Embed Size (px)
Citation preview
60 red seguridad noviembre 2012 especial 10 años
CCN: una década de ciberseguridad y adaptación al entorno
LOGO
En la última década se ha producido un cambio en la motivación de los atacantes. Antes se buscaba
prestigio y satisfacción personal (ataques globales), ahora dinero y réditos políticos (ataques dirigidos)
La preocupación por la Seguridad de la Información ha sido una constante a lo largo de la historia. Sin embargo, hasta el desarrollo y uso masivo en todos los ámbitos de la sociedad de las Tecnologías de la Información y las Comunicaciones (TIC) no se ha empezado a considerar su defensa y salvaguarda como un eje fundamental para cualquier organización. La parado-ja estriba en que, a medida que crece la importancia y las posibilidades que ofre-ce el ciberespacio (entre otro, un número cada vez mayor de servicios ofrecidos a todos los ciudadanos por las adminis-traciones públicas), crecen sus ries-gos y ataques. Da igual la tecnología, el dispositivo o el servicio empleado; mientras los atacantes consigan algún tipo de beneficio (económico o político), la ciberseguridad seguirá estando en la agenda de todos: gobiernos, empresas y ciudadanos. El Centro Criptológico Nacional (CCN), cuyo origen se remonta precisamente al año 2002, ha ido, al igual que esta publicación, adecuándo-se a las nuevas amenazas y dirigiendo todos sus esfuerzos y energías a ofrecer nuevos servicios y soluciones capaces de afrontar los riesgos y amenazas del ciberespacio.
El CCN ha estado trabajando en asuntos de cifra y de seguridad de las TIC desde el año 1987. Hasta su crea-ción formal con la Ley 11/2002, sus misiones principales eran el desarrollo de material de cifra para la protección de la información clasificada, el desa-rrollo de requisitos de seguridad para estos sistemas y la acreditación de los mismos.
Hace poco más de diez años se publi-caba en el Boletín Oficial del Estado la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI). En ella, en su artículo 4, entre otros pun-tos, se señalaba como funciones del Centro “coordinar la acción de los dife-rentes organismos de la Administración que utilicen medios o procedimientos de cifra, garantizar la seguridad de las tecnologías de la información (TIC) en ese ámbito, informar sobre la adquisi-ción coordinada de material criptológico y formar al personal, propio o de otros servicios de la Administración, especia-lista en este campo para asegurar el
Por este motivo, dos años después, se publicó el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional (CCN). Su preámbulo es toda una declara-ción de intenciones en materia de Seguridad de la Información. En él, por ejemplo, se manifiesta que el desarrollo alcanzado por las TIC, la facilidad y flexibilidad de su transmisión en diver-sos soportes, la generalización casi universal de su uso y la accesibilidad global a las diversas herramientas y redes son rasgos que facilitan el inter-cambio ágil y flexible de información en las sociedades modernas, pero que,
adecuado cumplimiento de las misio-nes del centro”. De igual modo, incluía como una de sus funciones “velar por el cumplimiento de la normativa relativa a la protección de la información clasi-ficada”.
Ya en su exposición de motivos, la Ley 11/2002 aseguraba que la socie-dad española demanda “unos servicios de inteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos del actual escenario nacio-nal e internacional”. Entre estos retos figuraban ya los riesgos emergentes asociados al uso masivo de las TIC en todos los aspectos de nuestra sociedad y a la necesidad de preservar la informa-ción como un activo fundamental en el ámbito de la seguridad nacional.
a su vez, conforman nuevos riesgos emergentes a los que hacer frente. En este sentido, se manifiesta que “la elaboración, conservación y utilización de determinada información por parte de la Administración es necesaria para garantizar su funcionamiento eficaz al servicio de los intereses nacionales”.
