.
La Ley permite que los ciudadanos opten por los sistemas electrnicos como
mecanismos de comunicacin para sus trmites administrativos, con excepcin de
aquellos casos en los que una norma con rango de ley establezca la utilizacin de un
medio no electrnico de forma especfica. La opcin de uso de uno u otro corresponde
al ciudadano, pudiendo modificar su eleccin y optar por un medio distinto del ini-
cialmente elegido. Las Administraciones Pblicas utilizarn medios electrnicos en sus
comunicaciones con los ciudadanos siempre que as lo hayan solicitado o consentido
stos expresamente.
Las comunicaciones a travs de medios electrnicos sern vlidas siempre que

exista constancia de la transmisin y recepcin, de sus fechas, del contenido ntegro
7
de las comunicaciones y se identifique fidedignamente al remitente y al destinatario

de las mismas. Las Administraciones publicarn, en el correspondiente diario oficial y
en la propia sede electrnica, aquellos medios electrnicos que los ciudadanos podrn
utilizar en cada supuesto administrativo, para el ejercicio de su derecho a comunicarse
con stas.
Para garantizar la comunicacin electrnica, los requisitos de seguridad e integri-

dad de las comunicaciones se establecern de forma apropiada en funcin del carcter
de los datos. Estos quedarn determinados de acuerdo a los criterios de proporcio-
nalidad, conforme a lo dispuesto en la legislacin vigente en materia de proteccin
de datos de carcter personal. Reglamentariamente, las Administraciones Pblicas
podrn establecer la obligatoriedad de comunicarse con ellas utilizando slo medios
electrnicos, siempre y cuando los interesados se correspondan con personas jurdicas
o colectivos de personas fsicas que por razn de su capacidad econmica o tcnica,
dedicacin profesional u otros motivos acreditados tengan garantizado el acceso y la
disponibilidad de los medios tecnolgicos necesarios.
Las Administraciones Pblicas debern utilizar preferentemente medios elec-

trnicos en sus comunicaciones con otras Administraciones. Las condiciones que
regirn stas se determinarn entre las Administraciones Pblicas participantes en la
comunicacin.
Otra figura importante, definida a travs de la norma para el tratamiento de

informacin por parte de las administraciones, la constituye el archivo electrnico. Se
permite el almacenamiento por medios electrnicos de todos los documentos utilizados
en las actuaciones administrativas. Los archivos informticos que contengan actos ad-
ministrativos que afecten a derechos o intereses de los ciudadanos debern conservarse
en soportes de esta naturaleza, ya sea en el mismo formato a partir del que se origin
el documento inicialmente o en otro, siempre que ste permita asegurar la identidad
e integridad de la informacin necesaria para reproducirlo. En todo caso, es necesario
asegurar la posibilidad de trasladar los datos de un formato y soporte a otro distinto,
que garantice el acceso desde las diferentes aplicaciones que son proporcionadas para
la prestacin de servicios.
Los medios en los que se almacenan los documentos debern contar con medidas
de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, pro-
teccin y conservacin de los documentos almacenados. En particular, deben asegurar
la identificacin de los usuarios y el control de accesos, as como el cumplimiento de
las garantas previstas en la legislacin de proteccin de datos personales.
8
El Esquema Nacional de Seguridad
2
El Esquema Nacional
de Seguridad
Aunque no existe realmente una equiparacin directa entre la Ley de Acceso
Electrnico y la Ley Orgnica de Proteccin de Datos de Carcter Personal, a menudo
surgirn las comparaciones entre ambas. Un hecho comn lo constituye el que en ambas
circunstancias, las leyes no establecen tcnicamente qu acciones o medios especficos
debern utilizarse para garantizar la proteccin de la informacin. La LOPD tuvo que
esperar hasta la salida del Real Decreto 1720/2007 sobre el Reglamento de Desarrollo
de la Ley. Por su parte, la LAE ha debido esperar tambin a la aparicin del RD 3/2010
para su desarrollo tcnico.
Tal y como se indicaba en pginas anteriores, es la propia ley la que marcaba la

espera para la aparicin de otra normativa que regulara las medidas de seguridad. En
su artculo 42, se designaba que sera el Esquema Nacional de Seguridad (ENS) el que
establecera la poltica de seguridad a aplicar en la utilizacin de medios electrnicos
en el mbito de la Administracin Pblica.
El Esquema Nacional de Seguridad (ENS) es publicado en el Boletn Oficial del

Estado, el 29 de Enero del ao 2010. Entrando en vigor el da despus, inicializa el
cmputo de tiempo para la adecuacin a la normativa y condiciones que quedan es-
tablecidas. La dimensin del ENS no es exclusivamente tcnica, aunque gran parte de
su desarrollo s lo sea. Las partes organizativas y funcionales tambin dan contenido
a importantes pginas del Real Decreto 3/2010.
El Esquema Nacional de Seguridad se estructura en diez captulos, ms una serie

de disposiciones y anexos. Aunque este captulo abordar principalmente el desarrollo
de los captulos y las disposiciones, la parte fundamental, en lo que a las cuestiones
tcnicas, estructurales y organizativas se refiere, son tratadas en los cinco anexos que
acompaan al Real Decreto.
Hay que comentar que aunque la salida del texto se realiza en el BOE el 29 de
Enero del 2010, el 11 de Marzo del mismo ao se publica en el Boletn una serie de
9
rectificaciones sobre errores que se han advertido en la norma. Aquel que desee tener
acceso al texto consolidado, podr realizarlo a travs de la siguiente direccin URL
perteneciente al Consejo Superior de Administracin Electrnica:
http://www.csae.map.es/csi/pdf/RD_3_2010_texto_consolidado.pdf
2.1. Principios bsicos

La finalidad ltima del Esquema Nacional de Seguridad (ENS) es la creacin
de las condiciones de confianza para el uso de los medios electrnicos. Para ello se
definen las medidas que garanticen la seguridad de los sistemas, los datos, las comu-
nicaciones y los servicios electrnicos. El ENS persigue fundamentar la confianza a
travs de una serie de preceptos:
l Que los sistemas de informacin prestarn sus servicios sin interrupciones

o modificaciones fuera de control.
l Que la informacin ser custodiada de acuerdo con sus especificaciones
funcionales sin que sta pueda llegar al conocimiento de personas no auto-
rizadas.
Se desarrollar y perfeccionar en paralelo a la evolucin de los servicios y a me-
dida que vayan consolidndose los requisitos de los mismos y de las infraestructuras
que les dan soporte. Hay que tener en cuenta respecto de este hecho que las relaciones
entre las diferentes administraciones pblicas son a menudo muy complejas. Debern
ser tambin evaluadas las relaciones existentes con entidades de mbito privado y
no exclusivamente pblico. El concepto de seguridad debe observar tambin la no
existencia de parcelas de accin que puedan quedar descubiertas, en tierra de na-
die, permitiendo as la aparicin de brechas y carencias de seguridad en los servicios
prestados.
En la elaboracin del texto del Esquema Nacional de Seguridad han participado

muchas organizaciones. En este proceso, y coordinado por el Ministerio de la Presi-
dencia, han participado tanto el Centro Criptolgico Nacional (CCN) como todas
las Administraciones Pblicas del Estado. Entre ellas se incluyen las universidades
pblicas (CRUE) a travs de los rganos colegiados con competencias en materia de
administracin electrnica: Consejo Superior de Administracin Electrnica, Comit
Sectorial de Administracin Electrnica y Comisin Nacional de Administracin Local.
Para su elaboracin, tambin han sido importantes los preceptivos emitidos por otras
instituciones: Ministerio de Poltica Territorial, Ministerio de la Presidencia, Agencia
Espaola de Proteccin de Datos y Consejo de Estado. Finalmente, se han tenido
tambin presentes la opinin de las asociaciones de la industria del sector TIC y las
aportaciones recibidas tras la publicacin, el 3 de septiembre de 2009, del borrador en
el sitio web del Consejo Superior de Administracin Electrnica.
Sin embargo, las bases de funcionalidad del ENS son anteriores. En este sentido
se tienen en cuenta las recomendaciones de la Unin Europea al respecto:
10
l Decisin 2001/844/CE CECA, Euratom de la Comisin, de 29 de noviembre

de 2001, por la que se modifica su Reglamento Interno.
l Decisin 2001/264/CE del Consejo, de 19 de marzo de 2001, por la que se
adoptan las normas de seguridad del Consejo.
La seguridad de la informacin perseguir los siguientes objetivos principales:
l Proteger la informacin clasificada de la Unin Europea frente al espionaje,

las situaciones de peligro o la divulgacin no autorizada de la misma.
l Proteger la informacin de la UE tratada en los sistemas y redes de comu-
nicacin e informacin frente a las amenazas contra su confidencialidad,
integridad y disponibilidad.
l Proteger los locales de la Comisin en los que se encuentra informacin de
la UE frente al sabotaje y los daos intencionados.
l En caso de fallo, evaluar el perjuicio causado, limitar sus consecuencias y
adoptar las medidas necesarias para remediarlo.
Para establecer los mecanismos de proteccin, se designan determinadas reas
de la seguridad que debern ser atendidas:
l Seguridad personal.
l Seguridad fsica.
l Seguridad de la informacin.
Este ltimo punto es el elemento ms crtico en el desarrollo del ENS. Aunque
la clasificacin por niveles establecida por la Decisin 2001/884 EU TOP SECRET, EU
SECRET, EU CONFIDENTIAL y EU RESTRICTED, difiere de las marcadas por el ENS,
la aplicacin de medidas presentan mltiples coincidencias. Las medidas de seguridad,
en ambas circunstancias, se aplican en funcin de la clasificacin, teniendo previsto
para ello el establecimiento de las dimensiones de seguridad. Pero, qu entidades
estn supeditadas al Esquema Nacional de Seguridad? La informacin recogida en el
Artculo 3 sobre el mbito de aplicacin de ste, remite al Artculo 2 de la Ley 11/2007.
En l se hace una exclusin del mbito de aplicacin de la normativa, para aquellos
sistemas que tratan informacin clasificada y regulada por Ley de 5 de abril 9/1968,
de Secretos Oficiales y normas de desarrollo.
Artculo 2. mbito de aplicacin.
1. La presente Ley, en los trminos expresados en su disposicin final primera, ser

de aplicacin:
a) A las Administraciones Pblicas, entendiendo por tales la Administracin

General del Estado, las Administraciones de las Comunidades Autnomas y
las Entidades que integran la Administracin Local, as como las entidades
de derecho pblico vinculadas o dependientes de las mismas.
11
b) A los ciudadanos en sus relaciones con las Administraciones Pblicas.
c) A las relaciones entre las distintas Administraciones Pblicas.
2. La presente Ley no ser de aplicacin a las Administraciones Pblicas en las

actividades que desarrollen en rgimen de derecho privado.
En un anlisis general del Esquema Nacional de Seguridad, su aplicacin parece

estar bastante relacionada con la aplicacin de la norma de calidad ISO 27000. Aun
as, el ENS es ms preciso, aunque es cierto que algunas de las medidas de seguridad
del mismo coinciden con controles de ISO/IEC 27002. De este modo, el Esquema es-
tablece un sistema de proteccin para la informacin y servicios a proteger. La norma
ISO/IEC 27002 carece de esta proporcionalidad en lo que a aplicacin de medidas se
refiere, quedando este apartado a la mejor opinin del auditor que certifica la confor-
midad con ISO/IEC 27001. Determinados aspectos fundamentales como la firma o la
autenticacin electrnica no estn recogidos en la norma ISO/IEC 27002.
El principio fundamental que regula el Esquema Nacional de la Seguridad es el

de la seguridad integral. As queda establecido a travs del Artculo 5.
1. La seguridad se entender como un proceso integral constituido por todos los

elementos tcnicos, humanos, materiales y organizativos, relacionados con el
sistema. La aplicacin del Esquema Nacional de Seguridad estar presidida por
este principio, que excluye cualquier actuacin puntual o tratamiento coyuntural.
2. Se prestar la mxima atencin a la concienciacin de las personas que intervienen

en el proceso y a sus responsables jerrquicos, para que, ni la ignorancia, ni la
falta de organizacin y coordinacin, ni instrucciones inadecuadas, sean fuentes
de riesgo para la seguridad.
Este artculo establece esa necesidad de entender la seguridad como una tarea
de todos. La totalidad de los usuarios, que de una u otra forma estn vinculados al
tratamiento de datos sujetos a la aplicacin del ENS, son parte importante de esa se-
guridad. En este sentido, no pueden ser argumentados como eximentes ni la falta de
conocimiento de un hecho, ni el desconocimiento en el uso de la tecnologa.
La seguridad debe ser vista como uno de los principios rectores fundamentales
en el tratamiento de los datos. Tanto la tecnologa como el factor humano deben ser
tenidos en cuenta para ello. Este aspecto es tan preceptivo que se promueve la forma-
cin de todos los involucrados, para asegurar as el cumplimiento de sus funciones.
La implementacin de un sistema de seguridad pasa inicialmente por realizar un

anlisis de riesgos. La premisa es, por tanto, conocerse primeramente antes de realizar
esfuerzos que podran ser infructuosos. La gestin de riesgos permitir el mantenimiento
de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reduccin de
estos niveles se realizar mediante el despliegue de medidas de seguridad, que establecer un
equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estn expuestos
y las medidas de seguridad.
12
Para la realizacin de los anlisis de riesgos, la Administracin Pblica cuenta

con una herramienta significativa: EAR/PILAR. Est basada en el sistema de anlisis
de riesgos MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas
de Informacin) que figura en el inventario de mtodos de anlisis y gestin de riesgos
de ENISA (European Network and Information Security Agency). En su versin 2 se ha
estructurado en tres libros: Mtodo, Catlogo de Elementos y Gua de Tcnicas:
l Mtodo. Describe los pasos y las tareas bsicas para realizar un proyecto de
anlisis y gestin de riesgos. Esta descripcin observa la metodologa desde
tres visones distintas:
n Describir los pasos para realizar un anlisis del estado de riesgo y ges-
tionar su mitigacin.
n Describir las tareas bsicas para realizar un proyecto de anlisis y gestin
de riesgos, estableciendo las pautas, roles, actividades y documentacin
asociada.
n Aplicar la metodologa a los casos del desarrollo de sistemas de infor-
macin. Los proyectos de desarrollo de sistemas deben tener en cuenta
los riesgos desde el primer momento. Tanto aquellos a los que se est
expuesto de forma directa, como otros riesgos que las propias aplica-
ciones pueden llegar a introducir en el sistema.
l Catlogo de Elementos. Ofrece pautas y elementos estndar en cuanto al
tratamiento de los activos. Para ello se tendrn en cuenta los distintos tipos
de activos, las dimensiones de valoracin de stos, los criterios de valoracin
de los mismos y las amenazas tpicas sobre los sistemas de informacin, junto
a salvaguardas a considerar para proteger los sistemas de informacin.
l Gua de Tcnicas. Trata de una gua de consulta que proporciona algunas
tcnicas que se emplean habitualmente para llevar a cabo proyectos de
anlisis y gestin de riesgos. Entre ellas, tcnicas especficas para el anlisis
de riesgos, anlisis mediante tablas, anlisis algortmico, rboles de ataque,
tcnicas generales o anlisis coste-beneficio, junto a otros.
Microsoft, por su parte, tambin ha desarrollado su propia herramienta de eva-
luacin de seguridad: MSAT (Microsoft Security Assessment Tool). Est diseada para
ayudar a identificar y abordar los riesgos de seguridad en un entorno tecnolgico
determinado. Su utilizacin ofrece una visin general de la seguridad, permitiendo
con ello la cuantificacin de la misma.
La herramienta utiliza un enfoque integral para medir el nivel de seguridad
y cubre aspectos tales como usuarios, procesos y tecnologa. Consta de ms de 200
preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las pre-
guntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores
prcticas comnmente aceptadas, en estndares tales como las normas ISO 27000
y NIST-800.x, as como las recomendaciones y orientaciones normativas del Grupo
Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.
13
Para la obtencin de resultados, la herramienta hace diversos tipos de preguntas

que permiten diferenciar e identificar diversos aspectos de la organizacin. El primer
grupo de ellas presenta como objetivo establecer el modelo de negocio de la misma.
Para ello se crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de la
entidad en sus acciones de negocio segn el modelo empresarial definido por el BRP.
Figura 2.1. MSAT 4.0.
El segundo grupo de preguntas tienen como objetivo elaborar un listado de las

medidas de seguridad que se han puesto en produccin. Se realiza una evaluacin
de la seguridad en funcin de las capas de defensa. Estas proporcionan una mayor
proteccin contra los riesgos de seguridad y vulnerabilidades especficas. Cada capa
contribuye a una estrategia combinada que permite implementar una proteccin en
profundidad. Ejemplos de ello son la capa de seguridad perimetral o la seguridad local
de las estaciones de trabajo. La suma de todas ellas se conoce como Defense-in-Depth
Index (DiDI). Microsoft Security Assessment Tool (MSAT) se divide en cuatro reas de
anlisis (AoAs):
l Infraestructura.
l Aplicaciones.
l Operaciones.
l Personal.
La Figura 2.2 muestra la fase de preguntas sobre las cuatro reas de anlisis
mencionadas.
14
Figura 2.2. Fase de preguntas AoAs en MSAT 4.0.
BRP y DiDI se comparan entonces para medir la distribucin del riesgo a travs
de las diferentes reas de anlisis. Adems de valorar la equivalencia entre riesgos de
seguridad y defensas, esta herramienta mide tambin la madurez de la seguridad de
la organizacin. Esta se refiere a la evolucin del fortalecimiento de la seguridad y las
tareas de mantenimiento de la misma. En el extremo inferior, son pocas las medidas
de seguridad empleadas, y las acciones llevadas a cabo son simplemente reacciones
a los acontecimientos. En el extremo superior se prueban y establecen procesos que
permiten a la compaa una mayor proactividad y una respuesta ms eficiente y con-
sistente cuando sta es necesaria.
Finalizadas las preguntas, la herramienta de anlisis muestra los diferentes infor-

mes de estado de seguridad para la organizacin. Estos pueden ser de tipo resumen,
completo o comparativo. Este ltimo permitira visualizar la comparacin del estado
de seguridad de la organizacin, con respecto a otras con similares perfiles de negocio.
Por su parte, el informe resumen muestra el perfil de riesgos frente al ndice de

defensa en profundidad. La siguiente imagen muestra el resultado del anlisis del
perfil de una empresa tipo, concienciada con la seguridad de sus sistemas y que en
este sentido ha aplicado medidas de ndole tcnico.
Los informes se acompaan tambin de una serie de mejoras. Las recomenda-

ciones sugeridas para la gestin de riesgos tienen en cuenta la tecnologa existente, la
presente situacin de la seguridad y las estrategias de defensa en profundidad. Las
sugerencias van dirigidas a reconocer y aplicar las buenas prcticas ms recomendadas
en materias de seguridad.
15
Figura 2.3. Informe resumen.
Figura 2.4. Detalle informe completo.
El anlisis de riesgos permitir evaluar el estado de situacin de la organizacin

en lo que a seguridad de sus sistemas se refiere. Pero ello slo supone el inicio del pro-
16
ceso. Este deber contemplar los aspectos de prevencin, deteccin y correccin, para
conseguir que las amenazas no se lleguen a producir. En caso de que se materialicen,
deber minimizarse su impacto e intentar paliarlas lo ms rpidamente posible. Para
ello debern disponerse medidas tanto reactivas como restaurativas. Estas ltimas
permitirn la recuperacin de la informacin y los servicios, de forma que se pueda
hacer frente a las situaciones en las que un incidente de seguridad inhabilite los sis-
temas o determinados servicios de stos.
Dentro del anlisis de seguridad, un aspecto muy importante tratado en el ENS es

el de la segregacin de funciones. Ocurre a menudo, que los encargados de analizar el
estado de seguridad de una organizacin son los mismos que deben poner en marcha
los sistemas productivos. Este desaconsejable hecho puede producir parcialidad en
la actuacin de los profesionales, priorizando la produccin frente a la aplicacin de
mecanismos de seguridad.
Con objeto de evitar este tipo de problemas de asignacin de funciones, el ENS

diferencia en el proceso de segregacin de roles los siguientes: responsable de la infor-
macin, responsable del servicio, responsable del sistema y responsable de la seguridad.
El responsable de informacin determina los requisitos que deben cumplir la

informacin y los objetivos que se persiguen para su mantenimiento. El responsable
del servicio, por su parte, determina los requisitos, las caractersticas y las condicio-
nes de los servicios prestados. Este ltimo suele estar supeditado jerrquicamente al
responsable de la informacin.
Frente a ambos el responsable de seguridad presenta un perfil mucho ms tc-

nico. De l se espera que establezca los requisitos y condiciones de seguridad de la
informacin y los servicios. Su objetivo fundamental es asegurar que las medidas de
seguridad que se van a aplicar satisfacen los requisitos demandados por los respon-
sables de la informacin y los servicios.
La relacin entre todas las figuras la constituye el responsable del sistema. Este
ser el encargado de las operaciones del mismo y deber conocer todos los elemen-
tos que lo constituyen. Relaciona, a travs del sistema, la informacin, los servicios
y la seguridad. Su rol y el del responsable de seguridad deben estar completamente
segregados. Ambos sern complementarios, pero sus labores sern diferentes y en
ocasiones sus posturas contrarias.
Inicialmente es difcil establecer una norma nica de quin debera asumir los
diferentes roles y funciones. Cada administracin es diferente, tanto en infraestructura
como en diseo y personal. Por tanto,m la ocupacin de cada rol debera adecuarse a
las particularidades de cada entidad o escenario.
2.2. Requisitos mnimos

Para el cumplimiento de las medidas de seguridad, todos los rganos superiores
de las Administraciones Pblicas debern contar con una poltica de seguridad. Esta
17
presentar unos requisitos mnimos que debern ser implementados por todas las
organizaciones sujetas al Esquema Nacional de Seguridad.
La definicin de los rganos superiores viene establecida en el Real Decreto

3/2010 a travs de su artculo 11 en el punto 2:
A los efectos indicados en el apartado anterior, se considerarn rganos superiores

los responsables directos de la ejecucin de la accin del gobierno, central, auton-
mico o local, en un sector de actividad especfico, de acuerdo con lo establecido en la
Ley 6/1997, de 14 de abril, de organizacin y funcionamiento de la Administracin
General del Estado y Ley 50/1997, de 27 de noviembre, del Gobierno; los estatutos de
autonoma correspondientes y normas de desarrollo; y la Ley 7/1985, de 2 de abril,
reguladora de las bases del Rgimen Local, respectivamente.
Los municipios podrn disponer de una poltica de seguridad comn elaborada por la
Diputacin, Cabildo, Consejo Insular u rgano unipersonal correspondiente de aque-
llas otras corporaciones de carcter representativo a las que corresponda el gobierno
y la administracin autnoma de la provincia o, en su caso, a la entidad comarcal
correspondiente a la que pertenezcan.
La poltica de seguridad tendr como objetivos fundamentales establecer roles,

funciones y procedimientos de designacin, definir los criterios para la categorizacin
e identificacin de servicios y sistemas, as como plantear los mecanismos de seguri-
dad previstos en el Anexo II. Para ello se exigen una serie de requisitos mnimos que
debern quedar definidos en la poltica de seguridad:
a) Organizacin e implantacin del proceso de seguridad.

l Anlisis y gestin de los riesgos.
l Gestin de personal.
l Profesionalidad.
l Autorizacin y control de los accesos.
l Proteccin de las instalaciones.
l Adquisicin de productos.
l Seguridad por defecto.
l Integridad y actualizacin del sistema.
l Proteccin de la informacin almacenada y en trnsito.
l Prevencin ante otros sistemas de informacin interconectados.
l Registro de actividad.
l Incidentes de seguridad.
l Continuidad de la actividad.
18
b) Mejora continua del proceso de seguridad.

El captulo III define cada uno de estos principios mnimos, que deben ser te-
nidos en cuenta por las Administraciones Pblicas. Muchas de las figuras descritas
son ampliamente utilizadas tambin en los sistemas de seguridad de las empresas
privadas, formando parte de los sistemas SGSI (Sistema de Gestin de Seguridad de
la Informacin) de las mismas.
Se recogen a continuacin algunos de los requisitos ms notables. Otros sern

tratados en mayor profundidad a lo largo de los diferentes captulos de este libro.
Artculo 16.
Autorizacin y control de los accesos. El acceso al sistema de informacin deber ser

controlado y limitado a los usuarios, procesos, dispositivos y otros sistemas de infor-
macin, debidamente autorizados, restringiendo el acceso a las funciones permitidas.
Los procesos de autorizacin determinan uno de los procedimientos ms signifi-

cativos de cara a la seguridad. En este sentido debern valorarse en dos circunstancias
diferentes:
l Garantizar el acceso de los ciudadanos para la realizacin de operaciones,

tras procesos de autentificacin que aseguren la correcta identificacin de
los mismos.
l Garantizar que a los sistemas internos, slo el personal autorizado tendr
permitido el acceso.
Una vez que un usuario ha sido autenticado correctamente, se podr garantizar,
mediante los controles pertinentes, el acceso a los recursos asociados.
Artculo 20. Integridad y actualizacin del sistema.
1. Todo elemento fsico o lgico requerir autorizacin formal previa a su instalacin

en el sistema.
2. Se deber conocer en todo momento el estado de seguridad de los sistemas, en

relacin a las especificaciones de los fabricantes, a las vulnerabilidades y a las ac-
tualizaciones que les afecten, reaccionando con diligencia para gestionar el riesgo
a la vista del estado de seguridad de los mismos.
La seguridad planteada a travs del ENS slo puede ser observada bajo un prisma
de permanente evolucin y actualizacin. Un problema habitualmente planteado por
las organizaciones es que una vez implementado un sistema, ste no se altera para evitar
la posibilidad de perder su funcionalidad. Sin embargo, desde el punto de vista de la
seguridad sta es una mala prctica. Los sistemas evolucionan, detectndose potencia-
les fallos de seguridad que los fabricantes corrigen oportunamente y que demandan
la actualizacin de los sistemas. La generacin de actualizaciones de seguridad viene
normalmente precedida por la aparicin de un expediente de seguridad. La aplicacin
19
de soluciones de mejora es por tanto una constante al tratar con elementos software,
independientemente de cul sea su procedencia. El enunciado del Esquema Nacional
de Seguridad no es ajeno a este hecho y lo recoge consecuentemente. Cuando un fa-
bricante haga pblica la correccin de determinada vulnerabilidad, se deber actuar
conforme a un procedimiento estipulado para corregir el fallo detectado. No obstante,
hay que tener en cuenta que una potencial solucin podra afectar negativamente al
funcionamiento normal del servicio. Para ello habr de disponerse de algn procedi-
miento para la realizacin de las pruebas previas oportunas que permitan aplicar las
actualizaciones de seguridad sin por ello alterar el servicio. Este tema es tratado en el
Anexo II, en los apartados referidos a los sistemas de mantenimiento.
Artculo 21. Proteccin de informacin almacenada y en trnsito.
1. En la estructura y organizacin de la seguridad del sistema, se prestar especial

atencin a la informacin almacenada o en trnsito a travs de entornos inseguros.
Tendrn la consideracin de entornos inseguros los equipos porttiles, asistentes
personales (PDA), dispositivos perifricos, soportes de informacin y comunica-
ciones sobre redes abiertas o con cifrado dbil.
2. Forman parte de la seguridad los procedimientos que aseguren la recuperacin
y conservacin a largo plazo de los documentos electrnicos producidos por las
Administraciones pblicas en el mbito de sus competencias.
3. Toda informacin en soporte no electrnico, que haya sido causa o consecuencia di-
recta de la informacin electrnica a la que se refiere el presente real decreto, deber
estar protegida con el mismo grado de seguridad que sta. Para ello se aplicarn
las medidas que correspondan a la naturaleza del soporte en que se encuentren,
de conformidad con las normas de aplicacin a la seguridad de los mismos.
La salvaguarda de la informacin es un elemento principal en cualquier valora-

cin respecto de la seguridad informtica. No lo es menos para el Esquema Nacional
de Seguridad. No se debe olvidar que en la prestacin de un servicio lo que realmente
aporta valor son los datos manejados por encima de la continuidad del mismo. El
acceso de los ciudadanos presentar como objetivo principal el desarrollo de pro-
cedimientos administrativos, bien solicitando o bien aportando informacin. Debe
existir la constancia de que ante una prdida de informacin asociada al servicio, es
posible su recuperacin. Por tanto, se establece como garanta fundamental asociada a
la labor de la Administracin Pblica que los datos existentes podrn ser recuperados
y mantenidos. La evolucin de la tecnologa es atendida por el Esquema Nacional de
Seguridad, y claro ejemplo de ello son los dispositivos mviles. Fciles de manejar
y de portar, no estn exentos de fallos de seguridad. Su portabilidad incrementa el
nmero de amenazas y se hace por ello especial hincapi en las tecnologas de cifrado
para los mismos.
Artculo 23. Registro de actividad.
Con la finalidad exclusiva de lograr el cumplimiento del objeto del presente real de-
creto, con plenas garantas del derecho al honor, a la intimidad personal y familiar y
20
a la propia imagen de los afectados, y de acuerdo con la normativa sobre proteccin

de datos personales, de funcin pblica o laboral, y dems disposiciones que resulten
de aplicacin, se registrarn las actividades de los usuarios, reteniendo la informacin
necesaria para monitorizar, analizar, investigar y documentar actividades indebidas
o no autorizadas, permitiendo identificar en cada momento a la persona que acta.
Como en otras normativas existentes en el ordenamiento jurdico espaol cons-

tituye una necesidad registrar los sucesos relativos a acciones sobre los servicios y la
informacin. Estos datos permitirn principalmente depurar responsabilidades cuando
sea necesario, as como detectar fallos o incidencias de seguridad que hayan tenido
lugar en los servicios prestados.
Este objetivo es probablemente uno de los ms complicados de cumplimentar.

No obstante, no ser requerido en todos los escenarios de aplicacin del Esquema
Nacional de Seguridad, sino exclusivamente en aquellos donde se exigen los niveles
de seguridad ms altos. Los sistemas a utilizar debern contar con metodologas de
registro, y utilizar procedimientos para la consolidacin y correlacin de los datos. El
servicio sera ineficaz si no tuviera capacidad de alertar frente a una posible incidencia.
Artculo 24. Incidentes de seguridad.
1. Se establecer un sistema de deteccin y reaccin frente a cdigo daino.
2. Se registrarn los incidentes de seguridad que se produzcan y las acciones de

tratamiento que se sigan. Estos registros se emplearn para la mejora continua
de la seguridad del sistema.
Los ataques derivados del descubrimiento de una vulnerabilidad, constituyen

uno de los mecanismos ms ampliamente utilizado por los hackers para introducirse
en un sistema. Para garantizar la seguridad no basta solamente con su planteamiento,
sino tambin es necesario evaluar si las medidas son eficaces. Los sistemas de detec-
cin de intrusiones intentan evaluar si un sistema est siendo objeto de ataque. Los
intentos de ataque, aunque no se materialicen o tengan xito en sus objetivos, deben
ser detectados e identificados como medida fundamental para mantener niveles
apropiados de seguridad.
Un sistema de deteccin de intrusiones podra ser reactivo mediante la presen-

tacin de alertas o acciones que indiquen los intentos de ataque. Esto permitir que
los administradores, adems de estar alertados, puedan calibrar el inters como foco
de ataque que presentan determinados servicios. Aquellos en los que se observen
intentos de ataques ms frecuentes, deberan ser considerados ms crticos en lo que
respecta a su seguridad.
Artculo 25. Continuidad de la actividad.
Los sistemas dispondrn de copias de seguridad y establecern los mecanismos ne-

cesarios para garantizar la continuidad de las operaciones, en caso de prdida de los
medios habituales de trabajo.
21
Puesto que la prestacin de un servicio constituye una de las prioridades de la

Administracin Pblica, el Esquema Nacional de Seguridad persigue tambin como
objetivo mantener en todo momento la continuidad del servicio. Por tanto, y a travs
de las polticas de seguridad, debern disponerse de mecanismos que permitan tanto
la recuperacin de los datos como de los propios sistemas, en caso de una potencial
incidencia. No obstante, no hay que olvidar que el valor reside en los datos, y su con-
servacin debe prevalecer incluso sobre la prestacin del servicio.
Artculo 29. Guas de seguridad.
Para el mejor cumplimiento de lo establecido en el Esquema Nacional de Seguridad,

el Centro Criptolgico Nacional, en el ejercicio de sus competencias, elaborar y di-
fundir las correspondientes guas de seguridad de las tecnologas de la informacin
y las comunicaciones.
Para manejar eficazmente los sistemas con los que cuenta la Administracin
Pblica, el Centro Criptogrfico Nacional ha elaborado, y continuar hacindolo, un
conjunto de guas para el uso de diferentes tecnologas. En este sentido, Microsoft
participa junto con el CCN en la elaboracin de las mismas en lo que respecta a sus
tecnologas y soluciones especficas.
La serie CCN-STIC-500 (Centro Criptogrfico Nacional - Seguridad de las Tec-

nologas de la Informacin) recoge las diferentes guas desarrolladas conjuntamente
para entornos Windows. Adicionalmente a los documentos, se proporcionan una serie
de scripts que permiten, a travs de las polticas de seguridad, mejorar determinados
escenarios atendiendo a la normativa existente.
2.3. Comunicaciones electrnicas

Uno de los peligros potenciales que presenta el tratamiento de datos lo constituye
el ataque a la informacin en trnsito. Existen numerosas tcnicas que presentan como
objetivo el ataque en redes de datos. A travs de las mismas, un tercero intentar bien
suplantar a una de las dos entidades participantes en la comunicacin, o bien obtener
la informacin que se estuviera intercambiando.
La alteracin en trnsito de una comunicacin para el desarrollo de un procedi-

miento administrativo podra conllevar su anulacin, o lo que es peor, si el sistema
permite aceptar una autenticacin falsa por imposibilidad de validar correctamente
un certificado digital, se inutilizara uno de los mecanismos fundamentales en los que
est basado el Esquema Nacional de Seguridad.
Los sistemas de certificacin electrnica cumplen una labor muy importante. Hay
que recordar que a travs del uso de los servicios tipo PKI (Public Key Infraestructure)
se persiguen dos objetivos fundamentales:
l El firmado, con objeto de garantizar la autenticidad, el no repudio y la inte-

gridad de los datos.
22
l El cifrado, para garantizar la confidencialidad de los datos.

En un proceso de comunicacin se persiguen precisamente estos objetivos, por
lo que los sistemas de certificacin electrnica resultan indispensables: bien sea para
autenticar a un ciudadano, como para garantizar una comunicacin cifrada mediante
SSL (Secure Socket Layer) o hacer un uso eficiente del correo electrnico mediante la
utilizacin de S-MIME (Secure / Multipurpose Internet Mail Extensions).
Artculo 31. Condiciones tcnicas de seguridad de las comunicaciones electrnicas.
1. Las condiciones tcnicas de seguridad de las comunicaciones electrnicas en lo

relativo a la constancia de la transmisin y recepcin, de sus fechas, del contenido
integro de las comunicaciones y la identificacin fidedigna del remitente y des-
tinatario de las mismas, segn lo establecido en la Ley 11/2007, de 22 de junio,
sern implementadas de acuerdo con lo establecido en el Esquema Nacional de
Seguridad.
2. Las comunicaciones realizadas en los trminos indicados en el apartado anterior
tendrn el valor y la eficacia jurdica que corresponda a su respectiva naturaleza,
de conformidad con la legislacin que resulte de aplicacin.
Artculo 32. Requerimientos tcnicos de notificaciones y publicaciones electrnicas.
1. Las notificaciones y publicaciones electrnicas de resoluciones y actos adminis-

trativos se realizarn de forma que cumplan, de acuerdo con lo establecido en el
presente real decreto, las siguientes exigencias tcnicas:
a) Aseguren la autenticidad del organismo que lo publique.
b) Aseguren la integridad de la informacin publicada.
c) Dejen constancia de la fecha y hora de la puesta a disposicin del interesado
de la resolucin o acto objeto de publicacin o notificacin, as como del acceso
a su contenido.
d) Aseguren la autenticidad del destinatario de la publicacin o notificacin.
El uso de los sistemas de certificacin electrnicos se considera de obligado cum-

plimiento. Segn lo estipulado por la normativa, ser el mecanismo principal para
garantizar la autenticidad de los ciudadanos que acceden a los servicios que prestan
las administraciones pblicas. Pero tambin pueden ser utilizados para garantizar el
acceso del personal interno para el tratamiento de los datos.
Hay que tener presente en este sentido la importancia que implican los proce-
dimientos de comunicacin administrativos. Sern factibles y tendrn tanta validez
como los sistemas tradicionales, siempre y cuando cumplan con una serie de preceptos.
En todos ellos la poltica de firma y certificado electrnico presenta una labor muy
importante:
l Cifrado de los datos.
23
l Firma digital de la informacin.

l Firma de marca tiempo para el sellado electrnico.
En el desarrollo de los procedimientos administrativos el cumplimiento temporal
es crtico a la hora del establecimiento de resoluciones. Por ello, el uso de sistemas de
certificacin electrnica para la implementacin del Time Stamp es otra de las necesi-
dades a cubrir por los certificados digitales.
2.4. Auditora de seguridad

Para garantizar la aplicacin de medidas y evaluar el debido funcionamiento
de los sistemas implementados, el Esquema Nacional de Seguridad (ENS) define la
necesidad de realizar peridicamente auditoras de seguridad. El sistema de auditora
queda definido a travs del Captulo V y el Anexo III.
Artculo 34. Auditora de la seguridad.

