La (in)seguridad de los sistemas TIC que tratan información clasificada
En 2010, el soldado Bradley Manning – analista de inteligencia del Ejército de Tierra estadounidense – filtró a Wikileaks miles de documentos clasificados sobre la guerra de Afganistán, así como un cuarto de millón de cables diplomáticos de los Estados Unidos. Estas filtraciones abrieron en Washington un profundo debate sobre el estado de la seguridad de los sistemas de información y comunicaciones (TIC) que tratan información clasificada. En octubre de 2011, el debate culminó con la firma presidencial de la Orden Ejecutiva (Executive Order) 13587 que tenía como objetivo ejecutar reformas estructurales sobre el sistema y los mecanismos existentes para la salvaguarda e intercambio de documentación clasificada.
Estos últimos días, dos hechos han situado de nuevo a la Orden Ejecutiva 13587 en primera línea informativa. Por un lado, altos cargos de la Agencia Nacional de Seguridad (NSA) reconocían la imposibilidad de identificar el número exacto de documentos filtrados por Edward Snowden debido a la inexistencia de servicios de trazabilidad y monitorización de actividades de usuarios en los sistemas TIC de la sede hawaiana de la agencia donde éste trabajaba; y por otro lado, la publicación de las conclusiones del Grupo de trabajo sobre tecnologías aplicadas a la inteligencia y comunicaciones que, constituido a petición del Presidente Obama tras el escándalo Snowden, entre otras conclusiones insta al gobierno a implantar de forma inmediata la Orden Ejecutiva 13587 y aprobar medidas más exigentes en materia de ciberseguridad.
Los sistemas TIC que tratan información clasificada son sometidos a un exigente proceso que debe acreditar que estos cumplen con todos los requisitos de seguridad necesarios para su puesta en producción. Este proceso de acreditación engloba cinco grupos de actividades: documentación de seguridad; seguridad del entorno de operación; seguridad de las emanaciones electromagnéticas, seguridad criptológica y seguridad de las TIC.
La documentación de seguridad es el requisito necesario para iniciar el proceso de acreditación de cualquier sistema TIC. Ésta engloba un concepto de operación que expresa el objeto para el cual se implanta el sistema, indicando el nivel máximo de clasificación de la información que podrá tratar así como sus condiciones de explotación y las principales amenazas a las que éste estará sometido ; un análisis formal de riesgos asociados al sistema TIC, cuyo objetivo es estimar la magnitud del riesgo al que está sometido el sistema; una declaración de requisitos de seguridad en el que se expongan los principios de seguridad de la información que aplican al sistema así como los requisitos de seguridad que deberán ser implantados; y los procedimientos operativos de seguridad que, entre otros, describe de manera precisa el modo en el que se debe manejar la información clasificada, las responsabilidades de los usuarios y administradores, así como los pasos que deben seguirse en caso de incidencia o contingencia.
La seguridad del entorno de operación debe garantizar la seguridad física de las áreas donde se aloje la infraestructura TIC del sistema, así como de aquellas áreas en las que se maneja información clasificada, bien sea en formato papel o electrónico. La seguridad del personal es uno de los elementos clave ya que para el manejo de la información clasificada es necesario que éste disponga de una habilitación personal de seguridad (HPS) y además tenga la necesidad de conocer (Need-to-Know). Por otro lado, la seguridad de los documentos– bien sean en formato papel o electrónicos – deben estar correctamente securizados para evitar fugas de información intencionadas o accidentales. Para ello es necesario disponer, entre otros, de procedimientos de control de la documentación clasificada o medidas técnicas como sistemas de impresión segura, desmagnetizadores homologados para el borrado seguro de datos, trituradoras de papel o armarios blindados.
La seguridad de las emanaciones electromagnéticas lleva consigo la aplicación de técnicas que eviten la emanación de señales de radiofrecuencia que pudieran transmitir información sensible a través de ondas electromagnéticas. Éstas pueden ser generadas intencionadamente, por dispositivos de escuchas, o de manera accidental, a través de sistemas Wifi u otros dispositivos radioeléctricos.
La seguridad criptológica establece la obligatoriedad de uso de aquellos productos certificados por la autoridad nacional de acreditación de sistemas clasificados en cualquiera de sus disciplinas: criptografía, criptoanálisis, esteganografía y esteganoanálisis.
La seguridad de las TIC proporciona a estos sistemas los servicios de seguridad necesarios para garantizar los principios básicos de la seguridad de la información, evitando cualquier pérdida de confidencialidad, disponibilidad, autenticidad e integridad de la misma. Además, deberán proporcionar servicios de auditabilidad y trazabilidad de las actividades que se hayan ejecutado en el sistema. Estos servicios de seguridad deberán, entre otros, identificar y autenticar a los usuarios autorizados, controlar los accesos de estos usuarios en función del Need-to-Know, verificar la integridad de la información, registrar y auditar la actividad de los usuarios y controlar las conexiones desde y hacia el sistema clasificado.
