ANEXO A

LNEAS DE ACCIN DE LA ESTRATEGIA

NACIONAL DE CIBERSEGURIDAD
 LNEAS DE ACCIN DE LA ESTRATEGIA NACIONAL
DECIBERSEGURIDAD

Javier Candau Romero

Lnea de accin 1: Desarrollo del Esquema Nacional de Seguridad

Como se ha descrito anteriormente el ENS acaba de nacer. Los orga-

nismos tienen un plazo de 12 meses, en principio hasta enero de 2011
para su completa implementacin.
Se considera que para los sistemas categorizados en nivel ALTO las
medidas de seguridad a implementar podran necesitar a un tiempo de
implantacin mayor por lo que tras la presentacin del correspondien-
te plan de adecuacin, el RD permite una prrroga de hasta 48 meses
(enero del 2014).
Este tiempo de aplicacin es una muestra del nivel de exigencia que
conlleva el cumplimiento del esquema. Adems, para cumplir eficazmen-
te muchas de las medidas de seguridad es necesario formar personal
especialista, realizar los anlisis de riesgos pertinentes, supervisar la
implantacin de las medidas mediante auditorias, adquirir tecnologa o
contratar servicios especializados. Por ello su aplicacin requerir una
inversin extraordinaria continuada en el tiempo que no est contempla-
da en la publicacin del Real Decreto y que queda bajo responsabilidad
de los diferentes organismos.
Sera necesario por tanto, dentro de la estrategia nacional de ciber-
seguridad, impulsar mediante las dotaciones presupuestarias que se es-
timen convenientes proyectos que faciliten esta implantacin.
Adems se deben impulsar programas de investigacin dirigidos a la
mejor implantacin de las medidas de seguridad contempladas.

339
Lneas de accin de la estrategia nacional de ciberseguridad

Lnea de accin 2: Gestin homognea de las redes de las AAPP

Para poder gestionar la amenaza de una manera adecuada se de-

bera realizar una gestin nica desde el punto de vista de seguridad de
las redes de las AAPP. Las interconexiones con INTERNET deben ser las
mnimas posibles y deben cumplir los mismos requisitos de seguridad
(este aspecto se trata parcialmente en el ENS).
Actualmente la gestin y la seguridad de las redes corporativas es
responsabilidad de cada uno de los Ministerios, CCAA, organismos au-
tnomos y Ayuntamientos. Siendo responsabilidad de cada organismo
la seguridad tanto de su red corporativa como de las interconexiones.
Para ello y a travs del Consejo Superior de Administracin Electr-
nica, la conferencia sectorial de las AAPP y la conferencia nacional de
la Administracin local se deben alcanzar unos requisitos mnimos de
interconexin que aseguren una defensa homognea.

Lnea de accin 3: Sistemas de proteccin de las redes de las

AAPP

Para garantizar el nivel de seguridad adecuado en los sistemas de las

administraciones pblicas es necesario actuar antes de que se produzca
un incidente o, por lo menos, detectarlo en un primer momento para re-
ducir su impacto y alcance.
Se debe impulsar la entrada en servicio de sistemas de Alerta Tem-
prana para la deteccin rpida de incidentes y anomalas dentro de las
redes de la Administracin. Estos sistemas, basado en el anlisis y co-
rrelacin de registros (logs) generados por las herramientas de seguridad
instaladas en las citadas redes, permite detectar de manera proactiva
cualquier anomala y ataque analizando el trfico que circula en y entre
los diferentes Ministerios y Organismos.
Por otro lado es del mximo inters la potenciacin de los sistemas
similares que permitan monitorizar en tiempo real el trfico entrante y
saliente de las salidas de Internet de los diferentes organismos, recolec-
tando informacin de seguridad relevante y proporcionando informacin
de los ataques recibidos. Se debe considerar adems, la inclusin de los
sistemas de las empresas que manejan infraestructuras crticas en estos
programas.
Entre otros beneficios, los sistemas de alerta temprana permiten:

340
 Javier Candau Romero

Ofrecer una visin en tiempo real del estado de la seguridad de las

redes monitorizadas, relacionando la informacin proporcionada
por los diferentes sensores y disponiendo de estadsticas que per-
mitan medir la eficacia de las medidas de seguridad.
Disponer de informacin tcnica que permita la implantacin de
medidas de seguridad adicionales que impidan que ataques simila-
res se vuelvan a reproducir.
Deteccin de patrones de ataque comunes a diversas organizacio-
nes que permitan aplicar de forma eficaz medidas de contencin y
eliminacin de los mismos.
La implantacin de esta lnea de accin ser muy costosa en recur-
sos humanos y econmicos y su aplicacin es muy prolongada en el
tiempo, por ello se debe considerar como un servicio horizontal al mayor
nmero de organizaciones posible.