1. Los sistemas de informacin a los que se refiere el presente real decreto sern ob-
jeto de una auditora regular ordinaria, al menos cada dos aos, que verifique el
cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carcter extraordinario, deber realizarse dicha auditora siempre que se
produzcan modificaciones sustanciales en el sistema de informacin, que puedan
repercutir en las medidas de seguridad requeridas. La realizacin de la auditoria
extraordinaria determinar la fecha de cmputo para el clculo de los dos aos,
establecidos para la realizacin de la siguiente auditora regular ordinaria, indicados
en el prrafo anterior.
Los sistemas de auditora deben servir como el mecanismo catalizador que deter-
mine que las medidas tcnicas aplicadas son como mnimo suficientes, que cumplen
sus cometidos y que los procedimientos se realizan de acuerdo a lo estipulado en la
poltica de seguridad. No obstante, su realizacin depende del tipo de categora de
seguridad que queda determinada en el Anexo I. Aunque este tema ser tratado con
posterioridad, es importante indicar en este momento que existen tres categoras en
funcin de la criticidad: bsica, media y alta.
En el caso de las categoras media y alta, la auditora deber realizarla un equipo

independiente a la organizacin. En el caso de categora bsica, la auditora podr ser
de tipo auto evaluativo. Un equipo interno determinar el cumplimiento y las medidas
correctoras que deberan aplicarse si hubiera lugar a ello.
Puesto que el ENS no regula completamente los procedimientos de auditora, el

CCN ha emitido una gua para ello. La gua 802 de Auditoria del Esquema Nacional
de Seguridad desarrolla las materias necesarias para dar cumplimiento a lo estable-
cido en el artculo 34 y en el Anexo III del RD 3/2010. Entre estas medidas podrn
encontrarse los mecanismos para la realizacin de las auditoras, los requisitos que
debern cumplir el equipo de auditores o la elaboracin y presentacin de resultados.
24
Con objeto de garantizar la independencia, las tareas de auditora no incluirn

en ningn caso la ejecucin de acciones que puedan ser consideradas como respon-
sabilidades de consultora o similares. Tampoco deber proponerse la implantacin
de un determinado software o solucin especfica. El auditor ser el responsable de
las opiniones y conclusiones vertidas en el informe de auditora.
Los informes de auditora sern presentados al responsable del sistema y al
responsable de seguridad competente. Estos sern valorados por este ltimo, que en-
viar sus conclusiones al responsable del sistema. Ser ste el que deber dictaminar
y aplicar las medidas correctoras oportunas.
2.5. Respuesta a incidentes de seguridad

De cara a la coordinacin de tareas frente a incidencias que pudieran darse, el
CCN a travs de su estructura CCN-CERT (Centro Criptolgico Nacional - Computer
Emergency Reaction Team), ser el encargado de articular las respuestas de las diferentes
administraciones pblicas. Sus acciones se realizarn sin perjuicio de las capacidades
de respuesta propias con las que pueden contar cada administracin y de la funcin
de coordinacin a nivel nacional e internacional del CCN.
Artculo 37. Prestacin de servicios de respuesta a incidentes de seguridad a las
Administraciones pblicas.
1. De acuerdo con lo previsto en el artculo 36, el CCN-CERT prestar a las Admi-
nistraciones pblicas los siguientes servicios:
a) Soporte y coordinacin para el tratamiento de vulnerabilidades y la resolucin

de incidentes de seguridad que tengan la Administracin General del Estado,
las Administraciones de las comunidades autnomas, las entidades que integran
la Administracin Local y las Entidades de Derecho pblico con personalidad
jurdica propia vinculadas o dependientes de cualquiera de las administraciones
indicadas.
El CCN-CERT, a travs de su servicio de apoyo tcnico y de coordinacin, ac-

tuar con la mxima celeridad ante cualquier agresin recibida en los sistemas
de informacin de las Administraciones pblicas.
Para el cumplimiento de los fines indicados en los prrafos anteriores se podrn

recabar los informes de auditora de los sistemas afectados.
b) Investigacin y divulgacin de las mejores prcticas sobre seguridad de la in-

formacin entre todos los miembros de las Administraciones pblicas. Con esta
finalidad, las series de documentos CCN-STIC (Centro Criptolgico Nacional
- Seguridad de las Tecnologas de Informacin y Comunicaciones), elaboradas
por el Centro Criptolgico Nacional, ofrecern normas, instrucciones guas
y recomendaciones para aplicar el Esquema Nacional de Seguridad y para
garantizar la seguridad de los sistemas de tecnologas de la informacin en la
Administracin.
25
Tal y como se coment previamente, existen guas de seguridad relacionadas

con productos Microsoft que garantizan el cumplimiento de medidas exigidas a nivel
normativo. Pero no solamente en esto existe colaboracin entre Microsoft y el CCN-
CERT, tambin trabajan estrechamente en la prevencin y mitigacin de incidentes.
Fruto de esta colaboracin se han firmado acuerdos entre los que incluye el acceso
al cdigo fuente de Windows y MS Office, as como la asistencia y suministro de
herramientas para poder auditar la seguridad de un sistema. Este hecho se produce
desde el ao 2004, cuando el gobierno espaol se adhiere al programa de Microsoft
Government Security Program (GSP).
2.6. Adecuacin tras la entrada en vigor del ENS

Para la implantacin de procedimientos y medidas de seguridad se han fijado
unos tiempos que permitan la adecuacin de los sistemas a lo establecido por el Es-
quema Nacional de Seguridad. El camino a recorrer no es trivial, y hay que tener en
cuenta que para que un organismo pueda poner en produccin un sistema de seguridad
tienen que darse de forma previa una serie de condiciones:
l El rgano superior correspondiente deber haber creado la poltica de seguridad.

l Deber haberse realizado el anlisis de riesgos correspondiente.
l En el Esquema Nacional de Seguridad, se diferencian dos tipos de proyectos:
l Aquellos que se desarrollan despus de la entrada en vigor.
l Los existentes con anterioridad a la publicacin de la norma.
Los primeros debern iniciarse bajo el paraguas de accin del ENS. En el caso de
los segundos, se establece en un ao el tiempo de adecuacin para el cumplimiento de
la normativa. En el caso de que concurran circunstancias que impidan la plena apli-
cacin de lo exigido, se dispondr de un plan de adecuacin que marque los plazos
de ejecucin. Estos plazos no podrn exceder los 48 meses, desde que entra en vigor
el Esquema Nacional de Seguridad.
Como existe una relacin directa entre la creacin de la poltica de seguridad y
la aplicacin del ENS, se admite que mientras no se haya aprobado una poltica de
seguridad por el rgano superior competente sern de aplicacin las polticas que
puedan existir a nivel de rgano directivo. En el momento de escribirse este libro,
el CCN en virtud de las funciones atribuidas en el RD 421/2004 se est encargando
del estudio y realizacin de diferentes guas que versan sobre el ENS. Entre stas, se
incluye la Gua 805 del modelo de poltica de seguridad. Algunas de las mismas se
encuentran ya en fase borrador, aunque no son totalmente pblicas en este estado,
siendo su acceso restringido.
2.7. Rgimen sancionador

El Real Decreto 3/2010 no presenta entre su articulado ninguna mencin rela-
tiva al rgimen de tipo sancionador. Hay que tener en cuenta que la orientacin del
26
Esquema Nacional de Seguridad es para la Administracin Pblica, y sta presenta

su propia normativa en cuanto a responsabilidades. Puesto que el ENS no dictamina
otra cosa, ser de aplicacin lo previsto en 30/1992, de 26 de noviembre de Rgimen
Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn.
Esta ley, adems de regular el rgimen sancionador y la potestad para la misma,

determina los principios de responsabilidad tanto civiles como penales, y los proce-
dimientos de indemnizacin que pudieran tener lugar por daos ocasionados por el
incumplimiento de la normativa.
27
Principios de seguridad: seguridad por defecto
3
Principios de seguridad:
seguridad por defecto
Uno de los principios ms significativos que persigue el Esquema Nacional de

Seguridad es el de la seguridad por defecto. La idea es sencilla, minimizar el impacto
de la seguridad deshabilitando aquellos elementos innecesarios y activando todos
aquellos otros que sean factibles. El objetivo es que tras la aplicacin de la totalidad
de mecanismos de seguridad, los posibles fallos que puedan aparecen tengan como
origen exclusivamente la accin inadecuada por parte de un usuario
Artculo 19. Seguridad por defecto.
Los sistemas deben disearse y configurarse de forma que garanticen la seguridad

por defecto:
El sistema proporcionar la mnima funcionalidad requerida para que la organizacin

slo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional.
Las funciones de operacin, administracin y registro de actividad sern las mnimas

necesarias, y se asegurar que slo son accesibles por las personas, o desde emplaza-
mientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario
y puntos de acceso facultados.
En un sistema de explotacin se eliminarn o desactivarn, mediante el control de

la configuracin, las funciones que no sean de inters, sean innecesarias e, incluso,
aquellas que sean inadecuadas al fin que se persigue.
El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilizacin
insegura requiera de un acto consciente por parte del usuario.
A menudo de forma inconsciente, en la puesta en produccin de un nuevo ser-

vicio se han dejado instalados determinados elementos o caractersticas que ya son
innecesarios. El problema no es en s la existencia de este tipo de servicios, sino que
29
seguramente no se realice un mantenimiento adecuado de los mismos, descuidando

incluso aspectos de seguridad. Esto provoca un factor crtico como es el hecho de que
un elemento vulnerable haga que la globalidad del sistema tambin lo sea, por muy
asegurado que se mantenga el resto de elementos que lo componen.
Por ejemplo, si todo un sistema utiliza algoritmos de cifrado para garantizar que
las contraseas de autenticacin de casi todos los servicios sean seguras, y sin embargo
si en uno de ellos la informacin es enviada en texto plano, se pone en riesgo toda la
seguridad del sistema en su conjunto. La seguridad es un sistema de engranajes que
debe ser funcional en su conjunto. Un defecto har caer el mecanismo de forma global.
Para evitar esos problemas se promueve la seguridad por defecto.
Este concepto no es ni mucho menos nuevo. Desde el momento del diseo de un

software, pasando por su anlisis, desarrollo y puesta en produccin, se debe pensar
en la seguridad. El resultado final es precisamente la seguridad por defecto. La puesta
en marcha de la iniciativa Trustworthy Computing (TC) por parte de Microsoft en el ao
2002, como uno de los pilares bsicos para el desarrollo y la implementacin de todo
su software, ha supuesto una mejora evolutiva en la seguridad general de sus solucio-
nes. TC cubre cuatro directrices fundamentales en las tecnologas SD3+C: Secure by
Design, Secure by Default, Secure by Deployment y Communication (seguro
por diseo, seguro por definicin, seguro en distribucin y comunicaciones).
Los esfuerzos iniciales han ofrecido finalmente resultados significativos. Los

sistemas operativos a partir de Windows Vista han nacido atendiendo en todo su
desarrollo a esta iniciativa, cosechando de este modo grandes resultados en seguri-
dad. Las evoluciones observadas en Windows 7 o en las versiones correspondientes
de servidor, Windows Server 2008 y Windows Server 2008 R2, no hacen ms que
afianzar la buena respuesta de la iniciativa. Estos sistemas operativos presentan datos
significativos, no slo en lo que respecta a las nuevas tecnologas que en materia de
seguridad incorporan, sino tambin en la disminucin drstica del nmero de fallos
de seguridad. No slo los sistemas operativos, sino tambin servicios y servidores,
han visto mejorado en sus diseos los elementos de seguridad.
Para que esta iniciativa fuera factible se defini un proceso complejo, donde ya
la fase inicial de diseo se lleva e efecto desde la panormica de la seguridad. Deno-
minado Secure Development Lifecycle (SDL), el proceso se encuentra estructurado
en diferentes fases. La de diseo identifica la estructura y los requisitos globales del
software. Desde el punto de vista de la seguridad, los elementos clave de sta son:
l Definir la arquitectura de seguridad y las directrices de diseo. Se define

la estructura global del software desde el punto de vista de la seguridad,
identificando los componentes cuyo correcto funcionamiento es esencial para
sta (la base de computacin confiable). La identificacin de tcnicas de
diseo, como el uso de capas o lenguaje con tipos inflexibles, la aplicacin
de privilegios mnimos y la minimizacin de la superficie de ataque se apli-
can al software de manera global. El uso de capas define componentes bien
definidos que se estructuran para evitar dependencias circulares entre ellos.
30
Otro de los objetivos hace referencia al uso del mnimo privilegio posible.
Cuanto menores sean los requerimientos para la ejecucin de una aplicacin,
menores sern los riesgos generales que sufrir un sistema por su utilizacin.
Algunas de las peores amenazas que presentan los usuarios es la navegacin
por Internet. A travs de sta, los riesgos de uso del sistema pueden aumentar
significativamente al estar expuestos a otros sistemas que no siempre son
de confianza. Reduciendo los privilegios con los que cuenta el navegador,
se reduce el impacto en caso de que una amenaza procedente del exterior
intente afectar al sistema. El objetivo por lo tanto es el menor privilegio
posible.
l Documentar los elementos de la superficie de ataque del software. Tenien-
do en cuenta que difcilmente el software lograr una seguridad perfecta,
es importante que nicamente se expongan de manera predeterminada las
caractersticas que utilicen la mayora de los usuarios y que stas se instalen
con el mnimo nivel de privilegios posible. La medicin de los elementos de
la superficie de ataque ofrece al equipo de producto un indicador continuo de
la seguridad predeterminada y les permite detectar las instancias en las que
el software es ms susceptible de recibir ataques. Reduciendo la superficie
del ataque se consiguen minimizar los posibles riesgos. Esa reduccin tanto
en la superficie como en el uso de privilegios se ha trasladado a los sistemas
operativos. Windows Vista trajo consigo muchos cambios de seguridad en
este sentido, pero la divisin de las capas, la segmentacin y la aparicin de
servicios restringidos o los controles de gestin de sesiones han sido avances
que aparecen justamente con la iniciativa TC.
l Realizar un modelado de las amenazas. Se debe pensar en el diseo de un
sistema desde los riesgos. Igualmente que el Esquema Nacional de Seguridad
requiere la realizacin de un anlisis de riesgos para la implementacin de la
seguridad, en el diseo del software se evalan desde el inicio las amenazas
por las que ste podra verse afectado. El equipo de trabajo debe realizar un
modelado de riesgos por componentes. Mediante una metodologa estruc-
turada, se identificarn los activos que debe administrar el software y las
interfaces que permitirn el acceso a dichos activos. El proceso de modelado
identifica las amenazas que pueden daar a estos activos y se realiza una
estimacin del riesgo entre los casos de uso. Esto permitir determinar las
medidas que podrn contrarrestar las amenazas. Fruto de este tipo de anli-
sis, no slo se han creado metodologas y procedimientos, sino un software
que puede ser utilizado para el que desee un desarrollo basado en un diseo
seguro: Threat Analisys & Modeling (TAM).
l Definir los criterios de publicacin adicionales. En el proceso de desarrollo
deben evaluarse las vulnerabilidades de seguridad y solucionarlas antes
de que se detecten. Desde un punto de vista funcional la idea es acotar los
fallos de seguridad identificados en las versiones previas del desarrollo de
un software. Todas ellas debern ser corregidas, evaluando las caracters-
31
ticas que propiciaron este hecho y determinando la posibilidad de nuevos

modelos para paliar posibles defectos de diseo. El resultado final ser un
menor nmero de vulnerabilidades desde el inicio del desarrollo, que se
ver plasmado en la disminucin de expedientes de seguridad.
Figura 3.1. Threat Analisys & Modeling.
Durante la fase de implementacin, el equipo de trabajo se encargar de progra-

mar, probar e integrar el software. Durante los pasos previos se han destinado esfuerzos
para eliminar los errores de seguridad o minimizarlos y evitar desde el principio su
inclusin. Valorando inicialmente los distintos tipos de amenazas, se consigue que al
consolidar los diferentes mdulos se tenga una visin clara de los riesgos finales. A
la hora de la realizacin de las pruebas de seguridad, ser de gran utilidad conocer
los riesgos posibles y las contramedidas que se disearon en funcin de los mismos.
Desde su comienzo, en la fase de implementacin se aplican estndares de codifi-

cacin y de pruebas que evitan que los programadores incluyan errores que produzcan
vulnerabilidades de seguridad. Se utilizan tambin herramientas de testeo que pro-
barn la funcionalidad segura del cdigo. No basta que un desarrollo haga la funcin
para la que ha sido diseado, sino que debe nica y especficamente desarrollar esa
funcin y adems salvaguardando la seguridad del sistema. Alguna accin adicional
no controlada ni documentada podra incidir negativamente en aspectos de seguridad.
As surgen muchos exploits, atacando funciones no controladas.
32
Las siguientes dos fases son muy importantes para la comprobacin de la segu-
ridad final con la que contarn los mdulos de nuevo diseo: fases de comprobacin
y fase de lanzamiento. Estas fases son consecutivas y comienzan desde el punto en el
que el software presenta ya casi toda su funcionalidad operativa. Durante estas fases,
mientras se prueba la versin beta del software, el equipo de producto realiza un
nuevo anlisis de seguridad que incluye revisiones del cdigo de seguridad. Estas son
adicionales a las ya realizadas en la fase de implementacin, recogiendo adems todas
las impresiones que proporcionan los usuarios que participan en los programas Beta.
En la fase de lanzamiento, el software se someter a una revisin final de segu-

ridad (FSR). Esta deber responder a una pregunta: Desde el punto de vista de la
seguridad, est este software preparado para los clientes? Esta revisin se realiza en
un plazo de dos a seis meses antes de la finalizacin del software, segn el alcance de
ste. Para ello, el software deber ser estable antes de la realizacin de los anlisis FSR
y es de esperar que con antelacin al lanzamiento slo se realicen cambios mnimos
y no relacionados con la seguridad.
El SDL (Secure Development Lifecycle) no finaliza bajo ninguna circunstancia con

el lanzamiento del software. La ltima fase, y la ms larga, consiste en su reanlisis
y mantenimiento en todo el ciclo de soporte para el mismo. Se asume que ningn
software aparece en el mercado completamente seguro, aun cuando en el proceso
de desarrollo se hubieran podido eliminar todas las vulnerabilidades de seguridad
conocidas. Con certeza y como mnimo, se descubrirn nuevos ataques y el software
considerado seguro pasar a presentar vulnerabilidades. Por tanto, los equipos de
producto deben prepararse para responder a nuevas vulnerabilidades, reconocer los
nuevos expedientes de seguridad que se produzcan, conocer las nuevas tcnicas de
ataque, intentando con todo ello paliar lo ms rpidamente posible los nuevos fallos
de seguridad detectados.
La iniciativa Trustworthy Computing Secure Development Lifecycle presenta muchos

puntos en comn con el Esquema Nacional de Seguridad, y es que pensando o dise-
ando seguridad, los objetivos a perseguir son lgicamente similares. TC se apoya
en el SDL, y la visin de S3D+C tambin se persigue en el ENS. La seguridad por
defecto es uno de los pilares de la iniciativa Trustworthy Computing. Sus objetivos de
seguridad se han visto favorecidos reduciendo la superficie de ataque, no habilitando
servicios innecesarios e introduciendo nuevas tecnologas para la consecucin de esta
tarea. Por ejemplo, si un administrador desea una determinada funcionalidad, y sta se
encuentra asociada a un servicio no instalado por defecto, ser necesario desplegarlo
de forma intencionada. Esto favorece el hecho de que el administrador sea conocedor
de los nuevos elementos instalados. Si esta misma circunstancia se diese por defecto,
incorporando de forma automtica elementos que no son demandados de forma es-
pecfica, implicar que seguramente no se tenga constancia de su existencia o que su
mantenimiento no sea el adecuado.
En este sentido, desde Windows Vista y Windows 2008 han surgido una serie de
mecanismos enfocados a conseguir precisamente esos objetivos; nuevas tecnologas
que proporcionan mejoras significativas en seguridad. Algunas veces stas son ms
33
visibles, como el control de cuentas de usuarios (UAC), pero en otras, como en la ges-
tin de roles y caractersticas, no ocurre as. Sin embargo, todas ellas presentan como
objetivo el minimizar el impacto en la seguridad. Servidores como Windows Server
2008 y Windows Server 2008 R2 han visto tan minimizado el tipo de aplicaciones y
servicios instalados por defecto que el simple hecho de querer utilizar un cliente Telnet
requiere de su instalacin consciente en el servidor.
Figura 3.2. Administrador de roles y caractersticas en Windows Server 2008 R2.
Pero la seguridad por defecto no atiende por ella misma todas las demandas
que en este sentido realiza el Esquema Nacional de Seguridad. Se necesita una labor
evolutiva en diferentes fases desde la puesta en produccin hasta la retirada final de
un servicio. La primera suele ser considerada como una de las fases ms crticas. Mi-
crosoft plantea determinadas iniciativas y programas dirigidos a la comunidad TI, con
el objeto de que los profesionales conozcan cmo adaptar y configurar los mecanismos
de seguridad necesarios y disponibles sobre sus elementos en explotacin.
Programas como STPP (Strategic Technology Protection Program), persiguen elevar

el nivel de seguridad en los sistemas. Para ello se plantea la estrategia en relacin a
tres elementos fundamentales que conectan directamente con el ENS:
l Personas. La formacin de los administradores y usuarios es un aspecto

crtico que se recoge en los artculos 14 y 15 del RD 3/2010: gestin de per-
34
sonal y profesionalidad. De nada vale disponer de los sistemas ms eficaces

y seguros si las malas prcticas propician los fallos de seguridad. Aunque se
han enfocado esfuerzos para minimizar este impacto, como el uso del UAC,
finalmente son siempre dependientes del usuario.
l Procesos. Plantear procedimientos de aplicacin de modelos de seguridad y
establecer los mecanismos de seguridad a utilizar son una referencia a con-
siderar en todo momento. El uso de procedimientos es una prctica habitual
en los ciclos de uso de la seguridad. Evaluar el cumplimiento de las normas
requeridas o el uso eficaz de los servicios desplegados son garantas para
un uso seguro de los sistemas.
l Tecnologa. Para completar un sistema de seguridad, adems de poseer los
conocimientos, debe contarse con una serie de herramientas que faciliten la
administracin de la seguridad y sean capaces de reducir la dedicacin de
tiempos administrativos. El inventariado de los activos y el mantenimiento
de los mismos se persigue tambin como un objetivo en el ENS. De hecho,
est contemplado en su parte tcnica dentro del conjunto de medidas des-
tinadas a la explotacin.
Fruto de esa seguridad por defecto se han implementado nuevas tecnologas.
Pretenden cumplir con los objetivos planteados en seguridad y que son coincidentes
en el Esquema Nacional de Seguridad. Aunque algunas de estas tecnologas sern
tratadas minuciosamente en el Captulo 6, donde se trata la implementacin tcnica,
merecen en este momento una mencin como muestra de la evolucin que est te-
niendo lugar en el uso de los sistemas.
l User Account Control (UAC). Referenciado con anterioridad en este manual,
supone un paso significativo en la relacin de la seguridad con el uso co-
tidiano de los sistemas operativos. Habitualmente, y quizs motivado por
el uso de los sistemas previos, las cuentas con derechos privilegiados son
utilizadas con frecuencia para la realizacin de tareas comunes como la na-
vegacin en internet o el tratamiento de documentos, que no requieren de
dichos privilegios. Estas dos acciones tan usuales pueden introducir serias
amenazas en el sistema. Esta circunstancia se evitara no actuando con una
cuenta de administrador si no es necesario y el riesgo puede minimizarse
con el uso de UAC. Este, que se encuentra activo de forma predeterminada,
proporciona a los usuarios detalle de cundo una de las acciones que se es-
tn llevando a cabo requiere de privilegios para completarse. Puede ilustrar
esta circunstancia el hecho de que navegando por internet el acceso a una
pgina requiera la instalacin de un componente. En el caso de que UAC se
encuentre activo, se advertir que este nuevo elemento requiere modificar
el sistema, alertando del potencial riesgo que esto podra implicar. De este
modo, el usuario conscientemente evaluar con mayor criterio las conse-
cuencias derivadas de este hecho.
l Mandatory Integration Control (MIC). El mdulo MIC consolida un mtodo de
control adicional a las DACL (Discretionary Access Control) para la ejecucin
35
Figura 3.3. Control

de cuentas de usua-
rios en Windows 7.
de las aplicaciones que pudiera soportar un sistema. MIC gestiona una serie
de niveles de integridad, de tal forma, que en funcin del tipo de usuario,
se tendr o no acceso a la ejecucin del nivel de integridad correspondiente.
El tipo de aplicacin ser el factor fundamental en este caso. Los niveles
de ejecucin que se corresponden con los niveles de integridad son cinco:
integridad 0 (sin confianza), integridad 100 (bajo), integridad 200 (medio),
integridad 300 (alto) e Integridad 400 (sistema). Cada cuenta presenta unos
tokens con niveles de integridad especficos. En funcin del token de usuario
y el nivel de integridad de la aplicacin o servicio, un usuario podr o no
ejecutarla. Esto evitar que un usuario pueda ejecutar una aplicacin con un
nivel de integridad superior al que se le asigna de forma predeterminada.
l User Interface Privilege Isolation (UIPI). Esta tecnologa bloquea aquellos pro-
cesos que con una menor integridad intentan acceder a un servicio, proceso
o aplicacin con mayor nivel de integridad. Los ActiveX, componentes de
ayuda a la navegacin o toolbars, son algunas de las aplicaciones que pueden
ser bloqueadas en los procesos de navegacin, dado que intentan acceder
al sistema para su alteracin. Si uno de estos elementos con un nivel de in-
tegridad bajo desea interactuar por ejemplo con una aplicacin del sistema
para modificarla, esta accin ser bloqueada de forma predeterminada.
l Data Execution Prevention (DEP). Bajo este epgrafe, Microsoft ha generado
un mecanismo de seguridad que tiene como objetivo evitar la ejecucin de
aplicaciones desde las pginas de memoria de datos. Numerosos elementos
de malware y ataques por desbordamiento de buffer escriben informacin
nula para sobrepasar la longitud de memoria reservada para el uso de sus
parmetros. Intentan de este modo sobrescribir la direccin de retorno del
contador de programa. Para ello se buscan parmetros en procedimientos
que no han sido correctamente comprobados antes de ser utilizados. De esta
forma se intenta introducir el programa que se quiere ejecutar, por ejemplo
una shell ajena al sistema. Por tanto, DEP tiene como objetivo prevenir este
tipo de ataques, monitorizando las aplicaciones, para hacer un uso correcto
de la pila de memoria.
36
l Address space layout randomization (ASLR). Esta tecnologa propicia un uso

aleatorio de la memoria. De este modo el sistema operativo en el momento
de cargar las libreras (que slo deban ser utilizadas por ste) propicia que
stas se carguen en diferentes lugares de la RAM, haciendo complicado la
repeticin y exportacin de un exploit. De esta forma, en cada arranque de la
mquina las direcciones son distintas impidiendo su exportacin y repeticin
al no conocer el mapa de memoria, distinto en cada caso.
l Bitlocker y Bitlocker to go. Las tecnologas de cifrado constituyen tambin una
tnica general de uso en la aplicacin de las normativas jurdicas relacionadas
con las tecnologas. Microsoft ha evolucionado tambin en este sentido, su-
mando algunas nuevas tcnicas a las ms tradicionales como EFS (Encripted
File System). En Windows Vista (para discos de sistema) y finalmente con Win-
dows 7 (tambin para elementos extrables), se han consolidado los sistemas
por defecto para el cifrado de los datos, tanto en el propio sistema como en
el uso de los medios extrables. No solamente es importante la proteccin de
un equipo contra ataques offline, sino tambin la de los dispositivos mviles
frente al robo o la prdida accidental de los mismos.
Estas tecnologas son solamente la punta del iceberg de diferentes elementos
que con respecto a la seguridad se han ido incluyendo y provocando la evolucin de
los sistemas y servicios en productos de factora Microsoft. Estas nuevas tecnologas
se encuentran activas de forma predeterminada, ayudando a que la seguridad por
defecto sea una realidad.
Figura 3.4. Implementacin de Bitlocker y Bitlocker to go en Windows 7.
37
Dimensiones de seguridad
4
Dimensiones
de seguridad
Para el cumplimiento de los objetivos previstos en el Real Decreto 3/2010, se

definen y valoran los fundamentos que permiten categorizar un sistema. Cuando se
intenta proporcionar seguridad, se debe valorar el impacto que tendra un incidente
que afectara a los datos o servicios que se estn proporcionando. Para ello se establece
la repercusin en la capacidad organizativa para diversos aspectos:
l Alcanzar sus objetivos. La prestacin de un servicio al ciudadano constituye

el fin ltimo de toda Administracin Pblica. La seguridad en el Esquema
Nacional de Seguridad (ENS) plantea como necesidad que se cubran los
objetivos para los que fue creado un determinado servicio.
l Proteger los activos a su cargo. El planteamiento de un servicio tiene como
premisa el facultar el acceso o proporcionar datos a los ciudadanos en funcin
de sus necesidades para el desarrollo de un procedimiento administrativo.
Esta informacin se corresponde con uno de los mayores bienes con los que
cuenta un usuario del servicio, obtener un papel para un procedimiento
administrativo posterior o almacenar informacin en una base de datos.
Proteger la informacin y todo lo que le rodea y lo hace factible se encuentra
cubierto por el ENS.
l Cumplir sus obligaciones diarias de servicio. Relacionado con los anteriores
puntos, los sistemas deben encontrarse activos y cumplir la funcin para los
que fueron originalmente diseados. Para ello se esperan que los servicios
lleven a efecto una serie de acciones diarias y que stas cumplan con los
objetivos previstos.
l Respetar la legalidad vigente. Partiendo de una ley, la prestacin de un
servicio por parte de la Administracin Pblica no podra exigir otra cosa
que no sea el respeto a todas las normas vigentes. Si se proporcionan datos
de carcter personal de forma inadecuada y no controlada, se estara en
39
contra de lo exigido por la Ley Orgnica de Proteccin de Datos de Carcter

Personal. Por tanto, se persigue con el ENS que una potencial incidencia de
seguridad no conlleve a que el servicio no cumpla con la legalidad vigente.
l Respetar los derechos de las personas. No debe olvidarse que en todo
momento existen una serie de garantas y derechos para la proteccin del
ciudadano que deben ser observados de forma prioritaria. En el caso de que
datos crticos, como pueden ser los referidos a la salud, se hiciesen pblicos
se estara rompiendo con uno de los principios fundamentales regulados en
la Constitucin.
Por tanto, estos elementos definirn en qu medida se cumplirn o no las atri-
buciones de cada Administracin Pblica. Si por una amenaza o un descuido no se
atendieran a estas necesidades, se estaran vulnerando los derechos de los ciudadanos.
Atendiendo a la importancia de esa capacidad organizativa de la Administracin

Pblica correspondiente, se define la figura de las dimensiones de seguridad. Estas
diferencian y determinan el tipo de impacto que una amenaza podra efectuar sobre
un servicio. Las dimensiones definen figuras ampliamente utilizadas en el mbito de
la seguridad y sern reconocidas a lo largo de todo el Esquema Nacional de Seguridad
por sus iniciales:
l Disponibilidad [D].
l Autenticidad [A].
l Integridad [I].
l Confidencialidad [C].
l Trazabilidad [T].
Cada dimensin exigir de la aplicacin de una serie de medidas. Evidentemente,
no todas ellas debern ser puestas en marcha sobre todos los sistemas en produccin.
Es posible que atendiendo a la criticidad del servicio se deban disponer unas u otras.
Posteriormente se tratar la metodologa para determinar la criticidad de los servicios
prestados.
4.1. Disponibilidad
Dentro de las medidas previstas en el ENS, la capacidad para garantizar la
continuidad de un servicio es tratada especialmente. Muchas de las medidas no se
encuentran ntimamente relacionadas con aspectos tcnicos de la seguridad. Sin em-
bargo, la disponibilidad es uno de los pilares bsicos para la prestacin del servicio. Si
no hay servicio, no se cumple el objetivo estipulado para la Administracin Pblica.
Qu pasara si en el momento lgido de la campaa sobre el Impuesto de la Renta,

la prestacin del programa PADRE no fuera factible durante das por problemas de
suministro de energa? Evidentemente, se plantea un caso extremo, pero problemas de
40
energa, inundaciones y otro tipo de incidentes mayores son evaluados para resolver
en todo momento la necesidad de disponibilidad.
Cualquier contingencia que no permita la prestacin del servicio deber ser eva-
luada para valorar alternativas. Dentro de stas, el Esquema Nacional de Seguridad
contempla:
l Dimensionamiento.
l Usos de medios alternativos.
l Energa elctrica.
l Proteccin frente a incendios.
l Proteccin frente a inundaciones.
l Instalaciones o personal alternativos.
l Copias de seguridad.
Son tan dispares en su naturaleza, que aunque algunas, como la copia de segu-
ridad, son de ndole tcnico, otras deben prever situaciones problemticas derivadas
de posibles catstrofes.
Uno de los problemas derivados del atentado del 11-S contra las Torres Gemelas
fue que numerosas empresas afectadas no tenan previstos planes de continuidad y
todos sus sistemas, servicios y datos se encontraban en las mismas ubicaciones. La
cada de los edificios trajo consigo que los servicios no se pudieran dar de forma al-
ternativa puesto que no estaba previsto.
Desafortunadamente, un error bastante comn en la puesta en marcha de un

servicio es la falta de previsin y dimensionamiento para su correcta prestacin. Si
se espera un determinado nmero de accesos concurrentes y no se proporciona la
infraestructura de hardware acorde a ello, se podra producir una posible cada del
servicio o bien que ste no se preste de la forma adecuada. Si el acceso a una pgina
web tarda minutos en realizarse, el usuario no completar las acciones que tena pre-
vistas y, por tanto, no se habr cubierto el objetivo fundamental del servicio. Para ello
se exige, a travs de las medidas, un estudio previo para calibrar:
l Necesidades de procesamiento.
l Necesidades de almacenamiento de informacin: durante su procesamiento
y durante el periodo que deba retenerse.
l Necesidades de comunicacin.
l Necesidades de personal: cantidad y cualificacin profesional.
l Necesidades de instalaciones y medios auxiliares.
Disponer de diferentes proveedores para la conectividad a Internet, disponer de
sistemas de alimentacin ininterrumpida o de diferentes proveedores elctricos son
41
acciones que deben ser tenidas en cuenta bajo determinadas circunstancias. Los locales
donde se ubiquen los sistemas y datos deben contar con mecanismos que prevengan
contra incendios siguiendo las normativas industriales pertinentes. Tambin debe-
rn disponer de sistemas que prevengan contra incidentes intencionados o fortuitos
causados por el agua.
El uso de locales alternativos para poder trabajar en caso de una contingencia

no prevista, que inhabilite las instalaciones habituales, deber ser tenido en cuenta
en los niveles ms crticos de prestacin de servicios. Tambin en la misma lnea se
incluye la necesidad de disponer de personal alternativo para dar continuidad a las
funcionalidades en caso de indisponibilidad del personal habitual. En ambas circuns-
tancias se debern garantizar las condiciones de seguridad tal y como se establecan
de forma convencional.
4.2. Autenticidad
Dentro de la gestin o el uso de un sistema informtico, el primer elemento visi-
ble lo constituye el de la autenticidad. Cuando se accede a un equipo o a un servicio
web la autenticacin constituye la primera prioridad. Este proceso ofrece una serie de
garantas en la prestacin del servicio:
l Garantiza la personalidad de quien est realizando el acceso.

l Permite la proteccin de la informacin que en custodia guarda la entidad.
l Impide accesos no autorizados segn lo establecido en las polticas de segu-
ridad.
La autenticacin debe verse siempre como una garanta de proteccin y no como
una incomodidad. El sistema ms comn de autenticacin es facilitar credenciales a
travs de contrasea. El uso de stas es una garanta a pesar de no ser siempre bien
aceptado por el usuario. Si alguien accediera a las credenciales de otro, podra suplantar
su personalidad con facilidad y posibles consecuencias muy negativas.
Pero precisamente es la autenticacin la que permite tambin depurar acciones;

que stas puedan ser trazadas y se diriman las responsabilidades correspondientes
cuando sea necesario. Cuando se solicita una contrasea compleja, que tenga una
longitud mnima o que deba ser cambiada cada cierto tiempo, el objetivo no es otro
que mejorar el nivel de seguridad. Se hace para garantizar que sta sea segura, que
nadie ms que el que la ha asignado la conozca y que solamente l la puede utilizar.
Sin embargo, no todo se reduce a credenciales basadas en contraseas. As lo hace

ver el Esquema Nacional de Seguridad, que permite el uso de sistemas alternativos
tales como la biometra o las tarjetas inteligentes, como es el propio DNIe. Promueve
su uso frente a las primeras y bajo determinadas condiciones desaconsejan e incluso
prohben el uso de contraseas. Pero no toda la autenticacin se reduce a la gestin
de las credenciales. Tambin existen otros factores que intervienen en el proceso. Las
siguientes medidas estn relacionadas con el factor de autenticacin:
42
l Identificacin.
l Requisitos de acceso.
l Segregacin de funciones.
l Proceso de gestin de derechos de acceso.
l Mecanismos de autenticacin.
l Acceso local.
l Acceso remoto.
l Bloqueo del puesto de trabajo.
l Proteccin de la autenticidad y la integridad.
l Firma electrnica.
Se dan tambin una serie de acciones, eminentemente tcnicas, enfocadas a la
creacin de procedimientos. La segregacin de roles o los procedimientos para dar
de baja a usuarios que ya no trabajen en la organizacin son algunos ejemplos. La
autenticacin permite su cumplimiento. Los procedimientos para que puedan ser
llevados a cabo debern estar documentados para que todo el que se relaciona con la
accin sepa cmo actuar.
4.3. Integridad
Asumir que algo es por lo que dice ser, se debe considerar un error. En informtica
todo el mundo es consciente que los datos y los sistemas pueden alterarse de forma
accidental, pero tambin intencionadamente. Las tcnicas basadas en la suplantacin
son un hecho y son ampliamente utilizadas, bien haciendo uso de la ingeniera social,
bien desplegando ataques ms o menos complejos tcnicamente que tienen como
objetivo hacer creer cosas que no son.
La integridad tal y como se entiende, afecta a muchos aspectos, tanto tcnicos

como organizativos. Garantizar la validez de un documento, el trnsito de datos por
la red o las acciones humanas son algunos de los escenarios donde intervendrn las
medidas relacionadas con la Integridad. Estas debern evitar hechos potencialmente
maliciosos mediante el uso de sistemas de evaluacin de la integridad.
Las tcnicas de ingeniera social permiten a un atacante que pueda suplantar

telefnicamente a otra persona. De este modo, ponindose en contacto con el departa-
mento tcnico correspondiente podra solicitar el cambio de la contrasea del usuario
suplantado. Aunque pueda no parecerlo, es una estrategia ampliamente utilizada
para acciones de suplantacin. Las auditoras realizadas en las empresas, revelan
desgraciadamente que no disponen de procedimientos para solucionar estos casos. A
menudo, la buena fe o la pericia del tcnico que recoge la llamada marca la diferencia
de la accin a realizar.
43
Qu ocurrira si alguien es capaz de alterar un documento oficial y nadie es

consciente de este hecho? Los procedimientos administrativos, y de forma ms acusada
en el caso de uso de las tecnologas informticas, requieren de mecanismos que den
veracidad a los hechos y que impidan, en la medida de lo posible, que una alteracin
los invalide.
Aunque los procedimientos de integridad y autenticacin consignan acciones di-

ferentes, a menudo son comunes sus propsitos. Aunque empleen medidas especficas
en cada caso persiguen un objetivo comn. En el caso definido anteriormente para la
asignacin de una contrasea nueva a quien lo solicite, el fin ltimo es garantizar el
acceso, pero el medio debe ser la confianza en el procedimiento de asignacin.
Las medidas definidas para determinar la dimensin de la integridad son:
l Acceso local.
l Acceso remoto.
l Proteccin de la autenticidad y la integridad.
l Firma electrnica.
l Criptografa.
4.4. Confidencialidad
Se entiende por confidencialidad los procedimientos que impedirn la obtencin
de datos por parte de un potencial atacante, bien porque se encuentren cifrados o bien
porque hayan sido eliminados correctamente. Se suele identificar la confidencialidad
con el cifrado, pero el primer concepto va mucho ms all de la mera aplicacin de
una tecnologa especfica.
Son diversos los ejemplos posibles: cuando un documento presenta metadatos

que permitan que un potencial atacante extraiga informacin de la estructura de la
organizacin, cuando se desecha material y ste no ha sido tratado adecuadamente,
cuando existe una fuga de informacin propiciada porque personal interno est re-
velando, a menudo inconscientemente, informacin privilegiada en una red social, y
un largo etctera de otros escenarios posibles.
La confidencialidad constituye en ocasiones la ltima de las barreras de proteccin

que se proporcionan para garantizar la seguridad de un sistema frente a un ataque. Si
alguien ha conseguido robar un dato en trnsito, un disco extrable o situarse en mitad
44
de un proceso de autenticacin, el cifrado de la informacin preservar finalmente el

sistema. La confidencialidad suele plantearse como un mecanismo adicional a otros
procedimientos.
A menudo un proceso mezcla los procedimientos de confidencialidad con los

de integridad. El caso ms claro lo proporcionan los mecanismos de autenticacin. Se
utilizan algoritmos que permitan el cifrado derivado de la contrasea proporcionada
y a su vez se utilizan firmas para garantizar la integridad.
Los sistemas de confidencialidad son tan comunes en su uso que a veces se con-
sideran inherentes a la informtica: por ejemplo, el uso de protocolos seguros como
HTTPS en los procesos de autenticacin para garantizar el cifrado de la contrasea.
Sin embargo, no siempre es as. A veces se utilizan protocolos menos seguros como
HTTP y sobre ellos procesos de autenticacin donde las credenciales viajan en texto
plano, o bien las contraseas de acceso a un sistema web se almacenan en claro en la
tabla de una base de datos. Estos procesos son los que se pretenden erradicar con el
Esquema Nacional de Seguridad. Evitar un potencial ataque a veces puede resultar
imposible, por lo que las garantas de cifrado deben permitir que se confe en la se-
guridad del procedimiento.
En el Esquema Nacional de Seguridad, la confidencialidad se entiende en mu-

chos de los escenarios habitualmente utilizados por las diferentes Administraciones
Pblicas:
l Prestacin de servicios web. Los datos que manejan los ciudadanos y que
circulan a travs de Internet debern estar cifrados para garantizar su con-
fidencialidad.
l Comunicaciones internas de la organizacin. Bien a travs de redes Wi-Fi
o dentro de la red cuando no se puedan consignar otras medidas, los datos
debern estar asegurados entre los extremos de la comunicacin.
l Comunicaciones externas de la organizacin. La seguridad deber prestarse
en usos tales como el acceso a travs de VPN (Redes Virtuales Privadas) o
en el intercambio de correos electrnicos.
l En los procesos informticos. Mecanismos como los de autenticacin o crea-
cin de copias de seguridad debern contar con tecnologas que garanticen
su confidencialidad.
l En el uso de sistemas informticos. Las unidades locales o externas y los
soportes que salgan fuera de la organizacin debern contar en funcin de
su uso y objetivo con tecnologas para su cifrado.
Los sistemas de cifrado que pueden emplearse son mltiples, pero tambin hay
que tener en cuenta que algunos de ellos no son tan fiables como se espera. Deberan
utilizarse exclusivamente aquellos que sean ms seguros y minimizar el uso de los
que no lo sean. Por ejemplo, para el almacenamiento de los hashes derivados de con-
traseas que en los sistemas Microsoft se realiza localmente, debera evitarse el uso
45
de LM (LAN Manager), frente al ms seguro y moderno NTLM (New Technology LAN

Manager). De igual modo, frente a un protocolo de tnel para VPN como PPTP (Point
to Point Tunneling Protocol), debera emplearse uno ms eficiente y seguro como SSTP
(Secure Socket Tunneling Protocol). A travs del anlisis y la formacin, los administra-
dores deberan saber cules son las tecnologas ms eficientes para el cumplimiento
de medidas previstas en el ENS. Con respecto a la confidencialidad, estas son las
fundamentales:
l Acceso local.
l Acceso remoto.
l Etiquetado.
l Criptografa.
l Borrado y destruccin.
l Limpieza de documentos.
4.5. Trazabilidad
Se trata de la ltima dimensin de seguridad y es la ms compleja de gestionar
y, a menudo, no se le da el valor que le corresponde. Se asume que si un sistema es
seguro por defecto, nada puede fallar y, por tanto, no se producirn ataques efectivos.
Sin embargo, es evidente que esto no es as. Cualquier sistema es susceptible de fallo.
Por nuevos descubrimientos o por errores humanos los problemas a la larga ocurrirn,
siendo entonces necesario su descubrimiento.
Un ataque que ha resultado efectivo, a menudo slo es descubierto por casuali-

dad o porque los sistemas de registro han funcionado correctamente. La realizacin
de peritajes forenses requiere para su validez de sistemas efectivos de trazabilidad.
Sin ellos, muchas veces las evidencias y conclusiones quedarn inconexas.
Es cierto que habitualmente la puesta en marcha de los servicios de registro re-

quiere de mltiples esfuerzos administrativos, econmicos y temporales. Sin embargo,
son la nica garanta para saber qu ha podido suceder en una determinada situacin.
Cmo identificar quin ha eliminado una tabla de una base de datos? Sin un sistema
de registros sera imposible. O si se ha utilizado determinada tcnica de SQL Injection
sobre un portal web, no podra ser advertido si la accin no hubiera quedado registrada.
La trazabilidad es necesaria, pero requiere de elementos de consolidacin y corre-

lacin para que su gestin pueda ser eficiente. Si no se pueden manejar adecuadamente
46
los datos, stos son intiles. En mltiples ocasiones, para obtener conclusiones vlidas
es necesario su estudio exhaustivo. A veces slo se depuran convenientemente cuando
ha sido necesario utilizarlos tras haber sufrido una incidencia.
El Esquema Nacional de Seguridad valora la trazabilidad tcnicamente, pero

tambin organizativamente. Es importante tener los datos, consolidarlos y tratarlos
apropiadamente. Pero tambin es importante que se segreguen las funciones. Quien
analice la informacin debe ser una persona diferente a la que la ha originado. Ade-
ms, su almacenamiento debe ser seguro y los factores de disponibilidad han de ser
tenidos en cuenta.
Se valora su uso desde dos posibles tipos de acciones: reactivas y preventivas.