El Real Decreto continúa esbozando las líneas estratégicas que irán marcan-do el desarrollo en los años posteriores y mantiene que la seguridad de los sis-temas de información debe garantizar la confidencialidad, disponibilidad e inte-gridad de la información que manejan y la disponibilidad e integridad de los pro-pios sistemas, así como la autenticidad del usuario y la trazabilidad del uso del servicio y del acceso a los datos. Señala
INSTITUCIONES
10 AÑosHIsToRIA DEL sECToR
61 red seguridad noviembre 2012 especial 10 años
XXXXXX XXXXX Gait dignis nullam nos aliquipissi.Si tat vero dionsequis nulput ver sustrud dunt nonulput lorero od min hendrem incipisci blan henis adion-se quismodo consenit velesed molo-rer irilismolore tie veliquis nullam do dolent accum incing enibh eu feuip ero consecte feugiat ad ex endre dolorti ncilluptat, suscipisisim volore dolut vel in velenit nibh et doles-sed modit nim velessi euguero conse magniscinit lum zzrilit, sequam diamet illut velit nullan vel eliquis nibh eugiamc onsequat ilisseq uipit, quis adit lortion-sed molumsan ver in heniam ad tat. Ut praessi.Um at landit iriurem dipsumsan eum dolor si.Em doloreril utpat at. Ut wismodo-lorem ipisi bla auguero do conseni sissequ ipsusci etum doluptatem vel illamet delestie erostrud magna fac-cum nos erostis eum dolore magna feugiamet prat. Ut aliquisTo ea core conum do eugue dolorem iril et, sim nummy nulla faccum iliqui-
pismod tie vel iurem et aliquat nullums andiamet, consenisi.Si tat vero dionsequis nulput ver sustrud dunt nonulput lorero od min hendrem incipisci blan henis adion-se quismodo consenit velesed molo-
secte feugiat ad ex endre dolorti nci-lluptat, suscipisisim volore dolut vel in velenit nibh et dolessed modit nim velessi euguero conse magniscinit lum zzrilit, sequam diamet illut velit nullan vel eliquis nibh eugiamc onsequat ilis-
rer irilismolore tie veliquis nullam do dolent accum incing enibh eu feuip ero consecte feugiat ad ex endre dolorti ncilluptat, suscipisisim volore dolut vel in velenit nibh et doles-sed modit nim velessi euguero conse magniscinit lum zzrilit, sequam diamet illut velit nullan vel eliquis nibh eugiamc onsequat ilisseq uipit, quis adit lortion-sed molumsan ver in heniam ad tat. Ut praessi.Um at landit iriurem dipsumsan eum dolor si.Quat utpatet, vulluptat. Ut nibh et eugiamcor sim quissequat venthen-drem incipisci blan henis adionse quis-modo consenit velesed molorer irilis-molore tie veliquis nullam do dolent accum incing enibh eu feuip ero con-
seq uipit, quis adit lortionsed molum-san ver in heniam ad tat. Ut praessi.Um at landit iriurem dipsumsan eum dolor si.Quat utpatet, vulluptat. Ut nibh et eugiamcor sim quissequat vent
NombreCargo
Sumario (4 líneas)
Titular titular
LOGO
red seguridad noviembre 2012 61 especial 10 años
El CCN, en línea con la futura Estrategia Española de Ciberseguridad, mantendrá todo su esfuerzo
en incrementar capacidades de prevención, análisis y coordinación ante las amenazas
entonces la necesidad de contar con un organismo que, partiendo del conoci-miento de las TIC y de las amenazas y vulnerabilidades que existían entonces (y que no han dejado de crecer), propor-cionara una garantía razonable sobre la seguridad de productos y sistemas. Este organismo es el CCN.
Adecuación al entornoDesde su creación en el año 2004, el CCN ha ido adecuándose y, en la medida de lo posible, adelantándose a una realidad cambiante en donde las amenazas se incrementan día a día favorecidas por la rentabilidad que se obtiene, ya sea económica, política o de otro tipo; la facilidad y el bajo coste en el empleo de las herramientas utilizadas; así como el reducido riesgo para el atacante, que lo puede hacer de forma anónima y desde cualquier lugar del mundo, afectando transversalmente tanto al sector público, como al privado o a los ciudadanos. Ciberdelincuentes, crimen organizado, terroristas, hackti-vistas o los propios Estados son capa-ces de explotar las vulnerabilidades tecnológicas con el objeto de recabar información, sustraer activos de gran valor y amenazar servicios básicos para el normal funcionamiento de nuestro país. La creación de la Capacidad de Respuesta a Incidentes, CCN-CERT, en el año 2006 (y sus múltiples servicios orientados a una defensa preventiva frente a los ataques a las AAPP) y del Organismo de Certificación (OC) en 2007, son la respuesta más importante en los últimos años a este desafío.
Porque este ámbito y los distintos aspectos que lo componen, ahora lla-mado ciberseguridad, han ido modifi-cándose a lo largo de los últimos años. Así, las amenazas han ido variando a medida que lo hacía la motivación de los atacantes (antes se buscaba presti-gio y satisfacción personal, ahora dinero y réditos políticos); así como los objeti-vos que persiguen (de ataques globales se ha pasado a ataques dirigidos).
Los métodos de ataque también han cambiado, aumentando su alcance y sofisticación. Así, a media que las tecnologías de seguridad evolucionan, quienes realizan los ataques se adap-
En esta evolución constante, y a medida que los riesgos cobran mayor importancia y repercusión en todas las capas de la sociedad, la participación de los gobiernos y la legislación para hacer-
tan a ellas y descubren ataques nuevos y mejores: deficiencias en la seguridad de los equipos, código dañino, bots, spam, phishing, DNS y DoS (el pri-mer ataque de denegación de servicio surgió en 2006), spyware, adware, rootkits, o ataques basados en la web (SQL, Cross-site scripting).