Lnea de accin 4: Desarrollo del PPIC ante ciberamenazas

Esta lnea de accin se encuentra en su fase inicial pues el borrador

de normativa solo lo contempla marginalmente. Sera necesario, por tan-
to, impulsar la colaboracin entre el CNPIC y los organismos especiali-
zados en la ciberamenaza en los siguientes campos:
Gestin de incidentes de seguridad para un tratamiento adecuado
de los ciberataques sobre infraestructuras crticas.
Actualizacin de informacin sobre vulnerabilidades tanto de sistemas
SCADA como de otros sistemas que soporten estas infraestructuras.
Cumplimiento por parte de los operadores de los estndares de
seguridad que se definan como mnimos.
Realizacin de anlisis de riesgos y auditorias de seguridad que es-
tablezcan los niveles de riesgos a los que estn sometidos estos
sistemas.
La coordinacin debe llevarse a cabo a travs de las estructuras que
se establezcan al efecto. Sera del mximo inters que estos operadores
que manejan infraestructuras crticas se acojan a servicios de alerta tem-
prana similares a los descritos en la lnea de accin n 3.

Lnea de accin 5: Programa de formacin y concienciacin

Segn establece la disposicin adicional primera del ENS, el perso-

nal de las AAPP recibir la formacin necesaria para garantizar el co-

341
Lneas de accin de la estrategia nacional de ciberseguridad

nocimiento de las medidas de seguridad a implementar. Es necesario

por tanto un esfuerzo continuado en acciones de formacin del personal
encargado de su aplicacin.
Adems sern necesarias acciones de concienciacin a todos los
usuarios para que conozcan y en la medida de lo posible reduzcan las
nuevas amenazas a las que nos enfrentamos y que por su naturaleza
cambiante se deben plantear a largo plazo.
Por tanto se deben implicar diversos organismos y se deben desarro-
llar actividades de formacin en seguridad horizontales en los diferentes
cursos de acceso a las Administraciones Pblicas, programas de sensi-
bilizacin dirigidos a personal que maneje informacin sensible o clasi-
ficada en sistemas, a usuarios de todas las AAPP que estn implicados
en servicios de administracin electrnica, a empresas que gestionen
infraestructuras criticas con sistemas informticos que los soporten y
especialmente a la alta direccin de los diferentes organismos para que
proporcione el apoyo necesario a las actividades de seguridad.
Tambin se debe potenciar el desarrollo de ctedras y jornadas en
Universidades y otros centros de formacin que traten la seguridad en
los sistemas de informacin y comunicaciones.
Con estas acciones, a largo plazo, se debera construir una cultura de
seguridad en el manejo de los sistemas de informacin que actualmente
es prcticamente inexistente en ciudadanos, empresas y administracio-
nes.

Lnea de accin 6: Coordinacin de recursos en la respuesta ante

incidentes de seguridad

El intercambio fluido de informacin es fundamental para mitigar los

daos causados por los ataques desde el ciberespacio al permitir una
pronta identificacin de ste y la ejecucin temprana de una respuesta
rpida y adecuada.
Con esta lnea de accin se pretende aumentar las capacidades de
inteligencia y defensa por ello, se deben mejorar los procedimientos de
intercambio de informacin entre los centros de operacin y los centros
de respuesta ante incidentes. Es del mximo inters la realizacin de
ejercicios que demuestren la efectividad de estos canales de coordina-
cin.

342
 Javier Candau Romero

Esta coordinacin se podr mejorar si se crean estructuras de ci-

berdefensa similares a las de otras naciones en las que se integren las
capacidades de respuesta ante incidentes de seguridad existentes ac-
tualmente.