Preventivas, en anlisis peridicos que permitan determinar si las acciones rutinarias
siguen los procedimientos marcados en la poltica de seguridad. As como que sta es
realmente efectiva, siendo a veces necesario ajustarla por detalles descubiertos a travs
de las trazas. Pero tambin debern ser reactivas, utilizndose cuando se conozca la
existencia de una incidencia para que pueda ser subsanada. Si se ha producido un
ataque contra un portal web, deber conocerse el mtodo que se ha empleado contra
l. Si los registros del servidor estn activos, posiblemente quedarn en ellos definidos
los mtodos utilizados para el ataque.
La trazabilidad se presenta en la aplicacin de las siguientes medidas:
l Identificacin.
l Acceso local.
l Acceso remoto.
l Registro de la actividad de los usuarios.
l Proteccin de los registros de actividad.
l Sellos de tiempo.
4.6. Niveles de la dimensin de seguridad

El conjunto de un servicio prestado por una Administracin Pblica lo confi-
guran diferentes elementos sujetos a dimensiones de seguridad. Cada una de ellas
se adscribir a diferentes niveles en funcin de su criticidad y, en consecuencia, se
aplicarn las diferentes medidas previstas en el Esquema Nacional de Seguridad. Si
una determinada dimensin no se aplicara sobre un servicio, las medidas asociadas
tampoco debern aplicarse.
47
No es lo mismo un servicio web en el que se preste nicamente informacin

pblica, indicativa y esttica de cmo se realizan determinados procedimientos admi-
nistrativos, a si este sistema autenticara previamente, y en funcin de quin fuera el
usuario se prestarn unos u otros servicios. En el segundo caso, mucho ms complejo,
intervendra como dimensin de seguridad la autenticacin, integridad, confidencia-
lidad y trazabilidad que no seran preceptivas en el primero.
Se dar la tendencia a equipar el ENS con la LOPD, pero aunque en la aplica-

cin de medidas pueden ser coincidentes, la categorizacin de los servicios es muy
diferente. La criticidad en la LOPD se mide atendiendo a la naturaleza de los datos
personales afectados. En el caso del ENS se valora en funcin del perjuicio que afecte
a las dimensiones de seguridad sobre las funciones de la organizacin, sus activos o
los individuos afectados.
Atendiendo a esa criticidad estos son los tres niveles existentes:
a) Nivel BAJO. Se utilizar cuando las consecuencias de un incidente de se-

guridad que afecte a alguna de las dimensiones de seguridad supongan un
perjuicio limitado sobre las funciones de la organizacin, sobre sus activos
o sobre los individuos afectados.
Se entender por perjuicio limitado:
1 La reduccin de forma apreciable de la capacidad de la organizacin
para atender eficazmente con sus obligaciones corrientes, aunque estas
sigan desempendose.
2 El sufrimiento de un dao menor por los activos de la organizacin.
3 El incumplimiento formal de alguna ley o regulacin, que tenga carcter
de subsanable.
4 Causar un perjuicio menor a algn individuo, que an siendo molesto
pueda ser fcilmente reparable.
5 Otros de naturaleza anloga.
b) Nivel MEDIO. Se utilizar cuando las consecuencias de un incidente de
seguridad que afecte a alguna de las dimensiones de seguridad supongan
un perjuicio grave sobre las funciones de la organizacin, sobre sus activos
Se entender por perjuicio grave:
1 La reduccin significativa de la capacidad de la organizacin para aten-
der eficazmente a sus obligaciones fundamentales, aunque estas sigan
desempendose.
2 El sufrimiento de un dao significativo por los activos de la organizacin.
3 El incumplimiento material de alguna ley o regulacin, o el incumpli-
miento formal que no tenga carcter de subsanable.
48
4 Causar un perjuicio significativo a algn individuo, de difcil reparacin.

c) Nivel ALTO. Se utilizar cuando las consecuencias de un incidente de se-
guridad que afecte a alguna de las dimensiones de seguridad supongan un
perjuicio muy grave sobre las funciones de la organizacin, sobre sus activos
Se entender por perjuicio muy grave:
1 La anulacin de la capacidad de la organizacin para atender a alguna
de sus obligaciones fundamentales y que stas sigan desempendose.
2 El sufrimiento de un dao muy grave, e incluso irreparable, por los
activos de la organizacin.
3 El incumplimiento grave de alguna ley o regulacin.
4 Causar un perjuicio grave a algn individuo, de difcil o imposible
reparacin.
Atendiendo a esta naturaleza, si una organizacin presta un nico servicio
indispensable para los ciudadanos y ste es de tipo informtico exclusivamente, sus
dimensiones de seguridad se identificaran como de nivel alto. Esto es debido a que
si se produce un incidente que anule su capacidad para prestar el servicio, no habra
mecanismo alternativo para que ste siguiera operativo.
Evidentemente cada escenario presentar su particularidad y a veces ser com-

plicado valorar la criticidad de un determinado servicio. El CCN est desarrollando,
en base a sus atribuciones, unas guas aclaratorias y de uso para definir entre otros
aspectos las medidas y los mecanismos que deben seguir las organizaciones para medir
el nivel de sus dimensiones de seguridad. La Gua 803, an en borrador, versar sobre
la valoracin de sistemas en el Esquema Nacional de Seguridad
Cuando un sistema maneje diferentes informaciones y preste diferentes servicios,

el nivel general del sistema ser aquel en el que cada dimensin sea la mayor de las
declaradas. Por ello se establece:
a) Un sistema de informacin ser de categora ALTA si alguna de sus dimen-

siones de seguridad alcanza el nivel ALTO.
b) Un sistema de informacin ser de categora MEDIA si alguna de sus dimen-
siones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel
superior.
c) Un sistema de informacin ser de categora BSICA si alguna de sus di-
mensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel
superior.
49
Para una mejor gestin y evitar esfuerzos innecesarios en la aplicacin de me-

didas, los servicios se podrn segregar cuando sea posible. Se atender para ello la
naturaleza de las dimensiones de seguridad que se den en cada caso.
50
Medidas de seguridad. Naturaleza de las medidas
5
Medidas de seguridad.
Naturaleza de las medidas
El objetivo final que presentan las dimensiones de seguridad lo constituye la

posibilidad de que un sistema puede ser categorizado en los niveles vistos anterior-
mente: bajo, medio o alto. Sin embargo, a travs de ellas tambin se proporciona el
mecanismo para la segregacin de acciones que con respecto a un sistema se pudieran
establecer. La evaluacin de un servicio permitir conocer las dimensiones de seguri-
dad que le pueden afectar. Anteriormente ya se expuso un ejemplo sobre un portal de
autenticacin para el ciudadano. Este hecho es bastante crtico, porque la aplicacin
de medidas vendr definida y depender precisamente del tipo de dimensiones que
se vean afectadas.
En la mayor parte de las circunstancias las dimensiones de seguridad vendrn

marcadas por la esencia del servicio. En otras, sin embargo, se necesitar un estudio
ms en profundidad para determinar si ste se ve o no afectado por una determinada
dimensin de seguridad. En esta ltima circunstancia ser a veces el conocimiento
del tipo de medidas a aplicar el que podra marcar las pautas a seguir. Por ejemplo,
se podra pensar que un servicio web de presentacin de noticias no debe disponer
de un sistema de autenticacin, al menos visible. Sin embargo, ste s debera darse
para que el servicio accediera a una base de datos donde se encuentra la informacin
a proporcionar. Si la cadena de conexin, credenciales incluidas, se encuentra inmersa
en el mismo cdigo y la base de datos almacena adems otras tablas con datos de ca-
rcter personal, se infringira la norma si no se aplicaran las medidas de autenticacin
estipuladas. Algo que pareca no ser necesario por el tipo de servicio, se convierte sin
embargo en una obligatoriedad.
La categorizacin del sistema y la evaluacin de las dimensiones servirn final-

mente para conocer las medidas de seguridad que se deben disponer. Estas, para una
mejor visin de las mismas, se han segmentado en lo que se conoce como la naturaleza
de las medidas. Se intenta de una u otra forma agruparlas atendiendo a criterios de
aplicacin y usos comunes. Para ello se han dividido en tres categoras.
51
l Las medidas de marco organizativo.

l Las medidas de marco operacional.
l Las medidas de proteccin.
Las dos ltimas a su vez se han dimensionado en subcategoras que bajo un
mismo epgrafe determinan en qu modo un servicio podr ser afectado. Por ejemplo,
en la categora del marco operacional se define una serie de medidas bajo la subcate-
gora servicios externos. Su epgrafe define qu tipo de servicio se ver afectado por
la aplicacin de las medidas.
Cuando se definen las dimensiones de seguridad, se piensa inicialmente en figuras
de ndole informtico que tienen que ver con la seguridad. Sin embargo, el Esquema
Nacional de Seguridad tambin tiene en cuenta otro tipo de medidas que siendo
genricas no se circunscriben a un tipo concreto de dimensin. Estas se reconocen
porque en la informacin de dimensin afectada en vez de D, A, I, C o T (las siglas de
las dimensiones), figuran con la leyenda categora. Definen medidas que afectarn a
todos los servicios de forma independiente a las dimensiones de seguridad declaradas
y suelen ser de naturaleza organizativa o estructural.
Para entender mejor la naturaleza de las medidas y su relacin con las dimensiones
de seguridad, en la Figura 5.1 se expone una imagen sobre las mismas, ofrecindose
una explicacin de sus convenciones.
Figura 5.1. Medidas de marco operacional.
52
La imagen muestra algunas de las medidas relacionadas con el marco operacional

y subcategoras de planificacin y control de acceso. La tabla presenta una serie de
columnas donde los cdigos de colores establecen criterios de aplicacin de medidas
en funcin de su criticidad.
La primera de las columnas hace referencia al tipo de dimensin de seguridad

que se ver afectado por la medida. Tal y como se defini anteriormente, se reconocen
por las iniciales correspondientes a cada una de ellas. En aquellas circunstancias en
las que aparezca la palabra categora en vez de alguna de las iniciales de la dimen-
sin de seguridad, se indica que afecta a cualquier servicio independientemente de
su naturaleza.
Por ejemplo, en la medida de inventario de activos correspondiente a explota-

cin, se aplica realmente a todos los servicios y no se relacionan con ningn tipo de
dimensin. Este tipo genrico suele corresponder principalmente a medidas de ndole
organizativo frente a las ms tcnicas que s se encontrarn habitualmente asociadas
a un tipo de dimensin concreta.
Las diferentes medidas pueden verse afectadas por ms de una dimensin de

seguridad, como en el caso del acceso local, donde intervienen las de autenticacin,
integridad, confidencialidad y trazabilidad. En otros casos la medida solamente se
ver afectada por una dimensin, como es el caso del dimensionamiento y gestin de
capacidades que se ve asociado exclusivamente a la disponibilidad.
Las tres siguientes columnas definen la necesidad de su aplicacin atendiendo a

la categorizacin realizada sobre el servicio: bsica, media o alta. La primera columna
referencia si se aplicar a sistemas catalogados como bsicos, la segunda a medios y
la tercera a altos. Los colores informan respecto de si las medidas a aplicar son ms
severas que las que deberan observarse para la de categora inferior. Para ello se
establecen por simbologa las siguientes indicaciones.
l Aplica. Identifica que esa medida es de aplicacin a partir del nivel para el
que se establezca. En la imagen, la gestin de la configuracin se aplica a
partir del nivel medio, mientras que la identificacin lo hace desde el bsico.
l El smbolo =. Implica que las medidas previstas para el nivel son iguales
que las aplicadas en niveles inferiores. Por ejemplo, las medidas previstas
para identificacin se aplicarn igualmente independientemente del tipo de
nivel de criticidad que haya sido asignado. En el caso de acceso remoto las
medidas para el nivel medio se aplican en la misma medida en el nivel alto.
l El smbolo + referencia aquellas medidas que aplicables en el nivel medio
son ms estrictas en contenido que las que se aplican en el nivel inferior.
l El smbolo ++ referencia aquellas medidas que aplicables en nivel alto son
ms estrictas que las que se aplican en los dos niveles inferiores. Existe un
ejemplo en la imagen de los dos ltimos smbolos asociada al anlisis de
riesgos.
53
l Las siglas n.a. significan no aplicable. Expresa que las medidas de seguridad
para ese control no se aplicarn en funcin del nivel que se haya definido.
En la imagen, los componentes de certificados solamente sern aplicados
cuando se haya categorizado un sistema como de nivel alto.
Entender estos conceptos, conociendo las dimensiones del servicio y la categori-
zacin del mismo, permite establecer de forma inicial en qu medida se ver afectado
por la seguridad marcada en el ENS. Para cada medida se especifican diferentes con-
troles. El Captulo 6 de esta publicacin versar completamente sobre cmo aplicar las
medidas de ndole tcnico. Otras consideradas organizativas o estructurales se citarn
y analizarn a continuacin.
5.1. Marco organizativo

Bajo este epgrafe se renen aquellas medidas genricas que definen los proce-
dimientos iniciales a tenerse en cuenta para la gestin de la seguridad. Como indica
la palabra organizativo, las medidas aqu planteadas son de carcter no tcnico y
observan aquellos aspectos de gestin afectados por el ENS.
Fruto de estas acciones surgirn documentos tales como las polticas y normati-
vas de seguridad, junto a los procedimientos bsicos de seguridad y de autorizacin
de tareas, para los diferentes servicios que plantea la organizacin. Cuatro son las
subcategoras en las que se divide el marco organizativo:
l Poltica de seguridad.
l Normativa de seguridad.
l Procedimientos de seguridad.
l Proceso de autorizacin.
Como es obvio, la aplicacin del resto de medidas se basar en los resultados
obtenidos tras la implantacin de estas medidas organizativas. Algunas, como la co-
rrespondiente a la poltica de seguridad, no debern ser definidas por la propia entidad
administrativa, sino como ya se ha indicado, por el rgano superior correspondiente.
La poltica marcar la norma en cuanto a la seguridad y los diferentes procedimientos
que debern ser llevados a cabo para que la seguridad sea eficiente.
La poltica de seguridad se concretar en un documento que deber contener los
siguientes elementos:
l Los objetivos o misin de la organizacin. Al marcar sus funciones, se
estarn definiendo las obligaciones y con ello las responsabilidades y el
alcance para el cumplimiento de objetivos. Ser la base fundamental para
poder establecer la categorizacin de niveles en bsico, medio o alto.
l El marco legal y regulatorio en el que se desarrollarn las actividades. Las
acciones de una determinada Administracin Pblica se vern afectadas
adems de por la Ley 11/2007, por otras tales como la LOPD. Por ello deber
54
tenerse en cuenta la necesidad de aplicar medidas que atiendan a todas las

normas existentes.
l Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, as como el procedimiento para su designacin
y renovacin. Pginas anteriores definieron los diferentes roles que con res-
pecto al ENS debern existir en una organizacin. La poltica definir quin
o en qu condiciones se asumir cada rol.
l La estructura del comit o los comits para la gestin y coordinacin de
la seguridad, detallando su mbito de responsabilidad, los miembros y la
relacin con otros elementos de la organizacin. La aplicacin de determina-
das condiciones, como la adquisicin de un determinado software, podran
ser consensuadas a travs de un comit. La poltica dirimir su proceso de
creacin, as como las funciones del mismo.
l Las directrices para la estructuracin de la documentacin de seguridad
del sistema, su gestin y acceso. La poltica sienta las bases para el estable-
cimiento de las medidas organizativas asociadas a la seguridad del sistema.
Para un uso seguro de los sistemas se estipula la necesidad de crear una serie de
documentos que establezcan diferentes normas de actuacin. Difcilmente se puede
exigir a alguien que cumpla con unas normas si no tiene claro cmo hacerlo. Los
documentos que se consignan a travs de las normativas de seguridad permitirn
clarificar los usos y delimitar las responsabilidades en caso de actuacin incorrecta.
Para ello, los documentos de seguridad debern expresar lo siguiente:
l El uso correcto de equipos, servicios e instalaciones.
l El establecimiento de lo que se considerar uso indebido.
l La responsabilidad del personal con respecto al cumplimiento o violacin
de estas normas: derechos, deberes y medidas disciplinarias de acuerdo con
la legislacin vigente.
Estos documentos permitirn que todos los integrantes de los servicios de la
Administracin conozcan cmo afrontar los principios de seguridad. Su incumpli-
miento llevar a cabo un procedimiento sancionador regulado a travs del rgimen
disciplinario del personal que presta servicios en las administraciones pblicas.
Relacionados con las normas de seguridad estn ntimamente ligados los proce-
dimientos de seguridad. Estos marcarn las tareas que se debern llevar a cabo con
respecto a la misma. Cmo establecer el cambio de contrasea o cmo actuar en caso
de que no se pueda iniciar una sesin, son algunos de los procedimientos que debern
estar documentados. Los documentos debern detallar:
l Cmo llevar a cabo las tareas habituales.
l Quin debe realizar cada tarea.
l Cmo identificar y reportar comportamientos anmalos.
55
Quiz el componente ms complejo sea identificar y reportar las anomalas que

con respecto a la seguridad puedan identificarse. En ocasiones es incluso complicado
para un especialista de seguridad. Pero a veces acciones lgicas, como reportar el
robo de un disco que contiene informacin critica, no se realiza porque se desconoce
el procedimiento para ello o bien se hace a travs de cauces no reglamentarios.
Los procedimientos son la base de la seguridad. Muchas organizaciones espe-
ran a tener los sistemas en marcha para despus procedimentarlos. Esto constituye
normalmente un error de base, porque los procedimientos se cien as a los sistemas
planteados, partiendo en ocasiones de malas prcticas iniciales. Planificando inicial-
mente los procedimientos, se consiguen mejores resultados finales. Un caso paralelo
sera el desarrollo de un software, donde primero se genera el cdigo y finalmente se
realiza el anlisis funcional.
El ltimo de los elementos del marco organizativo lo constituye el de los proce-
dimientos de autorizacin. En lo referente a la seguridad se espera una rectitud que
exige de procesos jerarquizados. Cuando a alguien se le asigna un rol, se espera de
l el cumplimiento de unos objetivos por las capacidades que ha demostrado. Podr
delegar el cumplimiento de las tareas en alguien que considere que se encuentre pre-
parado para ello. Sin embargo, esto no le exime de su responsabilidad en caso de que
las tareas no se realicen adecuadamente.
La seguridad presenta como base una estructura fuertemente jerarquizada, donde
cada uno representa una funcin que lleva implcita una serie de responsabilidades.
Por ejemplo, nadie debera introducir en los sistemas un punto de acceso inalmbrico
sin el debido conocimiento expreso y la autorizacin correspondiente de la persona
responsable de este hecho. Es muy posible que la persona que desea la conexin
Wi-Fi desconozca las implicaciones de seguridad que tiene su accin. El ENS recoge
tambin estas circunstancias y requiere que existan procedimientos de autorizacin
en los siguientes casos:
l Utilizacin de instalaciones, habituales y alternativas.
l Entrada de equipos en produccin, en particular, equipos que involucren
criptografa.
l Entrada de aplicaciones en produccin.
l Establecimiento de enlaces de comunicaciones con otros sistemas.
l Utilizacin de medios de comunicacin, habituales y alternativos.
l Utilizacin de soportes de informacin.
l Utilizacin de equipos mviles. Se entender por equipos mviles ordena-
dores porttiles, PDAs u otros de naturaleza anloga.
5.2. Marco operacional

Las medidas de tipo operacional se constituyen para proteger la operativa del
sistema desde un punto de vista global, as como de sus componentes individualmente.
56
La naturaleza de las medidas es de diferente ndole y han sido estructuradas en las

siguientes subcategoras:
l Planificacin.
l Control de acceso.
l Explotacin.
l Servicios externos.
l Continuidad del servicio.
l Monitorizacin del sistema.
La planificacin constituye el mbito formal organizativo para plantear las medi-
das tcnicas y funcionales. Son la base de la seguridad y la primera de sus medidas as
lo muestra: el anlisis del riesgo. Este tendr como objeto definir los activos con los que
cuenta la organizacin y las amenazas a las que se enfrenta. De su dimensionamiento
se establecern las medidas preceptivas que tendrn que salvaguardar los activos,
teniendo en cuenta para ello las amenazas que pueden llegar a darse. Su aplicacin
difiere en funcin del nivel de categora que se haya asignado. Su elaboracin ser
menos formal cuando el nivel sea bsico y ms formal y especfico en sus contenidos
segn se incremente la criticidad de la categora a medio o alto nivel.
La documentacin de los elementos y sistemas que intervienen en la prestacin

de un servicio es una necesidad prioritaria que debe ser atendida. Los distintos compo-
nentes, ya sean fsicos o tecnolgicos, debern encontrarse detallados para facilitar las
tareas de anlisis o auditora. A veces, los sistemas planteados son tan intricados que
sin tener presente una visin grfica del diseo es imposible conocer cmo operan y
se interconectan entre ellos. No es posible gestionar una organizacin con ms de mil
equipos en su infraestructura y mltiples dispositivos de red sin elementos grficos
para ello. Los tiempos y esfuerzos se reducen considerablemente cuando esta labor
se encuentra realizada correctamente.
El Esquema Nacional de Seguridad exige de las organizaciones los siguientes

documentos:
l Documentacin de las instalaciones:

n reas.
n Puntos de acceso.
l Documentacin del sistema:
n Equipos.
n Redes internas y conexiones al exterior.
n Puntos de acceso al sistema (puestos de trabajo y consolas de adminis-
tracin).
57
l Esquema de lneas de defensa:

n Puntos de interconexin a otros sistemas o a otras redes, en especial si
se trata de Internet.
n Cortafuegos, DMZ, etc.
n Utilizacin de tecnologas diferentes para prevenir vulnerabilidades que
pudieran perforar simultneamente varias lneas de defensa.
l Sistema de identificacin y autenticacin de usuarios:
n Uso de claves concertadas, contraseas, tarjetas de identificacin, bio-
metra, u otras de naturaleza anloga.
n Uso de ficheros o directorios para autenticar al usuario y determinar sus
derechos de acceso.
l Controles tcnicos internos:
n Validacin de datos de entrada, de salida y datos intermedios.
l Sistema de gestin con actualizacin y aprobacin peridica.
La planificacin presenta como importante tarea la del dimensionamiento de los
sistemas. Como se recogi previamente, la incapacidad para prestar un servicio por
estar incorrectamente dimensionado implicara a todos los efectos como si este no se
estuviera ofreciendo. En el caso de los niveles medio y alto realizar un estudio previo
de necesidades es requisito indispensable antes de que se inicie el proceso de la puesta
en marcha de un servicio.
Como parte fundamental de la seguridad, la adquisicin de nuevos componentes
constituye una necesidad a la hora de plantear nueva medidas. Este aspecto, junto con
el ltimo elemento de la planificacin, los componentes certificados, ser tratado en
el Captulo 7 de este libro.
El siguiente grupo de medidas se dedican al control de acceso. Siendo eminente-
mente tcnicas cubren el conjunto de actividades preparatorias y ejecutivas para que
una determinada entidad, usuario o proceso, pueda, o no, acceder a un recurso del
sistema para realizar una determinada accin. Se prima la comodidad en los sistemas
bsicos, frente a la seguridad en aquellos catalogados como de nivel alto. Estas medidas
sern recogidas en su faceta tcnica en el prximo captulo.
La explotacin define todas aquellas tareas que de forma convencional una or-
ganizacin realiza para llevar a cabo operaciones convencionales. La preparacin de
los sistemas, el mantenimiento de los equipos o la instalacin y la configuracin de
aplicaciones tales como los antivirus se clasifican como tareas de explotacin. Muchas
organizaciones cuentan con un departamento con este mismo nombre, encargado de
la realizacin de estas funciones.
Algunas de las tareas que deben llevarse a cabo, tales como los inventarios,
constituyen sin embargo una alta carga de trabajo. Se desconocen cuntos sistemas
58
o aplicaciones existen en la organizacin. Los servidores a veces son tantos que se

ha descontrolado su nmero, situacin que se agrava por la potencia que ofrecen
las tecnologas de virtualizacin. Pero seguridad tambin es esto. Una organizacin
no podr estar segura si no es capaz de cuantificar sus activos. Sin un inventario de
software se desconocer la existencia de un potencial programa que de forma interna
podr constituir una brecha de seguridad. Estas tareas de explotacin sern tratadas
extensamente en el Captulo 6 del libro.
Los dos siguientes grupos de medidas, servicios externos y continuidad del ser-
vicio, tienen relacin directa con el funcionamiento de los sistemas. En estos grupos se
incorporan medidas a partir del nivel medio, no siendo necesaria su aplicacin en el
bsico. Ambos prescriben la necesidad de utilizar medios alternativos a los habituales
y definir planes de contingencia de personal y material para dar cobertura al servicio
prestado. Para ello deber disponerse de un anlisis de impacto, definindose en qu
medida debern aportarse recursos para dar la continuidad al servicio. La relacin
existente con personal externo hace extensiva la aplicacin de seguridad recogida
en el ENS a ste. Los planes de gestin de continuidad debern prever que en caso
de prestacin de servicios externos la seguridad de los sistemas deber ser extrema.
Las ltimas medidas tienen relacin con la monitorizacin de un sistema. Se

entiende como tal no el control del servicio en s, sino el control de la seguridad del
mismo. En este sentido la implementacin del sistema de prevencin de intrusiones y
la cuantificacin de las amenazas constituyen una necesidad tal y como recoge el ENS.
5.3. Medidas de proteccin

El ltimo conjunto de medidas constituyen el nmero ms significativo de cate-
goras. Lo conforman las medidas de proteccin y tienen como fundamento la salva-
guarda de los activos, segn su naturaleza, con el nivel requerido en cada dimensin
de seguridad. Frente a las medidas operacionales, ms genricas con respecto a los
servicios, estas son mucho ms especficas.
Se encuentran diferenciadas en las siguientes categoras:
l Proteccin de las instalaciones e infraestructuras.

l Gestin de personal.
l Proteccin de los equipos.
l Proteccin de las comunicaciones.
l Proteccin de los soportes de comunicacin.
l Proteccin de las aplicaciones informticas.
l Proteccin de la informacin.
l Proteccin de los servicios.
59
Aglutinan por igual medidas de ndole tcnico como de tipo estructural, cubriendo
un amplio abanico de aspectos relacionados con la seguridad que van desde la gestin
de agresiones de ndole fsica como el fuego o las inundaciones, a otras de factura ms
tecnolgica como los sistemas de criptografa para medios extrables. El nexo comn
es ese factor definido anteriormente de la proteccin de activos concretos, frente a las
medidas de aplicacin de mbito ms general.
Las medidas de proteccin de instalaciones e infraestructuras tienen como obje-
tivo el prevenir incidencias estructurales marcando las bases para la realizacin de las
tareas en unos espacios acondicionados adecuadamente. Si encima de los servidores o
en el centro de comunicaciones existen tuberas, debe tenerse en cuenta que ser algo
previsible que el paso del tiempo aumentar el riesgo de que stas se daen afectan-
do a los sistemas. Deber buscarse una ubicacin para los servidores y los sistemas
de comunicaciones donde esta incidencia no pueda darse. Si un edificio es proclive
por su orografa a sufrir inundaciones, no sera lgico disponer su centro de proce-
samiento de datos en los stanos del mismo. Aunque parezcan cuestiones de lgica,
no sern pocas las organizaciones que se encuentren en esta situacin y la aparicin
del Esquema Nacional de Seguridad les exigir un esfuerzo para la reorganizacin
de sus infraestructuras.
La gestin de personal constituye una necesidad que con el ENS adquiere tambin
otra dimensin particular. La seguridad aporta a cada persona una participacin im-
portante en la gestin de los servicios. Tan importante puede ser en un momento dado
el administrador de una base de datos como la persona que simplemente introduce
datos en la misma. Evidentemente, el primero tiene originalmente ms responsabilidad,
pero el segundo seguramente pueda extraer los datos y tratarlos inadecuadamente,
por ejemple exponindolos a travs de un sistema P2P (Peer to Peer).
La asignacin de un rol o puesto de trabajo relacionado con la prestacin de un
servicio, mxime si est relacionado con la seguridad, requiere de criterios adicionales
a los convencionales para su asignacin. De forma natural, el anlisis de riesgos con
los que contar la organizacin ser el encargado de definirlo, pero para evitar errores
el ENS establece los siguientes criterios:
l Se definirn las responsabilidades relacionadas con cada puesto de trabajo
en materia de seguridad. La definicin se basar en el anlisis de riesgos.
l Se definirn los requisitos que deben satisfacer las personas que vayan a
ocupar el puesto de trabajo, en particular, en trminos de confidencialidad.
Dichos requisitos se tendrn en cuenta en la seleccin de la persona que
vaya a ocupar dicho puesto, incluyendo la verificacin de sus antecedentes
laborales, formacin y otras referencias.
l Se informar a cada persona que trabaje en el sistema de los deberes y res-
ponsabilidades de su puesto de trabajo en materia de seguridad.
Condiciones similares se aplicarn en el caso del personal contratado a travs
de un tercero.
60
El factor humano es muy importante en trminos de seguridad. Sus aciertos

permiten que los sistemas sean confiables y funcionen correctamente; los errores por
el contrario pueden ser crticos. Por ello, en el ENS se recoge la necesidad de pro-
mover tanto la formacin para el desarrollo de las funciones como los procesos de
concienciacin en materia de seguridad. Todo aquel que trabaje en un sistema debera
conocer, aunque fuera mnimamente, las consecuencias de sus posibles acciones. Por
ejemplo, desactivar un antivirus para instalar un software que ste no permita tiene
consecuencias mucho ms negativas de las que el usuario puede pensar inicialmente.
Acceder a un sistema mediante HTTPS y recibir una advertencia de seguridad con
respecto al certificado requiere la cualificacin del empleado para entender y evaluar
las consecuencias que determinarn aceptar o rechazar el mensaje que le pudiera
estar advirtiendo.
Las siguientes medidas reciben el epgrafe de proteccin. Bien sea de un equipo

local o de las comunicaciones, el objetivo es minimizar el impacto de potenciales
ataques que de diversa naturaleza puedan llegar a suceder. Por qu minimizar y no
impedir? Porque se asume que la seguridad completa no existe y aunque hay muchas
tcnicas conocidas que pueden ser erradicadas aplicando las medidas adecuadas, otras
requieren medios tan desproporcionados que no quedar otra opcin que limitar su
accin.
Sobre un sistema web se pueden plantear mltiples tcnicas de ataque. SQL In-
jection, Cross-site Scripting (XSS), LDAP Injection, Connection String Parameter Pollution
(CSPP) o Remote File Inclusion (RFI) son algunas de ellas. Estas podrn ser detectadas
y detenidas de una u otra forma. Sin embargo, es factible que maana aparezca una
nueva tcnica desconocida o que un componente del servidor presente una vulnera-
bilidad que sea atacada mediante un exploit que hasta la fecha no haya sido publicado.
Evidentemente, intentar frenar todos los ataques es imposible, pero se puede minimizar
el riesgo mediante medidas alternativas. Por ejemplo, al segmentar las redes se mini-
miza el alcance de un ataque, o diferenciando las contraseas de los administradores
locales de los diferentes servidores se propicia que si uno de ellos ha sido afectado por
una amenaza, sta no se haga extensible al resto de servicios de la organizacin. La
aplicacin de medidas de proteccin se recoge extensamente en el siguiente captulo.
61
La implementacin del ENS con tecnologa Microsoft
6
La implementacin del
ENS con tecnologa Microsoft
La cantidad de servicios que prestan las diferentes administraciones pblicas
seguramente son innumerables. De diferentes tipos y con distintos objetivos, todos
ellos sin embargo estarn supeditados a las normativas que en materia de seguridad
establece el Esquema Nacional de Seguridad. Servidores web, bases de datos, correo
electrnico, servidores de ficheros, sistemas operativos de estacin de trabajo y un
largo etctera de escenarios y tecnologas implicados. Tantos que sera imposible
enumerarlos a todos.
Con toda certeza sern muchos los escenarios en los que los productos Microsoft
participen en algn trmino. A veces, las medidas de seguridad debern aplicarse
sobre ellos, como en el caso de los sistemas operativos. En otras, por el contrario, se-
rn participantes de las medidas a implementar como en el caso de los productos MS
System Center o MS Forefront. Este captulo aportar informacin sobre la aplicacin
de stas en escenarios con soluciones Microsoft, as como el aprovechamiento para el
cumplimiento de la normativa de los distintos productos del fabricante.
A veces un producto que se emplea con un fin determinado puede sin embar-
go aportar funcionalidades que permitiran dar respuesta a algunas de las medidas
exigidas por el Esquema Nacional de Seguridad (ENS). En la actualidad, muchas or-
ganizaciones contarn con la presencia en sus infraestructuras de MS System Center
Configuration Manager 2007 R2. Aunque tradicionalmente esta solucin se utiliza para
la distribucin de aplicaciones y el inventario de software y hardware, algunos de sus
componentes se pueden utilizar para dar cobertura a los procedimientos de inven-
tariado o mantenimiento de los sistemas que exige el ENS. La inclusin, nicamente
como solucin proxy, de MS ISA Server o MS Forefront Threat Management Gateway
supone una falta de aprovechamiento de sus posibilidades cara al cumplimiento de
lo establecido en el ENS. MS Forefront TMG 2010 presenta una plataforma nativa de
sistemas de deteccin/prevencin de intrusiones o capacidad para la eliminacin de
malware en los sistemas perimetrales. Estas, entre otras caractersticas, aportan grandes
posibilidades cara al despliegue de medidas de seguridad.
63
Aunque cada punto de este captulo tratar medidas tcnicas asociadas a los
diferentes marcos de aplicacin en el Esquema Nacional de Seguridad, es necesario
analizar inicialmente en qu medida los productos Microsoft pueden ser partcipes de
procedimientos o medidas organizativas. En muchas circunstancias la gestin eficiente
de la documentacin relacionada con la seguridad constituye una de las primeras
medidas a considerar, antes incluso de empezar a plantear un modelo determinado.
Cmo se establecern los mecanismos de comunicacin de incidencias, los pro-

cesos de solicitud de autorizacin o simplemente la asignacin de tareas son procedi-
mientos que debern ser planificados cuidadosamente. Un sistema comn parece la
opcin ms interesante para que estas labores puedan efectuarse con eficacia. En este
sentido y considerando experiencia probadas, las soluciones basadas en MS SharePoint
ofrecen notables posibilidades para la gestin de documentos y procedimientos de
control. La ltima versin, Microsoft SharePoint Server 2010, presenta especialmente
una gran amplitud de posibilidades y funcionalidades para este tipo de tareas.
Figura 6.1. Panel de administracin de Microsoft SharePoint Server 2010.
MS SharePoint Server permite aportar soluciones en situaciones como las si-

guientes:
l Almacenamiento de toda la documentacin con la que trabajar la Ad-

ministracin, relacionada con el Esquema Nacional de Seguridad. Desde
la poltica de seguridad, hasta los diferentes esquemas de diseo de las
infraestructuras de servicios o diagramas de red, pueden ser almacenados
y gestionados desde MS SharePoint.
l Proporciona mecanismos para que lo usuarios conozcan sus funciones
y obligaciones, accedan a casos de uso y dispongan de informacin para
64
afrontar algunas tareas que dentro de sus funciones sean relativas a la segu-
ridad. A travs de Microsoft SharePoint Server 2010 pueden ofrecerse con
garantas la publicacin de documentos con fines formativos y el soporte
documental para el desarrollo de tareas comunes o especficas en funcin
del perfil del usuario.
l Gestin de procedimientos a travs de un sistema de flujo documental,
como pueden ser la solicitud de servicios, la gestin de autorizaciones o
los procedimientos para la resolucin o la comunicacin de incidencias.
Para ello, existen ya plantillas predefinidas que permitirn crear estrategias
integradas con las cuentas de usuarios de una organizacin del Directorio
Activo, quedando definido el flujo de datos y las condiciones para publicar
o autorizar determinados procesos.
El sistema de gestin documental constituye un elemento fundamental en el
tratamiento de la seguridad. Los especialistas dedican gran parte de su tiempo en
documentar las distintas situaciones sobre las que actan. Se espera tambin del sis-
tema documental que ofrezca un alto nivel de seguridad, debido a la importancia y el
carcter crtico de los datos que se almacenan. Desde claves para el acceso a servicios
hasta toda la estructura y organigrama de funcionalidad de estos. Esta informacin,
en manos de personal ajeno a la organizacin, permitira que determinadas amenazas
que originalmente no eran muy peligrosas, se conviertan en altamente agresivas.
Microsoft SharePoint Server 2010 cuenta con sus propios mecanismos de se-
guridad, implementados de forma nativa, pero no obstante se puede beneficiar del
concurso de otros productos. Actualmente, los documentos se han convertido en un
posible sistema para la dispersin de malware. De este modo, estos archivos de uso
general pueden distribuir determinados tipos de software malicioso de forma eficiente.
Lejos quedaron los tiempos en que el malware era asociado exclusivamente a ficheros
con extensin de tipo ejecutable. Es por ello que los esfuerzos de las compaas en
proteger tambin las plataformas de gestin de contenido con seguridad adicional,
dotndolas de soluciones antimalware, es una necesidad.
En este sentido, Microsoft proporciona MS Forefront Protection for SharePoint

2010. Su sistema multimotor antimalware ha cosechado en mltiples estudios rea-
lizados unas estadsticas impresionantes. La tcnica de anlisis a travs de escaneo
en la memoria que emplea resulta mucho ms que eficaz que otras tradicionalmente
utilizadas. Esta metodologa no solamente aporta la capacidad para trabajar con
ms motores, sino que lo hace de forma ms rpida y eficaz. Adicionalmente a sus
funcionalidades contra el malware, proporciona tambin otros sistemas de filtrado
de contenido. No deberan mezclarse documentos relacionados con la seguridad con
otros de distinta ndole. El sistema de filtrado proteger contra estos hechos. Por otra
parte, las mtricas aportadas permiten determinar en qu medida una organizacin
est sufriendo ataques a travs de este medio.
Debe tenerse en cuenta que es tan importante la seguridad de la infraestructura

como la de los recursos que sta suministra. Si el sistema de gestin de contenido que
65
Figura 6.2. Gestin de la seguridad de un MS SharePoint 2010 con MS FPSP 2010.
se ofrece no es seguro, se inutiliza el escenario de la seguridad y a la postre incide en

el incumplimiento de lo establecido en el ENS.
La monitorizacin de los sistemas es crtica cara a la disponibilidad de los mismos.

Evaluar su rendimiento o los fallos que se estn produciendo es algo fundamental para
determinar si se estn ofreciendo los mecanismos ms idneos de funcionalidad. Si
un sistema que no se encuentra correctamente monitorizado deja de funcionar porque
el espacio libre de disco ha cado significativamente, podra pasar un tiempo crtico
antes de que alguien advirtiera de este hecho. En ocasiones, los administradores son
informados de que un servicio no est operando a travs de las llamadas que reciben
por parte de los usuarios del mismo. Situaciones como estas suponen no solamente
un problema de control de funciones, sino que la falta de confianza en el servicio
prestado se pueda convertir en una crtica generalizada.
Aunque no est definido especficamente en el texto del ENS, las organizaciones

deberan contar con elementos que permitan evaluar si sus servicios estn trabajando
correctamente. Que esto se haga de forma eficiente es un hecho diferenciador muy
importante. Hay que recordar que uno de los requisitos que se establecen en el Esque-
ma Nacional de Seguridad es que la prestacin de servicios hay que realizarla de la
forma ms ptima y, para ello, en algunas circunstancias se exige un estudio previo de
dimensionamiento. Cuando las previsiones fallan a la larga, slo una monitorizacin
66
continua del servicio se traduce en descubrir que es necesario redimensionarlo. La

plataforma MS System Center Operation Manager 2007 R2 (SCOM 2007 R2) propor-
ciona los mecanismos para una correcta monitorizacin de los sistemas, servicios y
perifricos. Estas labores no son nuevas en los productos y soluciones Microsoft; sin
embargo, a partir de MS SCOM 2007 R2 se ha modificado la forma de entender la
monitorizacin de los sistemas.
La orientacin original de las versiones anteriores era la monitorizacin de los

servidores, pero a la larga se ha visto que resulta mucho ms eficiente una orientacin
dirigida a la monitorizacin de los servicios. Que un servicio dentro de un servidor
pueda presentar un error, no implica que el resto se encuentren operando incorrec-
tamente. Esta estrategia es mucho ms cercana al Esquema Nacional de Seguridad,
donde lo que preocupa precisamente es la prestacin de los servicios, claro est sin
descuidar los sistemas servidor o estacin de trabajo que los hacen factibles.
Figura 6.3. Panel de Control de MS System Center Operation Manager 2007 R2.
MS System Center Operation Manager 2007 R2, a travs de una arquitectura de

agentes y haciendo uso de los Management Pack correspondientes, proporciona al
administrador consolas de operacin donde evaluar el estado general de sus servi-
cios. Las mismas pueden ser planteadas a travs de la representacin grfica de las
infraestructuras y una monitorizacin en tiempo real. Esto permite atender al mximo
67
Figura 6.4. Esquema de infraestructura y monitorizacin con SCOM 2007 R2.
las necesidades estipuladas por el ENS de mantener a travs de las arquitecturas de

seguridad los mapas de estado de las infraestructuras.
Puesto que los Management Pack se han diseado para productos que van ms
all de las plataformas Microsoft, MS SCOM 2007 R2 permite la gestin de infraestruc-
turas muy heterogneas. Mapas y monitorizacin de la plataforma de red, estado de
las soluciones de seguridad o de la DMZ (Zona desmilitarizada) en una infraestructura
de defensa perimetral son algunas de las situaciones en las que se obtendra ganancia
de esta solucin.
Hay que tener en cuenta que el producto cuenta tambin con un aspecto de reac-
tividad ante un imprevisto o una posible contingencia, pudindose programar una
respuesta automatizada. Si determinado servicio indispensable cae, se podra iniciar
un proceso para reiniciarlo automticamente. Si ste falla, se podra generar una alerta
en la consola de operacin o enviar un correo electrnico.
Las posibilidades evidentemente son amplias y debern ser tenidas en cuenta.
SCOM 2007 R2 tambin aporta otras caractersticas, relacionadas con la trazabilidad,
menos conocidas pero interesantes desde el punto de vista del ENS. A travs de su
rol de ACS (Audit Collection Services) se puede utilizar como plataforma para la
consolidacin y correlacin de logs.
La lnea de productos MS Forefront participar tambin activamente en las im-
plicaciones de seguridad que exige como norma el Esquema Nacional de Seguridad.
68
Se estima necesaria la aportacin de sistemas de Firewall como plataforma de soporte

multired y la segmentacin de servicios. Pero tambin las soluciones antimalware
son parte activa de las medidas a plantear. La proteccin se hace extensiva a todos
los niveles. Cuanto antes se disponga del nivel apropiado de proteccin menor ser
la capacidad para que un ataque tenga xito.
La tendencia general es disponer la solucin antimalware en los sistemas finales,

clientes y servidores. Sin embargo, una buena prctica consiste en prevenir los ataques
en el permetro, antes de que puedan interactuar con el usuario. Las aportaciones de
todos los productos de la lnea MS Forefront Protection, en sus variantes para MS
Exchange Server o MS SharePoint Server, constituyen una primera lnea defensiva
fundamental. Los correos electrnicos y ms recientemente los documentos, se han
convertido en elementos significativos para la dispersin del malware.
Pero tambin ataques encubiertos, como el spam, afectan negativamente a las

organizaciones. Quizs no sean conceptuados como un factor de ataque directo, pero
indirectamente generan un gran perjuicio a la organizacin. Obligan a desviar recursos
para la realizacin de copias de seguridad de correos electrnicos que no aportan nada
significativo. Molestan al usuario final, y en ocasiones consiguen su fin al hacer que
el usuario lo atienda e, incluso, acceda a los vnculos que estratgicamente propor-
cionan. Son una de las fuentes de ataque tipo phising, pero tambin de suplantacin
de identidad en las redes sociales ms habituales.
La gestin del permetro tambin es tratada en el RD 3/2010. Sistemas como MS

Forefront Threat Management Gateway 2010 o MS Forefront Unified Access Gateway
2010 aportan medidas adicionales para la proteccin de los servicios de cualquier
Administracin. La proteccin y el control del cliente final, la publicacin segura y
controlada de los servicios o el suministro de mecanismos de conexin remota basados
en las ltimas tecnologas son algunos de esos aportes.
El compromiso de estos productos con escenarios multiplataforma hace factible

que sean utilizados en un gran nmero de ellos. A modo de ejemplo, MS Forefront
Unified Access Gateway 2010 acepta como cliente final para el control de su seguridad
no slo clientes Windows, sino tambin sistemas Linux y MacOS.
Dentro de las plataformas heterogneas que conforman las diferentes Admi-

nistraciones Pblicas, se requieren sistemas de homogeneizacin que permitan la
integracin y a la vez faciliten la tarea de los usuarios. En esta lnea se encuentra MS
Forefront Identity Manager 2010. La diversificacin en los sistemas de autenticacin
aumenta formalmente los riesgos de seguridad.
Ante la ausencia de unificacin para los procedimientos de autenticacin, los

usuarios deben utilizar mltiples credenciales para los diferentes accesos. Esto indis-
cutiblemente repercute negativamente en la seguridad, al incrementar el grado de
incomodidad del usuario. Esta situacin puede minimizarse con una gestin unificada
de la identidad.
69
Figura 6.5. Microsoft Forefront Identity Manager 2010.
Desde que en el ao 2002 Microsoft publicara su iniciativa Trustworthy Com-

puting, muchas han sido las soluciones que se han generado a travs de ella. Se han
sumando a elementos que ya existan, como los sistemas de gestin de certificados
que han progresado en sus capacidades. Pero tambin se han aportado soluciones
innovadoras y novedosas. Microsoft, en la generacin de sus productos, se encuentra
totalmente concienciada de que los aspectos de seguridad son totalmente prioritarios.
6.1. Control de acceso