Sin embargo, la evolución tecnológica y el aumento en el nivel de amenaza cibernética obligan no solo a dinamizar el proceso de acreditación de los sistemas TIC que tratan información clasificada; sino también a administrar de forma efectiva y eficiente su seguridad. Para ello es necesario realizar una importante inversión económica en recursos humanos y técnicos para integrar los centros de gestión de seguridad de la información y los centros de explotación de los sistemas mediante interfaces modernos – a nivel de procesos, tecnología y comunicaciones – para obtener y disponer de un conocimiento preciso de ciber-situación, permitiendo con ello la ejecución de análisis de riesgos dinámicos. Igualmente, es necesario adquirir e implementar herramientas y servicios TIC que permitan mejorar el funcionamiento y la seguridad de los sistemas TIC clasificados. En tercer lugar, es conveniente evolucionar del concepto Need-To Know a un modelo Work-Related Access Model que permita llevar a cabo una gestión más granular y precisa de los permisos de acceso a la información; y finalmente se hace necesario realizar planes de concienciación, formación y capacitación continua del personal técnico que administra y gestiona los sistemas TIC, así como de los usuarios finales de los mismos. Y es que debemos recordar siempre que el ser humano es el eslabón más débil en la “cadena” de la seguridad de los sistemas TIC.
Acerca del autor
Enrique Fojon
Ingeniero Superior en Informática. Subdirector de THIBER, the cybersecurity think tank. Miembro del ISMS Forum Spain. @EFOJONC
Interesantes planteamientos. Está claro que, como dice el autor, el eslabón más débil de la cadena de seguridad son las personas, que de forma consciente o inconsciente pueden meter a la organización – sea cual sea ésta – en un problema.
Asumo que estos mismos principios podrían aplicarse perfectamente en el ámbito de la empresa privada. Y por otro lado, desde mi ignorancia: ¿en todas las administraciones del estado aplicamos estos procesos? o dicho de otra forma, podríamos tener una filtración al estilo Snowden en nuestro país?
Buenos días Juan,
En las administraciones del estado se aplica el proceso descrito en el articulo para securizar sistemas que tratan información clasificada. Un caso Snowden, entendiendolo por una filtracion masiva, seria posible.
saludos
Cuando dices que seria posible, a que te refieres?
Buenos días,
Me refiero a que el factor humano es impredecible y que podría existir algún filtrador. Ahora bien, no creo que el calado de lo que se pueda filtrar se acerque a lo filtrado por Manning o Snowden.
saludos
Muy interesante el articulo, Enrique. Como siempre, trabajando para mejorar la ciber-conciencia. Totalmente de acuerdo con el analisis de alto nivel. El tema de unificar los centros de explotacion y gestion de la seguridad es clave, y lo destacaria como elemento destacado. Solo aquellas organizaciones que lo consiguen llegan a alcanzar niveles altos de madurez en ciberseguridad. Con respecto a la evolucion al concepto Work-Related Access Model tambien la considero importante. En este punto las organizaciones actuales, y sobretodo a nivel administraciones publicas, deben de hacer un cambio profundo en sus actuales procesos para alinearse con este concepto. Un saludo.
Buenos días José Ramón,
Muchas gracias por tus palabras y participación. En mi opinión, la adopción del Work-Related Access Model es el elemento clave en la transformación del proceso de seguridad de los sistemas TIC que tratan información clasificada.
saludos.
Me imagino que estas medidas pueden ser tomadas por sistemas no clasificados tambien, no? Al fin y al cabo para cualquier empresa sus sistemas TIC son ‘clasificados’. Por cierto, todo esto es caro o muy caro? Muy util el post por interesante y divulgativo.
Buenos días,
Muchas gracias por tus palabras. Sin duda, estas medidas pueden ser implementadas en sistemas TIC que no tratan información clasificada. Ahora bien, sera necesario determinar si ´compensa´ desde un punto de vista coste-beneficio. Completar un proceso de securizacion como el descrito es caro. Además hay que tener en cuenta que después hay que mantenerlo.
saludos
Interesantísimo. Solo Manning y Snowden son culpables? El sistema tiene fallos y hay muchos responsables de los que no se ha dicho nada. Es obivio, que se filtra porque hay voluntad pero tambien porque se puede. y los responsables de securizar el sistema que? Merry Christmas.