Lnea de accin 7: Coordinacin de esfuerzos de investigacin y

desarrollo

Observando la rapidez con la que evolucionan los sistemas, la con-

tinua aparicin de vulnerabilidades que suponen una amenaza para la
integridad de stos, y la creciente dependencia de la sociedad respecto
a las tecnologas de la informacin, se hace necesario el desarrollo de
programas, estrategias y tecnologas que proporcionen unos niveles de
seguridad superiores a las que ofrecen los actuales sistemas.
En Espaa, adems, una de las deficiencias ms importantes que se
detectan es la escasez de empresas que desarrollen tecnologas de se-
guridad. Este vaco, empieza a ser crtico cuando se trata del desarrollo
de productos de cifra.
Para poder disponer de autonoma en el empleo de las estas tecno-
logas es necesario potenciar la coordinacin en la promocin, el desa-
rrollo, la obtencin, la adquisicin y puesta en explotacin de productos
de seguridad, especialmente si incluyen cifra.
Esta iniciativa se considera crtica para evitar redundancias y para
identificar huecos o deficiencias en estos esfuerzos as como para inten-
tar evitar el empleo de tecnologas de terceros pases en aspectos tan
crticos como la proteccin de la informacin.
Es necesario por tanto impulsar el desarrollo de sistemas ms segu-
ros, involucrando para ello al sector privado por su papel en muchas de
las infraestructuras crticas nacionales.

Lnea de accin 8: Potenciar la colaboracin internacional

Por la naturaleza transnacional de la amenaza y del ciberespacio

hace necesario una cooperacin internacional para hacerle frente. Se
deben impulsar la firma de acuerdos en materia del ciberdelito y crear
unas normas de comportamiento en el ciberespacio consensuadas por
todas las naciones que pueda facilitar la atribucin de los ataques.

343
Lneas de accin de la estrategia nacional de ciberseguridad

Lnea de accin 9: Potenciar el empleo de productos de seguridad

certificados

Aunque el ENS contempla que las AAPP valoraran positivamente el

empleo de productos que tengan sus funciones de seguridad certifica-
das, este aspecto no es de obligado cumplimiento para poner cualquier
sistema en servicio.
Es necesario que las tecnologas y productos hayan sido revisadas
desde el punto de vista de seguridad. Estos procesos son costosos y
difciles de abordar especialmente para pequeas y medianas empresas.
Por tanto se deben impulsar programas que faciliten esta actividad que
indudablemente elevar la calidad de los mismos y mejorar la calidad
de los productos que consigan esta certificacin.
Esta accin permitira que los productos desarrollados nacionalmen-
te puedan competir en el mbito internacional pues normalmente poseer
una certificacin segn un estndar internacional (Common Criteria (1)
por ejemplo) es requisito imprescindible para poder acceder a cualquier
concurso internacional.

Lnea de accin 10: Mejoras de seguridad en los sistemas

clasificados

Estas redes manejan la informacin clasificada y sensible de la Admi-

nistracin para conducir Operaciones de Mantenimiento de Paz, Opera-
ciones Militares, actividades diplomticas, actividades contraterroristas,
actividades de las FCSE o de inteligencia as como las actividades de
seguridad interior. La integridad de estas redes es crtica y cualquier inci-
dente declarado en las mismas puede daar de forma grave la soberana
nacional.
Se deben reforzar por tanto las medidas de seguridad de estos adap-
tando las salvaguardas y procedimientos existentes a la evolucin de los
ciberataques.
Para ello a travs de las estructuras que es establezcan se debera
disear un plan de mejora de las mismas y potenciar las capacidades
de los organismos que deben auditar y monitorizar la actividad de estas
redes.

(1)Common Criteria. www.commoncriteria.org

344
 ANEXO B

GLOSARIO DE TRMINOS Y ACRNIMOS

 ANEXO B
GLOSARIO DE TRMINOS Y ACRNIMOS

Acrnimo / voz Significado

Amenaza (Threat) La posibilidad de compromiso, prdida o robo de infor-
(OTAN) macin clasificada OTAN o de servicios y recursos que
la soportan. Una amenaza puede ser definida por su
origen, motivacin o resultado y puede ser deliberada
o accidental, violenta o subrepticia, externa o interna.
ANS Autoridad Nacional de Ciberdefensa
Bot Botnet Red de equipos infectados por un atacante remoto. Los
equipos quedan a su merced cuando desee lanzar un
ataque masivo, tal como envo de spam o denegacin
[distribuida] de servicio.
Brecha de Una accin u omisin, deliberada o accidental, contra-
seguridad ria a la Poltica de Seguridad de la OTAN o normativas
(Security breach) de aplicacin de la Poltica que resulte en un compro-
(OTAN) miso real o potencial de informacin clasificada OTAN
o los servicios y recursos que la soportan.
Caballo de Troya Ver troyano
CACD Centro Asesor para la ciberdefensa (CACD)
Carding Uso ilegtimo de las tarjetas de crdito.
Catlogo Nacional La informacin completa, actualizada, contrastada e
de Infraestructuras informticamente sistematizada relativa a las caracte-
Estratgicas rsticas especficas de cada una de las infraestructuras
estratgicas existentes en el territorio nacional.
CCC Centro de Coordinacin de Ciberdefensa.
CCN Centro Criptolgico Nacional