El control de acceso es uno de los aspectos ms importantes en lo que a segu-
ridad informtica se refiere, ms concretamente en el campo de la auditora, ya que
proporciona la capacidad de conocer en todo momento quin, cundo, dnde y qu
ha ocurrido en un sistema. Por este motivo era de esperar que el Esquema Nacional
de Seguridad (ENS) dedicara un apartado (Anexo II, apartado 4.2) a definir el nivel
de configuracin de esta caracterstica.
Lo prioritario es acotar y comprender el trmino de control de acceso, para poste-

riormente poder cumplir las necesidades que exige el Esquema Nacional de Seguridad.
70
Se entiende por control de acceso aquella accin que se realiza por parte de una entidad
para identificarse ante un sistema antes de desempear su funcin. Se puede incluir
dentro del concepto de entidad a todo usuario, mquina, servicio o incluso proceso.
El control de acceso que se implante en un sistema deber ser, segn el ENS,

un punto de equilibrio entra la comodidad de uso y la proteccin de la informacin.
Segn el nivel de seguridad que requiera cada organismo se primar la comodidad
frente a la proteccin en nivel bajo, mientras que en nivel alto se primar la proteccin
frente a la comodidad de uso.
Todo control de acceso vlido para el ENS debe cumplir siempre los siguientes
aspectos de comportamiento y configuracin:
l Principio del menor privilegio posible. Todo acceso est prohibido, salvo
concesin expresa a la accin o informacin requerida.
l Toda entidad debe quedar identificada de forma unvoca. Cada usuario,
servicio, equipo o proceso deben tener una cuenta nica en el sistema.
l Los recursos se protegern por defecto. El acceso a la informacin debe estar
protegido bajo mecanismos de control, como las listas de control de acceso
(ACLs) que establecen las entidades que tienen derecho al mismo.
l Establecer procedimientos de baja y alta prioridad, concediendo los derechos
de acceso a las diferentes entidades atendiendo a la autorizacin necesaria
en cada caso.
l La identidad de la entidad debe quedar siempre suficientemente autentica-
da. Son necesarios mecanismos de autenticacin que permitan identificar
correctamente a la entidad con la mayor seguridad posible.
l Se debe controlar tanto los accesos locales como remotos a la informacin.
l Debe quedar registrado el uso del sistema para poder detectar y actuar ante
cualquier fallo accidental o deliberado.
El ENS define claramente cmo se deben establecer todas las caractersticas an-
teriores segn el nivel de criticidad de la informacin a manejar y proteger. Como es
posible observar en la tabla que aparece a continuacin, el ENS establece para cada
uno de los aspectos relacionados con el control de acceso el nivel de medidas a aplicar.
A continuacin se detallarn cada uno de las medidas de seguridad en lo que a

control de acceso se refiere y cmo la tecnologa de Microsoft ayuda a conseguir los
requisitos exigidos.
6.1.1. Identificacin
La identificacin de los usuarios del sistema se realizar de acuerdo con lo que se
indica a continuacin:
71
a) Se asignar un identificador singular para cada entidad (usuario o proceso) que

accede al sistema, de tal forma que:
1 Se puede saber quin recibe y qu derechos de acceso recibe.
2 Se puede saber quin ha hecho algo y qu ha hecho.
b) Las cuentas de usuario se gestionarn de la siguiente forma:
1 Cada cuenta estar asociada a un identificador nico.
2 Las cuentas deben ser inhabilitadas en los siguientes casos: cuando el usuario
deja la organizacin; cuando el usuario cesa en la funcin para la cual se re-
quera la cuenta de usuario; o, cuando la persona que la autoriz, da orden en
sentido contrario.
3 Las cuentas se retendrn durante el periodo necesario para atender a las ne-
cesidades de trazabilidad de los registros de actividad asociados a las mismas.
A este periodo se le denominar periodo de retencin.
El Esquema Nacional de Seguridad establece que el procedimiento de identifi-
cacin debe ser idntico en los tres niveles de seguridad, como se puede observar en
la siguiente tabla. El ENS exige que los procesos de identificacin deban cumplir los
siguientes aspectos:
l Todos los usuarios y servicios deben ser identificados de forma inequvoca,

para poder identificar cada accin realizada sobre la informacin a proteger.
l El sistema tiene que tener la capacidad de deshabilitar las cuentas de usuarios

y servicios cuando estos dejen de ser operativos, pero sin eliminarlas para
atender a las necesidades de trazabilidad de los registros de actividad.
A pesar de contar con el mismo nivel de exigencias de seguridad, es necesario

distinguir los distintos tipos de identificacin que existen en los entornos de Micro-
soft, Active Directory e identificacin local. A continuacin se detalla en qu medida
soportan los distintos tipos los requisitos establecidos por el ENS.
Active Directory
La totalidad de los productos de Microsoft soporta el mecanismo de autenticacin
basado en Active Directory, lo que significa que la gestin de la identificacin de los
usuarios y servicios la realizan de forma centralizada los controladores de dominio
Active Directory permite cumplir de una forma sencilla los requisitos que establece
el ENS en lo que a identificacin se refiere. En primer lugar permite mantener una
cuenta en el sistema para cada usuario o servicio que se ejecute en l. En este punto
es necesario un alto grado de concienciacin por parte de los responsables de esta
labor, ya que sern los encargados de garantizar que cada usuario y servicio utiliza
una cuenta inequvoca en el sistema. Para la creacin de las cuentas necesarias en los
controladores de dominio Windows Server 2008 R2 es necesario detallar los dos tipos
72
disponibles, usuarios y servicios. La creacin de las cuentas de usuarios se realiza del

modo tradicional a travs de la consola de usuarios y equipos de Directorio Activo.
Otro de los requisitos que establece el ENS es la capacidad de bloquear las cuen-
tas sin necesidad de eliminarlas. Este requisito es soportado por Active Directory,
ya que una de las propiedades de las cuentas permite deshabilitarlas sin eliminarlas
definitivamente del sistema.
73
En lo que a las cuentas de servicio se refiere, Active Directory en Windows Server

2008 R2 proporciona para los servicios que se ejecuten con cuentas de dominio, las
denominadas cuentas de servicio.
Cuentas de servicio
Las cuentas de servicio son cuentas de dominio administradas que proporcio-
nan las caractersticas necesarias para cubrir los requisitos de identidad y restos de
exigencias establecidas por el Esquema Nacional de Seguridad.
La creacin de estas cuentas se lleva a efecto a travs de un procedimiento es-
pecfico y muy distinto al utilizado en la creacin de cuentas de usuario de carcter
estndar. Este proceso de creacin de cuentas de servicio se encuentra sujeto a una
serie de requisitos previos a nivel de Active Directory.
Los requisitos previos que debe cumplir Active Directory para poder trabajar
con las cuentas de servicio son los que se detallan a continuacin:
l Nivel funcional de dominio Windows Server 2008 R2.
l En un dominio con el nivel funcional Windows Server 2008 o Windows Server
2003 con al menos un controlador de dominio Windows Server 2008 R2.
En un dominio con nivel funcional Windows Server 2008 o Windows Server 2003
tambin se pueden usar cuentas de servicio sin instalar un controlador de dominio
Windows Server 2008 R2, si para ello se implementa en un controlador de dominio
existente el servicio de puerta de enlace de Active Directory.
La creacin de las cuentas de servicio se debe realizar siempre en el equipo donde
se vaya a ejecutar el servicio. Los sistemas operativos que pueden crear este tipo de
cuentas son nicamente Windows Server 2008 R2 y Windows 7. Los requisitos que
deben cumplir dichos sistemas para la creacin de las cuentas de servicio son los que
se detallan a continuacin:
l Microsoft .NET Framework 3.5.1 (vase la figura superior de la siguiente
pgina).
l Mdulo de Active Directory para Windows PowerShell (imagen inferior de
la siguiente pgina).
Una vez cumplidos los requisitos previos y desde el equipo donde se ejecutar
el servicio, se debe realizar la creacin de la cuenta. Esta se lleva a efecto a travs de
MS Windows PowerShell y es necesario para ello seguir los pasos siguientes:
1. En primer lugar es necesario importar el mdulo de Active Directory que

permitir posteriormente crear y gestionar las cuentas de servicio. La impor-
tacin del mdulo se consigue a travs de la ejecucin del siguiente cmdlet
(nombre que reciben los comandos de PowerShell):
Import-Module ActiveDirectory
74
Es necesario ejecutar esta instruccin cada vez que se desee realizar cualquier
tipo de cambio con cuentas de servicio.
2. Seguidamente, la creacin de una cuenta de servicio se debe realizar mediante
la ejecucin del siguiente cmdlet:
New-ADServiceAccount NameService -SamAccountName SAMName -Ac-
countPassword (convertTo-SecureString -AsPlainText Password -Force)
75
-Enabled $True -ServicePrincipalName Service/FQDN_Host:PortService/

DistinguishedName
3. Al configurar el servicio para que se ejecute con la cuenta recin creada es
necesario recordar que el nombre de las cuentas de servicio siempre finali-
zarn con el smbolo $ (por ejemplo, Dominio\SAMName$).
Este procedimiento de creacin de cuentas de servicio se debe realizar para cada
uno de los servicios que se ejecutan en el sistema. De este modo se cumple el requisito
del ENS en lo que a identificacin se refiere.
No es posible deshabilitar las cuentas de servicio del mismo modo que el resto de
las cuentas de Active Directory. Con este tipo de cuentas la operacin se debe realizar
a travs de PowerShell (Set-ADServiceAccount) o mediante la herramienta de Editor
ADSI. En ambos casos se puede cambiar el atributo Enabled de las cuentas de servicio
a valor False, consiguiendo as su deshabilitacin.
Identificacin local
El Esquema Nacional de Seguridad tambin exige que los equipos que no son
miembros de un dominio o que requieran de la creacin de cuentas locales de usuario
cumplan con las exigencias de la normativa. Windows Server 2008 R2 y Windows 7
son aptos para el cumplimiento de los requisitos de identificacin de las cuentas.
Para la creacin local de cuentas de usuario es necesario utilizar la herramienta

de administrador en Windows Server 2008 R2 o la herramienta de Administracin de
equipos en Windows 7. En ambos casos, la creacin de la cuentas permiten cumplir
el requisito de autenticacin inequvoca de todos los usuarios y servicios del sistema.
76
Al igual que en Active

Directory, es necesario un
alto grado de concienciacin
de los responsables de la
creacin de las cuentas, ya
que sern los encargados de
hacer cumplir el ENS en lo
que a identificacin nica
se refiere.
El otro requisito del

ENS para el proceso de iden-
tificacin es la capacidad
de bloquear las cuentas sin
necesidad de eliminarlas
para ello. Este requisito es
soportado por Windows, ya
que una de las propiedades
de las cuentas permite des-
habilitarlas sin eliminarlas
del sistema.
(Consulte la figura de
la derecha.)
77
Identificacin de Aplicacin Servidor

Algunos de los sistemas servidores Microsoft, como puede ser MS SQL Server,
proporcionan capacidades de gestin de identificacin independientes al sistema
operativo y Active Directory. En estos casos es necesario que el sistema servidor cum-
pla tambin con lo establecido en el Esquema Nacional de Seguridad siempre que se
emplee dicho mecanismo de identificacin.
La totalidad de los sistemas servidor de Microsoft que presentan mecanismos

alternativos de identificacin de los usuarios cumple los requisitos del ENS. Por su
extensibilidad se utilizar, en esta publicacin, Microsoft SQL Server como ejemplo
de cmo estos sistemas permiten el cumplimiento de los mencionados requisitos.
MS SQL Server soporta la capacidad de identificacin nica de los usuarios y

aplicaciones que accedan en este caso concreto al sistema gestor de base de datos. Para
la identificacin se utilizan los inicios de sesin, objetos que identifican a usuarios y
aplicaciones en cualquiera de los servicios de MS SQL Server: Motor de base de datos,
Analysis Services, Reporting Services e Integration Servicies.
Los inicios de sesin en MS SQL Server 2008 R2 soportan dos tipos de autentica-
cin: Integrada en Windows y propia de MS SQL Server. En ambos casos se permite
la identificacin inequvoca de quin accede, cundo lo hace y a qu informacin.
78
Tambin MS SQL Server 2008 R2 soporta la capacidad de deshabilitar los inicios

de sesin prohibiendo as el acceso a la informacin y, al mismo tiempo, permitiendo la
auditoria de dichas cuentas en el sistema, como exige el Esquema Nacional de Seguridad.
6.1.2. Requisitos de acceso

Los requisitos de acceso atendern a lo que a continuacin se indica:
a) Los recursos del sistema se protegern con algn mecanismo que impida su uti-
lizacin, salvo a las entidades que disfruten de derechos de acceso suficientes.
b) Los derechos de acceso de cada recurso se establecern segn las decisiones de la
persona responsable del recurso, atenindose a la poltica y normativa de seguridad
del sistema.
c) Particularmente se controlar el acceso a los componentes del sistema y a sus
ficheros o registros de configuracin.
El Esquema Nacional de Seguridad establece que el procedimiento de requisi-
tos de acceso debe aplicarse en los tres niveles de seguridad, como se indica en los
siguientes prrafos.
79
El ENS exige que los requisitos de acceso en los sistemas deban cumplir los
siguientes aspectos:
l Todos los recursos del sistema se protegern impidiendo el acceso a todo el

mundo, salvo a la entidades que cuenten con los derechos de acceso necesarios.
l Los derechos de acceso a cada recurso se establecen segn los criterios de la
persona responsable del recurso, siguiendo en todo momento la normativa
de seguridad del sistema.
l Se debe controlar el acceso a los componentes del sistema y sus ficheros o
registros de configuracin.
Microsoft proporciona en todos sus sistemas las listas de control de acceso que
nos permiten controlar el mismo a cada uno de los recursos del sistema. Una lista de
control de acceso o ACL es una lista de entidades donde se establecen los derechos
de acceso para permitir, denegar o auditar la actividad de dicha entidad sobre cada
recurso.
Por tanto, el proceso de securizacin de los recursos de sistema, en cuanto a
requisitos de acceso se refiere, recae principalmente sobre las ACLs del sistema. En
los entornos Microsoft, las ACLs se presentan en diversos entornos, desde el sistema
operativo hasta el sistema de ficheros, pasando por las aplicaciones.
A continuacin se detalla cmo los sistemas de Microsoft permiten establecer
restricciones de acceso a travs de los distintos mecanismos existentes.
Acceso al sistema operativo

Al hablar de restricciones de acceso siempre se piensa en primer lugar en el
sistema operativo. Windows Server 2008 R2 presenta la opcin de proteger el acceso
al sistema mediante una lista de control de acceso, impidiendo el acceso total al sis-
tema y posteriormente estableciendo acceso total o parcial al mismo, atendiendo a lo
establecido en el ENS.
Al igual que en configuraciones abordadas con anterioridad, cuando se habla

de aplicar restricciones sobre los sistemas operativos es necesario abordar la solucin
tanto desde el punto de vista de Active Directory como desde un sistema operativo
independiente.
El ENS establece como requisito que la totalidad de los recursos del sistema
estarn protegidos por defecto ante el acceso por parte de cualquier entidad, es decir,
en este caso las cuentas de usuario deberan tener prohibido el acceso a la totalidad
de los equipos.
El cumplimiento de este requisito desde una solucin de Active Directory es fac-

tible. Para ello se proporciona una caracterstica a las cuentas de usuario que establece
sobre qu mquinas pueden iniciar sesin, como se puede apreciar en la ilustracin
que aparece a continuacin.
80
Si dicha lista o ACL se encuentra vaca, la cuenta de usuario no puede iniciar

sesin en ninguna mquina del dominio, prohibiendo el acceso de forma predetermi-
nada a los recursos del sistema. Por consiguiente, si se agregasen cuentas de equipos
a la lista, esto significara la posibilidad de iniciar sesin en dichos equipos. Este l-
timo procedimiento se debe realizar de forma controlada y autorizada por parte del
responsable del sistema.
Por el contrario, en un escenario no Active Directory o para cuentas de usuario
locales de mquina, el cumplimento de dicho requisito de debe establecer de forma local
en cada uno de los sistemas. El procedimiento consistira en establecer una directiva
de seguridad que se encuentra en las polticas locales de la mquina.
Para acceder a la directiva de seguridad referenciada es necesario acceder al
editor de polticas de la mquina local y configurar la directiva que se encuentra en
la siguiente ruta: Configuracin de Equipo > Configuracin de Windows > Configuracin de
Seguridad > Directivas locales > Asignacin de derechos de usuario. En dicha ubicacin
existe una directiva con el nombre Permitir el inicio de sesin local que establece
las cuentas de usuario que pueden iniciar sesin en el sistema (vase la figura de la
siguiente pgina).
Eliminando de la ACL de la directiva todas las cuentas, a excepcin del admi-
nistrador para garantizar el acceso necesario para la administracin del sistema, se
cumplira el requisito establecido por el ENS. Para conceder permiso de acceso a una
entidad, bastara con agregar dicha cuenta a la ACL de la directiva, pero siempre de
un modo autorizado por parte de los responsables del sistema en cuestin.
81
Aplicaciones de servidor
La extensa familia de aplicaciones de servidor con la que cuenta Microsoft, prin-
cipalmente las ltimas versiones de producto, ya cumplen por defecto este requisito.
Soluciones como MS Exchange Server 2010, MS SharePoint Server 2010 o MS SQL
Server 2008 R2 implementan de forma nativa la prohibicin de acceso de cualquier
entidad a sus sistemas. En cualquier aplicativo servidor sera necesario establecer
acceso al sistema para cada entidad. Por ejemplo, en soluciones MS Exchange Server
2010 es necesario establecer la creacin del buzn de correo electrnico para cada
usuario, el cual tiene acceso nico al mismo, e incluso si fuese requerido se podra
establecer acceso para una cuenta de usuario sobre el buzn de correo electrnico de
otro usuario (vase la figura superior de la siguiente pgina).
En el caso de MS SharePoint Server 2010, se deben agregar en la ACL del sitio

las cuentas de usuario a las que se desee conceder acceso y la ubicacin concreta
donde el mismo tenga que acceder. Toda la concesin de permisos siempre debe estar
supervisada y autorizada por el responsable del sistema (vase la figura inferior de
la siguiente pgina).
82
Finalmente, en MS SQL Server 2008 R2, las cuentas de usuario del sistema o de
Active Directory al cual pertenece el servidor donde se encuentra instalado el aplicativo,
tienen prohibido el acceso al sistema de forma nativa. Si se desea conceder acceso al
mismo es necesario crear un inicio de sesin asociado a dicha cuenta (vase la fiura
de la siguiente pgina).
Cualquier sistema servidor de Microsoft requiere de acciones posteriores a la

instalacin para poder conceder acceso total o parcial al sistema por parte de cual-
quier tipo de entidad, cumpliendo as los requisitos establecidos a nivel de derechos
de acceso por parte del Esquema Nacional de Seguridad.
83
Sistema de ficheros
El sistema de ficheros es otro elemento que proporciona control de acceso en los
sistemas informticos. Concretamente, el requisito de acceso lo establece el sistema de
ficheros NTFS a travs de su modelo de seguridad. Este sistema de archivos propor-
ciona una lista de control de acceso a cada uno de los objetos que quedan almacenados
en el disco, como puede observsar en la imagen superior de la siguiente pgina.
A travs de la ACL se puede establecer un control de acceso granular al sistema

e, incluso, impedir de partida el acceso a cualquier elemento como establece el ENS.
Posteriormente, siempre bajo el control y la responsabilidad del propietario del sistema,
se establecern los permisos concretos mnimos de acceso a la informacin.
Este control detallado lo proporcionan los permisos avanzados de NTFS como se

puede observar en la ilustracin que aparece a continuacin (vase la imagen inferior
de la siguiente pgina).
84
85
6.1.3. Segregacin de funciones y tareas

El sistema de control de acceso se organizar de forma que se exija la concurrencia de
dos o ms personas para realizar tareas crticas, anulando la posibilidad de que un solo
individuo autorizado pueda abusar de sus derechos para cometer alguna accin ilcita.
En concreto, se separarn al menos las siguientes funciones:
a) Desarrollo de operacin.
b) Configuracin y mantenimiento del sistema de operacin.
c) Auditora o supervisin de cualquier otra funcin.
El Esquema Nacional de Seguridad establece que el procedimiento de segrega-
cin de funciones y tareas no se debe establecer ante un nivel bajo de seguridad de
informacin, pero por el contrario s es necesario en los niveles medio y alto, como se
puede observar en la indicado en los siguientes prrafos.
El ENS exige que los requisitos de segregacin de funciones y tareas en los siste-
mas de seguridad de nivel medio o alto deban cumplir un nico aspecto, que consiste
en exigir la concurrencia de dos o ms personas para la realizacin de tareas crticas,
para evitar abusos de derechos sobre algn tipo de accin ilcita. En concreto se deben
separar al menos las funciones de:
l Desarrollo de operacin.
l Configuracin y mantenimiento del sistema.
l Auditora y supervisin de cualquier otra funcin.
Las ltimas versiones de sistemas operativos Windows Server 2008 R2 y Windows
7 proporcionan todo lo necesario para el correcto cumplimiento de este requisito del
ENS. Concretamente, estas versiones de sistema operativo disponen de grupos de
usuarios especficos para los tres niveles de control.
El sistema proporciona una coleccin de grupos destinados al desarrollo de de-

terminadas funcionalidades. Un caso ilustrativo pueden ser los operadores de cuentas
que proporcionan el permiso para poder realizar tareas de creacin o eliminacin de
cuentas de usuario en sistemas locales o en Active Directory.
Por otro lado, para la configuracin y el mantenimiento del sistema, tambin se

proporcionan grupos de usuarios capacitados para configurar y mantener cualquier
86
funcionalidad ya instalada en el sistema. Un ejemplo puede ser DNSAdmin, que permi-

te configurar y mantener todo lo relacionado con el servidor de resolucin de nombres.
Finalmente, para la auditora y la supervisin existen unos determinados grupos

de usuarios que proporcionan la capacidad de ver los registros de eventos y monitori-
zar el sistema. Por ejemplo, el Lector del registro de eventos proporciona el privilegio
de acceder nicamente al visor de sucesos del sistema y conocer qu acciones y qu
ha ocurrido sobre el mismo.
Los sistemas operativos, como se acaba de ver, proporcionan ayudas para poder
cumplir los requisitos establecidos por el ENS en materia de segregacin de funciones.
Pero si estos grupos no fueran suficientes, el sistema soporta la creacin de nuevo, y
siguiendo los mecanismos de requisitos de acceso detallados en el apartado anterior,
87
se suministran a dichos grupos los privilegios necesarios para la realizacin de sus

objetivos.
En cualquiera de los casos, simplemente agregando las entidades encargadas de

realizar cada una de las tareas a los respectivos grupos se conseguira resolver el objetivo.
6.1.4. Proceso de gestin de derechos de acceso

Los derechos de acceso de cada usuario se limitarn atendiendo a los siguientes
principios:
a) Mnimo privilegio. Los privilegios de cada usuario se reducirn al mnimo es-

trictamente necesario para cumplir sus obligaciones. De esta forma se acotan los
daos que pudiera causar una entidad, de forma accidental o intencionada.
b) Necesidad de conocer. Los privilegios se limitarn de forma que los usuarios slo
accedern al conocimiento de aquella informacin requerida para cumplir sus
obligaciones.
c) Capacidad de autorizar. Slo y exclusivamente el personal con competencia para
ello, podr conceder, alterar o anular la autorizacin de acceso a los recursos,
conforme a los criterios establecidos por su propietario.
El Esquema Nacional de Seguridad establece que el proceso de gestin de de-
rechos de acceso se encuentre regulado independientemente del nivel de seguridad
requerido. El ENS establece que los derechos de acceso de cada usuario se ajustarn
estrictamente a los siguientes principios:
l Mnimo privilegio para acotar los daos que pudiera causar una entidad de
forma accidental o intencionada.
l Necesidad de conocer. Los privilegios permitirn nicamente a los usuarios
acceder al conocimiento necesario para el cumplimiento de sus obligaciones.
l Capacidad de autorizar. nicamente el personal con competencia para ello
podr conceder, alterar o simplemente anular la autorizacin de acceso a
los recursos.
Para el cumplimiento de estos requisitos Microsoft proporciona en su nuevos
sistemas operativos, Windows Server 2008 R2 y Windows 7, componentes que ayudan
a simplificar dichas tareas. Se trata del control de cuentas de usuario y la delegacin
de funciones.
Control de cuentas de usuario

Cumplir con el mnimo privilegio posible para todas las cuentas es una tarea
realmente compleja. Existen cuentas de usuario que requieren privilegios elevados
en el sistema para una determinada tarea, pero no para el resto. En este momento es
cuando interviene el control de cuentas de usuario.
88
El control de cuentas de usuario o UAC es una funcionalidad de los sistemas

operativos Microsoft de nueva generacin que obliga al cumplimiento del menor
privilegio posible para la realizacin de cada tarea. Todos los usuarios, ya sean de un
dominio o locales, se tratan como usuarios bsicos independientemente de los derechos
que le hayan sido asignados con anterioridad. Slo utilizar los derechos en aquellas
acciones que lo requieran solicitando previamente al usuario su elevacin.
El Control de cuentas de usuario est activado y configurado por defecto en

Windows 7 y Windows Server 2008 R2. De este modo, cualquier accin que realice
un usuario dentro del sistema contar con los privilegios mnimos, cumpliendo as
los requisitos del ENS.
Este nuevo componente de sistema operativo se puede personalizar en cualquier
escenario, con el objetivo de adecuarlo a los requisitos de entorno de trabajo de cada
usuario. Presenta dos modos de personalizacin, uno bsico y otro avanzado. El bsico
se realiza desde la herramienta de configuracin de cuentas de usuarios, en el Panel
de control de los equipos.
Desde esta herramienta se configura el nivel de notificacin de elevacin de

credenciales manteniendo el requisito de mnimo privilegio, aunque en alguna de las
opciones de notificacin se puede incurrir en otros problemas de seguridad (vase
la primera figura de la siguiente pgina). La configuracin avanzada del control de
cuentas de usuario permite un control ms elevado, y no slo en lo referente a la noti-
ficacin. Este otro modo de configuracin se realiza a travs de polticas, permitiendo
una gestin centralizada de dicha funcionalidad.
89
La configuracin de las directivas del control de cuentas de usuario es muy

importante realizarla con sumo control para evitar incumplir el ESN en trminos de
derechos de usuario, ya que permite deshabilitar UAC para determinados tipos de
cuentas.
Delegacin de funciones
La delegacin de funciones es otra de las caractersticas de los sistemas operativos
que facilita el cumplimiento de las restricciones del ENS en trminos de derechos de
usuarios. Los sistemas de una organizacin tienen multitud de funcionalidades cuya
administracin recae sobre distintas personas.
90
En muchos casos, este tipo de situaciones se resuelve en las organizaciones es-

tableciendo un nivel de privilegios muy excesivo sobre las personas que intervienen
en la administracin de los sistemas; son los administradores de los servidores. Este
modo de operar incumple lo establecido en el Esquema Nacional de Seguridad.
Para evitar incurrir en el error de conceder un exceso de privilegio a los usuarios
encargados de gestionar partes concretas de los sistemas, Windows Server 2008 R2
proporciona modos de delegacin de funciones concretas sobre los usuarios o grupos
que lo requieran para su posterior administracin.
A continuacin se abordarn tres ejemplos de delegacin de funciones, para
conocer las distintas posibilidades que existen en los sistemas operativos.
Active Directory
En la solucin de Active Directory, la delegacin de funciones es una tarea muy
comn, ya que existen funcionalidades muy diversas gestionadas por personas distin-
tas. El proceso de delegacin de un dominio permite conceder permisos a un usuario
estndar para cualquier tipo de accin concreta e, incluso, acumular varios derechos
sobre funciones, si el usuario as lo requiere.
El proceso de delegacin en Active Directory se basa en un asistente que permite
seleccionar la accin o acciones a delegar. Por un lado, el asistente permite seleccionar
las acciones ms comunes a delegar, como pueden ser crear y administrar cuentas,
restablecer contraseas o, simplemente, unir equipos al dominio.
Por otra parte, el asistente tambin permite establecer un proceso de delegacin

ms detallado sobre los objetos del dominio que se desee. De este modo se podra
delegar el control sobre un tipo de objeto concreto que se encuentre en un determinado
contenedor.
91
La delegacin se puede realizar sobre usuarios individuales o grupos, ambos

pertenecientes al dominio a configurar o a otro de confianza.
Internet Information Server (IIS)

El rol de servidor web en Windows Server 2008 R2 tambin proporciona la capa-
cidad de delegar la gestin de determinados sitios o aplicaciones web, en el nivel de
detalle que se desee. Con esta nueva funcionalidad, se puede plantear la posibilidad
de administracin delegada de un servidor web con Internet Information Server (IIS).
Para habilitar la delegacin en el servidor web es necesario contar previamente con el
Servicio de Administracin instalado. Este se puede instalar a posteriori en el servidor
Web, siempre a travs del administrador del servidor.
92
Tras la instalacin del servicio, es necesario activar la administracin remota del

servidor web, ya que la administracin delegada slo es posible de forma remota.
La administracin remota se habilita, segn los requisitos de la organizacin, desde
la consola de administracin de IIS a travs de la herramienta servidor Servicio de
administracin.
Una vez configurada la adminis-

tracin remota, ya se pueden delegar
la tareas administrativas. Uno de los
aspectos ms importantes cuando se
habla de delegacin es determinar las
funcionalidades que se van a permi-
tir administrar. Para ello, IIS permite
gestionarlas a nivel de servidor o de
forma independiente, para cada uno de
los sitios web o aplicaciones virtuales
alojados en el servidor. Esto lo realiza
a travs del componente Delegacin de
caractersticas a nivel de servidor, que
puede ver en la figura de la derecha.
Finalmente, bastara con agregar al

usuario o usuarios que tienen derecho
a la administracin del sitio web o apli-
cacin virtual a travs del componente
Permisos del Administrador de IIS de cada
elemento que se desee delegar (vase la
figura de la derecha).
Hyper-V
En los sistemas operativos existen diversos componentes cuya delegacin no
se realiza de forma tradicional o a travs de asistentes de configuracin destinados a
93
ello. Un caso concreto de este tipo de componentes es el rol Hyper-V, caracterstica de

virtualizacin que permite la delegacin de funcionalidades a usuarios, pero utilizando
para ello un archivo de configuracin xml.
Con este tipo de procedimientos de delegacin es necesario utilizar la herramienta

administrativa Administrador de autorizacin, que permite configurar la delegacin
basada en archivos de configuracin.
Para la delegacin de Hyper-V es necesario trabajar con el archivo C:\Program-

Data\Microsoft\Windows\Hyper-V\InitialStore.xml para la concesin de credenciales
a los distintos usuarios.
Para la personalizacin de los privilegios que se desean conceder a los distintos

usuarios es necesario crear una definicin de rol y asignarle las tareas que se desea
poder realizar, como se puede observar en la siguiente ilustracin.
94
Finalmente, una vez personalizada la Definicin de rol, ya se pueden delegar las

tareas configuradas sobre los usuarios que se desee. Para ello, es necesario crear una
Asignacin de rol que permita asociar la Definicin de rol con los usuarios o grupos
que se desea disfruten de los privilegios configurados.
6.1.5. Mecanismos de autenticacin

Los mecanismos de autenticacin frente al sistema se adecuarn al nivel del sistema
atendiendo a las consideraciones que siguen.
Las guas CCN-STIC desarrollarn los mecanismos concretos adecuados a cada nivel.
Nivel BAJO
a) Se admitir el uso de cualquier mecanismo de autenticacin: claves concertadas,

o dispositivos fsicos (en expresin inglesa tokens) o componentes lgicos tales
como certificados software u otros equivalentes o mecanismos biomtricos.
b) En el caso de usar contraseas se aplicarn reglas bsicas de calidad de las mismas.
c) Se atender a la seguridad de los autenticadores de forma que:
1. Los autenticadores se activarn una vez estn bajo el control efectivo del usuario.
2. Los autenticadores estarn bajo el control exclusivo del usuario.
3. El usuario reconocer que los ha recibido y que conoce y acepta las obligaciones
que implica su tenencia, en particular el deber de custodia diligente, proteccin
de su confidencialidad e informacin inmediata en caso de prdida.
4. Los autenticadores se cambiarn con una periodicidad marcada por la poltica
de la organizacin, atendiendo a la categora del sistema al que se accede.
5. Los autenticadores se retirarn y sern deshabilitados cuando la entidad (per-
sona, equipo o proceso) que autentican termina su relacin con el sistema.
Nivel MEDIO
a) No se recomendar el uso de claves concertadas.

b) Se recomendar el uso de otro tipo de mecanismos del tipo dispositivos fsicos
(tokens) o componentes lgicos tales como certificados software u otros equivalentes
o biomtricos.
c) En el caso de usar contraseas se aplicarn polticas rigurosas de calidad de la
contrasea y renovacin frecuente.
Nivel ALTO
a) Los autenticadores se suspendern tras un periodo definido de no utilizacin.

b) No se admitir el uso de claves concertadas.
95
c) Se exigir el uso de dispositivos fsicos (tokens) personalizados o biometra.

d) En el caso de utilizacin de dispositivos fsicos (tokens) se emplearn algoritmos
acreditados por el Centro Criptolgico Nacional.
e) Se emplearn, preferentemente, productos certificados [op.pl.5].
El Esquema Nacional de Seguridad establece que el mecanismo de autentica-
cin de los sistemas debe estar regulado con exigencias distintas para los tres niveles
de seguridad. Debido a que el Esquema Nacional de Seguridad exige restricciones
distintas para cada uno de los niveles de seguridad existentes de la informacin, se
desarrollar por separado cada nivel a lo largo de este apartado.
Nivel bajo
El ENS establece que en sistemas con nivel de seguridad de la informacin
bajo, es vlido cualquier mecanismo de autenticacin, ya sean claves concertadas,
certificados, mecanismos biomtricos o cualquier otro tipo de autenticacin basada
en software o hardware.
El Esquema Nacional de Seguridad establece unas restricciones mnimas en este
nivel, independientemente del mecanismo de autenticacin utilizado. Para un mejor
entendimiento del cumplimiento de las restricciones se abordar uno de los meca-
nismos de autenticacin, la clave concertada, para comprobar cmo los sistemas de
Microsoft facilitan su cumplimiento.
El primer requisito que establece el ENS se refiere nicamente al mecanismo de
clave concertada, ya que exige que las contraseas cumplan reglas bsicas de calidad.
En este punto, es necesario diferenciar las credenciales, usuario y contrasea, de do-
minio, locales o de aplicacin. Pero en cualquiera de los tres tipos de credencial los
sistemas de Microsoft permiten el cumplimiento de esta restriccin.
Todos los sistemas de Microsoft que permitan una gestin local de cuentas se
integran con el sistema operativo para poder gestionar las restricciones a nivel de
contraseas de forma unificada.
96
La configuracin del sistema operativo para la restriccin a nivel de contraseas

se realiza a travs de directivas de seguridad, permitiendo su configuracin desde las
polticas locales o mediante polticas de grupo. Dentro de las directivas de seguridad
se encuentra aquella que exige que las contraseas cumplan determinados requisitos
de complejidad ante cualquier cambio de contrasea, segn exige el ENS.
El resto de restricciones son comunes a cualquier mecanismo de autenticacin que

se utilice. El Esquema Nacional de Seguridad exige que los autenticadores, es decir,
las cuentas de usuario, se deban crear desactivados y los usuarios sern los nicos
conocedores de las contraseas. Las cuentas de usuario en los sistemas Windows
deben ser creadas con la configuracin que se muestra en la siguiente ilustracin. La
cuenta permanece deshabilitada hasta que el usuario la vaya a utilizar por primera
vez, y tiene que cambiar la contrasea por una que slo conozca l la primera vez que
inicie una sesin en el sistema.
97
Las contraseas debern ser modificadas de forma obligatoria con una determi-
nada periodicidad, que estar especificada por la poltica de la organizacin en funcin
de la categora del sistema. Para este objetivo los sistemas de Microsoft proporcionan
unas directivas de seguridad que permiten configurar la vigencia mnima y mxima de
las contraseas, como se puede observar en la ilustracin que aparece a continuacin.
Cuando una cuenta de usuario deje de utilizarse, deber ser deshabilitada pero
no eliminada, por si fuese necesaria su posterior auditora, tal y como se establece en
el apartado de Identificacin del Esquema Nacional de Seguridad.
Nivel medio
A diferencia del nivel bajo, el ENS recomienda prescindir del uso de claves con-
certadas como mecanismo de autenticacin en este nivel, pero en ningn caso queda
prohibido. Si se decide hacer uso de claves concertadas, es estrictamente necesaria
la utilizacin de polticas rigurosas de calidad y renovacin de contraseas. Dichas
restricciones van dirigidas a utilizar:
l Contraseas de longitud elevada, para evitar obtenerlas mediante mecanis-

mos de fuerza bruta durante la vigencia de las mismas.
l Periodos no muy largos de renovacin de las contraseas. Se recomienda
ajustar este tiempo en funcin de la longitud de la contrasea.
l Recordar las ltimas contraseas utilizadas por cada usuario para no poder
volver a usarlas en un tiempo determinado.
l Establecer una vigencia mnima de la contrasea para evitar realizar cambios
sucesivos hasta poder utilizar de nuevo la misma contrasea.
98
l Complejidad de la contrasea. Por supuesto, es necesario que las contra-

seas de los usuarios cumplan unos mnimos de seguridad para as evitar
descubrimientos no deseados de las mismas.
Todas estas opciones de configuracin se pueden poner en prctica a travs de
las polticas locales de los sistemas operativos de Microsoft o a travs de las polticas
de grupo en Active Directory.
Los mecanismos de autenticacin aconsejados para este tipo de nivel de seguridad

de la informacin seran los siguientes:
l Dispositivos fsicos (Tokens).

l Certificados.
l Biometra.
En este nivel se centrar la atencin nicamente en el mecanismo de autenticacin
basado en certificados, ya que los otros mecanismos se abordarn en el siguiente nivel
de seguridad, el alto. El uso de certificados ya se encuentra completamente integrado
en los procesos de autenticacin de los sistemas de Microsoft. A continuacin se deta-
llarn algunos ejemplos de los entornos donde usar certificados para la autenticacin
de los usuarios, Active Directory y Servidor Web.
Active Directory
Windows Server 2008 R2 y Windows 7 son compatibles con el mecanismo de
autenticacin basado en certificados. En un entorno de dominio se puede autenticar a
las entidades ante un proceso de inicio de sesin mediante certificados, pero siempre
que estos estn almacenados en una tarjeta inteligente.
99
Este mecanismo tambin queda encuadrado en el mtodo de autenticacin basado

en dispositivo fsico.
A continuacin se detallan los pasos ms importantes para la puesta en marcha del

mecanismos de autenticacin basado en certificados en un entorno de Active Directory.
Microsoft proporciona con Windows Server 2008 R2 la infraestructura completa para
la puesta en marcha de la autenticacin mediante tarjeta inteligente.
En primer lugar, es necesario contar con una coleccin de certificados que pueden
ser generados a partir de una entidad de certificacin externa a la compaa o una
propia de la organizacin. Es posible utilizar el DNI-e para la autenticacin de los
usuarios. Para llevar a cabo este modo de autenticacin se deben utilizar herramientas
como SmartID Corporate Logon de SmartAccess.
La entidad de certificacin de Windows Server 2008 R2, Active Directory Certifi-

cate Server, soporta la generacin de los tipos de certificados necesarios para la auten-
ticacin. La entidad de certificacin debe ser de empresa y la plantilla de certificado
necesaria para la validacin de entidades es Inicio de Sesin de Tarjeta Inteligente.
Dicha plantilla no se encuentra operativa de forma predeterminada en las entidades
de certificacin, por lo que es necesario habilitarla.
La plantilla Inicio de sesin de Tarjeta Inteligente ya se encuentra operativa; por

tanto, es el momento de emitir los certificados para cada uno de los usuarios que lo
requieran. El procedimiento de emisin es muy sencillo, ya que nos permite emitir y
almacenar el certificado sobre la tarjeta inteligente al mismo tiempo.
Para la emisin del certificado, el usuario debe acceder a la pgina web de ins-
cripcin de certificados, normalmente https://<nombre_servidor>/certsrv y realizar
los siguientes pasos:
1. Acceder a la URL del portal web de inscripcin de certificados.
100
2. Seleccionar la tarea Solicitar un certificado.