Por su parte, las vulnerabilidades tam-bién se han ido incrementado a un ritmo constante (incluidas las más peligrosas, las Zero-Day) y han ido afectando a todas las tecnologías e infraestructu-ras que han ido surgiendo: sistemas operativos (del servidor y del cliente), mensajería, sitios web, redes sociales, dispositivos móviles, carding, bluetooth, RFDI, Wi-Fi, WiMax, Infraestructuras Críticas (sistemas SCADA), etc.
les frente se ha intensificado en todos los países de nuestro entorno. Surgen así (y lo seguirán haciendo) Estrategias Nacionales de Ciberseguridad, fruto de la preocupación de los gobiernos por proteger el ciberespacio como un eje fundamental en la defensa de la socie-dad y de su sistema económico.
En este sentido, el CCN, en línea con la futura Estrategia Española de Ciberseguridad, mantendrá todo su esfuerzo en incrementar las capacida-des de prevención, detección, análisis, respuesta y coordinación ante las cibe-ramenazas, haciendo énfasis en las administraciones públicas, las Infraestructuras Críticas, las capacida-des militares y de Defensa, y otros sis-temas de interés nacional.
INSTITUCIONES
10 AÑosHIsToRIA DEL sECToR
62 red seguridad noviembre 2012 especial 10 años
INSTITUCIONES
Cronología de una déCadaFecha Hito
2002Ley 11/2002 reguladora del Centro Nacional de Inteligencia (CNI).UNE-ISO/IEC 17799:2002, Tecnología de la Información. Código de Buenas Prácticas de la Gestión de la Seguridad de la Información.
2003RD 281/2003 Reglamento Registro General de la Propiedad Intelectual.Ley 59/2003 de Firma Electrónica.Ley 32/2003 General de Telecomunicaciones.
2004Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional (CCN).Desarrollo por el CCN de la Herramienta PILAR de análisis de riesgos, siguiendo la metodología MAGERIT.
2005Comienzan a publicarse las Guías CCN-STIC como normas, instrucciones, guías y recomendaciones para garantizar la seguridad TIC en las administraciones públicas.
2006 Constitución del CERT Gubernamental español: CCN-CERT, como Capacidad de Respuesta a Incidentes.
2007
Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.Constitución del grupo CSIRTes (CERT españoles).Publicación del Reglamento de Evaluación y Certificación de la Seguridad de las TIC (Orden PRE/274/2007, de 19 de septiembre).RD 1720/2007 Reglamento que desarrolla la Ley de Protección de Datos.
Celebración de la I Jornada STIC CCN-CERT.
2008
El CCN desarrolla el Sistema de Alerta Temprana de la Red SARA (SAT SARA), en colaboración con el Ministerio de Administraciones Públicas.Se presenta el CSIRT CV de la Comunidad Valenciana (primer CERT autonómico).Convenio de colaboración del CNI y la FEMP para impulsar la seguridad entre los Ayuntamientos españoles.
2009
Ingreso del CCN-CERT, como CERT Gubernamental español en el European Government CERT (EGC), organización que reúne a los principales CERT gubernamentales de Europa.
El CCN desarrolla el Sistema de Alerta Temprana en las salidas de Internet (SAT INET) de los organis-mos públicos para la detección rápida de incidentes y anomalías que permite realizar acciones preven-tivas, correctivas y de contención, a través de sus accesos a Internet.
Creación del Grupo de Trabajo de Protección de Infraestructuras Críticas, con participación del CCN.
Desarrollo por el CCN de un servicio de Análisis de Portales Web de la Administración y del Sistema Multiantivirus (MAV) de análisis de código dañino.
2010
RD 3/2010 Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), en cuya redacción colabora activamente el CCN.
Incorporación del Esquema Nacional de Evaluación y Certificación del CCN al acuerdo europeo SOGIS MRA v3.
Convenio de colaboración con la Junta de Andalucía para el impulso de la Seguridad de la Información.
El CCN y el Ministerio de Política Territorial y Administración Pública lanzan una nueva serie de Guías STIC (serie 800), de acceso público, para facilitar el cumplimiento del ENS.
2011
Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas/ Real Decreto 704/2011 por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
I Encuentro SAT Internet organizado por el CCN-CERT.
Lanzamiento de Cursos online de Seguridad de la Información en el portal del CCN-CERT.
Estudio de Seguridad sobre el cumplimiento del ENS del CCN.
Instrucción 2/2011 por la que se crea la figura del Fiscal de Sala de Criminalidad Informática, que coordinará la actuación de los Fiscales provinciales que integrarán esta nueva especialidad del Ministerio Público.
2012
El CCN desarrolla la herramienta Centro de Análisis de Registros y Minería de Eventos Nacionales (CARMEN)para el análisis en tiempo real de diversas fuentes de logs.
Se incorporan al SAT SARA las áreas de conexión de las comunidades autónomas.
El Sistema de Alerta Temprana de INTERNET concluye el año con 40 organismos adscritos, entre ellos la primera autonomía (Extremadura). Se elaboran listas negras con el objeto de identificar agrupacio-nes dañinas y generar nuevas reglas de detección.
10 AÑosHIsToRIA DEL sECToR