347
Glosario

CCRIS Centro de coordinacin y respuesta a incidentes de Se-

guridad
CERT Computer Emergency Response Team
Ciberataque Forma de ciberguerra / ciberterrorismo donde combi-
nado con un ataque fsico o no se intenta impedir el
empleo de los sistemas de informacin del adversario o
el acceso la misma
Ciberdefensa La aplicacin de medidas de seguridad para proteger
las los diferentes componentes de los sistemas de in-
formacin y comunicaciones de un ciberataque.
Ciberespacio El mundo digital generado por ordenadores y redes de
(Cyber space) ordenadores, en el cual personas y ordenadores co-
(OTAN) existen y el cual incluye todos los aspectos de la acti-
vidad online.
Ciberevento Cualquier suceso observable en un sistema de informa-
(Cyber event) cin y comunicaciones.
(OTAN)
Ciberincidente Ciberevento adverso en un sistema de informacin y
(Cyber incident) comunicaciones o la amenaza de que se produzca.
(OTAN)
Ciberseguridad Proteccin de los componentes de las infraestructuras
de los sistemas de informacin y comunicaciones ante
amenazas cibernticas
Ciberterrorismo Un ciberataque para causar la inutilizacin o interrup-
cin de redes de ordenadores o comunicaciones para
generar temor o intimidar a la sociedad con un objetivo
ideolgico
Cdigo daino Software capaz de realizar un proceso no autorizado sobre
o malicioso un sistema con un deliberado propsito de ser perjudicial.
(malicious code o [http://www.alerta-antivirus.es/seguridad/ver_pag.
software) html?tema=S]
EGC European Government CERT
Exploit Pieza de software, un fragmento de datos, o una se-
cuencia de comandos con el fin de automatizar el apro-
vechamiento de un error, fallo o vulnerabilidad, a fin de
causar un comportamiento no deseado o imprevisto en
los programas informticos, hardware, o componente
electrnico (por lo general computarizado).
FIRST Forum for Incident Response and Security Teams

348
 Glosario

Gestin de Actividades coordinadas para dirigir y controlar una or-

Riesgos ganizacin con respecto a los riesgos.
Gestin del Aproximacin sistemtica, basada en la valoracin de
riesgo (Risk las amenazas y las vulnerabilidades, para la determina-
Management) cin de las contra-medidas necesarias para la protec-
(OTAN) cin de la informacin o los servicios y recursos que la
soportan.
Informacin Conocimiento que puede ser comunicado de cualquier
(Information) forma.
(OTAN)
Informacin Informacin o materia determinada que requiere pro-
clasificada teccin contra revelacin no autorizada y a la que, con-
(Classified secuentemente, se le ha asignado un grado de clasifi-
information) cacin de seguridad.
(OTAN)
Infraestructuras Las infraestructuras estratgicas cuyo funcionamiento
crticas (IC) es indispensable y no permite soluciones alternativas,
por lo que su interrupcin o destruccin tendra un gra-
ve impacto sobre los servicios pblicos esenciales
Infraestructuras Aquellas infraestructuras crticas situadas en algn Es-
crticas europeas tado miembro de la Unin Europea, cuya interrupcin
(ICE) o destruccin afectaran gravemente al menos a dos
Estados miembros, todo ello con arreglo a la Directiva
2008/114/CE.
Infraestructuras Las instalaciones, redes, sistemas y equipos fsicos y
estratgicas (IE) de tecnologa de la informacin sobre las que descansa
el funcionamiento de los servicios pblicos esenciales
INTECO Instituto Nacional de Tecnologas de la Comunicacin.
Integridad Propiedad o caracterstica consistente en que el activo
de informacin no ha sido alterado de manera no au-
torizada.
Interdependencia Los efectos que una interrupcin en el funcionamiento
de la instalacin o servicio producira en otras instala-
ciones o servicios, distinguindose las repercusiones
en el propio sector y/o en otros sectores, y las reper-
cusiones de mbito local, regional, nacional o interna-
cional.
OTAN North Atlantic Treaty Organization
Organizacin del Tratado del Atlntico Norte