3. A continuacin seleccionar Solicitud de certificado avanzada.
4. Y, finalmente, seleccionar Crear y enviar una solicitud a esta CA.
5. En la pgina de emisin de certificados, establecer la plantilla de certificado
a Inicio de sesin de Tarjeta Inteligente.
6. Y establecer el valor del campo Proveedor de servicios de cifrado (CSP) a
Microsoft Base Smart Card Crypto Provider.
7. Para la emisin del certificado pulsar enviar al final de la pgina

8. El sistema nos solicitar que se inserte la tarjeta donde se almacenar el
certificado. Tras insertarla, el certificado se emite y almacena en la tarjeta
inteligente.
Llegados a este punto, el usuario en cuestin ya posee el certificado necesario
para un inicio de sesin basado en tarjeta inteligente. Ahora es el momento de confi-
gurar el entorno de trabajo del usuario, es decir, el equipo y la cuenta, para establecer
el mtodo de autenticacin.
Los nuevos sistemas operativos de Microsoft, Windows Server 2008 R2 y Windows

7, soportan de forma predeterminada doble autenticacin, mtodo de clave concer-
tada y certificados, al mismo tiempo. De este modo, se permite al usuario decidir el
mecanismo de autenticacin a utilizar cada vez que desee acceder al sistema.
El comportamiento del sistema operativo se puede modificar para establecer el

mecanismo de autenticacin basado en tarjeta inteligente como nico, para un usuario
o equipo.
Para establecer que un usuario concreto debe iniciar siempre sesin a travs de
tarjeta inteligente, es necesario configurar su objeto de cuenta de usuario. Las cuentas
de usuario de dominio tienen en sus propiedades un atributo que obliga a ello.
101
De este modo, el usuario, cuando vaya a iniciar sesin en cualquier equipo de

la organizacin, necesitar presentar su tarjeta inteligente, ya que con su nombre de
usuario y contrasea no ser validado por un controlador de dominio.
Otra alternativa de configuracin es establecer que a un equipo o equipos deter-

minados slo puedan acceder los usuarios que dispongan de una tarjeta inteligente
con un certificado vlido. Esta configuracin se puede realizar a travs de las polticas
locales de la mquina o mediante las polticas de grupo.
En cualquiera de los casos, existe una directiva de seguridad con el nombre

Inicio de sesin interactivo: requerir tarjeta inteligente en la Configuracin del equipo
> Configuracin de Windows > Configuracin de seguridad > Directivas locales > Opciones
de seguridad, que permite establecer como nico mecanismo de inicio de sesin en el
equipo la tarjeta inteligente.
Servidor Web
Otro de los entornos ms comunes en las organizaciones que requieren un inicio
de sesin controlado porque manejan informacin confidencial son los servidores web.
Windows Server 2008 R2 y Windows 7 cuentan con la capacidad de implementar una
solucin de servidor web basada en Internet Information Server (IIS), y ambos con la
funcionalidad de autenticar a los usuarios basndose en certificados de cliente.
El mecanismo de autenticacin que presenta IIS a nivel de certificados es un

tanto peculiar, ya que va relacionado directamente con el protocolo de acceso HTTPS.
Slo cuando un sitio web est configurado para requerir el protocolo de acceso seguro
basado en certificado, como se puede observar en la ilustracin, es posible establecer
la necesidad de presentar un certificado vlido por parte del cliente (vase la figura
superior de la pgina siguiente).
Este proceso de autenticacin, o mejor dicho de validacin del cliente, puede

ser integrado con cualquier otro mtodo de autenticacin que soporte y requiera la
102
aplicacin web. Los certificados en esta infraestructura se utilizan como un elemento

ms de autenticacin, pero perfectamente vlidos para el nivel de seguridad requerido
por el ENS en cuanto al acceso a los servicios web de la organizacin.
Para habilitar el requisito de utilizar por parte del cliente un certificado de auten-
ticacin, es necesario configurar en el sitio web, aplicacin virtual o directorio virtual
la validacin de cliente a travs de SSL (Secure Socket Layer).
Una vez configurado el entorno web que requiere de la autenticacin del cliente
mediante certificados, cuando el cliente intenta acceder a dicho sitio web, el navega-
dor solicita al usuario la seleccin de un certificado, almacenado en la mquina o en
una tarjeta inteligente, para su validacin en el servidor, como se puede observar en
la siguiente ilustracin
103
Nivel alto
El Esquema Nacional de Seguridad establece que los mecanismos de autenti-
cacin en los sistemas con informacin de nivel alto deben ser dispositivos fsicos o
biomtricos. Adems de esto, recomienda preferentemente la utilizacin de productos
certificados por el Centro Criptolgico Nacional.
Para este nivel, Microsoft tambin proporciona funcionalidades que permiten

dar cobertura a los requisitos establecidos por el ENS. Por ejemplo, los sistemas ope-
rativos de ltima generacin, Windows Server 2008 R2 y Windows 7, proporcionan
soporte nativo para dispositivos biomtricos e incluyen un servicio de proveedor de
credenciales.
A pesar de haberse abordado en el nivel anterior, el mecanismo de inicio de sesin

mediante tarjeta inteligente es vlido en este nivel, ya que proporciona un doble factor
de autenticacin solicitando un PIN, tras la insercin de la tarjeta.
Biometra
Con respecto a los dispositivos biomtricos, Microsoft proporciona soporte nati-
vo para la autenticacin de usuarios a travs de este tipo de dispositivos. Anteriores
sistemas operativos de Microsoft ya soportaban la capacidad de iniciar sesin en
ellos a travs de dispositivos biomtricos, como lectores de huella. Pero esto slo era
posible para inicios de usuario local, impidiendo la capacidad de utilizar este tipo de
mecanismos de autenticacin en entornos corporativos de Active Directory.
Windows 7 y Windows Server 2008 R2 proporcionan la capacidad de autenticar

no slo a usuarios locales de la mquina, sino que tambin a usuarios de dominio.
Para la configuracin del mecanismo de autenticacin biomtrico para cuentas de
dominio, simplemente es necesario configurar, a travs de polticas, una directiva
como se puede observar en la ilustracin que aparece a continuacin. Esta directiva
permite simplemente habilitar o deshabilitar la capacidad de autenticar cuentas de
usuario de Active Directory a travs de la biometra.
Los identificadores utilizados para la autenticacin biomtrica de los usuarios

son gestionados por el software o el hardware utilizado para la lectura, por ejemplo
la huella digital. Normalmente, dicho identificador queda almacenado en el equipo
local, no permitindose su utilizacin en cualquier equipo del dominio. Para este fin
104
sera necesario utilizar dispositivos biomtricos que usasen software que centralizase
esos identificadores.
Proveedor de credenciales
Los proveedores de credenciales son la tecnologa que extiende los mecanismos
de autenticacin de Microsoft. Se trata de la evolucin de la antigua GINA o MSGINA
(Microsoft Graphic Identification and Authentication). La nueva familia de sistemas
operativos de Microsoft incorpora de forma nativa los proveedores de credenciales.
Los proveedores de credenciales proporcionan la capacidad de introducir a los
sistemas operativos mecanismos de autenticacin que se adapten a cualquiera de las
necesidades que puedan existir ahora y en el futuro. Tiene la capacidad incluso de
admitir fcilmente una autenticacin multifactor, como puede ser sumar una autentica-
cin biomtrica a otra de tarjeta inteligente. Con ello se permite cumplir las exigencias
del ENS en las situaciones ms crticas.
Windows proporciona un servicio con el que interactan estos proveedores de
credenciales personalizados. El servicio se denomina Servicio de proveedor de creden-
ciales. La existencia de ste permite a los desarrolladores del proveedor de credenciales
preocuparse nicamente del mecanismo de autenticacin, ya que del aspecto visual
se encarga el propio sistema operativo. De este modo se facilita el uso de las nuevas
credenciales a los usuarios, ya que el entorno de inicio de sesin no se ver alterado.
105
Con el objetivo de simplificar la tarea de eleccin del mecanismo de autenticacin

idneo segn el nivel de seguridad exigido por el Esquema Nacional de Seguridad,
se introduce a continuacin una tabla resumen con los mecanismos de autenticacin
admisibles.
Nivel
Bajo Medio Alto
Algo se sabe Clave S Con cautela No
Algo que se tiene Tokens S S Criptogrficos
Algo que se es Biometra S S Doble factor
6.1.6. Acceso local

Se considera acceso local al realizado desde puestos de trabajo dentro de las propias
instalaciones de la organizacin. Estos accesos tendrn en cuenta el nivel de las di-
mensiones de seguridad:
Nivel BAJO
a) Se prevendrn ataques que puedan revelar informacin del sistema sin llegar
a acceder al mismo. La informacin revelada a quien intenta acceder debe ser
la mnima imprescindible (los dilogos de acceso proporcionarn solamente la
informacin indispensable).
b) El nmero de intentos permitidos ser limitado, bloqueando la oportunidad de
acceso una vez efectuados un cierto nmero de fallos consecutivos.
c) Se registrarn los accesos con xito, y los fallidos.
d) El sistema informar al usuario de sus obligaciones inmediatamente despus de
obtener el acceso.
Nivel MEDIO
Se informar al usuario del ltimo acceso efectuado con su identidad.
Nivel ALTO
a) El acceso estar limitado por horario, fechas y lugar desde donde se accede.
b) Se definirn aquellos puntos en los que el sistema requerir una renovacin de la
autenticacin del usuario, mediante identificacin singular, no bastando con la
sesin establecida.
El Esquema Nacional de Seguridad regula el nivel de seguridad a establecer ante
cualquier tipo de acceso que se pueda producir dentro de las propias instalaciones de
la organizacin. Para ello, el ENS establece exigencias diferentes para cada uno de los
tres posibles niveles en que se pueden encontrar los sistemas.
106
Nivel bajo
El primer requisito que se establece en este nivel es evitar en todo momento el
acceso a la informacin sin un inicio previo. Este es uno de los grandes retos de la
seguridad informtica, porque los sistemas operativos proporcionan infinidad de
mecanismos de seguridad, pero cuando stos se encuentran iniciados. Pero, podemos
proteger la informacin cuando dicho sistema se encuentra en modo offline?
Este reto es posible resolverlo con los nuevos sistemas operativos de Microsoft y
el nuevo hardware disponible. Por un lado, y gracias al avance del hardware, podemos
controlar quin enciende fsicamente un equipo a travs de la tecnologa TPM (Trusted
Platform Module). Esta impide el arranque de la BIOS y, por tanto, del resto del hard-
ware hasta introducir una clave, por teclado o dispositivo extrable, desbloqueando
tras ello el arranque de la BIOS.
Pero tambin tenemos otro tipo de funcionalidad, en este caso por parte del
sistema operativo que impide la manipulacin o acceso a la informacin mientras el
sistema operativo se encuentra parado. Esta funcionalidad es Bitlocker, que permite
el cifrado del disco impidiendo el acceso si no se proporciona previamente una clave,
independientemente del estado del sistema operativo o si se estuviese accediendo a
travs de otro equipo. Esta tecnologa se detalla ms adelante en el apartado de pro-
teccin de los soportes.
Otro de los requisitos del nivel bajo es la proteccin ante ataques de las cuentas
de usuario. Para ello, se requiere que stas se bloqueen tras un intento limitado de
accesos errneos. Windows 7 y Windows Server 2008 proporcionan, mediante direc-
tivas locales o polticas de grupo, la capacidad de bloqueo de cuentas por intentos
errneos de acceso.
La configuracin de estas directivas se debe establecer en funcin de lo indicado

por la poltica de la organizacin, aunque no se debera en ningn caso permitir ms
de 5 intentos errneos.
Tambin otros sistemas servidor de Microsoft, como MS SQL Server, permiten la
configuracin de directivas que establezcan bloqueos de cuentas ante intentos de inicio
de sesin errneos. En este caso, MS SQL Server 2008 R2 proporciona la capacidad de
establecer las mismas polticas de bloqueo de contrasea para sus inicios de sesin
que las definidas en el sistema operativo.
107
El ENS tambin establece

que el sistema deber registrar
todos los intentos de inicios de
sesin, tanto los correctos como
los errneos. Para ello, Win-
dows 7 y Windows Server 2008
R2 proporcionan la capacidad
de auditarlos. Como se puede
ver en la siguiente ilustracin,
mediante directivas locales o
polticas de grupo, existe una
directiva que se puede confi-
gurar para permitir la auditoria
correcta y errnea de los inicios
de sesin (vase la figura de la
derecha).
Finalmente, el ltimo re-
quisito para el nivel bajo de
acceso local es que se debe
informar a los usuarios de sus
obligaciones, inmediatamente
despus de obtener el acceso.
Para este cometido Microsoft no proporciona una funcionalidad ya implementada,
sino que suministra a travs del proveedor de credenciales la capacidad de realizar
este tipo de acciones.
Existe una alternativa de forma directa, aunque no cumple al pie de la letra la
norma del ENS, ya que la notificacin se realiza al usuario antes de iniciar sesin. Para
llevar a cabo esta configuracin, se acta en las directivas locales o polticas de grupo
que se presentan en la siguiente ilustracin.
108
Nivel medio
El nivel medio del Esquema Nacional de Seguridad establece que los usuarios
deben ser informados tras su inicio de sesin de cul fue el ltimo inicio realizado
con esa cuenta.
Windows 7 y Windows Server 2008 R2 proporcionan la capacidad de notificar a

toda cuenta de usuario el ltimo inicio de sesin correcto y el ltimo errneo.
Tras la configuracin de la directiva, cada vez que el usuario inicie sesin de

forma correcta el resultado que ste ver es el que aparece en la primera ilustracin
de la siguiente pgina.
Nivel alto
En el nivel ms alto que se establece en el ENS se requiere cumplir todos los re-
quisitos de los niveles anteriores, ms el cumplimiento que todos los usuarios tengan
limitado el horario, fechas y lugar desde donde acceden a los sistemas.
Para este cumplimiento es estrictamente necesario trabajar bajo el control de

Active Directory, ya que en Windows Server 2008 R2 proporciona la capacidad de
109
establecer el horario de la semana en que cada usuario tendr acceso al sistema. Esta
configuracin se establece a travs de las propiedades de cada cuenta de usuario.
110
A travs de las propiedades de cada cuenta de usuario, Active Directory tambin

permite determinar en qu equipos miembros del dominio el usuario podr acceder al
sistema. Simplemente basta con agregar los equipos a los que tendr acceso a la lista
que aparece en la siguiente ilustracin.
6.1.7. Acceso remoto

Se considera acceso remoto al realizado desde fuera de las propias instalaciones de
la organizacin, a travs de redes de terceros.
Se garantizar la seguridad del sistema cuando accedan remotamente usuarios u otras

entidades, lo que implicar proteger tanto el acceso en s mismo (como [op.acc.6]) como
el canal de acceso remoto (como en [mp.com.2] y [mp.com.3]).
Nivel MEDIO
Se establecer una poltica especfica de lo que puede hacerse remotamente, requirin-

dose autorizacin positiva.
Tambin quedan regulados por el Esquema Nacional de Seguridad los accesos

que se realicen de forma remota sobre el sistema a travs de redes de terceros. Para
ellos el ENS diferencia las exigencias para cada uno de los dos niveles en que se pue-
den encontrar los sistemas.
111
Nivel bajo
El cumplimiento del ENS en materia de acceso remoto implica la proteccin del
acceso tal y como se establece tambin para el acceso local planteado en el apartado
anterior. Se debe observar por otra parte lo establecido para el canal de acceso remoto
en los trminos de proteccin de confidencialidad y de la autenticidad e integridad,
tratado en el apartado Proteccin de las comunicaciones de este manual.
Niveles medio y alto

Ante sistemas que requieran un nivel medio o alto en materia de acceso remoto,
debern cumplirse los requisitos establecidos en el nivel bajo, adems de definir po-
lticas especficas de acceso.
Para la generacin de polticas especficas de acceso remoto de los usuarios,

Microsoft incorpora una nueva funcionalidad en Windows Server 2008 R2 que es el
Servidor de directivas de redes o NPS.
El servicio de acceso y polticas de redes se usa para administrar de forma cen-

tralizada el acceso a la red mediante varios servidores de acceso, como puntos de
acceso inalmbricos, servidores VPN, servidores de escritorio remoto y conmutado-
res de autenticacin 802.1x. Todo ello mediante la generacin de polticas de red que
proporcionan un control granular del acceso al sistema.
112
6.2. Explotacin
Pertenecientes al marco operaciones, se incluyen entre las medidas las designadas
para la explotacin de los servicios. El Esquema Nacional de Seguridad define en ellas
una serie de procesos tanto de control como de gestin que debern llevarse a cabo
por parte de todas las administraciones. Estas medidas son de diferente ndole y se
clasifican en los siguientes apartados:
l Inventario de activos.
l Configuracin de la seguridad.
l Gestin de la configuracin.
l Mantenimiento.
l Gestin de cambios.
l Proteccin frente a cdigo daino.
l Gestin de incidencias.
l Registro de la actividad de los usuarios.
l Registro de la gestin de incidencias.
l Proteccin de los registros de actividad.
l Proteccin de claves criptogrficas.
Dichas medidas atienden a diferentes tareas que deben ser efectuadas por un
departamento informtico. Para su entendimiento y aplicacin, en este libro se agrupan
en funcin de sus objetivos: gestin y configuracin de activos, proteccin y prevencin
frente a incidencias, y sistemas de registros y gestin de logs.
113
6.2.1. Gestin y configuracin de activos

Uno de los problemas que se relacionan indirectamente con el de la seguridad,
y no siempre es adecuadamente tratado por las organizaciones, es el del inventario
de activos. Conocer lo que se posee es una necesidad de toda organizacin. Si no se
realiza un inventario adecuado, difcilmente podrn proponerse medidas de segu-
ridad proporcionales. Aunque se piensa normalmente en los servidores como parte
fundamental de la prestacin de un servicio, no es el nico elemento que participa en
la seguridad, tal y como se entiende en el ENS. Una estacin de trabajo donde opera
un trabajador de cualquier administracin y pueda acceder a una base datos con in-
formacin de ciudadanos, participa tambin en la seguridad general.
El Esquema Nacional de Seguridad exige medidas que permitan trabajar y co-
nocer los activos de la entidad:
Inventario de activos [op.exp.1].
Se mantendr un inventario actualizado de todos los elementos del sistema, detallando
su naturaleza e identificando a su responsable; es decir, la persona que es responsable
de las decisiones relativas al mismo.
Una brecha de seguridad en un sistema no controlado constituye un fallo sig-

nificativo en la seguridad general. Un sistema de la organizacin que no cuente con
antivirus o cortafuegos activos para el equipo puede poner en riesgo las infraestructuras
a ttulo general. Para la realizacin del inventario de activos la organizacin podra
apoyarse en MS System Center Configuration Manager 2007 R2 (SCCM 2007). Tradi-
cionalmente, dentro de las caractersticas aportadas por esta solucin y sus antecesoras,
las del inventariado de hardware y software son algunas de las fundamentales. Sirven
adems como parte de procedimientos posteriores, como el de anlisis y gestin de
licenciamiento o la distribucin de software.
Figura 6.2.1. Explorador

de recursos de SCCM
2007.
114
Sin embargo, con el paso del tiempo a esta solucin se le han agregado otras ca-
ractersticas que pueden ser explotadas para el cumplimiento del Esquema Nacional
de Seguridad. Los componentes de configuracin deseada y Assest Intelligent que
proporciona SCCM 2007 R2, permitiran una evaluacin continua del estado de se-
guridad de los servidores y las estaciones de trabajo, marcando las pautas necesarias
de qu es o no seguro, y estableciendo una mtrica para ello. La seguridad desde este
punto de vista podr ser cuantificada.
Para ello, lo nico que se requiere es definir los parmetros en cuanto a configura-
cin deseada de seguridad: antivirus activo, configuraciones automticas habilitadas,
determinados servicios parados, cuentas administrativas controladas, etctera. For-
malmente, ser la poltica de seguridad la que lo establezca. SCCM 2007 R2 aporta el
resto de elementos necesarios para su funcionamiento: agentes, controles, parmetros e
informes. La siguiente imagen muestra una visin general de una organizacin, donde
se evala el cumplimiento de una serie de medidas por parte de algunos equipos de
la organizacin.
Figura 6.2.2. Anlisis de configuracin deseada en una organizacin.
La capacidad para dimensionar los roles en MS System Center Management Server

2010, permite el cumplimiento de segregacin de funciones que marca el ENS. Los depar-
tamentos de explotacin, con sus responsables correspondientes, podran tener acceso a
determinadas partes de la consola, mientras que el personal relacionado con la seguridad
podra acceder a los elementos de configuracin deseada y sus informes correspondientes.
Las posibilidades que se aportan son mltiples y permiten un control absoluto del estado
115
de seguridad de una organizacin. De hecho, cubriran perfectamente los objetivos

previstos por otras de las medidas exigidas a nivel de operacin.
Configuracin de la seguridad [op.exp.2].
Se configurarn los equipos previamente a su entrada en operacin, de forma que:
a) Se retiren cuentas y contraseas estndar.
b) Se aplicar la regla de mnima funcionalidad:
1 El sistema debe proporcionar la funcionalidad requerida para que la organiza-
cin alcance sus objetivos y ninguna otra funcionalidad.
2 No proporcionar funciones gratuitas, ni de operacin, ni de administracin, ni
de auditora, reduciendo de esta forma su permetro al mnimo imprescindible.
3 Se eliminarn o desactivarn mediante el control de la configuracin, aquellas
funciones que no sean de inters, no sean necesarias, e incluso, aquellas que
sean inadecuadas al fin que se persigue.
c) Se aplicar la regla de seguridad por defecto:
1 Las medidas de seguridad sern respetuosas con el usuario y protegern a ste,
salvo que se exponga conscientemente a un riesgo.
2 Para reducir la seguridad, el usuario tiene que realizar acciones conscientes.
3 El uso natural, en los casos en que el usuario no ha consultado el manual, ser
un uso seguro.
Gestin de la configuracin [op.exp.3].
Se gestionar de forma continua la configuracin de los componentes del sistema de
forma que:
a) Se mantenga en todo momento la regla de funcionalidad mnima ([op.exp.2]).
b) Se mantenga en todo momento la regla de seguridad por defecto ([op.exp.2]).
c) El sistema se adapte a las nuevas necesidades, previamente autorizadas ([op.acc.4]).
d) El sistema reaccione a vulnerabilidades reportadas ([op.exp.4]).
e) El sistema reaccione a incidencias (ver [op.exp.7]).
Las medidas anteriormente definidas tienen bastante relacin con el primer ele-
mento del inventariado. Si en primera instancia se necesita conocer qu hay, en una
segunda se requiere su mantenimiento, tanto en configuracin como en seguridad. Para
ello, nuevamente MS System Center Configuration Manager ofrece funcionalidades
para que estas tareas puedan ser llevadas a cabo con relativa comodidad.
Nuevamente, los sistemas de inventario, ms la caracterstica de configuracin
deseada, permitiran conocer el estado de seguridad de un sistema: analizando el estado
116
de los servidores, evaluando el nmero de administradores existentes, comprobando

si ciertos servicios crticos se encuentran cados o, por el contrario, si otros, que son
potencialmente peligrosos, siguen desactivados. Para evaluar las posibilidades de
uso con respecto a este componente, Microsoft desarroll un paquete de funciones
orientadas a la evaluacin de criterios y seguridad, atendiendo a las normas de uso en
materia de proteccin de datos que se establecen desde Europa. MS Windows Server
2003 Assessment Configuration Pack for European Union Data Protection Directive
(EUDPD) proporciona una buena base para que los administradores de SCCM 2007
R2 puedan hacer uso de los mecanismos de configuracin deseada, pudiendo ser sta
adaptada al cumplimiento del ENS.
Adems, por las capacidades reactivas de esta suite, determinadas condiciones

de seguridad que se hayan visto mermadas podran ser reparadas, lanzando scripts a
travs de su plataforma de distribucin de software. Para detener servicios determina-
dos o para eliminar o crear usuarios, las posibilidades que se ofrecen son numerosas.
Las tareas de diseo y distribucin de sistemas operativos a los sistemas clientes

ocupan tambin un tiempo muy significativo de las tareas de un departamento de
explotacin. Dimensionar y mantener un importante nmero de estaciones de traba-
jo no es fcil, mxime cuando se tienen que plataformar muchas concurrentemente,
preparando imgenes para su despliegue. Sin embargo, esta tarea de realizar instala-
ciones mltiples constituye una necesidad, puesto que si la labor a menudo rutinaria
se realizara individualmente, los riesgos de seguridad planteados seran numerosos.
Es preferible desviar muchos esfuerzos iniciales en crear una imagen de sistema ope-
rativo, con sus aplicaciones correspondientes, que sea segura y slidamente probada,
que no realizar instalaciones individuales que permiten incurrir en mayores fallos de
seguridad.
Nuevamente, SCCM 2007 R2 presenta funcionalidades para el despliegue y ges-

tin de nuevos sistemas operativos. A travs de su mdulo OSD (Operating System
Deployment), se podrn crear imgenes generando secuenciaciones adaptativas, que
podrn ser alteradas con el paso del tiempo. Por ejemplo, se genera de forma inicial
una imagen, pero tras un tiempo en produccin, se evala que sta debe ser reajus-
tada por unos fallos de seguridad que no fueron advertidos inicialmente. MS System
Center Configuration Manager 2007 R2 proporciona mecanismos tanto para alterar
el estado de la imagen y que sea desplegada en los nuevos sistemas ya reajustados,
como para interactuar haciendo los cambios oportunos en los sistemas que ya se
hubieran desplegado.
Para que las tareas de explotacin puedan ser ms dinmicas, Microsoft ha pro-
porcionado una consola de gestin de datos de MS SCCM 2007 R2 integrada en MS
SharePoint Server. Se trata de Configuration Manager Dashboard. De esta forma, los
responsables correspondientes podran acceder a la informacin reportada a nivel de
seguridad tales como la gestin de actualizaciones, estado de salud y cumplimiento de
normas de seguridad estipuladas por la organizacin. El acceso se realizara a travs
de una interfaz web totalmente personalizada, con la disponibilidad de informacin
en tiempo real.
117
Figura 6.2.3. Mdulo de despliegue de sistema operativo en SCCM 2007 R2.
Otro de los productos de reciente aparicin y que ayudar al control y cumpli-

miento de las diferentes tareas de control es MS System Center Service Manager 2010. El
objetivo fundamental de este servicio es minimizar los riesgos provocados por errores
de configuracin, ayudando a resolver incidencias rpidamente. Proporciona procesos
integrados para el control de cambios y la resolucin de incidentes y problemas. A
travs de su base de datos de administracin de configuracin (CMDB) e integracin
de procesos, conecta de manera automtica conocimiento e informacin desde MS
System Center Operations Manager, MS System Center Configuration Manager y los
servicios de dominio de Directorio Activo.
Dentro de las tareas fundamentales que consigna el ENS para el mantenimiento

evolutivo de la seguridad, la definicin de procesos de mantenimiento es importante.
Estos establecen todas aquellas tareas enfocadas a mantener la seguridad o la funcio-
nalidad mediante la adopcin de actualizaciones que debidamente haya comunicado
el fabricante.
Mantenimiento [op.exp.4].
Para mantener el equipamiento fsico y lgico que constituye el sistema, se aplicar

lo siguiente:
a) Se atender a las especificaciones de los fabricantes en lo relativo a instalacin y

mantenimiento de los sistemas.
b) Se efectuar un seguimiento continuo de los anuncios de defectos.
118
c) Se dispondr de un procedimiento para analizar, priorizar y determinar cundo

aplicar las actualizaciones de seguridad, parches, mejoras y nuevas versiones. La
priorizacin tendr en cuenta la variacin del riesgo en funcin de la aplicacin
o no de la actualizacin.
La gestin de actualizaciones atiende a dos naturalezas diferentes, la seguridad y
la mejora de funcionalidades. A veces van de forma pareja, pero no necesariamente. La
administracin de actualizaciones es el proceso de control de la implementacin y man-
tenimiento de las versiones de software provisionales en los entornos de produccin.
Ayuda a mantener la eficacia operativa, solucionar las vulnerabilidades de seguridad
y mantener la estabilidad de un entorno de produccin. Si una organizacin no puede
determinar ni mantener un nivel conocido de confianza en sus sistemas operativos y
software de aplicacin, puede presentar varias vulnerabilidades de seguridad. Si se
aprovechan, se puede producir la prdida de beneficios y de propiedad intelectual.
Para reducir esta amenaza, se debe disponer de sistemas configurados correctamente,
usar el software ms reciente e instalar las actualizaciones de software recomendadas.
Cuando Microsoft pone en marcha su iniciativa Trustworthy Computing (TC),

uno de los efectos que se quera conseguir de forma ms inmediata consista en la
reduccin del tiempo en que una amenaza era efectiva por la existencia de una vulne-
rabilidad. El problema que se planteaba no era solamente que la solucin existiera, sino
que el canal de comunicacin con el personal de TI y la gestin de las actualizaciones
pudiera ser eficiente.
Aos antes de la aparicin de TC se haba puesto en marcha un centro de sistemas

de respuesta de seguridad denominado Microsoft Security Response Center (MSRC).
Los esfuerzos conjuntos de este centro de respuestas, ms las iniciativas que en ma-
teria de seguridad ha puesto en marcha Microsoft, han hecho posible a da de hoy
reducir significativamente los expedientes de seguridad que afectan a los productos
de Microsoft. El MSRC presenta dos objetivos fundamentales. En primer lugar, busca
informacin de forma proactiva acerca de las vulnerabilidades del software, y luego
proporciona avisos y actualizaciones de seguridad que abordan especficamente es-
tas vulnerabilidades. En segundo lugar, monitoriza de forma constante un incidente
de seguridad y responde rpidamente para ayudar a sus clientes a protegerse de las
amenazas de seguridad cuando estas surgen. Una parte fundamental en esta misin
consiste en la evaluacin de los informes que los clientes proporcionan sobre posibles
vulnerabilidades en los productos de Microsoft, y si fuera necesario, garantizar la
preparacin y divulgacin de revisiones y boletines de seguridad que respondan a
estos informes.
El MSRC publica un boletn para cada vulnerabilidad que pudiera, a juicio de

Microsoft, afectar a los sistemas de mltiples clientes, independientemente de su
alcance o probabilidad. No todas las vulnerabilidades afectan de igual modo a todos
los usuarios y sistemas, pero en la medida de lo posible se ha generado un sistema de
clasificacin de gravedad denominado SRS (Severity Rating System). La clasificacin
establece los siguientes niveles:
119
l Crtica. Vulnerabilidad que puede permitir la propagacin de un gusano de

Internet sin la accin del usuario.
l Importante. Vulnerabilidad que puede poner en peligro la confidencialidad,
integridad o disponibilidad de los datos de los usuarios, o bien, la integridad
o disponibilidad de los recursos de procesamiento.
l Moderada. El abuso podra reducirse en gran medida mediante factores
como una configuracin predeterminada, auditora o dificultad de abuso.
l Baja. Vulnerabilidad muy difcil de aprovechar o cuyo impacto es mnimo.
Atendiendo a la gravedad de la vulnerabilidad, el personal de TI podr identifi-
car en qu medida un sistema presenta ms o menos riesgo de seguridad, en caso de
no estar correctamente actualizado. Cuando una vulnerabilidad es puesta en conoci-
miento del MSRC, independientemente de cul sea su procedencia, se desencadena
un proceso reglado para intentar determinar su gravedad y la solucin a la misma.
Todos los grupos de productos de Microsoft cuentan con un equipo de ingeniera de
apoyo, que desarrolla las actualizaciones de software para los problemas localizados
cuando el producto ya se ha lanzado. Una vez localizada una vulnerabilidad de se-
guridad, MSRC y los grupos de productos correspondientes evalan y comprueban
el problema. A continuacin, el equipo de ingeniera de apoyo del grupo de produc-
tos crea y prueba una revisin de seguridad para solucionar el problema, mientras
MSRC trabaja con quien detect la vulnerabilidad para coordinar la publicacin de
informacin pblica por medio de un boletn de seguridad que incluye los detalles
de la revisin de seguridad.
Cuando la solucin se encuentra disponible, hace pblico el expediente y pro-
porciona la solucin que en la mayora de los casos corresponder a una actualizacin
de seguridad. Si por alguna circunstancia la publicacin de un fallo se hace pblico
sin el conocimiento de Microsoft, el proceso de investigacin sigue procesos similares.
No obstante, se podran en estos casos recomendar soluciones temporales hasta que
se ofrezca una solucin final.
Pero en el ENS, no se habla solamente de seguridad en lo concerniente a man-
tenimiento. Tambin es parte del proceso la evaluacin continua para la mejora evo-
lutiva en productos. En este sentido, Microsoft tambin hace un esfuerzo constante.
Las revisiones de producto llevan habitualmente no slo mejoras en rendimiento o
soluciones de fallos descubiertos, sino que aportan nuevas funcionalidades para un
producto determinado.
Adicionalmente a las actualizaciones de seguridad, los sistemas de gestin pro-
porcionan otros tipos de actualizaciones:
l Revisin de seguridad. Correccin muy extendida para un producto espec-
fico, dirigida a una vulnerabilidad de seguridad. Con frecuencia se considera
que una revisin de seguridad tiene una gravedad, que en realidad hace
referencia a la clasificacin de gravedad de MSRC de la vulnerabilidad a la
que va dirigida la revisin de seguridad.
120
l Actualizacin crtica. Correccin ampliamente extendida para un problema

especfico, dirigida a un error crtico relacionado con la falta de seguridad.
l Actualizacin. Correccin muy extendida para un problema especfico,
dirigida a un error que no es crtico pero que est relacionado con la falta
de seguridad.
l Reparacin. Paquete simple que incluye uno o varios archivos utilizados
para solucionar un problema de producto. Las reparaciones tratan situaciones
especficas del cliente; slo estn disponibles a travs de una relacin de asis-
tencia con Microsoft y puede que no se distribuyan fuera de la organizacin
del cliente sin la autorizacin legal por escrito de Microsoft. Anteriormente
se utilizaban los trminos QFE (actualizacin de ingeniera de correccin
rpida), revisin y actualizacin como sinnimos de reparacin.
l Conjunto de actualizaciones. Conjunto de revisiones de seguridad, actua-
lizaciones crticas, actualizaciones y reparaciones que se publican como una
propuesta acumulativa o dirigida a un componente del producto. Permite
la fcil implementacin de varias actualizaciones de software.
l Service Pack. Conjunto acumulado de reparaciones, revisiones de seguridad,
actualizaciones crticas y actualizaciones desde la publicacin del producto y
que incluye varios problemas resueltos que no se han puesto a disposicin por
medio de ninguna otra actualizacin de software. Los Service Pack tambin
pueden incluir una cantidad limitada de caractersticas o cambios de diseo
a solicitud de los clientes. Su distribucin es muy amplia y Microsoft los
prueba con ms rigurosidad que cualquier otra actualizacin de software.
l Service Pack integrado. Combinacin de un producto con un Service Pack
en un nico paquete.
l Feature pack. Nueva caracterstica publicada para un producto que agrega
una funcionalidad. Por lo general, se integra en el producto en su siguiente
versin.
Para una mejor gestin de todo tipo de actualizaciones, Microsoft ha proporciona-
do por un lado herramientas, y por otro procedimientos de uso. Estos procedimientos
permiten que los administradores de TI puedan planificar agendas de cara a la gestin
de actualizaciones. Microsoft hace pblicos sus expedientes y las actualizaciones los
segundos martes de cada mes. Esto no es bice para que en determinada circunstan-
cia, y atendiendo a razones de criticidad, determinados expedientes puedan hacerse
pblicos fuera del ciclo habitual.
Para la gestin de las actualizaciones de todos los productos de Microsoft las

organizaciones cuenta con dos soluciones en funcin del tipo de empresa y de las
estrategias a plantear: MS Windows Server Update Services (WSUS) y MS System
Center Configuration Manager. WSUS constituye la solucin gratuita para la gestin
estructurada de actualizaciones. Representa una solucin perfecta para pequeas y
medianas organizaciones. Las grandes organizaciones ,sin embargo, requieren una
121
mayor flexibilidad que puede ser aportada por MS System Center Configuration
Manager 2007 R2.
MS SCCM 2007 R2 proporciona un rol que se integra dentro de todas las fun-
cionalidades que se proporcionan con la suite. Desde un punto de vista integral del
anlisis constituye la mejor referencia, mxime cuando se encuentra integrado con
las soluciones de despliegue de los sistemas operativos, inventarios o configuracin
deseada entre otras.
Figura 6.2.4. Gestin de actualizaciones con SCCM 2007.
Apoyado en el servicio de informes de MS SCCM R2 proporciona una completa

informacin de estado y gestin de cambios de los equipos. Permite conocer el estado
evolutivo de los equipos, manteniendo soluciones para deshacer un posible estado en caso
de que no hubiera resultado conveniente. Esta medida constituye desde el punto de vista
del ENS otra de las normas de seguridad a contemplar a partir del nivel de categora media.
La plataforma de distribucin de software de MS SCCM R2, independiente del

mdulo de gestin propio de actualizaciones, permitira el despliegue de mejoras de
cualquier producto existente en el mercado. Aunque para esta situacin no ofrece el
mismo control y requiere una intervencin ms manual, permitira la homogeneizacin
en los criterios de despliegue.
Gestin de cambios [op.exp.5].
Se mantendr un control continuo de cambios realizados en el sistema, de forma que:
a) Todos los cambios anunciados por el fabricante o proveedor sern analizados para
determinar su conveniencia para ser incorporados, o no.
122
b) Antes de poner en produccin una nueva versin o una versin parcheada, se

comprobar en un equipo que no est en produccin que la nueva instalacin
funciona correctamente y no disminuye la eficacia de las funciones necesarias
para el trabajo diario. El equipo de pruebas ser equivalente al de produccin en
los aspectos que se comprueban.
c) Los cambios se planificarn para reducir el impacto sobre la prestacin de los
servicios afectados.
d) Mediante anlisis de riesgos se determinar si los cambios son relevantes para la
seguridad del sistema. Aquellos cambios que impliquen una situacin de riesgo
de nivel alto sern aprobados explcitamente de forma previa a su implantacin
A veces, la aplicacin de una actualizacin podra implicar que algn componente
del servicio prestado pudiera fallar o perder parte de su funcionalidad. Con objeto
de minimizar este impacto, deber plantearse un sistema de control o pruebas que
determine la eficacia de la aplicacin de una actualizacin. Aunque las aplicaciones de
Microsoft se presentan altamente testeadas, no se pueden evaluar todos los escenarios
tan heterogneos que es posible presentar con productos de terceros. Como plataforma
de pruebas, los sistemas de virtualizacin constituyen el entorno ideal para la realiza-
cin de los diferentes test. MS System Center Virtual Machine Manager constituye un
sistema ideal en la integracin de Hyper-V para la creacin de escenarios de pruebas.
La presentacin a travs del portal de autogestin con la asignacin de roles, permite
que diferentes departamentos o administradores puedan realizar los tests oportunos
sobre entornos virtuales que emulen los escenarios reales. Para crear esta represen-
tacin se pueden utilizar los mecanismos de virtualizacin de sistemas fsicos. Esta
solucin permite no tener un sistema de pruebas similar al de produccin, sino el
mismo sistema de produccin que virtualizado podr ser utilizado como referencia
para evaluar la funcionalidad de las diferentes actualizaciones.
6.2.2. Proteccin y prevencin frente a incidencias

Dentro de las amenazas a las que se enfrenta una organizacin, las correspon-
dientes al malware constituyen una de las ms conocidas. Sin embargo, no siempre se
plantean los mecanismos de proteccin ms eficientes contra ella. El ENS es consciente
de este hecho y plantea como obligatorio desde el nivel ms bsico contar con sistemas
para bloquear sus acciones maliciosas.
Proteccin frente a cdigo daino [op.exp.6].
Se considera cdigo daino: los virus, los gusanos, los troyanos, los programas espas,
conocidos en terminologa inglesa como spyware, y en general, todo lo conocido
como malware.
Se dispondr de mecanismos de prevencin y reaccin frente a cdigo daino con
mantenimiento de acuerdo a las recomendaciones del fabricante.
La adquisicin por parte de Microsoft de las compaas GeCAD Software Srly

Sybaria tenda a una estrategia para asumir soluciones lderes en la lucha contra el
123
malware. La solucin de GeCAD desemboc finalmente en las soluciones Security

Essentials para entornos domsticos y MS Forefront Client Security (FCS) para em-
presas, que en el ao 2010 evolucion en MS Forefront Endpoint Protection 2010. El
motor que incorporan estos productos ostenta unos grandes resultados en diferentes
tests que realizan diferentes organizaciones.
En Av-comparatives, los estudios basados en anlisis de heurstica de com-

portamiento presentan este motor como uno de los mejores entre los analizados. En
este anlisis se utiliza una misma mquina en las mismas condiciones para todos los
antivirus. Se provee a las soluciones de una firma correspondiente a un mismo da,
pasando a ejecutar posteriormente diferentes tipos de malware que han hecho su
aparicin 10 das despus de la firma a testear. Puesto que los diferentes antimalware
no contarn con la firma para detectar los virus, debern contar nicamente con sus
sistemas basados en anlisis de comportamiento para detectar la presencia del malware.
El test persigue dos objetivos concretos, determinar el ndice de acierto en deteccin y
evaluar el nmero de falsos positivos que puede llegar a dar el antivirus. En el anlisis
de mayo de 2010 el motor obtena la calificacin ms alta asignable en el cmputo final
de los tests, con unos nmeros altos en la deteccin proactiva sumados a un nmero
muy bajo de falsos positivos.
Sin embargo, no todos son nmeros y a estos hay que acompaarlos de un sistema
de gestin coherente y proporcionado. Adems, la gestin de alertas y la gestin de la
seguridad frente a incidencias tambin cuenta para el ENS a partir del nivel medio.
Gestin de incidencias [op.exp.7].
Se dispondr de un proceso integral para hacer frente a los incidentes que puedan
tener un impacto en la seguridad del sistema, incluyendo:
a) Procedimiento de reporte de incidentes reales o sospechosos, detallando el escalado

de la notificacin.
b) Procedimiento de toma de medidas urgentes, incluyendo la detencin de servicios,
el aislamiento del sistema afectado, la recogida de evidencias y la proteccin de los
registros segn convenga al caso.
c) Procedimiento de asignacin de recursos para investigar las causas, analizar las
consecuencias y resolver el incidente.
d) Procedimientos para informar a las partes interesadas, internas y externas.
e) Procedimientos para:
1 Prevenir que se repita el incidente.
2 Incluir en los procedimientos de usuario la identificacin y forma de tratar el
incidente.
3 Actualizar, extender, mejorar u optimizar los procedimientos de resolucin de
incidencias. La gestin de incidentes que afecten a datos de carcter personal
124
tendr en cuenta lo dispuesto en la Ley Orgnica 15/1999, de 13 de diciembre,

y normas de desarrollo, sin perjuicio de cumplir, adems, las medidas estable-
cidas por este real decreto.
A travs de la consola de MS Forefront Client Security y la que vendr integrada
con System Center Configuration Manager 2007 R2 de MS Forefront Endpoint Pro-
tection 2010, los administradores de seguridad tendrn informacin en tiempo real
de las incidencias que se den en sus sistemas. No slo en lo relativo a problemas de
malware, sino tambin de otras incidencias relacionadas con la seguridad. MS FCS y
FEP incluyen tambin un componente para el control de la seguridad en los equipos
y permite evaluar fallos existentes en los mismos que puedan provocar brechas de
seguridad en las organizaciones.
Figura 6.2.5. Gestin de riesgos con MS Forefront Cliente Security.
A travs de la consola de administracin puede implementarse un sistema de

gestin de alertas eficiente. Podrn conocerse los riesgos a los que se enfrenta la orga-
nizacin y notificarlos adecuadamente al personal correspondiente.
Sin embargo, las soluciones antimalware que pueden disponer las organizacio-
nes, van ms all de las que se disponen sobre los sistemas operativos. A travs de
las soluciones de proteccin para correo electrnico, de gestin de contenido o de
125
defensa perimetral, la organizacin puede expandir los mecanismos de proteccin

contra el malware. MS Forefront Protection for Exchange 2010, MS Forefront Protec-
tion for SharePoint 2010 y MS Forefront Threat Management Gateway 2010, aportan
funcionalidades para la proteccin en mltiples escenarios. La labor combinada de
todos proporciona cotas de defensa altsimas, sumando las capacidades multimotor
de los sistemas MS Forefront Protection a la gestin, segmentacin y control de trfico
que aporta MS Forefront TMG 2010.
La centralizacin de toda la informacin a travs de MS System Center Operation
Manager, con los Management Pack correspondientes para cada producto, permite
una visin global de la seguridad. De esta forma, se entiende la seguridad centralizada
de productos, y una capacidad para ofrecer reacciones ante amenazas e incidencias.
6.2.3. Sistemas de registros y gestin de logs

La trazabilidad de un sistema constituye una necesidad para evaluar las poten-
ciales incidencias que ha sufrido una entidad. Pero tambin la facultan como defensa
en un caso judicial, donde se requieran unas evidencias que demuestren un potencial
ataque o acto malintencionado efectuado por alguno de sus empleados. Los registros
son esenciales para la resolucin de conflictos y aportan datos suficientes para arro-
jar luz sobre situaciones de difcil solucin. Sin embargo, los sistemas de registro no
son exigidos en todos los escenarios de servicios de la Administracin Pblica. Slo
sern preceptivos en la categorizacin alta o media. Las dos primeras medidas que se
citan a continuacin slo se debern tener en cuenta en servicios categorizados con
el nivel ms alto.
Registro de la actividad de los usuarios [op.exp.8].