Buenos días,
Manning y Snowden incumplieron sus obligaciones al filtrar información. Las debilidades del sistema había que analizarlas para determinar si los administradores del sistema o las autoridades de acreditación realizaron de manera negligente su trabajo-. de todos modos, la inconcrecion del need-to-know por si misma puede permitir a los usuarios acceder a mas informacion de la que realmente necesitan.
saludos
Por cierto, en españa el CCN es la autoridad nacional para acreditar sistemas clasificados. y en USA?
Según la executive order 13587 los responsables conjuntos son el secretario de defensa y el director de la NSA.
La debilidad de los sistemas TIC es pavorosa, no olviden que aún estamos en los albores de la era TIC y lo que mal empieza mal acaba sino se remedia………… Sutil mensaje de fondo del post, o cambiamos o nos atascamos/hundimos…….. Enrique, no hay madurez suficiente en nuestro país para comprender lo que has escrito, al menos enlos puestos decisores…..y lo sabes…… Buena iniciativa THIBER, espero que no se desvirtue con el tiempo…..
Buenas tardes,
Muchas gracias por tus palabras. Habra que trabajar para que se comprenda la importancia estrategica del ciberespacio. Es una labor de THIBER y del Real Instituto Elcano a traves del blog y los ARI.
saludos
Mi experiencia me ha demostrado que el ser humano es el eslabón más débil en la “cadena” de la seguridad de los sistemas TIC y que seguira siendolo siempre,en mayor o menor medida…..pero sin concienciación/formación no hay nada que hacer…
por cierto, Manning no filtró tambien documentos sobre Iraq?
Buenas tardes,
muchas gracias por participar. efectivamente, Manning filtro información y videos de Iraq. Asesinato colateral´ y los diarios de la guerra de Irak y Afganistán fueron los entregables que wikileaks saco a la luz, no sin problemas.
Saludos
Me pregunto a que espera el gobierno de Mr. Rajoy para aprobar planes que permitan concienciar/formar en materia de seguridad informatica. Se pavonean a la hora de hablar de evolucion TIC y el numero de PC´s, laptop,etc….por alumnos…. esto no sirve de nada si va acompañado de un uso responsable de las TIC…..luego nos echamos las manos a la cabeza con el cyberbullying, el cibercrimen o la fuga de información…mucho va en la condición humana pero esta se puede/debe educar.
Gracias Enrique por otra lección que a los profanos nos abren los ojos y hace que nos planteemos muchas cosas. Feliz 2014.
Buenas tardes,
Yo también me lo pregunto. No basta con una estrategia sobre el papel, hay que desarrollarla, politicas publicas y determinación. Esperemos a ver que nos depara 2014.
saludos
Poco se puede hacer ante el factor humano.
De todos modos, como un contractor fue capaz de tener acceso a toda la informacion sensible que luego filtro? Es evidente que algo falla., ya sea el proceso de acreditacion o el organismo que acredita. De todos modos, que medidas adicionales podrian tomarse para saberse quien y como se filtraron todos los documentos? Porque se ha desechado la posibilidad de que alguien de dentro facilitase el trabajo de Snowden?
Me parece bastante imperfecto el proceso…sobre el papel todo es muy bonito pero en la practica no.
Buen articulo. En que consiste el Work-Related Access Model?
Buenos días,
consiste en una granularización del Need-to-Know. En breve sacaremos post al respecto.
saludos
Buen artículo y muy didáctico. Da una visión general sobre los aspectos de seguridad a tener en cuenta en los sistemas TIC que almacenan información clasificada.
Algunos de estos aspectos puede ser interesante aplicarlos también a sistemas que almacenen información sensible (aunque no sea clasificada), como aquella información afectada por la LOPD (Ley Orgánica de Protección de Datos).
Un saludo
Buenos días Antonio,
Muchas gracias por tus palabras. Sin duda, muchos aspectos son aplicables a lo no clasificado, es más, deberían ser aplicados.
saludos
Buenos días,
Muy interesante el artículo.
Un punto clave y el eslabón más débil en la cadena parece el factor humano y el acceso que éstas personas tengan a la información. Sin embargo, cuando la migración a la nube gestionada por proveedores externos parece un hecho. Me pregunto cómo es posible garantizar la integridad de la información en un entorno en el parece que incluso las mismas empresas podrían haber cedido información a sus propias agencias de seguridad.
Saludos.
Buenos días Pilar,
Muchas gracias por tus palabras y por participar.
Tu observación es muy pertinente y mas tras la ultimas revelaciones. En el caso del uso personal de la nube es claro, el envió puede ser cifrado pero en los servidores de las empresas -yahoo, google….- la informacion va en claro ya que su modelo de negocio se basa en saber que hacemos y pensamos para inundarnos de publicidad. En el caso de las nubes privadas, la existencia de backdoors es muy probable que existan y permitan el acceso a la info que fluye.
saludos