349
Glosario

Phishing Los ataques de phishing usan la ingeniera social

para adquirir fraudulentamente de los usuarios infor-
macin personal (principalmente de acceso a servicios
financieros). Para alcanzar al mayor nmero posible de
vctimas e incrementar as sus posibilidades de xito,
utilizan el correo basura (spam) para difundirse. Una
vez que llega el correo al destinatario, intentan engaar
a los usuarios para que faciliten datos de carcter per-
sonal, normalmente conducindolos a lugares de Inter-
net falsificados, pginas web, aparentemente oficiales,
de bancos y empresas de tarjeta de crdito que ter-
minan de convencer al usuario a que introduzca datos
personales de su cuenta bancaria, como su nmero de
cuenta, contrasea, nmero de seguridad social, etc.
[http://www.alerta-antivirus.es/seguridad/ver_pag.
html?tema=S]
RAT Remote Administrations Tool. Herramienta de adminis-
tracin remota. Estas apliaciones pueden ser legtimas
o no y pueden ser utilizadas con o sin autorizacin del
usuario. En el mundo del malware estas aplicaciones
generalmente son troyanos que abren una puerta tra-
sera (backdoor) en el equipo del usuario para permitir
dicha administracin.
RAT (2) Troyano de Acceso Remoto. Son programas de soft-
ware malintencionados que permiten a los delincuentes
controlar un equipo mediante la conexin a Internet. Un
RAT puede permitir a un delincuente ver y cambiar los
archivos y funciones del equipo, supervisar y registrar
sus actividades y utilizar su equipo para atacar a otros.
Riesgo (Risk) La probabilidad de que una vulnerabilidad sea explota-
(OTAN) da con xito por una amenaza produciendo un compro-
miso de confidencialidad, integridad y/o disponibilidad
y daos.
Rootkit Es una herramienta que sirve para ocultar actividades
ilegtimas en un sistema. Una vez que ha sido instala-
do, permite al atacante actuar con el nivel de privilegios
del administrador del equipo. Est disponible para una
amplia gama de sistemas operativos.
[http://www.alerta-antivirus.es/seguridad/ver_pag.
html?tema=S]

350
 Glosario

SCADA Supervisory Control And Data Acquisition

Control Supervisor y Adquisicin de Datos, nombre de
los sistemas de control industrial.
Sistema de Conjunto organizado de recursos para que la informa-
Informacin cin se pueda recoger, almacenar, procesar o tratar,
mantener, usar, compartir, distribuir, poner a disposi-
cin, presentar o transmitir.
Spam Correo basura
Correo electrnico no deseado que se enva aleatoria-
mente en procesos por lotes. Es una extremadamente
eficiente y barata forma de comercializar cualquier pro-
ducto. La mayora de usuarios estn expuestos a este
correo basura, ms del 80% de todos los e-mails son
correos basura. No es una amenaza directa, pero la can-
tidad de e-mails generados y el tiempo que lleva a las
empresas y particulares relacionarlo y eliminarlo, repre-
senta un elemento molesto para los usuarios de Internet.
[http://www.alerta-antivirus.es/seguridad/ver_pag.
html?tema=S]
Spyware Cdigo daino diseado habitualmente para utilizar la
estacin del usuario infectado con objetivos comercia-
les o fraudulentos como puede ser mostrar publicidad
o robo de informacin personal del usuario. [STIC-
400:2006]
STIC Seguridad de las Tecnologas de Informacin y Comu-
nicaciones.
TERENA Trans-European Research and Education Networking
Association
Grupo de coordinacin de CERT,s europeos
TF-CSIRT Trans-European Research and Education Network As-
(TERENA) sociation
Troyano Caballo Introduccin subrepticia en un medio no propicio, con
de Troya el fin de lograr un determinado objetivo.
Diccionario de la Lengua Espaola. Vigsimo segunda
edicin.
Programa que no se replica ni hace copias de s mismo.
Su apariencia es la de un programa til o inocente, pero
en realidad tiene propsitos dainos, como permitir in-
trusiones, borrar datos, etc. [STIC-430:2006]

351
Glosario

Vulnerabilidad Una debilidad, atributo o falta de control que permitira

(Vulnerability) o facilitara la actuacin de una amenaza contra infor-
(OTAN) macin clasificada OTAN o los servicios y recursos que
la soportan.
Vulnerabilidad Una debilidad que puede ser aprovechada por una
amenaza.
Zombi Ver bot / botnet

352