Se registrarn todas las actividades de los usuarios en el sistema, de forma que:
a) El registro indicar quin realiza la actividad, cundo la realiza y sobre qu in-
formacin.
b) Se incluir la actividad de los usuarios y, especialmente, la de los operadores y
administradores del sistema en cuanto pueden acceder a la configuracin y actuar
en el mantenimiento del mismo.
c) Deben registrarse las actividades realizadas con xito y los intentos fracasados.
d) La determinacin de qu actividades deben registrarse y con qu niveles de detalle
se determinar a la vista del anlisis de riesgos realizado sobre el sistema ([op.
pl.1]).
Proteccin de los registros de actividad [op.exp.10].
Se protegern los registros del sistema, de forma que:
a) Se determinar el periodo de retencin de los registros.
b) Se asegurar la fecha y hora. Vase [mp.info.5].
126
c) Los registros no podrn ser modificados ni eliminados por personal no autorizado.

d) Las copias de seguridad, si existen, se ajustarn a los mismos requisitos.
Los sistemas operativos que proporciona Microsoft cuentan con un sistema de
registro de actividades. Recogen diferentes tipos de eventos relativos al registro de
Windows accesibles a travs del Visor de Sucesos en formato de auditora. El estable-
cimiento de estas auditoras se lleva a efecto a travs de las directivas de seguridad.
Las auditoras que se realizan a nivel de sistema presentan dos posibilidades:
l Una auditora correcta es aquella que emite resultados satisfactorios cuando
se han cumplido todas las condiciones para que el hecho se pudiera dar. Por
ejemplo, un usuario que elimina un fichero puesto que tena los permisos
correspondientes para poder hacerlo.
l Una auditora errnea es aquella que emite resultados cuando no se dan las
condiciones establecidas. Por ejemplo, se producir una auditora errnea
cuando un usuario intente eliminar un fichero para el cual no tena permiso.
Los ltimos sistemas operativos incorporan el nuevo sistema de eventos, MS
Windows Eventing 6.0, que permite una mejora para la gestin de eventos de segu-
ridad y establecer mecanismos de correlacin para los mismos. Entre los elementos
destacados, MS Windows Eventing presenta una nueva consola, permitiendo la ge-
neracin de vistas personalizadas y un texto descriptivo mejorado. El sistema de MS
Windows Eventing 6.0 basa su funcionalidad en un motor de xml, lo que permite una
mayor escalabilidad y accesibilidad. Almacenar la informacin en formato xml permite
que soluciones particulares puedan acceder a dicha informacin aprovechando las
caractersticas y la potencia del sistema en xml.
Al establecer las auditoras a travs de las directivas, se especifican una serie de
categoras para determinar diferentes evaluadores en lo referente a la seguridad, de
tal forma que se debe plantear si necesitamos o no habilitar las auditoras correctas y
errneas para cada una de las circunstancias que se pudiesen producir. Estas son las
diferentes categoras que referencian auditoras:
l Inicio de sesin.
l Inicio de sesin de cuenta.
l Administracin de cuentas.
l Acceso a objetos.
l Accesos del servicio de directorio.
l Usos de privilegios.
l Seguimiento de procesos.
l Sucesos del sistema.
l Cambio de directivas.
127
Figura 6.2.6. Configuracin de auditora de seguridad.
Sin embargo, estas auditoras presentan un sistema de granularidad que permite

subdividir y activar diferentes subcategoras. Se trata de las directivas de auditora
granular (GAP). Este sistema permite sobre todo filtrar la informacin importante
de la que no lo es limitando la cantidad de informacin recibida a la estrictamente
necesaria. Las diferente subcategoras en las que han quedado definidas las categoras
principales son:
l Sistema.
n Cambio de estado de seguridad.
n Extensin del sistema de seguridad.
n Integridad del sistema.
n Controlador IPsec.
n Otros eventos de sistema.
l Inicio/cierre de sesin.
n Inicio de sesin.
n Cerrar sesin.
n Bloqueo de cuenta.
n Modo principal de IPsec.
n Modo rpido de IPsec.
n Modo extendido de IPsec.
128
n Inicio de sesin especial.

n Otros eventos de inicio y cierre de sesin.
n Servidor de directivas de redes.
l Acceso de objetos.
n Sistema de archivos.
n Registro.
n Objeto de Kernel.
n SAM.
n Servicios de certificacin.
n Aplicacin generada.
n Manipulacin de identificadores.
n Recurso compartido de archivos.
n Filtrado de paquetes.
n Filtrados de conexin.
n Otros eventos de acceso a objetos.
l Uso de privilegios.
n Uso de privilegio confidencial.
n Uso de privilegio no confidencial.
n Otros eventos de uso de privilegio.
l Seguimiento detallado.
n Creacin del proceso.
n Finalizacin del proceso.
n Actividad DPAPI.
n Eventos de RPC.
l Cambio de plan.
n Cambio en la directiva de auditora.
n Cambio de la directiva de autenticacin.
n Cambio de la directiva de autorizacin.
n Cambio de la directiva del nivel de reglas de MPSSVC.
129
n Cambio de la directiva de Filtering Platform.

n Otros eventos de cambio de directivas.
n Administracin de cuentas de usuario.
n Administracin de cuentas de equipo.
n Administracin de grupos de seguridad.
n Administracin de grupos de distribucin.
n Administracin de grupos de aplicaciones.
n Otros eventos de administracin de cuentas.
l Acceso Servicio de Directorio.
n Acceso del servicio de directorio.
n Cambios de servicio de directorio.
n Replicacin del servicio de directorio.
n Replicacin del servicio de directorio detallada.
n Inicio de sesin de la cuenta.
n Validacin de credenciales.
n Operaciones de vales de servicio Kerberos.
n Otros eventos de inicio de sesin de cuentas.
n Servicio de autenticacin Kerberos.
Atendiendo a las necesidades del ENS, de la auditora de usuarios y especial-
mente de los operadores y administradores del sistema, se estima como necesaria la
activacin de las auditoras sobre los siguientes elementos:
l Inicio de sesin.
l Inicio de sesin de cuenta.
l Acceso a objetos.
l Usos de privilegios.
l Cambio de directivas.
Qu sistemas deberan verse afectados por las mismas? Esto depender de las
condiciones y escenarios planteados por la organizacin. En el caso de contar con una
130
infraestructura de Active Directory, deberan establecerse en todos los controladores

de dominio. Pero tambin los de inicio de sesin y uso de privilegios en todos aquellos
servidores que proporcionen soporte a los servicios. En el caso de los servidores de
ficheros deberan establecerse tambin las relativas al acceso a objetos.
Para una informacin ms detallada de todos los registros podr remitirse a la

informacin que con respecto al mismo puede encontrar en el artculo referenciado
en la siguiente direccin URL.
http://support.microsoft.com/kb/947226/es
Pero no solamente el sistema operativo presenta sistemas de registro. Los di-

ferentes servicios que aportan la infraestructura Microsoft cuentan con sus propios
sistemas de registro: MS Internet Information Server, MS SQL Server, MS Exchange
Server, MS SharePoint Server o los productos MS Forefront proporcionan registros
que arrojarn informacin de inters sobre situaciones crticas.
Toda esta informacin podr ser utilizada en casos forenses, permitiendo dilucidar
problemas que puedan derivar en acciones judiciales o administrativas, tal y como
determina otra de las medidas establecidas en el ENS.
Registro de la gestin de incidencias [op.exp.9].

Se registrarn todas las actuaciones relacionadas con la gestin de incidencias, de
forma que:
a) Se registrar el reporte inicial, las actuaciones de emergencia y las modificaciones
del sistema derivadas del incidente.
b) Se registrar aquella evidencia que pueda, posteriormente, sustentar una demanda
judicial, o hacer frente a ella, cuando el incidente pueda llevar a actuaciones disci-
plinarias sobre el personal interno, sobre proveedores externos o a la persecucin
de delitos. En la determinacin de la composicin y detalle de estas evidencias, se
recurrir a asesoramiento legal especializado.
c) Como consecuencia del anlisis de las incidencias, se revisar la determinacin de
los eventos auditables.
El problema al que se enfrentar la organizacin es cmo consolidar y catalizar
cada uno de ellos. Para ello, el rol de Auditor Colector System (ACS) de MS System
Center Operation Manager 2007 R2 podra ser de una ayuda significativa. ACS servir
a las organizaciones para consolidar registros de seguridad individuales en una base
de datos administrada centralmente. Permite tambin filtrar los eventos generados.
Pero tambin proporciona la capacidad para la correlacin de logs al permitir el an-
lisis de datos y proporcionar herramientas para la generacin de informes a travs del
servicio de reporting de MS SQL Server. La seguridad que proporciona ACS faculta
que slo un usuario que haya recibido especficamente el derecho para tener acceso
a la base de datos de ACS, puede ejecutar consultas y crear informes sobre los datos
recopilados. Esto permite la segregacin de funciones y la proteccin de los registros,
manteniendo altos perodos de retencin de los registros.
131
Para la implementacin y funcionalidades de ACS intervienen tres componentes:
l Reenviadores de ACS. Incluido en el agente de Operation Manager de los

servidores sujetos a recopilacin de informacin, recoger los diferentes
eventos locales que se hayan establecido.
l Recopilador de ACS. Este servicio ser el encargado de recibir y procesar
todos los eventos que remitan los diferentes reenviadores. Tras procesarlos
se enviarn los datos a la base de datos de ACS. Este proceso incluye el des-
ensamblado de los mismos con el fin de incluirlos en varias tablas en la base
de datos de ACS. Con ello, se consigue minimizar la redundancia de datos,
as como aplicar filtros para que no se almacenen eventos innecesarios.
l Base de datos de ACS. La base de datos de ACS es el repositorio central
para eventos que se generan a partir de una directiva de auditoras en una
implantacin de ACS.
La idea fundamental de trabajo es que los agentes en los servidores o estaciones
de trabajo correspondientes recuperarn los registros del sistema. Estos sern enviados
a los recopiladores correspondientes. Este hecho marca un proceso transcendental
puesto que desde este momento, stos quedan totalmente aislados de la persona que
administra el servidor, y aunque ste los eliminara intencionadamente se mantendra
una copia de los mismos en el servidor de recopilacin. Se desva de esta forma el
procedimiento de retencin de logs de los servidores al servicio de ACS, que al ser
manejados en una base de datos permite que se haga de forma ms eficiente.
Los recopiladores sern los encargados de tratar la informacin recibida. Podrn

cribar o tratar adecuadamente los registros en base a los parmetros que se establezcan,
por ejemplo dimensionarlos ms adecuadamente de cmo se originan en sus sistemas
respectivos. Para ello se realiza un tratamiento de normalizacin para su almacena-
miento en la base de datos. El objetivo es que al emplear mecanismos de correlacin
y generacin de informes, stos sean adecuados y no generen discrepancias en su
tratamiento.
Las ltimas de las medidas que se exigen a nivel de explotacin corresponden a la

proteccin de claves criptogrficas. Aunque se enuncia a continuacin lo que se expresa
en lo concerniente a explotacin, los sistemas de cifrado se tratarn especficamente
en pginas posteriores del libro. Solamente tener en cuenta de forma preceptiva los
procedimientos exigidos en la siguiente medida para categoras baja y media o alta.
Proteccin de claves criptogrficas [op.exp.11].
Las claves criptogrficas se protegern durante todo su ciclo de vida: (1) generacin,
(2) transporte al punto de explotacin, (3) custodia durante la explotacin, (4) archivo
posterior a su retirada de explotacin activa y (5) destruccin final.
Categora BSICA
a) Los medios de generacin estarn aislados de los medios de explotacin.
132
b) Las claves retiradas de operacin que deban ser archivadas, lo sern en medios
aislados de los de explotacin.
Categora MEDIA
a) Se usarn programas evaluados o dispositivos criptogrficos certificados.

b) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
6.3. Proteccin de los equipos

Tal y como se ha expresado a lo largo del libro, la seguridad en su concepto gene-
ral afecta a la totalidad de los sistemas. El Esquema de Seguridad Nacional recoge, a
travs de sus medidas, la necesidad de proteger de igual forma servicios e informacin.
Tambin las estaciones de trabajo y los puestos de trabajo se encuentran supeditadas
a la norma y son atendidos por sta de forma expresa.
No hay que olvidar que muchas de las acciones enfocadas al tratamiento de los
datos y los servicios se realizan desde estaciones de trabajo. La administracin de los
servidores, el acceso a bases de datos o la gestin de usuarios, entre otras, son accio-
nes habituales que se realizan desde ellas. Son frecuentemente un punto vulnerable
dentro de la escena de seguridad, por lo que merecen un tratamiento especial y as
se recoge en el ENS.
Es cierto que determinados aspectos fundamentales, como los procesos de au-

tenticacin o las comunicaciones, son acciones importantes que se inician desde los
equipos. En las medidas previstas como marco de proteccin en el Esquema Nacional
de Seguridad, las relativas a equipos son las siguientes:
l Puesto de trabajo despejado.

l Bloqueo del puesto de trabajo.
l Proteccin de porttiles.
l Medios alternativos.
La primera de las medidas persigue dos objetivos fundamentales: garantizar un
uso eficiente de los medios disponibles y proteger frente a incidencias el material fsico
utilizado para el cumplimiento de las funciones del personal. Las medidas previstas en
el Esquema Nacional de Seguridad para la proteccin de equipos desde este punto de
vista, difieren en funcin del nivel de criticidad de la organizacin, y son las siguientes:
5.3.1 Puesto de trabajo despejado [mp.eq.1].
Categora BSICA
Se exigir que los puestos de trabajo permanezcan despejados, sin ms material encima
de la mesa que el requerido para la actividad que se est realizando en cada momento
133
Categora MEDIA
Este material se guardar en lugar cerrado cuando no se est utilizando.
Sin embargo, las medidas de proteccin van ms all de lo puramente fsico.

La proteccin del equipo se debe extender ms all del momento en que el usuario
se encuentra sentado en su puesto de trabajo y operando con el equipo. Cuando una
persona deja su equipo y ste tiene su sesin iniciada, almacena y mantiene de forma
activa mecanismos que pueden permitir que otra persona acceda a datos que de otra
forma no estaran a su alcance. Bien mediante los mecanismos de Single Sign On o de
autenticacin integrada, las credenciales almacenadas en un equipo permitiran el ac-
ceso a portales o aplicaciones internas, servicios de ficheros, y otros elementos crticos.
Eso sin contar con el hecho habitual de que los usuarios de los equipos, por
cuestiones de comodidad, hayan almacenado o hagan uso de la funcin recordar cre-
denciales proporcionada por el sistema. Abandonar el equipo sin la debida proteccin
podra implicar un acto de imprudencia y, por ello, el ENS exige el cumplimiento de
medidas. Si el usuario no tiene capacidad de previsin, el sistema deber hacer dicha
tarea automticamente en aquellos sistemas de categora media o alta.
Bloqueo de puesto de trabajo [mp.eq.2].
Nivel MEDIO
El puesto de trabajo se bloquear al cabo de un tiempo prudencial de inactividad,

requiriendo una nueva autenticacin del usuario para reanudar la actividad en curso.
Nivel ALTO
Pasado un cierto tiempo, superior al anterior, se cancelarn las sesiones abiertas desde
dicho puesto de trabajo.
Los sistemas operativos a travs de las directivas de seguridad de Windows

proporcionan mecanismos para el cumplimiento de estas medidas. Como ya se ha
comentado, cuando se habla de sesiones hay que tener en cuenta que stas pueden
ser de dos tipos:
l Autenticacin local.
l Autenticacin en red.
En ambas circunstancias, el abandono del equipo sin haber cerrado la sesin per-
mitira que sta, bien sea local o iniciada en red, permaneciera abierta. Las siguientes
directivas permiten bloquear o suspender sesiones de ambos tipos.
Para poder bloquear una sesin local, se habilita el protector de pantalla del
escritorio. Cuando se activa el salvapantallas, la sesin se bloquea automticamente
y su recuperacin exige la introduccin de credenciales para que se desbloquee. La
Figura 6.3.1 muestra el lugar donde localizar dicha directiva.
134
Figura 6.3.1. Directiva para habilitar el protector de pantalla.
Si se deshabilita esta configuracin, no se podrn establecer contraseas para

los protectores de pantalla y se deshabilita la seccin Protector de pantalla del cuadro
de dilogo Configuracin del protector de pantalla. En consecuencia, los usuarios no
podrn cambiar las opciones establecidas para el protector de pantalla.
Si se habilita, se ejecutar un protector, siempre que se cumplan dos condiciones:
l Que un protector de pantalla vlido en el cliente se establezca mediante la

opcin Nombre del archivo ejecutable del protector de pantalla o mediante
el Panel de control en el equipo cliente.
l Que el tiempo de espera del protector de pantalla se establece en un valor
diferente de cero mediante la configuracin o a travs del Panel de control.
Para impedir que esta accin pueda ser alterada localmente, se podr activar
tambin la opcin de Impedir cambiar el protector de pantalla. En el caso de la sesiones de
red, podrn activarse las siguientes directivas correspondientes al equipo.
Servidor de red Microsoft: desconectar a los clientes cuando expire el tiempo de inicio de
sesin. Esta configuracin de seguridad, determina si se va a desconectar a los usua-
rios conectados al equipo local fuera de las horas de inicio de sesin establecidas para
su cuenta de usuario. Afecta al componente Bloque de mensajes del servidor (SMB).
Cuando se habilita esta directiva, fuerza la desconexin de las sesiones de clien-

te con el servicio SMB cuando las horas de inicio de sesin del cliente expiren. Si se
deshabilita esta directiva, se permite mantener una sesin de cliente establecida una
135
vez expiradas las horas de inicio de sesin del cliente. La Figura 6.3.2 muestra el lugar
donde se encuentra dicha directiva.
Servidor de red Microsoft: tiempo de inactividad requerido antes de suspender la sesin.

Esta configuracin de seguridad determina el perodo de tiempo de inactividad con-
tinuo que debe transcurrir en una sesin del Bloque de mensajes del servidor (SMB)
para que sta se suspenda por falta de actividad.
Los administradores pueden usar esta directiva para controlar cundo suspende
el equipo una sesin SMB inactiva. Si la actividad del cliente se reanuda, la sesin se
restablecer automticamente. En la configuracin de esta directiva, el valor 0 equi-
vale a desconectar la sesin inactiva tan pronto como sea razonablemente posible. El
valor mximo es 99999, que equivale a 208 das. En la prctica, este valor deshabilita
la directiva. De forma predeterminada, los valores especificados son de 15 minutos
para los servidores y sin definir para las estaciones de trabajo.
Figura 6.3.2. Directiva para la desconexin de clientes cuando expire la hora de inicio de sesin.
Seguridad de red: forzar el cierre de sesin cuando expire la hora de inicio de sesin. Esta
configuracin de seguridad determina si se desconecta a los usuarios conectados al
equipo local fuera de las horas de inicio de sesin vlidas de la cuenta de usuario. Esta
configuracin afecta al componente Bloque de mensajes del servidor (SMB). Cuando se
habilita esta directiva, fuerza la desconexin de las sesiones de cliente con el servidor
SMB cuando las horas de inicio de sesin del cliente expiren. Si se deshabilita esta
directiva, se permite mantener una sesin de cliente establecida una vez expiradas las
horas de inicio de sesin del cliente.
La seguridad establecida a travs de esta directiva funciona como una de tipo

cuenta. Para las cuentas de dominio, slo podr existir una directiva de tipo cuenta.
sta se debe definir por lo tanto a travs de la directiva de dominio predeterminada y
la exigen los controladores de dominio que forman el dominio. Los controladores de
136
Figura 6.3.3. Directiva que establece el tiempo de inactividad antes de suspender una sesin.
dominio siempre extraen la directiva de cuenta del objeto de directiva de grupo (GPO)
de la directiva de dominio predeterminada, incluso si hay una directiva de cuenta di-
ferente aplicada a la unidad organizativa que contiene el controlador de dominio. De
manera predeterminada, las estaciones de trabajo y los servidores unidos a un dominio,
por ejemplo equipos miembros, tambin reciben la misma directiva de cuenta para sus
cuentas locales. La configuracin de Kerberos no se aplica a los equipos miembros.
Figura 6.3.4. Directiva para forzar el cierre de sesin cuando expire la hora de inicio de sesin.
137
En relacin con los sistemas de uso de servicios integrados en Directorio Activo,

hay que tener tambin presente lo relativo al uso de Tickets Kerberos. Estos se utilizan
para acceder a los servicios de la organizacin que utilicen Kerberos como mecanismo
de identificacin. Debern establecerse tambin valores para limitar su uso ms all
de un tiempo establecido para las siguientes circunstancias:
l Vigencia mxima de Tickets de usuario.

l Vigencia mxima de renovacin para Tickets de usuario.
l Vigencia mxima de Tickets de servicio.
Figura 6.3.5. Gestin de las vigencias mximas de uso de los Tickets Kerberos.
Para una mejor aplicacin de las directivas en infraestructura de Directorio activo,

podr hacerse uso de los objetos de poltica de grupo. Esto permitir un mejor control
a la hora de aplicarlas, permitiendo configuraciones diferentes en funcin de las nece-
sidades y las polticas estipuladas por la organizacin. No todos los equipos y usuarios
seguramente cuenten con las mismas prerrogativas, y aplicar las polticas desde el
dominio, a travs de su estructura lgica, permitir una mayor eficacia en la gestin.
En lo que respecta a la proteccin de los equipos un aspecto crtico es aquel que

afecta a los equipos porttiles. Aunque la seguridad involucra a todos los elementos
de una organizacin, debern cuidarse especialmente aquellos dispositivos que sal-
gan fuera de sus instalaciones. Los equipos porttiles han aportado una movilidad
necesaria, pero hace imprescindible extender la seguridad ms all del rea de admi-
nistracin tpica de una organizacin.
138
No hay ms que fijarse en la posibilidad de que un equipo pueda ser extravia-

do, robado, o bien que sea utilizado en entornos de dudosa confianza. Si este equipo
contuviese informacin crtica de una organizacin, sta se encontrara expuesta a
ataques alternativos que de otra forma no hubieran sido factibles: por ejemplo, si el
usuario mantiene un fichero de uso de claves de acceso a la organizacin en su escri-
torio. Aunque no se conociesen las credenciales de acceso al equipo, un arranque de
tipo offline con un Live-CD permitira acceder a la informacin existente en el mismo.
Puesto que no se puede garantizar una seguridad fsica, se promueve el uso de

medidas alternativas para garantizar la seguridad de los datos.
Proteccin de porttiles [mp.eq.3].
Categora BSICA
Los equipos que abandonen las instalaciones de la organizacin y no puedan benefi-

ciarse de la proteccin fsica correspondiente, con un riesgo manifiesto de prdida o
robo, sern protegidos adecuadamente.
Sin perjuicio de las medidas generales que les afecten, se adoptarn las siguientes:
a) Se llevar un inventario de equipos porttiles junto con una identificacin de la

persona responsable del mismo y un control regular de que est positivamente
bajo su control.
b) Se establecer un canal de comunicacin para informar, al servicio de gestin de
incidencias, de prdidas o sustracciones.
c) Se establecer un sistema de proteccin perimetral que minimice la visibilidad
exterior y controle las opciones de acceso al interior cuando el equipo se conecte a
redes, en particular si el equipo se conecta a redes pblicas.
d) Se evitar, en la medida de lo posible, que el equipo contenga claves de acceso
remoto a la organizacin. Se considerarn claves de acceso remoto aquellas que
sean capaces de habilitar un acceso a otros equipos de la organizacin, u otras de
naturaleza anloga.
Categora ALTA
a) Se dotar al dispositivo de detectores de violacin que permitan saber si el equipo

ha sido manipulado y activen los procedimientos previstos de gestin del incidente.
b) La informacin de nivel alto almacenada en el disco se proteger mediante cifrado.
Para garantizar la seguridad de los sistemas internos, se requieren procedimientos

y medidas que pongan en conocimiento las incidencias que afecten a los dispositivos
mviles. Entre ellos, mecanismos de notificacin que permitan que una persona que
sufra un incidente relacionado con la prdida o robo de un equipo porttil pueda
comunicarlo oportunamente.
139
En las conexiones en lugares tales como hoteles, aeropuertos o zonas Wi-Fi, la

conexin a la sede implica la implantacin de mecanismos que garanticen una conexin
cifrada. Los medios que a menudo se ofrecen en estos escenarios son inalmbricos. Aun
cuando se proporcionen sistemas basados en clave para su acceso, WEP (Wired Equiva-
lent Privacy) o WPA (Wi-Fi Protected Access), stos no ofrecen la seguridad oportuna.
Un potencial atacante que se encontrara en la misma red Wi-Fi, y que conozca la clave
correspondiente de acceso a ella, podra robar informacin de los datos en trnsito.
Para evitar este hecho podran emplearse mecanismos de acceso basados en

redes virtuales privadas (VPN) o portales seguros de gestin de acceso. En el caso de
las redes VPN, las premisas son:
l Conexin que establezca un tunneling. Para ello, se realizar un tnel lgi-

co, entre el origen y el destino. Esto permite una comunicacin segura entre
redes privadas a travs de redes pblicas como Internet. El establecimiento
de dicho tnel puede realizarse en diferentes capas de la conexin.
l Conexin encapsulada. El encapsulamiento va a permitir que diferentes
tipos de protocolos y servicios puedan ser encaminados a travs de una red
pblica como puede ser Internet.
l Conexin cifrada. El intercambio de datos entre los extremos se cifrar ga-
rantizando la privacidad de los mismos.
l Conexin autenticada. Para impedir que la conexin sea realizada por cual-
quiera, la conexin podr ser autenticada a nivel de usuario.
En el mbito Microsoft, varios son los servicios que permiten proporcionar co-
nexiones de tipo VPN:
l Sistema operativo servidor como Windows Server 2008 R2, a travs de sus
roles de acceso remoto y su servidor de polticas de red.
l Microsoft Forefront Threat Management Gateway 2010.
l Microsoft Forefront Unified Access Gateway 2010.
Aunque los tres mecanismos son vlidos para establecer conexiones de tipo VPN,
los dos ltimos ofrecen garantas alternativas para el establecimiento de la conexin
segura. Microsoft Forefront TMG 2010 integra la solucin de VPN dentro de las carac-
tersticas de firewall que proporciona. Entendida desde el soporte multired, garantiza
el control de trfico entre la red de VPN y las diferentes redes a las que da soporte de
infraestructura. (Vase la Figura 6.3.6.)
No slo se garantiza el acceso seguro, sino que ste, y en funcin del usuario, se
permitir o denegar el acceso al resto de redes y servicios de la organizacin. En esta
circunstancia y de forma predeterminada, mientras el usuario tenga activa la conexin
VPN, cualquier acceso a Internet se realizar a travs de la misma. Esto garantiza un
aislamiento de la conexin, impidiendo que de forma concurrente el cliente VPN est
140
Figura 6.3.6. Configuracin de la conexin de clientes VPN en MS Forefront TMG 2010.
conectado a la red del sistema interno e Internet. Se evita as que se convierta en un

puente de conexin que no tendra por qu estar debidamente controlado.
MS Forefront UAG 2010 ofrece conectividad a travs de un portal de acceso a

servicios de la organizacin. Los mecanismos de seguridad adicionales ofrecen seguri-
dad de tipo Endpoint. Esto permitir marcar las condiciones de seguridad que deber
presentar un equipo remoto para el acceso a los diferentes servicios. Si un equipo no
cuenta entre sus sistemas de defensa con un antivirus, un firewall, un nivel apropiado
de actualizacin o incumple cualquier norma marcada por la organizacin a travs de
las polticas de seguridad, el acceso no se realizar, o bien ser parcial. Esto permitira
acceder solamente a servicios no crticos de la organizacin. (Vase la Figura 6.3.7.)
Como se muestra en la imagen anterior, determinados servicios presentados a

travs del portal de acceso no se encuentran disponibles porque el equipo cliente no
contaba con los requisitos de seguridad exigidos por la organizacin. Tambin entre los
servicios que se ofrecen en MS Forefront Unified Access Gateway 2010 se encuentran
los de conexin de redes virtuales privadas (VPN). Los tipos de tneles que admiten
tanto MS Forefront UAG, como los citados anteriormente son:
l PPTP (Point To Point Tunneling Protocol).

l L2TP (Layer 2 Tunneling Protocol) sobre IPsec (IP Security).
l SSTP (Secure Socket Tunneling Protocol).
141
Figura 6.3.7. Acceso a la organizacin a travs de la seguridad Endpoint.
En la comunicacin VPN, y con el objeto de garantizar la seguridad de los datos, la

informacin de forma convencional es cifrada y encapsulada en el protocolo PPP (Point
to Point Protocol). Sin embargo, PPP no ofrece mecanismos por s mismo para garantizar
la seguridad en el proceso de autenticacin, por lo que depender exclusivamente del
protocolo utilizado para ello. Si ste es dbil, como CHAP (Challenge Handshake Authen-
tication Protocol) o MS-CHAPv1 (Microsoft Challenge Handshake Authentication Protocol
versin 1), no se ofrecen garantas si se utiliza exclusivamente PPP para la seguridad
de la autenticacin. PPTP hace uso exclusivamente de PPP; los otros dos protocolos
utilizan sistemas alternativos para garantizar la confidencialidad de los datos.
En el caso de L2TP, se hace uso de IPsec y los drivers del mismo para garantizar
el cifrado de la comunicacin. Para ello, se produce un proceso de negociacin de
la seguridad mediante el protocolo IKE (Internet Key Exchange). Dicha negciacin se
establece en dos fases:
l 1 fase. ISAKMP (Asociacin de seguridad de protocolo de gestin de claves

de asociaciones de seguridad en Internet). Es donde se lleva a efecto la auten-
ticacin de la conexin y, para ello, se pueden utilizar diferentes mecanismos.
Los sistemas Microsoft utilizan PSK (Clave Previamente Compartida) o los
Certificados X.509.
l 2 fase. Donde se va a negociar la seguridad y generar las claves de cifrado
simtricas, a travs del proceso de intercambio denominado Diffie Hellman.
142
La negociacin de la seguridad establece los algoritmos que podrn utilizarse

tanto para la proteccin de la integridad (HMAC-SHA-1 HMAC-MD5),
como para la confidencialidad (AES-CRT, 3DES-CBC DES-CBC).
Una vez establecida la autenticacin mutua de IPSec y cuando se haya producido
el intercambio de claves para el cifrado, se establecer el tnel PPP.
En el caso de SSTP se proporcionan mecanismos para encapsular trfico tipo PPP,

sobre un canal seguro SSL (Secure Socket Layer) tipo HTTPS. PPP (Point to Point Protocol)
garantiza el uso del mecanismo de autentificacin, mientras que SSL proporciona la
seguridad en el nivel de transporte, con negociacin de las claves, cifrado y compro-
bacin de la integridad. Este ltimo ofrece las mayores garantas de versatilidad, al
establecerse el tnel a travs de un puerto, el 443, que de manera habitual se encontrar
abierto en cualquier escenario de uso externo. Frente a l, tanto PPTP como L2TP/
IPSec utilizan puertos no convencionales que podran encontrarse cerrados.
Dentro de las medidas tambin previstas para la seguridad de los equipos por-
ttiles se encuentran las relativas al cifrado de los equipos. Utilizar EFS (Encripted File
System) o Biitlocker, que sern tratados posteriormente en la proteccin de los soportes,
aportarn las garantas necesarias para el cumplimiento de estas medidas.
La ltima de las medidas de proteccin en equipos se puede integrar dentro de

la dimensin de disponibilidad; aunque no confiere ninguna medida tcnica especial,
requiere su estudio por parte de las organizaciones. Aquellas que hayan sido catalo-
gadas como de nivel medio o superior, debern disponer de medios adicionales para
garantizar el tratamiento de la informacin. Para ello, se deber contar con un parque de
equipos alternativos para dar continuidad al servicio ante la aparicin de incidencias.
Medios alternativos [mp.eq.9].
Se garantizar la existencia y disponibilidad de medios alternativos de tratamiento de

la informacin en el caso de que fallen los medios habituales. Estos medios alternativos
estarn sujetos a las mismas garantas de proteccin. Igualmente, se establecer un
tiempo mximo para que los equipos alternativos entren en funcionamiento.
6.4. Proteccin de los soportes de informacin

Uno de los problemas que presenta el trabajar con sistemas informticos y pre-
tender implementar un sistema de prevencin de prdida de informacin o evitar el
robo de la misma, es la cantidad de formatos que de naturaleza extrable o externa
pueden ser utilizados: CD, DVD, discos o unidades USB son algunas de las mltiples
posibilidades. Estas ltimas, debido a su popularidad, difusin y miniaturizacin,
estn ampliamente extendidas y son utilizadas de forma habitual para el transporte
de todo tipo de material informtico.
El Esquema Nacional de Seguridad se hace eco de este hecho y promueve por

igual el empleo de metodologas de catalogacin y medidas tcnicas para el control de
143
estos soportes. Solicitar permiso, su custodia o destruccin, requerirn procedimientos

reglados para que puedan ser utilizados segn los criterios de la norma.
Etiquetado [mp.si.1].
Los soportes de informacin se etiquetarn de forma que, sin revelar su contenido,
se indique el nivel de seguridad de la informacin contenida de mayor calificacin.
Los usuarios han de estar capacitados para entender el significado de las etiquetas, bien
mediante simple inspeccin, bien mediante el recurso a un repositorio que lo explique.
Criptografa. [mp.si.2].
Esta medida se aplica, en particular, a todos los dispositivos removibles. Se entendern
por dispositivos removibles los CD, DVD, discos USB, u otros de naturaleza anloga.
Nivel MEDIO
Se aplicarn mecanismos criptogrficos que garanticen la confidencialidad y la inte-
gridad de la informacin contenida.
Nivel ALTO
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, productos certificados [op.pl.5].
Custodia [mp.si.3].
Se aplicar la debida diligencia y control a los soportes de informacin que permanecen
bajo la responsabilidad de la organizacin, mediante las siguientes actuaciones:
a) Garantizando el control de acceso con medidas fsicas ([mp.if.1] y [mp.if.7])
lgicas ([mp.si.2]), o ambas.
b) Garantizando que se respetan las exigencias de mantenimiento del fabricante, en
especial, en lo referente a temperatura, humedad y otros agresores medioambientales.
Transporte [mp.si.4].
El responsable de sistemas garantizar que los dispositivos permanecen bajo control
y que satisfacen sus requisitos de seguridad mientras estn siendo desplazados de un
lugar a otro.
Para ello:
l Se dispondr de un registro de salida que identifique al transportista que recibe el
soporte para su traslado.
l Se dispondr de un registro de entrada que identifique al transportista que lo
entrega.
l Se dispondr de un procedimiento rutinario que coteje las salidas con las llegadas
y levante las alarmas pertinentes cuando se detecte algn incidente.
144
l Se utilizarn los medios de proteccin criptogrfica ([mp.si.2]) correspondientes

al nivel de calificacin de la informacin contenida de mayor nivel.
l Se gestionarn las claves segn [op.exp.11].
Borrado y destruccin [mp.si.5].
Nivel MEDIO
La medida de borrado y destruccin de soportes de informacin se aplicar a todo tipo
de equipos susceptibles de almacenar informacin, incluyendo medios electrnicos y
no electrnicos.
a) Los soportes que vayan a ser reutilizados para otra informacin o liberados a otra
organizacin, sern objeto de un borrado seguro de su anterior contenido.
b) Se destruirn de forma segura los soportes, en los siguientes casos:
1. Cuando la naturaleza del soporte no permita un borrado seguro.
2. Cuando as lo requiera el procedimiento asociado al tipo de la informacin
contenida.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
Las normas en este caso son claras: control de los medios, procedimientos de
uso, destruccin y cifrado cuando sea necesario, esta ltima especialmente para el
transporte de la informacin cuando sta salga fuera de las infraestructuras de la
organizacin. Los procedimientos tales como la notificacin y el etiquetado vendrn
definidos a travs de la poltica de seguridad, y podrn emplearse para ello meca-
nismos ya mencionados para el tratamiento de los mismos. MS SharePoint Server es
nuevamente una clave estratgica para el cumplimiento de la normativa.
En el caso de los mecanismos de cifrado Microsoft ofrece varias alternativas.
Aunque en esta parte de las medidas se recogen las especficas de soporte. Las solu-
ciones que se citan a continuacin podrn ser utilizadas por aquellas que requieran
confidencialidad de los datos, tales como la proteccin del equipo o la privacidad de
la informacin. Los tres mecanismos que se ofrecen para garantizar la confidencialidad
de ficheros son:
l El Sistema de ficheros cifrados (EFS o Encripted File System).
l Bitlocker.
l Bitlocker To Go.
EFS es el mecanismo tradicional. Permite un sistema de cifrado totalmente
transparente para el usuario, no ofrece integridad en los datos o autentificacin, por
lo que no debern obviarse otros mecanismos de seguridad alternativos. Utiliza para
la confidencialidad el sistema de certificados estndar X.509.
El cifrado se produce empleando una clave de encriptacin de fichero (FEK)
generada aleatoriamente mediante algoritmo AES (Advance Encription Standard). EFS
145
posteriormente utilizar mecanismos de clave pblica para cifrar la clave FEK. Los
diferentes usuarios que acceden a los ficheros que han sido protegidos mediante EFS
contarn con una clave privada con la que obtener la clave FEK.
Al objeto de preservar los mecanismos de seguridad en las copias de respaldo,

cuando se realice una copia de seguridad de ficheros cifrados mediante mecanismos
de EFS, con herramientas certificadas por Microsoft se garantizar que estos ficheros
de respaldo mantienen su condicin de cifrado mediante EFS. Esto tambin suceder
con los sistemas de medios extrables que utilicen NTFS y que son gestionados por
el sistema operativo. Como estos medios no migran ni las claves de cifrado ni la de
los agentes de recuperacin de datos cifrados, la garanta de seguridad es muy alta.
Sin embargo, aunque el sistema es idneo para la proteccin de ficheros de datos,

no sera vlido su uso en el cifrado activo del sistema operativo. Bitlocker, que aparece
a partir de Windows Vista, implementa mecanismos para el cifrado de disco. Frente a
EFS, que se utilizaba para la confidencialidad de determinados ficheros, este se emplea
para unidades completas. (Vase la Figura 6.4.1.)
Figura 6.4.1. Activar cifrado de unidad con Bitlocker.
Para realizar su cometido, Bitlocker utiliza AES (Advance Encription Standard)

como algoritmo de cifrado en modo CBC (Cypher Block Chaining). Por otra parte, con
objeto de evitar los ataques por manipulacin de datos cifrados, incorpora un difusor
adicional independiente denominado Elephant. Para garantizar el almacenamiento de
la clave de cifrado, Bitlocker puede utilizar las nuevas especificaciones de seguridad
146
hardware denominadas Trusted Platform Module (TPM). Este nuevo chip proporciona
una plataforma segura para el almacenamiento de claves, passwords o certificados,
haciendo ms difcil el ataque contra los mismos. Aunque constituye el mtodo ideal
para el almacenamiento de la clave de cifrado, se pueden utilizar mecanismos alter-
nativos como dispositivos USB para este almacenamiento. Sin embargo, de forma
predeterminada se utiliza la tecnologa de TPM.
Las funcionalidades de cifrado y descifrado de la informacin son totalmente
transparentes para el usuario, yendo ms all del posible uso, puesto que previene
al sistema de ataques basados en mecanismos offline. Cualquier intento de extraer la
informacin sin la clave correspondiente ser infructuoso.
La implementacin inicial de Bitlocker en Windows Vista slo admita el cifrado
de la particin donde estaba instalado el sistema operativo. La salida de Windows
Vista SP1 permiti adems el cifrado de otras particiones de datos, siempre y cuando
no fuesen de arranque. Sin embargo, la implementacin de confidencialidad mediante
Bitlocker no se hace extensiva hacia las unidades extrables.
Esto se ha hecho posible con Windows 7 y la tecnologa de Bitlocker To Go. La
tecnologa es bastante similar a la utilizada en Bitlocker y se basa en el uso de tres claves:
l El volumen se cifra con AES 128 con un difusor a travs de una clave deno-
minada FVEK (Full volumen Encryption Key).
l La clave FVEK se cifra mediante AES 256 bits con la clave VMK (Volume
Master Key).
l Esta es cifrada y protegida por una clave protegida derivada de la password
introducida por el usuario.
Las operaciones para el cifrado y descifrado de las unidades extrables son
asequibles para su uso por parte de los usuarios, que slo debern conocer la ltima
clave de cifrado del proceso. Cuando se inserta un dispositivo USB en un sistema MS
Windows 7, se reconoce la posibilidad de utilizar Bitlocker To Go, solicitndose, si as
se desea, la clave para iniciar el proceso de cifrado. Cuando se introduce una unidad
cifrada, se solicitar la clave para iniciar el proceso de descifrado.
Con objeto de mantener la compatibilidad de estos dispositivos con sistemas
operativos previos a MS Windows 7, Microsoft proporciona una herramienta que
permite leer unidades cifradas en otros sistemas operativos cuando se proporcione la
clave correspondiente. Su nombre es Bitlocker To Go Reader (vase la Figura 6.4.2).
En el caso de la eliminacin segura de datos, Microsoft facilita la aplicacin
Sdelete, que utiliza como proceso la sobrescritura de los datos realizada con varias
pasadas de ceros. As se garantiza que los datos previos no podrn ser recuperados.
Hay que recordar que las operaciones de formateo que acompaan al sistema ope-
rativo no son consideradas formalmente como procesos para el eliminacin segura.
La utilizacin de la aplicacin es muy simple, debiendo especificarse nicamente el
fichero o unidad sobre la que se trabajar y las opciones para la realizacin de dicha
tarea (vase la Figura 6.4.3):
147
l - c Zero free space (good for virtual disk optimization).

l -p Specifies number of overwrite passes.
l -s Recurse subdirectories.
l -q Dont print errors (Quiet).
l -z Clean free space.
Figura 6.4.2. Cifrado de

una unidad extrable con
Bitlocker To Go.
Figura 6.4.3. Uso de la herramienta SDelete.
148
6.5. Proteccin de las comunicaciones

La proteccin de las comunicaciones es uno de los aspectos ms importantes en lo
que a seguridad informtica se refiere, ya que proporciona la garanta de privacidad y
autenticidad de las comunicaciones que se realizan a travs de la red. Por este motivo,
era de esperar que el Esquema Nacional de Seguridad (ENS) dedicara un apartado
(Anexo II, apartado 5.4) a definir el nivel de configuracin de esta caracterstica.
La proteccin de las comunicaciones, tanto externas como internas, debe esta-

blecer su privacidad en todo momento. El mecanismo de proteccin de las comunica-
ciones, segn el ENS, es un punto de equilibrio donde intervienen la comodidad de
uso y la proteccin de la informacin. Segn el nivel de seguridad que requiera cada
organismo se primar la comodidad frente a la proteccin en nivel bajo, mientras que
en nivel alto se primar la proteccin frente a la comodidad de uso. Este concepto ya
se ha presentado en otros apartados de este libro.
El ENS define claramente cmo se deben establecer condiciones adecuadas

segn el nivel de criticidad de la informacin a manejar y proteger. Por tanto, regula
para cada uno de los aspectos relacionados con la proteccin de la comunicacin las
medidas a aplicar.
A continuacin se detallarn cada uno de las medidas de seguridad a aplicar y

cmo la tecnologa de Microsoft ayuda a conseguir los requisitos exigidos.
6.5.1. Permetro seguro

Se dispondr de un sistema de cortafuegos que separe la red interna del exterior.
Todo el trfico deber atravesar dicho cortafuegos que slo dejar transitar los flujos
previamente autorizados.
Categora ALTA
a) El sistema de cortafuegos constar de dos o ms equipos de diferente fabricante

dispuestos en cascada.
b) Se dispondr de sistemas redundantes.
La seguridad en profundidad de un sistema empieza con la proteccin del per-
metro, por lo que el Esquema Nacional de Seguridad establece pautas de configuracin
para este componente. Las exigencias establecidas son diferentes para los tres niveles
de seguridad.
Para los dos niveles ms bajos, el ENS exige la existencia de un sistema corta-
fuegos para separar los lmites de la organizacin del exterior. Todo el trfico deber
atravesar dicho cortafuegos y ste slo dejar pasar los flujos previamente autorizados.
Microsoft proporciona una solucin firewall basada en software a nivel de apli-

cacin ya referida en esta publicacin. Se trata de MS Forefront Threat Management
149
Gateway 2010, que cubre las necesidades establecidas por el ENS. Este producto no es
nicamente una solucin de cortafuegos, sino que presenta un mdulo avanzado de
sistema de prevencin de intrusin (IPS) y una solucin de servidor VPN, entre otras
funcionalidades. MS Forefront TMG presenta una configuracin predeterminada que
bloquea cualquier tipo de trfico que entre o salga de la red de la organizacin, como
se observa en la siguiente figura. Dicha regla es predeterminada, no se puede eliminar
y siempre ser la ltima en aplicarse, cumpliendo as todos los requisitos establecidos
para los niveles de seguridad bajo y medio establecidos en el ENS.
La creacin de reglas para la autorizacin de trfico se basa

en asistentes que facilitan la identificacin del flujo y el tipo de
datos a permitir. MS Forefront TMG presenta varios tipos de
asistentes para los distintos tipos de flujos a gestionar (vase la
ilustracin de la derecha). La publicacin de servicios o reglas
de acceso son claros ejemplos de ello.
Nivel alto
En trminos de permetro seguro el ENS para el nivel alto
establece el cumplimiento de los requisitos anteriores ms la
150
necesidad de proporcionar sistemas redundantes, as como la existencia de varios

sistemas cortafuegos de distintos fabricantes dispuestos en cascada.
Ambos requisitos son soportados por MS Forefront TMG. Este producto presen-
ta por su parte compatibilidad 100% con cualquier otro sistema de cortafuegos del
mercado, tanto de capa de transporte como de aplicacin y ya sea delante o detrs en
la infraestructura de proteccin perimetral.
MS Forefront TMG en su versin Enterprise presenta la posibilidad de implantar

una solucin de alta disponibilidad
a nivel de cortafuegos con todas sus
funcionalidades. La configuracin
es muy sencilla, ya que simplemente
consiste en generar una matriz con
los servidores MS TMG que se deseen
proporcionar a la solucin de alta dis-
ponibilidad, estableciendo la direccin
IP de la solucin perimetral en alta dis-
ponibilidad como se puede observar en
la ilustracin de la derecha .
La gestin de reglas de control de

flujo, soluciones de VPN o cualquier
otro tipo de configuracin a realizar
sobre la infraestructura de cortafue-
gos se realiza de forma conjunta, ya
que todos los servidores de la matriz
comparten la configuracin. La gestin
de la infraestructura de alta disponibi-
lidad se realiza del mismo modo que
un cortafuegos en modo standalone o
independiente.
6.5.2. Proteccin de la confidencialidad

Nivel MEDIO
a) Se emplearn redes privadas virtuales cuando la comunicacin discurra por redes

fuera del propio dominio de seguridad.
Nivel ALTO
a) Se emplearn, preferentemente, dispositivos hardware en el establecimiento y

utilizacin de la red privada virtual.
151
En la actualidad, las organizaciones presentan la necesidad de proporcionar me-

canismos de acceso al sistema para sus trabajadores desde cualquier lugar. Este tipo
de escenarios suelen ser altamente peligrosos, ya que en ellos se utilizan canales de
comunicacin no seguros, como Internet. En cuanto a los mecanismos de proteccin,
el Esquema Nacional de Seguridad establece unas medidas mnimas a cumplimentar
en los sistemas en funcin de los niveles de seguridad de la informacin que manejan.
Las exigencias establecidas se deben fijar nicamente en los dos niveles ms altos,
siendo diferentes para cada uno de ellos.
El ENS establece para el nivel medio de seguridad la necesidad de utilizar redes

privadas virtuales (VPN) para la comunicacin, cuando esta discurra sobre redes
ajenas al dominio de seguridad de la organizacin. MS Forefront Threat Management
Gateway 2010 proporciona la funcionalidad de servidor VPN para la proteccin de
las comunicaciones remotas. (Vase la siguiente ilustracin.)
MS Forefront TMG soporta tres protocolos de red privada virtual: PPTP, L2TP/
IPSec y SSTP. Cualquiera de estos protocolos de encapsulamiento son vlidos para
el nivel de seguridad medio, ya que utilizan algoritmos acreditados por el Centro
Criptolgico Nacional, requisito establecido por el ENS.
En el nivel alto de seguridad para la proteccin de la confidencialidad, el ENS

establece que se deben emplear preferentemente dispositivos hardware para la implan-
tacin de redes privadas virtuales. Para el cumplimiento de este requisito, Microsoft
152
cuenta con soluciones de Appliance con MS Forefront TMG, que proporcionan soporte
para redes privadas virtuales con algoritmos acreditados por el Centro Criptolgico
Nacional.
6.5.3. Proteccin de la autenticidad y la integridad

Nivel BAJO
a) Se asegurar la autenticidad del otro extremo de un canal de comunicacin antes

de intercambiar informacin alguna (ver [op.acc.5]).
b) Se prevendrn ataques activos, garantizando que al menos sern detectados. Y se
activarn los procedimientos previstos de tratamiento del incidente. Se conside-
rarn ataques activos:
1 La alteracin de la informacin en trnsito.
2 La inyeccin de informacin espuria.
3 El secuestro de la sesin por una tercera parte.
Nivel MEDIO
a) Se emplearn redes privadas virtuales, cuando la comunicacin discurra por redes

fuera del propio dominio de seguridad.
Nivel ALTO
a) Se valorar positivamente el empleo de dispositivos hardware en el establecimiento

y utilizacin de la red privada virtual.
Otro de los problemas ms comunes a los que tiene que hacer frente una organi-
zacin hoy en da, es la fiabilidad de la informacin recibida. En muchas ocasiones no
se tiene la certeza de quin la ha enviado, y si es o no informacin veraz. El Esquema
Nacional de Seguridad establece unas medidas a implementar para garantizar que
la informacin recibida en cada momento tenga la fiabilidad de quien la enva, no
habiendo sido adems manipulada durante su trnsito. Con ello se atiende a uno de
los pilares bsicos de la seguridad de la informacin, la integridad.
El nivel de exigencia establecido por el ENS, es diferente para cada uno de los
tres niveles de seguridad.
Nivel bajo
El ENS establece que todo sistema que contenga informacin de carcter bajo,
debe asegurar la autenticidad del otro extremo de la comunicacin como paso previo
153
al intercambio de informacin. Este procedimiento se trata en el punto de Mecanis-

mos de autenticacin. Otro de los requisitos para este nivel de seguridad debe ser la
prevencin de cualquier tipo de ataque activo, como pueden ser la alteracin de la
informacin en trnsito, la inyeccin de informacin espuria o el secuestro de la sesin
por una tercera parte.
Para el cumplimiento de estos requisitos, los sistemas operativos de Microsoft
implementan IPSec. Windows 7 y Windows Server 2008 R2 proporcionan un nuevo me-
canismo de implementacin de IPSec, a travs del firewall de Windows. Esto requiere
que ste se encuentre activo en los dos equipos que intervienen en la comunicacin.
El proceso de configuracin de IPSec es imprescindible realizarlo en ambos ex-
tremos de la comunicacin. A continuacin se detalla cmo realizar la configuracin
sobre uno de los ellos, procedimiento que es necesario repetir de igual modo en el
otro extremo.
En la consola de Firewall de Windows con seguridad avanzada (vase la siguiente
figura), existe un elemento denominado Reglas de seguridad de conexin, donde se
establece qu comunicaciones se deben realizar de forma segura. El comportamiento
del firewall con respecto a las reglas de seguridad, no slo realiza la labor de proteger
las comunicaciones, sino tambin puede autorizar o denegar stas basndose en si el
trfico ha sido asegurado a travs de IPSec.
La configuracin de la seguridad de los extremos se realiza a travs de reglas,

con lo que se proporciona la mayor granularidad posible, con el objetivo de dotar
al sistema de la flexibilidad requerida en cada situacin. La creacin de las reglas se
realiza a travs de un asistente que guiar en la configuracin de las mismas, con el
mximo detalle posible.
En una primera instancia, el asistente proporciona varios tipos de reglas predefi-
nidas para escenarios concretos, como se puede observar en la primera ilustracin de
la siguiente pgina. Por otra parte, se suministra la alternativa de definir las reglas con
total detalle partiendo desde cero. A partir de este momento, se tratarn las reglas de
tipo personalizado, ya que son las que proporcionan el detalle completo del proceso.
Lo prximo que solicita la definicin de regla es establecer cules van a ser los
extremos de las comunicaciones. Ser necesario determinar la direccin IP tanto de la
mquina local como del otro extremo de la comunicacin (vase la figura superior de
154
la siguiente pgina). De este modo es posible definir una sola regla para todos aquellos
equipos con los que la mquina se debe comunicar de forma segura, simplificando la
configuracin y posterior administracin de las reglas.
Tras establecer entre qu direcciones se debe realizar la comunicacin segura, es

el momento de definir qu tipo de autenticacin se va a utilizar. Para el cumplimiento
de las exigencias del ENS, es requisito imprescindible seleccionar la opcin Requerir
autenticacin para conexiones entrantes y salientes, como se puede observar en la ilustra-
cin inferior de la siguiente pgina.
Una vez establecida la necesidad de autenticar cualquier tipo de conexin, se

debe indicar el mtodo de autenticacin a utilizar (vase la primera figura de la p-
gina 157). Windows 7 y Windows Server 2008 R2 proporcionan varias posibilidades:
l Predeterminado. Esta opcin establece que el tipo de proteccin IPSec que-

de determinado a travs de la configuracin establecida con el mecanismo
tradicional de configuracin, la consola administrativa de seguridad de IP.
l Equipo y usuario (Kerberos V5). Esta opcin es vlida cuando los equipos y
usuarios que intervendrn en la comunicacin pertenecen al mismo dominio
de Active Directory, ya que utiliza los tickets Kerberos proporcionados por un
controlador a cada usuario o equipo del dominio. Se requiere la validacin
del equipo y posteriormente del usuario para el proceso.
155
156
l Equipo (Kerberos V5). Es otra opcin vlida cuando los equipos pertenecen
al mismo dominio. Se utiliza el ticket Kerberos proporcionado al equipo
por Active Directory, pero a diferencia de la opcin anterior slo se valida
la autenticidad de los equipos que intervienen en la comunicacin, no la de
los usuarios.
l Opciones avanzadas. Esta ltima opcin permite personalizar el tipo de
mecanismos que se utilizarn para la autenticidad de los extremos de la
conexin. Se pueden utilizar para ello tickets Kerberos, certificados o clave
compartida, tanto para la primera autenticacin de los equipos como en
segunda instancia para los usuarios.
Segn las exigencias del ENS y
lo establecido en el apartado Meca-
nismos de autenticacin, la configu-
racin idnea a implementar en los
sistemas que manejan informacin
confidencial es la autenticacin en
el proceso de comunicacin a nivel
de usuario y equipo (vase la doble
autenticacin en la primera figura
de la siguiente pgina). El uso de
certificados o tickets Kerberos para
ello, depende del nivel de seguri-
dad definido en los mecanismos de
autenticacin.
Tras definir el mecanismo de

autenticacin a requerir en la comu-
nicacin, es el momento de definir
concretamente para qu tipo de tr-
fico se necesita proteccin mediante
IPSec (vase la ilustracin inferior
de la siguiente pgina). Windows
7 y Windows Server 2008 R2 tienen
la capacidad de establecer qu tipo
de protocolo o puertos de origen y destino intervienen en la comunicacin segura,
proporcionando as la granularidad indicada anteriormente.
Finalmente, MS Windows 7 y MS Windows Server 2008 R2 proporcionan la

posibilidad de definir el tipo de redes que se desean utilizar en la proteccin de la
comunicacin, como se puede observar en la primera ilustracin de la pgina 159.
Tras identificar la regla de seguridad con un nombre descriptivo, es necesario

repetir la configuracin sobre el resto de dispositivos que intervienen en la comunica-
cin, garantizando as los requisitos de autenticidad e integridad de sta, tal y como
establece el Esquema Nacional de Seguridad.
157
158
Para simplificar la configuracin en todos los extremos que intervengan en

cualquier instante en la comunicacin segura, Microsoft implementa la posibilidad
de configuracin desde polticas de grupo, como es posible observar en la ilustracin
de la siguiente pgina.
Niveles medio y alto

El ENS establece para los sistemas con informacin de nivel medio o alto la
necesidad de utilizar redes privadas virtuales (VPN), con el objetivo de garantizar la
seguridad de la informacin confidencial. Este es el nico requisito establecido en el
ENS para la proteccin de la confidencialidad en la comunicacin
6.5.4. Segregacin de redes

La segregacin de redes acota el acceso a la informacin y, consiguientemente, la
propagacin de los incidentes de seguridad, que quedan restringidos al entorno donde
ocurren.
La red se dividir en segmentos de forma que haya:
a) Control de entrada de los usuarios que llegan a cada segmento.
159
b) Control de salida de la informacin disponible en cada segmento.

c) Las redes se pueden segmentar por dispositivos fsicos o lgicos. El punto de
interconexin estar particularmente asegurado, mantenido y monitorizado
(como en [mp.com.1]).
El Esquema Nacional de Seguridad establece la necesidad de segregar las redes
de la organizacin, especialmente aquellos segmentos donde se encuentre la informa-
cin confidencial. El objetivo consiste en acotar el acceso a la informacin y evitar as
la propagacin de incidentes de seguridad, quedando restringidos stos al entorno
donde ocurren y salvaguardando la informacin de otras ubicaciones. La segregacin
de redes es una exigencia nicamente para aquellos sistemas que contengan informa-
cin confidencial de nivel alto.
Las exigencias establecidas para el nivel alto establecen la necesidad de segmentar
las redes, controlar la entrada y salida de los usuarios y la informacin desde cada
segmento, as como la posibilidad de monitorizar la actividad.
Para el cumplimiento de esta exigencia, Microsoft dispone de MS Forefront Threat
Management Gateway 2010. Este aplicativo tiene la capacidad de gestionar redes, con-
trolar el tipo de trfico y los usuarios que tienen autorizado el acceso de una red a otra,
as como la capacidad de registrar cada acceso que se produzca a travs del mismo.
A continuacin se detalla cmo se debe configurar MS Forefront TMG y su
entorno para el correcto cumplimiento de la normativa. El primer requisito de todos
160
es determinar los distintos segmentos de red de la organizacin. MS Forefront TMG

requiere que cada segmento se encuentre asociado a una interfaz de red dedicada.
Tras lo anterior, es necesario dar de alta un objeto red para cada uno de los segmentos
como se puede observar en la siguiente ilustracin.
El siguiente paso consiste en establecer el tipo de conexin entre las redes. MS

Forefront TMG 2010 permite dos tipos de interconexin: NAT y enrutamiento. Para
que el trfico pueda acceder de una red a la otra es necesario que exista una regla de
red, ya sea de tipo NAT o de tipo enrutamiento.
Con esta configuracin se cumple el requisito de segmentacin de la red, aunque

por el momento no se atienden los requisitos de autenticacin de los usuarios que
acceden de un segmento a otro.
161
Para autenticar a todos los usuarios que acceden de un segmento de red a otro, es
necesario instalar en todos los equipos que tendrn acceso a la informacin el cliente
firewall, MS Forefront TMG Client. Gracias a este componente, todos los equipos
que remitan informacin a travs del firewall darn a conocer el nombre de usuario
que realiza la comunicacin, permitiendo as el cumplimiento del ENS en materia de
control de acceso desde cada segmento.
Finalmente, para un cumplimiento completo de la normativa en materia de seg-

mentacin de redes, es necesario que la actividad que se desarrolle entre los segmentos
de red quede registrada para su posible anlisis posterior. MS Forefront TMG 2010
permite el registro de todo el trfico que se realiza a travs de l, en una base de datos
o archivo personalizable, tal y como muestra la siguiente imagen.
162
6.5.5. Medios alternativos

Se garantizar la existencia y disponibilidad de medios alternativos de comunica-
cin para en el caso de que fallen los medios habituales. Los medios alternativos de
comunicacin:
a) Estarn sujetos y proporcionarn las mismas garantas de proteccin que el medio
habitual.
b) Garantizarn un tiempo mximo de entrada en funcionamiento.
El Esquema Nacional de Seguridad establece la necesidad de garantizar la exis-
tencia y disponibilidad de medios alternativos de comunicacin en caso de fallo de los
medios habituales. Los medios alternativos deben proporcionar las mismas garantas
de proteccin, as como presentar un tiempo mximo de entrada en funcionamiento.
Los medios alternativos son una exigencia nicamente para aquellos sistemas que
contengan informacin confidencial de nivel alto.
Las exigencias establecidas en el nivel alto determinan la necesidad de dotar a la
infraestructura de alta disponibilidad. MS Forefront TMG 2010 soporta una infraes-
tructura de alta disponibilidad consistente en un balanceo de carga, lo cual supone
dotar a la solucin de tolerancia a fallos y reducir a cero el tiempo de entrada en fun-
cionamiento ante una posible cada. Esta posibilidad slo se encuentra disponible en
la versin Enterprise del producto.
El balanceo de carga consiste nicamente en crear una matriz con los servidores
MS Forefront TMG 2010 Enterprise necesarios y configurar una direccin IP virtual
nica para toda ella, como se observa en la siguiente ilustracin.
163
La gestin de la infraestructura se realiza de forma sencilla, ya que su confi-

guracin es necesaria realizarla una nica vez sobre cualquiera de los servidores y
automticamente se propagar al resto de mquinas que componen la matriz. Con
esta simple configuracin tendramos una solucin de alta disponibilidad que cubre
las exigencias establecidas por el ENS.
Otra de las caractersticas que proporciona MS Forefront TMG 2010 es la ca-

pacidad de configuracin de redundancia de ISP. Esta funcionalidad permite dotar
de alta disponibilidad en tiempo real a la conexin con la red exterior. Simplemente
necesitamos contar con dos proveedores de Internet y configurar las salidas de trfico
con el asistente correspondiente.
6.6. Proteccin de las aplicaciones informticas

Cuando una organizacin promueve el desarrollo interno de software, el primer
factor que evala es su funcionalidad. Inicialmente, tambin se tiene en cuenta el factor
econmico y de mantenimiento, determinado junto a otros elementos por la cantidad
de gente necesaria para su anlisis y desarrollo. Pero, realmente, se tiene en cuenta
la seguridad a la hora de programar? Desafortunadamente, y aunque la situacin se
est modificando positivamente, no es la tnica general.
Sin embargo, para el Esquema Nacional de Seguridad se trata de un factor crtico.

Dentro del desarrollo de una aplicacin, se tienen que tener en cuenta varias medidas
que van desde un desarrollo seguro, hasta la realizacin de pruebas adecuadas que
verifiquen el cumplimiento de las medidas:
164
Desarrollo de aplicaciones [mp.sw.1].
Categora MEDIA
a) El desarrollo de aplicaciones se realizar sobre un sistema diferente y separado del

de produccin, no debiendo existir herramientas o datos de desarrollo en el entorno
de produccin.
b) Se aplicar una metodologa de desarrollo reconocida que:
1 Tome en consideracin los aspectos de seguridad a lo largo de todo el ciclo de

vida.
2 Trate especficamente los datos usados en pruebas.
3 Permita la inspeccin del cdigo fuente.
c) Los siguientes elementos sern parte integral del diseo del sistema:
1 Los mecanismos de identificacin y autenticacin.
2 Los mecanismos de proteccin de la informacin tratada.
3 La generacin y el tratamiento de pistas de auditora.
Las pruebas anteriores a la implantacin o modificacin de los sistemas de infor-

macin no se realizarn con datos reales, salvo que se asegure el nivel de seguridad
correspondiente.
Aceptacin y puesta en servicio [mp.sw.2].
Categora BSICA
Antes de pasar a produccin se comprobar el correcto funcionamiento de la aplicacin.
a) Se comprobar que:
1 Se cumplen los criterios de aceptacin en materia de seguridad.
2 No se deteriora la seguridad de otros componentes del servicio.
b) Las pruebas se realizarn en un entorno aislado (pre-produccin).
c) Las pruebas de aceptacin no se realizarn con datos reales, salvo que se asegure
el nivel de seguridad correspondiente.
Categora MEDIA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de vulnerabilidades.
b) Pruebas de penetracin.
165
Categora ALTA
Se realizarn las siguientes inspecciones previas a la entrada en servicio:
a) Anlisis de coherencia en la integracin en los procesos.

b) Se considerar la oportunidad de realizar una auditora de cdigo fuente.
Tal y como se coment en el captulo correspondiente a la seguridad por defecto,
Microsoft inici un proceso Secure Development Lifecycle (SDL), que ha ofrecido muy
buenos resultados. A travs de este ciclo se han generado una serie de herramientas
que se han hecho pblicas, como son SDL Threat Modeling Tool y Threat Analysing &
Modeling. (Vase la Figura 6.6.1.) Estas permitirn a las entidades el desarrollo de
aplicaciones pensando en la seguridad.
Figura 6.6.1. SDL Threat Modeling Tool.
Ambas herramientas permiten a los desarrolladores identificar y mitigar los

problemas potenciales de seguridad antes de que se inicie la generacin de cdigo,
ofreciendo una metodologa que cualquier arquitecto de software puede dirigir de
forma eficaz. Para ello, la pauta de trabajo se basa en la visin de las herramientas
desde el punto de vista de las amenazas a las que pueden estar sujetos los proyectos.
En el caso de SDL Threat Modeling Tool el modelo de clasificacin de riesgos se
denomina STRIDE.
l Spoofing (Suplantacin). Mediante el empleo de esta tcnica un atacante
intentara la suplantacin de uno de los participantes en la conversacin. Se
166
agrupan aqu muchas de las tcnicas de ataque, que como la de Man in the
middle se producen en la red de datos.
l Tampering (Manipulacin). La manipulacin se produce cuando los datos,
fruto de un ataque, son alterados en trnsito. Sumada a la suplantacin per-
mite acciones maliciosas combinadas que son ampliamente conocidas.
l Repudiation (Repudio). Consiste en la negacin de una accin o evento en
los sistemas de informacin. A travs de estos hechos los registros de sucesos
podran quedar invalidados.
l Information disclosure (Revelacin de la informacin). Se produce cuando
se facilita informacin sensible de forma no deseada debido a un error de
programacin. Los datos obtenidos podran ser utilizados posteriormente
para otros tipos de ataques como la ingeniera social.
l Denial of Service (Denegacin de servicio). El ataque tiene como objetivo
la cada o el bloqueo del servicio o la aplicacin. Estos ataques amenazan el
cumplimiento del Esquema Nacional de Seguridad en materia de disponi-
bilidad.
l Elevation of privilege (Elevacin de privilegios). A partir de un error de
programacin, un atacante puede obtener privilegios que de forma conven-
cional no tendra. Conseguir ser administrador del sistema para acceder o
manipular los datos es uno de los objetivos principales perseguido por los
hackers.
En el caso de Threat Analysing & Modeling (TAM) el modelo de amenazas es CIA:
l Confidencialidad.
l Integridad.
l Disponibilidad.
Para la identificacin de las amenazas, se presentan libreras de ataques. De di-
ferente factura, se relacionan a travs del modelo CIA, determinando en qu medida
el software podr verse afectado. La Figura 6.6.2 muestra la librera de amenazas que
proporciona TAM de forma predeterminada
Las aplicaciones, a travs de la introduccin de datos y la generacin de casos
de uso, proporcionan los riesgos a los que se pueden ver sometidos los diferentes di-
seos. La base de datos de conocimiento permitir ofrecer diferentes metodologas y
tecnologas de lenguaje de programacin. Estas posibilitarn evitar las amenazas que
se pueden presentar durante el desarrollo de una aplicacin.
Para llegar a este resultado, es necesario suministrar de forma previa una serie
de datos con objeto de poder generar el anlisis correspondiente:
l Definicin de roles.
l Definicin de datos manejados por la aplicacin.
167
Figura 6.6.2. Librera de amenazas en Threat Analysing & Modeling.
l Establecer los permisos de acceso a datos para los roles asignados.

l Definir los casos de uso de la aplicacin.
l Definir los mdulos de la aplicacin.
l Establecer los atributos relevantes que sern utilizados por los componentes
de la aplicacin.
l Definir las llamadas que definirn las acciones basadas en los casos de uso.
Una vez que el anlisis ha sido realizado, se conocern aquellos riesgos a los que
se enfrentara el desarrollo propuesto. Los informes, completos y fundamentados,
permitirn conocer la informacin de los riesgos, los ataques que se pueden derivar
de los mismos y la forma de testear, una vez que el desarrollo ha sido realizado, si la
aplicacin es vulnerable. La Figura 6.6.3 muestra la deteccin de un posible ataque
Cross-Site Scripting sobre la aplicacin analizada y cmo probar si ste es efectivo una
vez que el desarrollo est completado.
Conocer de forma previa las amenazas permite un desarrollo seguro ms efici-
ente. A la hora de realizar las pruebas de vulnerabilidad y penetracin exigidas por el
Esquema Nacional de Seguridad, se conocern de antemano los diferentes tests que
debern realizarse para probar la eficacia del cdigo.
Deber tenerse en cuenta que la realizacin de tests debe realizarse en un entorno
controlado. Las pruebas que se realicen con informacin real debern minimizarse
168
Figura 6.6.3. Informes de Threat Analysing & Modeling.
al mximo posible. En el caso de que quieran realizarse los tests en un escenario lo

ms cercano al real, se recomienda, como en situaciones anteriores, la utilizacin de
escenarios virtualizados. La capacidad para convertir los sistemas fsicos en virtuales,
permite la realizacin de pruebas en escenarios lo ms cercano a la situacin real. No
hay que olvidar, de todas formas, que en la realizacin de pruebas debern extremarse
las precauciones, especialmente si se realiza en los entornos de produccin o utilizando
datos reales.
6.7. Proteccin de la informacin

El fin ltimo de la seguridad consiste en la proteccin de los datos, que en el caso
de la Administracin Pblica, se corresponde directamente con la proteccin de los
ciudadanos. No en vano, otra norma anterior como la Ley 15/1999 de Proteccin de
Datos de Carcter Personal (LOPD), reconoca esa importancia y su Real Decreto de
Desarrollo el 1720/2007, exiga tambin la aplicacin de medidas en funcin del tipo
de datos manejados. La Administracin Pblica tambin est sometida a esta ley, que
siendo de tipo orgnica, reviste una importancia fundamental.
El ENS es consciente del hecho de que en muchas ocasiones los datos manejados
por la Administracin Pblica estarn tambin tipificados como de carcter personal.
169
Por tanto, un sistema podr estar sometido al ENS y sus datos tipificados por la LOPD.
En este sentido y para cualquier tipo de categora se estipula lo siguiente.
Datos de carcter personal [mp.info.1].

Cuando el sistema trate datos de carcter personal, se estar a lo dispuesto en la Ley
Orgnica 15/1999, de 13 de diciembre, y normas de desarrollo, sin perjuicio de cumplir,
adems, las medidas establecidas por este real decreto.
Lo indicado en el prrafo anterior tambin se aplicar cuando una disposicin con
rango de ley se remita a las normas sobre datos de carcter personal en la proteccin
de informacin.
Es decir, es necesario el cumplimiento de ambas normas y aplicar la suma de las
medidas estipuladas por los dos reales decretos. No existe una contradiccin de nor-
mativas, puesto que las medidas a aplicar, cuando no sean las mismas, podrn hacerlo
de forma complementaria atendiendo cada una a su necesidad. Independientemente
de la catalogacin de los datos que establece la Ley Orgnica de Proteccin de Datos de
Carcter Personal, el Esquema Nacional de Seguridad sigue sus propios parmetros.
Estos se fundamentan en los riesgos y la capacidad de la organizacin para el logro
de sus objetivos, la proteccin de sus activos, el cumplimiento de sus obligaciones de
servicio, el respeto de la legalidad y los derechos de los ciudadanos. La valoracin y
calificacin de la informacin se estipula por las medidas previstas en la proteccin
de la informacin.
Calificacin de la informacin [mp.info.2].

Nivel BAJO
1. Para calificar la informacin se estar a lo establecido legalmente sobre la naturaleza
de la misma.
2. La poltica de seguridad establecer quin es el responsable de cada informacin
manejada por el sistema.
3. La poltica de seguridad recoger, directa o indirectamente, los criterios que, en
cada organizacin, determinarn el nivel de seguridad requerido, dentro del marco
establecido en el artculo 43 y los criterios generales prescritos en el Anexo I.
4. El responsable de cada informacin seguir los criterios determinados en el apartado
anterior para asignar a cada informacin el nivel de seguridad requerido, y ser
responsable de su documentacin y aprobacin formal.
5. El responsable de cada informacin en cada momento tendr en exclusiva la potestad
de modificar el nivel de seguridad requerido, de acuerdo a los apartados anteriores.
Nivel MEDIO
Se redactarn los procedimientos necesarios que describan, en detalle, la forma en que
se ha de etiquetar y tratar la informacin en consideracin al nivel de seguridad que
requiere; y precisando cmo se ha de realizar:
170
a) Su control de acceso.
b) Su almacenamiento.
c) La realizacin de copias.
d) El etiquetado de soportes.
e) Su transmisin telemtica.
f) Y cualquier otra actividad relacionada con dicha informacin.
Dentro del concepto de proteccin de la informacin se incluye imposibilitar el
acceso a la misma, pero tambin impedir su interpretacin en caso de que ste haya
sido posible a travs de algn tipo de ataque no conocido. Esto se consigue a travs
del cifrado de datos que es un requerimiento para los sistemas que se hayan categori-
zado como de nivel alto, para el almacenamiento local o el trnsito de la informacin.
Cifrado de la informacin [mp.info.3].
Nivel ALTO
Para el cifrado de informacin se estar a lo que se indica a continuacin:
a) La informacin con un nivel alto en confidencialidad se cifrar tanto durante su

almacenamiento como durante su transmisin. Slo estar en claro mientras se
est haciendo uso de ella.
b) Para el uso de criptografa en las comunicaciones, se estar a lo dispuesto en [mp.
com.2].
c) Para el uso de criptografa en los soportes de informacin, se estar a lo dispuesto
en [mp.si.2]..
Tal y como se cita, para la aplicacin de mecanismos de cifrado se debern em-
plear los mecanismos estipulados en las medidas de proteccin de comunicaciones
y las medidas de criptografa aplicadas en los soportes. El cifrado con IPsec en las
comunicaciones o EFS y Bitlocker permitiran el cumplimiento de estos requerimientos.
En el tratamiento de procesos de la Administracin Pblica, la tramitacin de los

documentos administrativos constituye uno de los procedimientos ms habituales e
importantes.
Garantizar que el proceso lo realiza la persona adecuada o que el documento ob-

tenido es totalmente vlido, constituye una necesidad a cubrir. Puesto que los sistemas
informticos facilitan la posible falsificacin o modificacin de documentos oficiales,
debern garantizarse procedimientos que certifiquen su validez.
El Esquema Nacional de Seguridad (ENS) estima como necesario el uso de los

certificados digitales como medida de seguridad. sta se observar en dos medidas,
como son la de firma electrnica y la de sellos de tiempo.
171
Firma electrnica [mp.info.4].

La firma electrnica es un mecanismo de prevencin del repudio; es decir, previene
frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la infor-
macin firmada.
La firma electrnica garantiza la autenticidad del signatario y la integridad del con-
tenido. Cuando se emplee firma electrnica:
a) El signatario ser la parte que se hace responsable de la informacin, en la medida
de sus atribuciones.
b) Se dispondr de una Poltica de Firma Electrnica, aprobada por el rgano superior
competente que corresponda.
Nivel BAJO
Se emplear cualquier medio de firma electrnica de los previstos en la legislacin
vigente.
Nivel MEDIO
1. Los medios utilizados en la firma electrnica sern proporcionados a la calificacin
de la informacin tratada. En todo caso:
a) Se emplearn algoritmos acreditados por el Centro Criptolgico Nacional.
b) Se emplearn, preferentemente, certificados reconocidos.
c) Se emplearn, preferentemente, dispositivos seguros de firma.
2. Se garantizar la verificacin y validacin de la firma electrnica durante el tiempo
requerido por la actividad administrativa que aqulla soporte, sin perjuicio de que
se pueda ampliar este perodo de acuerdo con lo que establezca la poltica de firma
electrnica y de certificados que sea de aplicacin. Para tal fin:
a) Se adjuntar a la firma, o se referenciar, toda la informacin pertinente para
su verificacin y validacin:
1. Certificados.
2. Datos de verificacin y validacin.
b) Se protegern la firma y la informacin mencionada en el apartado anterior
con un sello de tiempo.
c) El organismo que recabe documentos firmados por el administrado verificar
y validar la firma recibida en el momento de la recepcin, anexando o referen-
ciando sin ambigedad la informacin descrita en los epgrafes a) y b).
d) La firma electrnica de documentos por parte de la Administracin anexar o
referenciar sin ambigedad la informacin descrita en los epgrafes a) y b).
172
Nivel ALTO
Se aplicarn las medidas de seguridad referentes a firma electrnica exigibles en el
nivel Medio, adems de las siguientes:
a) Se usarn certificados reconocidos.
b) Se usarn dispositivos seguros de creacin de firma.
c) Se emplearn, preferentemente, productos certificados [op.pl.5].
Sellos de tiempo [mp.info.5].
Nivel ALTO
Los sellos de tiempo prevendrn la posibilidad del repudio posterior:
1. Los sellos de tiempo se aplicarn a aquella informacin que sea susceptible de ser
utilizada como evidencia electrnica en el futuro.
2. Los datos pertinentes para la verificacin posterior de la fecha sern tratados con la
misma seguridad que la informacin fechada a efectos de disponibilidad, integridad
y confidencialidad.
3. Se renovarn regularmente los sellos de tiempo hasta que la informacin protegida
ya no sea requerida por el proceso administrativo al que da soporte.
4. Se utilizarn productos certificados (segn [op.pl.5]) o servicios externos admitidos.
Vase [op.exp.10].
Para el tratamiento de determinados procedimientos a partir de la categora me-
dia se recomienda el uso de certificados generados por organizaciones especializadas
en ello y ya citadas en el captulo anterior. Sin embargo, para algunos otros de nivel
medio y aquellos de tipo bsico, podran utilizarse los servicios de certificacin que
ofrece Microsoft a travs de las diferentes versiones de sistema operativo servidor,
desde Windows NT en adelante.
Este servicio de certificados, que admite su integracin en Active Directory, per-

mite el uso de procedimientos automatizados y controlados para la implantacin de
sistemas PKI. En su ltima versin de servidores Windows 2008 R2 se utiliza cifrado
de nueva generacin (CNG). Proporciona una plataforma de desarrollo criptogrfico
flexible que permite a los profesionales crear, actualizar y usar algoritmos de cifrado
personalizados en aplicaciones relacionadas con la criptografa, como Servicios de Cer-
tificate Server de Active Directory (ADCS), Capa de sockets seguros (SSL) y Protocolo
de seguridad de Internet (IPsec). CNG implementa los algoritmos de criptografa de
Suite B del gobierno de EE.UU., que incluyen algoritmos para cifrado, firmas digitales
e intercambio de claves. CNG aporta las siguientes capacidades:
l Permite a los clientes usar sus propios algoritmos criptogrficos o implemen-

taciones de algoritmos criptogrficos estndar. Tambin es posible agregar
algoritmos de nueva generacin.
173
l CNG es compatible con la criptografa en modo kernel. La misma API se

usa tanto en el modo kernel como en el modo usuario para admitir todas las
caractersticas de criptografa. La Capa de sockets seguros/Seguridad de la
capa de transporte (SSL/TLS) e IPsec, adems de los procesos de arranque
que usan CNG, funcionan en modo kernel.
l El plan para CNG incluye adquirir certificacin de nivel 2 del Estndar fe-
deral de procesamiento de informacin (FIPS) 140-2 junto con evaluaciones
de Criterio comn.
l CNG rene los requisitos de Criterio comn mediante el uso y el almacena-
miento de claves de larga duracin en un proceso seguro.
l CNG es compatible con el conjunto actual de algoritmos CryptoAPI 1.0.
l CNG proporciona compatibilidad con los algoritmos de criptografa de curva
elptica (ECC), Suite B del gobierno de EE.UU. Para ello, requiere una serie
de algoritmos ECC.
l Cualquier equipo con un Mdulo de plataforma segura (TPM) puede pro-
porcionar aislamiento y almacenamiento de claves en TPM.
El siguiente grupo de medidas persiguen abordar una serie de problemas que a
menudo no son considerados, como puede ser la limpieza de metadatos de documentos.
Estos pueden suministrar informacin significativa que podra ser utilizada contra la
organizacin. La disposicin de esta informacin por parte de personas inapropiadas
podra permitir la realizacin de un ataque posterior apoyado en informacin privi-
legiada o, incluso, daar la imagen de la organizacin.
Un claro ejemplo se produjo en el ao 2003 con el gobierno britnico. Cuando se

cerna el comienzo de la guerra de Irak, Tony Blair present un informe en la cmara
alta del gobierno britnico que haba sido recibido del servicio de inteligencia de los
Estados Unidos. Dicho informe se present como una prueba irrefutable de que en Irak
existan armas de destruccin masiva. El presidente fue preguntado repetidas veces
si ese documento haba sido manipulado, modificado o tratado de alguna forma por
el gobierno britnico y la respuesta siempre fue negativa.
Sin embargo, el documento fue publicado en el sitio web del gobierno sin tener
en cuenta los posibles metadatos y la informacin oculta que pudiera contener. El
documento en cuestin haba sido escrito en formato .doc, el formato nativo de Mi-
crosoft Word, y result que, al hacer un anlisis de los metadatos, apareci una lista
de ediciones realizadas por ciertos usuarios que demostraban que el documento s
haba sido manipulado por personal del gobierno britnico.
A travs de los metadatos, se puede extraer informacin tal como el direcciona-

miento utilizado en la red interna, nombres de usuarios y de servidores, informacin
de versiones de productos y otros datos de carcter crtico. La siguiente imagen (Figura
6.7.1) muestra el resultado de la extraccin de informacin de metadatos realizada con
la herramienta FOCA de Informtica64.
174
Figura 6.7.1. Extraccin de metadatos con FOCA.
Aunque inicialmente no consista en un ataque directo, la existencia de metadatos

o informacin adicional en documentos se considera una forma de fuga de informa-
cin significativa. El Esquema Nacional de Seguridad recoge la necesidad de tratarlos
adecuadamente en cualquiera de las categoras.
Limpieza de documentos [mp.info.6].
En el proceso de limpieza de documentos se retirar de estos toda la informacin adi-

cional contenida en campos ocultos, metadatos, comentarios o revisiones anteriores,
salvo cuando dicha informacin sea pertinente para el receptor del documento.
Esta medida es especialmente relevante cuando el documento se difunde ampliamente,

como ocurre cuando se ofrece al pblico en un servidor web u otro tipo de repositorio
de informacin.
Se tendr presente que el incumplimiento de esta medida puede perjudicar:
a) Al mantenimiento de la confidencialidad de informacin que no debera haberse

revelado al receptor del documento.
b) Al mantenimiento de la confidencialidad de las fuentes u orgenes de la informa-
cin, que no debe conocer el receptor del documento.
c) A la buena imagen de la organizacin que difunde el documento por cuanto de-
muestra un descuido en su buen hacer.
175
Aunque las aplicaciones como MS Office presentan mecanismos para la lim-

pieza de metadatos, estos procedimientos deben ser realizados de forma manual y
dependern por tanto del buen hacer del usuario, un factor de difcil control (vase
la Figura 6.7.2).
Para procedimientos de limpieza automatizada en los servidores web de MS Inter-

net Information Server y otros tales como Microsoft SharePoint Server 2010, que hacen
uso de sus servicios relacionados con el tratamiento de documentos, Informtica 64 ha
desarrollado Metashield Protector (vase la Figura 6.7.3). Esta solucin que obtuvo un
premio a la innovacin en el ao 2009 entregado por la revista Red Seguridad, presenta
como base fundamental la limpieza de documentos presentados a travs de servicios
web. La solucin funciona como un mdulo de Internet Information Services y est
totalmente integrada con la arquitectura del servidor web. As, cuando el servidor web
recibe la peticin de un fichero ofimtico, ste ser entregado a MetaShield Protector
para que lo limpie en memoria. Una vez que se han eliminado todos los metadatos
del fichero o se han establecido unos previamente definidos por el administrador se
entregar al cliente. MetaShield Protector se instala a nivel de servidor web y se activa
o desactiva en cada sitio web de forma independiente.
Figura 6.7.2. Tratamiento

de la informacin privada
en MS Word.
Para cada uno de los sitios ser posible personalizar cules son los formatos de
documento que han de ser limpiados de metadatos. En la ltima versin del producto
se puede activar la limpieza para documentos Microsoft Office en binario, es decir,
versiones desde MS Office 97 a MS Office 2003, de ficheros .doc, .xls, .pps o .ppt, fiche-
ros de versiones OOXML para MS Office 2007, tipo docx, xlsx, ppsx o pptx, ficheros
en formato PDF y ficheros de OpenOffice de tipo sxw, ods, odp, odt y odg. La confi-
guracin de la herramienta permite que sta se realice por cada sitio web presente en
el servidor permitiendo as al administrador realizar una administracin granular, y
optimizar los tiempos de respuesta de todos y cada uno de los sitios.
176
Figura 6.7.3. Limpieza de documentos con Metashield Protector en IIS.
La opcin automatizada de limpieza resulta muy interesante puesto que indepen-

diza la seguridad del buen hacer del usuario. Aunque los usuarios sean conscientes de
la necesidad, desafortunadamente se enfrentan a que en el trabajo diario, esta limpieza
no siempre se realiza, o bien no se hace correctamente.
La ltima de las medidas previstas en el ENS para la seguridad de la informa-

cin consiste en la necesidad de realizar copias de seguridad. De este modo, en caso
de que se haya producido una incidencia ser posible recuperar la informacin bien
sobre el sistema en produccin original o bien en uno alternativo. Los mecanismos de
copia debern estar previstos a partir del nivel medio de los sistemas categorizados.
Copias de seguridad (backup) [mp.info.9].
Nivel MEDIO
Se realizarn copias de respaldo que permitan recuperar datos perdidos accidental o

intencionadamente con una antigedad determinada.
177
Las copias de respaldo disfrutarn de la misma seguridad que los datos originales
en lo que se refiere a integridad, confidencialidad, autenticidad y trazabilidad. En
particular, se considerar la conveniencia o necesidad de que las copias de seguridad
estn cifradas para garantizar la confidencialidad.
Las copias de respaldo debern abarcar:
a) Informacin de trabajo de la organizacin.

b) Aplicaciones en explotacin, incluyendo los sistemas operativos.
c) Datos de configuracin, servicios, aplicaciones, equipos, u otros de naturaleza
anloga.
d) Claves utilizadas para preservar la confidencialidad de la informacin.
Aunque muchos de los productos de Microsoft cuentan con su propio sistema de
copia de seguridad, existe un servicio que permite la unificacin y tratamiento de copia
de seguridad de todos ellos. Bien sea de sistema operativo, bases de datos, sistemas
de gestin de certificados, sistemas de virtualizacin o correo electrnico, MS System
Center Data Protection Manager ofrece soluciones en modo agente servidor para todos
ellos. En su versin 2010, aunque presenta los mismos objetivos fundamentales de sus
antecesores, se han potenciado algunas de las funcionalidades:
l La capacidad para disponer de polticas de gestin centralizada para la

proteccin y recuperacin de datos de servidores de ficheros, de sistemas
operativos y estaciones de trabajo.
l Mejora de la proteccin de escenarios de virtualizacin, incluyendo tecno-
logas de Hyper-V LiveMigration R2 y la posibilidad de recuperar un solo
archivo dentro de copias de seguridad basadas en host.
l Se pueden obtener capacidades de proteccin y recuperacin para servidores
de aplicaciones de Windows basados en infraestructuras de base de datos
como MS SQL Server, MS Exchange Server o MS SharePoint Server.
l Replicacin nativa de sitio a sitio para la recuperacin ante desastres, ya sea
en otro servidor DPM o un proveedor de servicios ubicado en la nube.
l Significativo aumento de la escalabilidad empresarial para el despliegue de
DPM en entornos de gran tamao, junto con un sistema de gestin centra-
lizada de su estado y procedimientos de recuperacin.
6.8. Proteccin de los servicios

La permanente evolucin de los sistemas es una realidad incuestionable. La
prestacin de servicios a travs de Internet ha modificado las formas tradicionales de
actuacin de las organizaciones. De este modo, hechos como la progresiva sustitucin
del correo ordinario o el fax en favor del correo electrnico se han generalizado para
178
la prctica totalidad de las organizaciones. Lgicamente, la Administracin Pblica

no es ajena a estos avances e incorpora dentro de sus procedimientos las ventajas que
las nuevas tecnologas ofrecen, especialmente Internet.
Sin embargo, los servicios de Internet, junto a mltiples ventajas, han trado
tambin inconvenientes a las organizaciones, haciendo necesario enfrentarse a nuevos
problemas que los sistemas tradicionales no presentaban. Los posibles ejemplos son
muchos. Una organizacin no se vea acosada por una gran cantidad de publicidad en
su correo tradicional. Sin embargo, en el correo electrnico, el spam o correo basura
constituye un hecho tan comn que incluso se encuentra tipificado en la legislacin
espaola. La dispersin de malware a travs del correo electrnico es otro reto a
afrontar para minimizar los nuevos riesgos y amenazas a las que se ven sometidas
las organizaciones por el uso de servicios de Internet.
El Esquema Nacional de Seguridad (ENS) aborda tambin la seguridad de

los sistemas, desde la perspectiva de los servicios. No slo la informacin, sino el
propio servicio, como medio para la prestacin de las funciones, debe ser protegido
celosamente. Un servicio dbil constituye una forma propiciatoria para obtener una
informacin, a la que normalmente no se debera poder acceder. La proteccin de los
servicios constituye por tanto una necesidad. El ENS presta especial atencin al co-
rreo electrnico y a los servicios web, atendiendo a su uso generalizado y su carcter
crtico. Por otra parte, se observa la continuidad del servicio como una prioridad fun-
damental, propiciando la aplicacin de medidas tcnicas que eviten posibles ataques
de denegacin de servicio.
6.8.1. Proteccin del correo electrnico

El correo electrnico se ha convertido en uno de los servicios ms populares y
de uso ms generalizado por parte de las organizaciones. Constituye un elemento tan
estratgico que la prdida del mismo podra suponer serios problemas estructurales
en una entidad. Muchos de los procesos de comunicacin, incluso de carcter interno,
se realizan mediante este mecanismo, sustituyendo a otros como la telefona conven-
cional. El abaratamiento de costes y la capacidad de comunicacin son las banderas
principales de este servicio.
Sin embargo, es evidente que adems de considerables ventajas tambin presenta

riesgos. Puesto que la comunicacin, tanto interna como externa, a travs del correo
electrnico viaja por numerosas redes, es necesario garantizar la confidencialidad
de la misma. Por otra parte, la recepcin del correo basura no slo constituye una
incomodidad desde el punto de vista del usuario, sino que tambin implica el uso
innecesario de recursos de almacenamiento.
Este tipo de correos constituyen en muchas ocasiones el noventa por ciento de

la informacin que recibe una organizacin a travs del servicio de mensajera. El
almacenamiento, tratamiento y copiado del mismo supone por tanto un incremento
notable en los costes finales si no es tratado adecuadamente.
179
El ENS trata proporcionalmente la proteccin del servicio de correo electrnico

desde el nivel ms bsico. Para ello solicita de las organizaciones la aplicacin de las
siguientes medidas.
Proteccin del correo electrnico (e-mail) [mp.s.1].
El correo electrnico se proteger frente a las amenazas que le son propias, actuando
del siguiente modo:
a) La informacin distribuida por medio de correo electrnico se proteger tanto en

el cuerpo de los mensajes, como en los anexos.
b) Se proteger la informacin de encaminamiento de mensajes y establecimiento de
conexiones.
c) Se proteger a la organizacin frente a problemas que se materializan por medio
del correo electrnico, en concreto:
1 Correo no solicitado, en su expresin inglesa spam.
2 Programas dainos, constituidos por virus, gusanos, troyanos, espas, u otros
de naturaleza anloga.
3 Cdigo mvil de tipo applet.
d) Se establecern normas de uso del correo electrnico por parte del personal deter-
minado. Estas normas de uso contendrn:
1 Limitaciones al uso como soporte de comunicaciones privadas.
2 Actividades de concienciacin y formacin relativas al uso del correo electr-
nico.
La aplicacin de las medidas de carcter tcnico busca el control de cuatro ame-
nazas habituales del correo electrnico:
l Suplantacin del correo electrnico.

l Captura de correo electrnico.
l Distribucin del malware.
l Correo basura.
MS Exchange Server 2010 cuenta con mecanismos nativos e implantados por de-
fecto para garantizar la comunicacin segura en todos los mbitos de la comunicacin
interna. La comunicacin entre los diferentes roles de servidores intervinientes en la
comunicacin, Hub Transport o Edge Transport por poner un ejemplo, presentan me-
canismos predeterminados para la comunicacin segura mediante TLS. MS Exchange
Server tambin proporciona sistemas seguros para la conectividad del cliente: bien
a travs de los accesos de MS Outlook con el cliente pesado, o bien en conexiones a
travs de HTTPS, como las que se realizan con Outlook Web App (OWA) u Outlook
180
Anywhere, garantizando en todo momento la confidencialidad en el acceso del usuario

a su buzn. (Vase la Figura 6.8.1.)
Sin embargo, en el intercambio de correos que realice la entidad a travs de

Internet, el protocolo estandarizado SMTP (Simple Mail Transfer Protocol) no emplea
de forma nativa ningn mecanismo que garantice la seguridad de la comunicacin.
Aunque MS Exchange Server ofrece mecanismos para el intercambio seguro mediante
una implementacin de SMTP sobre TLS, ste no es un mecanismo habitualmente
empleado por las entidades y, por tanto, no puede garantizarse siempre la seguridad
del servicio.
Figura 6.8.1. Acceso HTTPS Outlook Web App.
No obstante, el sistema de correo electrnico presenta de forma estndar meca-

nismos para garantizar la autenticidad e integridad de los mensajes intercambiados
entre dos usuarios. S/MIME (Secure / Multipurpose Internet mail Extensions) propor-
ciona un sistema basado en el uso de certificados digitales que puede ser empleado
tanto para el firmado como para el cifrado de correo electrnico. Tanto los clientes
Microsoft, Outlook, OWA o Windows Mail, como el propio servidor, son capaces de
tratar correctamente los correos electrnicos asegurados. Sin embargo, esto presenta
el inconveniente de que los sistemas de anlisis perimetral de correos electrnicos
perderan su eficacia al tener que realizar un tratamiento de mensajes que se encon-
traran cifrados. Se requiere en este sentido que la aplicacin de la seguridad se realice
en el puesto cliente.
181
El empleo de S/MIME y la comunicacin segura, sumado a los mecanismos

de autenticacin tanto para el acceso al buzn como para el envo de correo desde
la organizacin, proporcionan mecanismos suficientes para garantizar la seguridad
frente a la suplantacin interna o el acceso indebido a correos en trnsito. No obstante,
asegurar la identidad de la procedencia de un correo necesita mecanismos adicionales.
Microsoft ha liderado un proyecto denominado SenderID que persigue este fin.
El objetivo bsico de este framework es realizar consultas al servicio DNS de una

organizacin intentado identificar su registro SPF (Sender Policy Framework) si ste se
encontrase publicado. Dicho registro identificar los nombres y direcciones IP de los
servidores MTA (Mail Transfer Agent) encargados de enviar los correos electrnicos de
una entidad. Dicha informacin se contrastar con la que aparece en la cabecera de los
correos electrnicos y que permite identificar el servidor MTA que envi el correo. La
coincidencia o no de dicha informacin definir si el correo ha sido o no suplantado.
La respuesta positiva o negativa, o bien si la organizacin no tiene declarado el regis-
tro SPF, determinarn el comportamiento del servidor MS Exchange Server ante los
mensajes (vase la Figura 6.8.2). Si desea ms informacin o conocer si su empresa
dispone del registro SPF creado, puede acceder a la siguiente direccin URL: http://
www.microsoft.com/senderid.
Figura 6.8.2. Consulta del registro SPF.
Una de las mayores preocupaciones de las organizaciones es la inseguridad que

pueden ocasionar determinados correos tratados por ciertos usuarios. El spam cons-
tituye un procedimiento muy invasivo, no slo por la cantidad de informacin intil
que genera, sino en ocasiones tambin por el contenido de sta. Desafortunadamente,
son habituales los casos de personas estafadas al proporcionar datos importantes
en base a la informacin que portaba un correo proveniente supuestamente de una
entidad bancaria. Estas tcnicas maliciosas son conocidas como phising. El trmino
182
identifica estos nuevos mecanismos de estafa relacionados con las nuevas tecnologas
que emplean la ingeniera social para hacer creer algo que realmente no es. Tambin
el spam y la ingeniera social sirven para que los usuarios abran a veces ficheros
adjuntos que en un gran porcentaje tendrn contenido vrico y que pueden afectar
de muchas formas a los sistemas de la organizacin. En definitiva, son mltiples las
tcnicas maliciosas y los casos que hacen uso del correo electrnico para el desarrollo
de acciones malintencionadas, incluso delictivas.
Las organizaciones tienen, por tanto, la necesidad de luchar contra estas amena-
zas, contrarrestando el spam e impidiendo la entrada de malware a travs del servicio
de correo electrnico. Sin embargo, junto a lo anterior debern intentar en la medida
de lo posible minimizar el nmero de falsos positivos. Estos constituyen en esencia
mensajes buenos que por uno u otro motivo han sido identificados como potenciales
amenazas. El exceso de celo puede en s mismo ser tambin un riesgo para la presta-
cin del servicio.
Microsoft cuenta en MS Exchange Server 2007 y 2010 para garantizar la segu-

ridad de los correos electrnico con MS Forefront Protection for Exchange 2010. En
junio del ao 2005 Microsoft haca de la empresa Sybari una filial de la compaa. Con
ello Microsoft incorporaba uno de los productos lderes en el mercado de soluciones
antivirus multimotor y antispam para servidores de correo electrnico, Antigen. Su
base funcional consista en la implementacin de un sistema multimotor para el co-
rreo electrnico, as como procedimientos para la deteccin y eliminacin de spam,
a travs de la aplicacin de diferentes filtros que el administrador poda configurar.
El sistema multimotor aporta la ventaja de poder actuar con ms de un sistema

antimalware, permitiendo una tasa de deteccin y eliminacin mucho ms alta que
con los sistemas convencionales de un nico motor. Los motores con los que cuenta
actualmente MS Forefront Protection for Exchange 2010 son:
l Microsoft Antimalware Engine.

l Authentium Command Antivirus Engine.
l Karpersky Antivirus Technology.
l Norma Virus Control.
l VirusBuster Antivirus Scan Engine.
l Anti Worm.
Para la realizacin de una deteccin eficaz haciendo uso de varios motores, MS
Forefront Protection for Exchange se basa en la tcnica de anlisis a travs de escaneo
en la memoria, mucho ms eficaz que los sistemas de anlisis en disco. Esto se suma
al empleo de varios procesos para la realizacin de los diferentes test. El administra-
dor podr definir la estrategia que desea utilizar para los procedimientos de anlisis.
Puede sumar el empleo de mltiples roles para analizar con diferentes motores y segn
qu circunstancias los correos que entran o salen de una organizacin. Existen para
183
ello diferentes opciones en las que se evalan no slo los motores activados para una
determinada tarea, sino tambin la disponibilidad de los mismos en el momento de
que se lleve a cabo la identificacin:
l Examinar con todos los motores.

l Examinar con el subconjunto de motores disponibles.
l Examinar con un subconjunto de motores seleccionado dinmicamente.
l Examinar con un solo motor.
La seleccin de los motores ms adecuada se basa en las actualizaciones dispo-
nibles y las tasas de acierto y deteccin realizadas previamente. Este mecanismo, de-
nominado seleccin dinmica, aporta una gran eficacia a la hora de detectar potencial
malware. (Vase la Figura 6.8.3.)
Figura 6.8.3. Seleccin del tipo de anlisis.
Cuando un malware es detectado, se inicializa un procedimiento que permite

definir qu hacer con el fichero que se encuentra infectado. Es posible diferenciar las
acciones a realizar y el tratamiento en la cuarentena. Para ello se puede seleccionar:
l Omitir deteccin.
184
l Limpiar.
l Eliminar
l Suspender.
Determinadas opciones, como las de limpieza o eliminacin, llevan definidas de
forma predeterminada que los adjuntos sean sustituidos por mensajes que podrn
ser editados por el administrador y que proporcionarn al usuario informacin sobre
dicha accin. El mensaje, adems de contener un texto identificativo de la accin, podr
estar sujeto a informacin preceptiva de seguridad de la organizacin, permitiendo
identificar tanto el fichero como el malware (vase la Figura 6.8.4).
Todos los mensajes que proporciona MS Forefront Protection for Exchange 2010,
tanto en la sustitucin de un malware como en las notificaciones configuradas, son
totalmente personalizables.
Figura 6.8.4. Adjunto con malware.
Sin embargo, la solucin antimalware no es la nica que ofrece MS Forefront

Protection for Exchange 2010. Tambin aporta una solucin Antispam Premium que
se suma a la funcionalidad que contra el correo basura proporciona el propio MS Ex-
change Server 2010. Este ltimo aporta los siguientes mecanismos de filtrado:
l Filtrado de la conexin.
l Filtrado del contenido.
l Filtrado de los destinatarios.
l Filtrado de los remitentes.
l Sender ID.
l Reputacin del remitente.
A estos, MS Forefront Protection for Exchange 2010 aade:
l Filtrado de la conexin. Examina la direccin IP del remitente original.

Dispone de listas de direcciones IP estticas configurables bloqueadas y per-
mitidas, y una lista de DNS dinmicos bloqueados que Microsoft mantiene
y que puede filtrar hasta el 90% de correo electrnico no deseado.
185
l Filtrado de remitentes. MS Forefront Protection for Exchange 2010 examina

la informacin de los remitentes SMTP. Este filtro permite a los administra-
dores configurar los remitentes permitidos y los bloqueados, en funcin de
los dominios y las direcciones origen de los correos electrnicos.
l Filtrado de id. de remitentes. Se utiliza un marco de identificadores de
remitente para validar que ste no est suplantando la identidad de otro.
l Filtrado de los destinatarios. Es posible configurar el permiso o bloqueo de
los mensajes de correo electrnico dirigidos a ciertos destinatarios de la or-
ganizacin. Adems, MS FPE presenta la capacidad, a travs de las consultas
del servicio de dominio de Active Directory, de validar que el destinatario
exista en dicho servicio de la compaa.
l Filtrado del contenido. Se examina el contenido del propio mensaje, inclu-
yendo la lnea de asunto y el cuerpo del mensaje. MS FPE usa un motor de
proteccin contra correo no deseado de terceros para detectar este tipo de
correo en todos los mensajes.
l Filtrado de retrodifusin. Microsoft Forefront Protection for Exchange 2010
incluye una nueva tecnologa que permite a los administradores evitar que
los informes de no entrega (NDR) falsos que se generan en direcciones de
remitente falsas entren en el entorno.
Adicionalmente, se pueden aplicar una serie de filtros globales para capacidades
de deteccin y eliminacin de determinados elementos en correos electrnicos (vase
la Figura 6.8.5). Estos filtros se aplican como opciones de configuracin manual por
parte del administrador, para controlar la mensajera electrnica atendiendo a los
criterios especficos de la organizacin.
l Filtrado de remitentes permitidos. Permite que se omitan determinados

tipos de filtros para los remitentes que se especifiquen. Se trata de una lista
blanca de remitentes a los que no se les aplicarn el resto de los filtros.
l Archivo. Filtrar mensajes que contengan nombres o tipos de datos adjuntos
a correos electrnicos.
l Palabra clave. Permite establecer criterios de palabras en el cuerpo del
mensaje para el bloqueo de correos electrnicos.
l Lnea de asunto. Similar al filtro anterior, pero en este caso la deteccin se
realizar slo en el asunto del mensaje.
l Remitente o dominio. Permite filtrar mensajes de los remitentes o dominios
que se especifiquen. Se trata de una lista negra de remitentes.
Aunque estos sistemas no dinmicos pueden generar una alta tasa de falsos
positivos si no son utilizados adecuadamente, son una herramienta eficaz en determi-
nados escenarios. Por ejemplo, se podra conocer un determinado malware de reciente
aparicin que se est distribuyendo en un tipo de correo muy caracterstico y para el
186
que todava no existe la firma correspondiente. A travs del filtrado de archivo, pa-
labra clave o lnea de asunto podra bloquearse su distribucin hasta la aparicin de
la firma adecuada. O bien, determinado correo que est invadiendo masivamente los
buzones de los usuarios y no es detectado adecuadamente, podra ser identificado y
filtrado atendiendo a alguna de sus caractersticas.
Los mecanismos que se proporcionan para identificar, notificar y hacer un segui-

miento de las amenazas, constituyen un elemento fundamental para los administra-
dores. En todo momento, stos disponen de la informacin de todos los detalles de
incidencias que han tenido lugar, as como de las estadsticas de deteccin y filtrado
correspondientes. (Vase la Figura 6.8.6.)
Figura 6.8.5. Configuracin de filtros en MS FPE 2010.
Se permiten emplear mecanismos de notificacin para que tanto el administra-

dor como los usuarios sean conscientes de los incidentes que hayan tenido lugar con
el servicio de correo electrnico. Los usuarios podrn solicitar que el administrador
pueda recuperar de la cuarentena ficheros adjuntos que hayan podido ser eliminados
o correos filtrados por los diferentes sistemas activados en el servidor.
La suma de todas las capacidades de MS Forefront Protectin for Exchange le

facultan como una de las mejoras soluciones en la actualidad para la proteccin del
correo electrnico.
187
Figura 6.8.6. Monitorizacin de incidencias en MS Forefront Protection for Exchange.
6.8.2. Proteccin de servicios y aplicaciones web [mp.s.2]

Los ataques a servidores web constituyen una de las amenazas ms visibles que
sufren las organizaciones por parte de los hackers. Notables son algunos de los ataques
que se han realizado a lo largo de la historia afectando por igual a entidades pblicas
y privadas, a grandes y pequeas organizaciones. Los objetivos son mltiples. La al-
teracin de la informacin proporcionada va web, el acceso a informacin y servicios
internos o la generacin de un dao en la imagen de la organizacin, son algunos de
sus posibles efectos negativos.
El Esquema Nacional de Seguridad recoge algunos de los mecanismos de ataque
ampliamente utilizados, conminando a luchar contra los mismos y aplicando para ello
medidas de proteccin adecuadas.
Los subsistemas dedicados a la publicacin de informacin debern ser protegidos
frente a las amenazas que les son propias.
a) Cuando la informacin tenga algn tipo de control de acceso, se garantizar la
imposibilidad de acceder a la informacin obviando la autenticacin, en particular
tomando medidas en los siguientes aspectos:
1 Se evitar que el servidor ofrezca acceso a los documentos por vas alternativas
al protocolo determinado.
188
2 Se prevendrn ataques de manipulacin de URL.

3 Se prevendrn ataques de manipulacin de los fragmentos de informacin que
se almacenan en el disco duro del visitante de una pgina web a travs de su
navegador, a peticin del servidor de la pgina; dichos fragmentos se conocen
con el trmino ingls cookies.
4 Se prevendrn ataques de inyeccin de cdigo.
b) Se prevendrn intentos de escalado de privilegios.
c) Se prevendrn ataques de cross site scripting.
d) Se prevendrn ataques de manipulacin de programas o dispositivos que realizan
una accin en representacin de otros, conocidos en terminologa inglesa como
proxies y sistemas especiales de almacenamiento de alta velocidad, conocidos
en terminologa inglesa como cachs.
Aunque las medidas van enfocadas principalmente a la aplicacin de principios
de desarrollo de cdigo seguro, existen mecanismos adicionales que permiten el blo-
queo de determinados ataques. Para el propio servidor web, se aporta por parte de
MS Internet Information Service en sus ltimas versiones, un nuevo diseo basado en
la modularidad y en la utilizacin de las herramientas de seguridad incluidas:
a) URL Authorization. Permite el control de acceso a sitios o archivos sin la

aplicacin de permisos NTFS.
b) Request Filtering. Previene el acceso a URLs con determinado texto y
diferentes tamaos para evitar el desbordamiento. Impide la descarga de
diferentes ficheros en funcin de su contenido o extensiones.
Junto a lo anterior, se proporciona tambin una herramienta denominada UrlScan
que evoluciona de versiones anteriores. En su ltima versin previene determinados
ataques dainos contra aplicaciones web soportadas en IIS:
l Mitiga ataques de SQL Injection. Puede ser configurada para el filtrado de

determinadas consultas y encabezados HTTP.
l Permite crear reglas independientes para cadenas de caracteres y encabeza-
dos.
l Controla secuencias de escape utilizadas habitualmente en ataques web.
l Proporciona adicionalmente un formato de logs W3C para un tratamiento
adecuado a travs de aplicaciones de anlisis de registros como Microsoft
Log Parser.
Adems de las caractersticas aportadas por el servidor Internet Information
Server o algunos de sus mdulos, existe la capacidad preventiva para mitigar posibles
ataques en el permetro (vase la Figura 6.8.7). Una de las ltimas actualizaciones del
motor NIS (Network Inspection Service) de MS Forefront Threat Management Gateway
189
2010, consiste precisamente en detectar y bloquear ataques de SQL Injection y Cross-

Site Scripting entre otros. Estos bloqueos se realizarn contra ataques dirigidos a
servidores web publicados por la organizacin.
El sistema de IPS (Intrusion Prevention System) conjuntamente con el analiza-

dor genrico de protocolo a nivel de aplicacin (GAPA), proporcionan un sistema
de anlisis basado en firmas para identificar los ataques que se produzcan contra
la organizacin. Aunque originalmente inclua solamente firmas para contrarrestar
ataques que mediante exploits se producan contra determinadas vulnerabilidades,
ltimamente se han incluido mecanismos para filtrar ataques ms genricos, como
los que se producen contra sistemas web, incluidos entre ellos algunos de denegacin
de servicio (DoS).
Aunque inicialmente este sistema de prevencin se ha explotado ya en MS

Forefront TMG 2010, se implementar tambin sobre otros servicios tales como MS
Forefront Endpoint Protection 2010. La base operacional del sistema GAPA es:
l Identificacin de las sesiones.

l Evaluacin del estado de las operaciones.
l Correlacin de informacin.
l Estratificacin de los protocolos.
l Anlisis de tiempos, excepciones y preexistencia de sesiones.
Figura 6.8.7. Prevencin de ataques XSS en MS Forefront TMG 2010.
190
6.8.3. Proteccin frente a la denegacin de servicios

Aunque ya ha sido tratado a lo largo del libro, el ENS remarca en todo momento
la disponibilidad como una de las mximas a seguir por la Administracin Pblica en
la prestacin de los servicios. De forma expresa lo recoge en las medidas previstas en
la prestacin de servicios para los niveles medio y alto.
Nivel MEDIO
Se establecern medidas preventivas y reactivas frente a ataques de denegacin de

servicio (DOS, Denial of Service). Para ello:
a) Se planificar y dotar al sistema de capacidad suficiente para atender a la carga

prevista con holgura.
b) Se desplegarn tecnologas para prevenir los ataques conocidos.
Nivel ALTO
a) Se establecer un sistema de deteccin de ataques de denegacin de servicio.

b) Se establecern procedimientos de reaccin a los ataques, incluyendo la comuni-
cacin con el proveedor de comunicaciones.
c) Se impedir el lanzamiento de ataques desde las propias instalaciones perjudicando
a terceros.
La prevencin contra los ataques por denegacin de servicio comprende por tanto
un objetivo a resolver para los niveles medio y alto. Nuevamente, MS Forefront Threat
Management Gateway 2010 proporciona mecanismos suficientes para la prevencin
de ataques de denegacin de servicios (vase la Figura 6.8.8).
Adicionalmente al mdulo de NIS, que aporta firmas para prevenir ataques

basados en la denegacin contra determinados servicios, presenta una funcionalidad
que previene contra el desbordamiento como tcnica de ataque. sta impide ataques
que por saturacin anulen las funcionalidades que proporciona el servidor. Mximo
nmero de conexiones por sesin o por segundo son algunos de los controles que
permiten definir este sistema de filtrado. Puesto que la configuracin es global para
todo el sistema, se pueden generar excepciones en caso de que un cliente requiriera
una conexin vlida, aun superando los valores establecidos.
6.8.4. Medios alternativos

En el caso del nivel alto se requiere la existencia de medios que proporcionan
alta disponibilidad.
Se garantizar la existencia y disponibilidad de medios alternativos para prestar

los servicios en el caso de que fallen los medios habituales. Estos medios alternativos
estarn sujetos a las mismas garantas de proteccin que los medios habituales.
191
Todos los productos Mi-

crosoft citados anteriormente
permiten su implantacin en
alta disponibilidad. Para ello,
pueden desarrollarse modelos
basados bien en la generacin
de matrices, o bien a travs de
granjas de servidores. En el
caso de MS Forefront Threat
Management Gateway 2010,
como ya se ha mencionado, en
su versin Enterprise cumplir
este cometido a travs del ser-
vicio de NLB.
Figura 6.8.8. Prevencin contra

el desbordamiento en MS
Forefront TMG 2010.
Figura 6.8.9. Habilitar la configuracin NLB en MS Forefront TMG 2010.
192
Premios, reconocimientos y certificaciones de los productos Microsoft
7
Premios,
reconocimientos y
certificaciones de los
productos Microsoft
El Real Decreto 3/2010 recoge la necesidad de utilizar productos reconocidos
internacionalmente, en funcin de lo estipulado por el Organismo de Certificacin
del Esquema Nacional de Evaluacin y Certificacin de Seguridad de las Tecnologas
de la Informacin. Adems de la propia certificacin de seguridad de productos y
sistemas de tecnologas de la informacin segn los procedimientos establecidos, se
admiten los certificados Common Criteria. Estos, emitidos por diferentes organismos de
certificacin, se encuentran reconocidos por mltiples pases, siendo Espaa uno de
sus integrantes con capacidad de emisin a travs del de Certificacin de la Seguridad
de las Tecnologas de la Informacin adscrito al Centro Criptolgico Nacional (CCN).
La valoracin que se realiza de los diferentes productos se categoriza mediante

EAL (Evaluation Assurance Level). Los niveles factibles van desde EAL1 a EAL7 aten-
diendo a los distintos argumentos de certificacin y a las pruebas realizadas en labo-
ratorio sobre los productos. Normalmente, los niveles EAL5 a EAL7 estn orientados
a productos con tcnicas y objetivos muy especializados, por lo que no suelen emitirse
a los sistemas que se distribuyen comercialmente.
Las ltimas certificaciones obtenidas por productos Microsoft son:
l Windows Vista Enterprise; Windows Server 2008 Standard Edition; Windows

Server 2008 Enterprise Edition; Windows Server 2008 Datacenter Edition con
EAL4* ALC_FLR.3.
l Microsoft Windows Server 2008 Hyper-V Role with HotFix KB950050 con
EAL4* ALC_FLR.3.
193
l Microsoft Internet Security and Acceleration Server 2006 Standard / Enter-

prise Edition, Build 5.0.5720.100 con EAL4+ ALC_FLR.3 AVA_VLA.3.
l Microsoft Windows Rights Management Services (RMS) 1.0 SP2 con EAL4+
ALC_FLR.3.
l Microsoft SQL Server 2008 Enterprise Edition (English) x86 and x64, Version
10.0.1600.22 EAL1+ ASE_OBJ.2 ASE_REQ.2 ASE_SPD.1.
l Microsoft System Center Mobile Device Manager 2008-Service Pack 1 con
EAL4+ ALC_FLR.3.
l Microsoft Exchange Server 2007 Enterprise Edition (English), Version/Build
08.02.0176.002 con EAL4+.
Estas son las ltimas certificaciones recibidas. Es necesario considerar que el
proceso de obtencin de stas es largo. MS ISA Server 2006 obtuvo su certificacin el 9
de febrero de 2009. Mltiples productos Microsoft, como los de la lnea de Forefront y
las versiones de sistemas operativos ms actuales, Windows 7 o Windows Server 2008,
han sido remitidos tambin para su evaluacin en las diferentes categoras, siendo
necesario esperar un tiempo para conocer la certificacin obtenida. Es de esperar que
estas certificaciones sean iguales a las de sus productos antecesores, mxime cuando
los nuevos productos han mejorado sensiblemente las caractersticas y funcionalidades
en el mbito de la seguridad.
Por otra parte, las soluciones Microsoft no han obtenido exclusivamente el
reconocimiento del mercado en formato de certificacin del producto, sino que tam-
bin diferentes premios y acreditaciones los reconocen y valoran mundialmente. Se
muestra a continuacin, a modo de ejemplo, los obtenidos por los productos de lnea
MS Forefront:
l MS Forefront Client Security ha recibido el ltimo CESG Claims Tested Mark

(CCTM) Award por proteccin integral. Es uno de los cuatro productos de
MS Forefront que han sido finalistas en la categora de Info Security 2008
Global Product Excellence and 2008 Outstanding Awards. La Certificacin
ICSA Lab en Laboratorios de Antivirus y Anti-Spyware. La Certificacin
West Coast LabsCheckmark Certification y el VB100 de Virus Bulletin.
l MS Forefront Protection 2010 for Exchange Server ha sido nombrado como
2010 Hot Technology and Solution. Ha recibido la certificacin West Coast
LabsCheckmark Certification y el VBSpam de Virus Bulletin.
l MS Forefront Protection 2010 for SharePoint Server ha recibido la certificacin
West Coast LabsCheckmark Certification.
l MS Forefront Security for SharePoint ha obtenido el premio 2009 Global
Product Excellence Award for Document Protection de Info Security Products
Guide organization.
l MS Forefront Security for Office Communications Server ha recibido la
certificacin West Coast LabsCheckmark.
194
Premios, reconocimientos y certificaciones de los productos Microsoft
l MS Forefront Threat management Gateway 2010 ha recibido el galardn 2010

Product Innovation Award for Anti Malware Solution de Network Products
Guide, an industry-leading technology research and advisory guide.
Estos y otros productos Microsoft obtienen tambin posiciones destacadas en
muchos de los tests de seguridad que realizan empresas independientes, llegando
incluso a liderar algunos de los rankings. Este es el caso de MS Forefront Protection
2010 for Exchange Server, que en la categora de solucin Antispam de VBSpam ha
obtenido los mejores registros con una puntuacin superior al 96%. Para la obtencin
de este registro se ha hecho uso de la exigente frmula que mide el ratio de correo
Spam Detectado (SC: Spam Caught) y el ratio de falsos positivos (FP: False Positive).
Estos resultados se combinan en la frmula que da el resultado final, Resultado =
SC - (3 X FP).
En el ao 2010, en diferentes resultados publicados sobre este mismo producto,

es posible observar la obtencin de las mejores puntuaciones, con el menor nmero
de falsos positivos y el mayor porcentaje de deteccin de correos spam.
Figura 7.1. Resultado del test Antispam en Julio de 2010.
Pero tambin el motor antimalware cosecha buenos nmeros en las diferentes

pruebas realizadas. Destacan entre ellas las correspondientes a la deteccin proactiva
basada en el anlisis heurstico consiguiendo la ms alta cualificacin, Advanced+
por AV comparatives. Estas pruebas tienen como objetivo no evaluar el uso de firmas,
sino los sistemas de deteccin basados en heursticas, donde el objetivo es detectar
la presencia de malware no conocido. Para ello se utiliza una misma mquina en las
195
mismas condiciones para todos los antivirus. Se provee a las soluciones de una firma
correspondiente a un mismo da, pasando a ejecutar posteriormente diferentes tipos
de malware que han hecho su aparicin 10 das despus de la aparicin de la firma a
testear. Puesto que las diferentes soluciones antimalware no contarn con la firma para
detectar los virus, debern contar nicamente con sus sistemas basados en anlisis de
comportamiento para detectar la presencia del malware.
El test persigue dos objetivos concretos: determinar el ndice de acierto en de-

teccin, y evaluar el nmero de falsos positivos que puede llegar a dar el antivirus.
Finalmente, tambin se han cosechado importantes logros en lo concerniente a

eliminacin de malware o la deteccin de ste por firmas conocidas.
196
Seguridad y privacidad en la nube
8
Seguridad y privacidad
en la nube
Luis Miguel Garca de la Oliva (Director de Seguridad y Privacidad
de Microsoft) y Hctor Snchez (Director de Tecnologa de Microsoft)
Cunto podra mejorar una compaa si todos sus empleados pudiesen trabajar
desde cualquier sitio y en cualquier momento? En el mundo actual, es crucial tener
una visin competitiva que permita ayudar a las empresas a ser mejores.
En la mayora de los casos, ms flexibilidad, productividad y eficacia permiti-

rn experimentar una nueva manera de trabajar y al final hacer a las compaas ms
rentables. Los servicios en la nube de Microsoft pretenden hacer crecer su negocio
manteniendo la seguridad y la privacidad y facilitando a las empresas la posibilidad
de dedicar ms recursos a mejorar en el negocio.
Con las soluciones de los Servicios Online de Microsoft las compaas se be-
neficiarn de costes ms bajos, back-ups automatizados, acceso universal y mxima
fiabilidad sin tener que hacer ninguna concesin-. Microsoft aplica los ms altos
estndares y las ltimas tecnologas para permitirle centrarse en su negocio y no
preocuparse por la seguridad.
8.1. Seguridad y privacidad: un proceso integral y continuo

El Programa de Gestin del Riesgo de Microsoft enmarca la estructura de segu-
ridad y privacidad de los Servicios Online. Este programa se centra en la mejora de la
seguridad y disponibilidad de los Servicios Online con un cumplimiento contrastado
de los estndares de la industria en el suministro del servicio. Hace hincapi en cuatro
reas fundamentales con los siguientes requisitos:
197
Seguridad. El entorno de Microsoft debe incluir caractersticas diseadas

para protegerle de los ataques, intencionados o no.
Privacidad. Los datos y las operaciones del cliente deben ser considerados
como especficos de cada uno e inaccesibles para cualquier otro cliente.
Continuidad. Los servicios de Microsoft y los datos asociados de sus clientes
deben estar disponibles cuando sean solicitados y deben existir unas capa-
cidades slidas para permitir la recuperacin ante catstrofes.
Cumplimiento. Los servicios de Microsoft deben operar bajo el cumplimiento
de las polticas de seguridad de Microsoft y los estndares de la industria.
Las soluciones de los Servicios Online de Microsoft, que incluyen servicio de
email, colaboracin, desarrollo de aplicaciones y aplicaciones de negocio, estn dise-
adas para administradores de clientes o personal autorizado con acceso a los datos
de clientes. Esta caracterstica permite al cliente reforzar las polticas de seguridad y
privacidad de su compaa.
8.2. Sistemas de gestin de Microsoft y control de acceso

El personal de Microsoft gestiona y refuerza las polticas de seguridad de forma
centralizada desde los servidores dedicados a controlar y monitorizar los sistemas. Un
modelo de gestin por delegacin habilita a los administradores de Microsoft a tener
acceso a los sistemas nicamente para desempear tareas especficas, reduciendo el
potencial de error y permitiendo el acceso a los sistemas y funciones slo en lo estric-
tamente necesario. Las medidas de seguridad a nivel de infraestructura incluyen un
modelo de administracin de tres niveles que asla las tareas administrativas y el
control de acceso a sistemas basados en el rol del usuario y en el nivel de acceso de
administracin para el cual el usuario est autorizado.
8.3. Eventos y actividades de registro

El acceso y las actividades de registro son facetas importantes de la seguridad.
Proporcionan una forma de ayudar a contabilizar problemas importantes de seguri-
dad, ayudan a asegurar la cuenta de usuario y puede proporcionar pruebas en caso
de una brecha de seguridad. Las operaciones de los programas de los Servicios Online
monitorizan y registran las actividades como registros, gestin de cuenta, acceso al
directorio de servicios, acceso a objetos, cambios de poltica, uso privilegiado, segui-
miento del proceso y eventos del sistema.
Tanto por solicitud como por periodicidad, Microsoft proporcionar registros que
detallan el servicio de acceso del administrador a los buzones de mail de los usuarios
para ayudar a los clientes a auditar y reforzar sus polticas relativas a la conducta
adecuada de sus administradores de servicio. Estos registros tambin detallarn el
acceso de partners de soporte y personal de soporte de Microsoft, excepto cuando lo
prohba un proceso legal.
198
Seguridad y privacidad en la nube
8.4. Certificados estndar de cumplimiento

Microsoft emprende auditoras independientes y certificaciones del entorno de
los Servicios Online de Microsoft para validar el diseo de control y la efectividad
operativa. Las actividades de cumplimiento de Microsoft se aplican al desarrollo de
servicios y despliegue fsico de infraestructuras y operaciones. Los certificados de
terceros permiten a los clientes no solo tener ms confianza en la seguridad de las
soluciones de los Servicios Online, sino que tambin ayudan a satisfacer sus obliga-
ciones legales, reglamentarias y de cumplimiento.
Microsoft desarrolla estrategias de cumplimiento basadas en los siguientes es-
tndares y certificaciones:
l Auditoras de terceros.
l Centros de datos con certificaciones SAS 70 e ISO 27001 .
l Servicios con certificaciones SAS 70 e ISO 27001.
l Servicios de infraestructura con certificaciones ISO 27001 y SAS 70.
8.5. Gua de cliente para polticas de cumplimiento

Las medidas en seguridad y privacidad comienzan por el cliente. Los Servicios
Online de Microsoft incluyen documentacin, aplicaciones y utilidades para que al
cliente y a los administradores les resulte ms fcil unirse a Microsoft y mantener sus
datos seguros y privados.
Los clientes son responsables de asegurar el cumplimiento de sus propias polticas
aplicables, prcticas y regulaciones adaptando de manera adecuada las caractersticas
de los Servicios Online para satisfacer sus necesidades especficas. Por ejemplo, los
clientes tienen la responsabilidad de aplicar las leyes de privacidad y las regulaciones
relevantes; notificar y obtener el consentimiento de los empleados y otros usuarios sobre
la localizacin de datos y procesamiento; y definir el nivel apropiado de proteccin
para las distintas categoras de informacin personal recogida por su organizacin.
La informacin personal almacenada en el entorno de los Servicios Online ser
recogida, procesada y transferida slo con el consentimiento del cliente o segn lo
requiera la ley.
Los Servicios Online de Microsoft ayudan a apoyar la estrategia definida de
cada cliente para hacer frente a las leyes de privacidad generalmente aplicables. Sin
embargo, Microsoft no proporciona consejo legal. Es responsabilidad del cliente el
idear una estrategia de cumplimiento, evaluando la oferta de los Servicios Online y
asegurando que el servicio proporciona las caractersticas apropiadas para llevar a
cabo dicha estrategia.
Los clientes podrn acceder y controlar sus datos y, al final de una subscripcin
de cliente o del uso del servicio, podrn extraer sus datos.
199
8.6. Data centers, procesador y controlador de datos

Para una compaa que registra su localizacin en Europa y conduce ah sus ope-
raciones primarias, Microsoft mantiene, hoy en da, dos centros de datos en la Unin
Europea para el almacenamiento principal y el backup de los datos de Servicios Online
de Microsoft. Estos data centers estn en Dubln (Irlanda) y Amsterdam (Holanda).
Microsoft est comprometido a mantener el alojamiento principal del cliente y de
cada de datos (alojamiento de recuperacin por desastres) en la regin y los datos en
la regin, sea cual sea la prctica.
Con respecto a nuestro manejo de datos personales, nosotros siempre cumplire-

mos la ley aplicable. Microsoft acta como procesador de datos1 para los datos de cliente,
lo que incluye todo el contenido generado por el cliente durante el uso de los Servicios
Online de Microsoft. Como ejemplo incluye los datos personales contenidos en mails,
los archivos online de SharePoint, los datos del directorio de cliente y de las libretas
de direcciones, y los registros de acceso administrativo.
Para permitir la transferencia de los datos del servicio en EEUU, Microsoft se

basa en la certificacin Safe Harbor, que incluye una certificacin para Swiss Safe
Harbor Framework.
Microsoft acta como controlador de datos2 para el registro y la facturacin. Como

controlador de datos, Microsoft cumple con las leyes de privacidad para transferir los
datos fuera de la Unin Europea. ste se atiene al marco de privacidad de Safe Harbor
segn lo dispuesto por el Departamento de Comercio de los EEUU con respecto a la
recogida, el uso, la transferencia y la retencin de datos de la Unin Europea, del rea
Econmica Europea y Suiza.
Se puede verificar el cumplimiento con los principios de Safe Harbor en la web

www.Export.gov, que est gestionada por el Department of Commerces International
Trade Administration de EEUU.
MS coopera con EPA (European Privacy Association). EPA indica que suscribiendo
sus materias al acuerdo con Safe Harbor y sus certificaciones ISO 27001 y SAS 70, los
Servicios Online de Microsoft estn en cumplimiento con los principios de seguridad
de datos establecidos por la directiva de privacidad europea.
1 Procesador de datos. Es la persona fsica o jurdica encargada de procesar datos personales en nombre del
controlador. En otras palabras, un procesador de datos es despojado en gran medida de la autoridad independiente
de decidir cmo y por qu deben procesarse los datos personales.
2 Controlador de datos. Es la persona fsica o jurdica que de forma aislada, o conjunta, determina los propsitos
y los medios para el procesamiento de los datos personales.
200

2262.esquema Nacional Seguridad Con Microsoft

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

2262.esquema Nacional Seguridad Con Microsoft

Cargado por

Copyright:

Formatos disponibles

Esquema Nacional de Seguridad...

Juan Luis G. Rambla

Microsoft Ibrica S.R.L.

Copyright 2009 Microsoft Ibrica S.R.L.

EJEMPLAR GRATUITO. PROHIBIDA SU VENTA

Depsito Legal: M. 20.093-2011

Hctor Snchez Montenegro, National Technology Officer de Microsoft Ibrica

Luis Miguel Garca de la Oliva, Director de Plataforma de Microsoft Ibrica.

Jos Parada Gimeno, Chief Security Advisor de Microsoft Ibrica.

Francesca di Massimo, Directora de Seguridad e Interoperabilidad de Microsoft

Carlos de la Iglesia, Director de Comunicaciones de Microsoft.

Manuel Snchez Chumillas, de Informtica 64.

Nacho de Bustos Martn, Director General de Newcomlab.

La Administracin Espaola lidera un encomiable esfuerzo hacia el Desarrollo

Pero lo es an ms el garantizar ese derecho con las garantas de confidencialidad,

No son asuntos menores, en tanto en cuanto hablamos de derechos ciudadanos.

Microsoft Ibrica lleva 25 aos acompaando el desarrollo de la Administracin

Y son aquellos proyectos ms estratgicos para la Administracin los que marcan

en el cumplimiento de los requisitos tecnolgicos derivados del cumplimiento del

Es un trabajo eminentemente divulgativo, dirigido a los responsables tcnicos

Las Administraciones Pblicas son tambin depositarias de activos de gran valor,

El crecimiento econmico y el progreso de la sociedad, as como unas institu-

el progreso de la sociedad, la mejora econmica, el buen gobierno y la confianza de

INTECO, cuya misin es contribuir a reforzar la confianza en la Sociedad de

Vctor M. Izquierdo Loyola

El Esquema Nacional de Seguridad, materializado en el Real Decreto 3/2010,

Efectivamente, los ciudadanos esperan que el acceso electrnico a los servicios

El Esquema Nacional de Seguridad es, por tanto, una respuesta a la obligacin

El Esquema Nacional de Seguridad, al igual que el Esquema Nacional de Inter-

las Administraciones Pblicas, a travs de los rganos colegiados con competencia

Tambin la Industria del sector de tecnologas de la informacin y las comu-

El presente Manual sobre cumplimiento del Esquema Nacional de Seguridad

Nuestra sociedad actual est en Internet, nuestro modo de vida y el de nuestros

Conscientes de que no podemos generar confianza en este nuevo modo de relacin

A finales de enero del ao 2010 se aprob el RD 3/2010 por el que se regula el

El RD establece un plazo de implantacin que puede llegar a los 48 meses recono-

El esquema es una pieza clave para mejorar la seguridad de los sistemas de la

Javier Garca Candau

Actualmente, en la vida cotidiana del individuo toda una serie de aspectos y

Los avances en este sentido son innumerables. Ah est la telefona mvil, la

Afortunadamente, poco a poco esos tiempos van quedando atrs. Trmites de

Una muestra significativa en esta evolucin la constituye el DNI Electrnico. Este

El tratamiento de la informacin, su acceso o la disponibilidad de los sistemas

El tratamiento y utilizacin de sistemas informticos por parte de los ciudada-

La seguridad va mucho ms all de lo que simplemente se ve o se intuye. Es

La seguridad debe tener en cuenta todos los escenarios posibles. Aunque la

El uso de las nuevas tecnologas lleva aparejada la palabra adaptabilidad, que

La seguridad informtica se encuentra en constante evolucin, al igual que los

La relacin de los ciudadanos con la Administracin Pblica debe entenderse

As lo entiende la comunidad tcnica y as ha sido entendido tambin desde la

Su aparicin inicia el ciclo de adaptacin de los sistemas y tecnologas de las

Evidentemente, tal y como demostrar el libro, el camino a recorrer no es trivial.

Captulo 1. Antecedentes ....................................................................................... 1

Captulo 2. El Esquema Nacional de Seguridad ................................................... 9

2.1. Principios bsicos ....................................................................................... 10

Captulo 3. Principios de seguridad: seguridad por defecto ............................. 29

Captulo 4. Dimensiones de seguridad................................................................ 39

Captulo 5. Medidas de seguridad. Naturaleza de las medidas ........................ 51

5.1. Marco organizativo ...................................................................................... 54

Captulo 6. La implementacin del ENS con tecnologa Microsoft .................. 63

6.1. Control de acceso ....................................................................................... 70

Captulo 7. Premios, reconocimientos y certificaciones de los productos

Captulo 8. Seguridad y privacidad en la nube ................................................. 197