Respuesta a los incidentes de seguridad de la información en las Administraciones Públicas
| Autor | Luis Jiménez |
| Páginas | 43-57 |
Page 43
Los sistemas que manejan cualquier tipo de datos (información) en formato electrónico reciben indistintamente las denominaciones de «Tecnologías de la Información y las Comunicaciones (TIC)», «Tecnologías de la Información (TI», «Sistemas de Información» o, en terminología inglesa Communications and Information Systems (CIS). Estos conceptos quedan englobados en el término genérico «Sistema», que se define como el conjunto de equi-Page 44pos y programas (hardware y software), métodos, procedimientos y personal, organizado de tal forma que permita almacenar, procesar o transmitir información, y que está bajo la responsabilidad de una única autoridad.
El desarrollo de la denominada Sociedad de la Información implica que, cada vez más, la información se transmite, se procesa o se almacena (se maneja) en algún momento en un sistema. Esto, unido al hecho de que los Sistemas son capaces de manejar mayor cantidad de información en menos tiempo, ha contribuido a conferir mayor importancia a la información propiamente dicha, que es considerada como un valor en sí misma. Como tal valor, la información manejada en un Sistema puede estar sometida a distintos tipos de amenazas que van a introducir, en su manejo, un determinado nivel de riesgo.
Así, existe riesgo cuando se transmite información por un canal de comunicaciones porque alguien no autorizado podría estar interesado en conocerla (amenaza)1 y el canal de comunicaciones tiene vulnerabilidades2 (un canal de comunicaciones es, en la mayoría de los casos, intrínsecamente inseguro). También se introduce un nuevo factor de riesgo con la interconexión entre Sistemas. Aunque esto permite que la información sea accesible desde un sistema aunque, físicamente esté almacenado en otro, este acceso se produce, en ocasiones, sin que el propietario de la información tenga conciencia de ello, amenazando la confidencialidad, disponibilidad o integridad de la información. La implantación generalizada de las redes corporativas y el uso de Internet han contribuido a empeorar la situación en este sentido.
De hecho, las amenazas y vulnerabilidades que afectan a los Sistemas de Información han venido aumentando constantemente en los últimos años, llegando incluso a incrementarse un 55% en los dos últimos años, según datos recogidos por el CCN-CERT. Respecto a los tipos de riesgos que estas vulnerabilidades implican para nuestros Sistemas de Información, según publica el CERT® Coordination Center3, la mayoría de las amenazas recibidas constituyen casos de cibercrimen o ciberdelincuencia, de tal forma que sePage 45han convertido en una debilidad crítica en las naciones occidentales, máxime si tenemos en cuenta que estas amenazas evolucionan continuamente (virus, phishing, defacement, etc.) y a una velocidad cada vez mayor. Dado que las amenazas cada vez son más complejas y, a veces, difíciles de detectar, se hace necesaria una formación del personal responsable de las TIC en todas las Organizaciones (incluidas, por supuesto, todas las Administraciones Públicas) para luchar contra la ingenuidad, la ignorancia de buenas prácticas y la falta de concienciación existente sobre la necesidad de preservar la seguridad de la información (STIC). Una seguridad que debe estar orientada a garantizar o mantener tres cualidades propias de esta última: disponibilidad, integridad y confidencialidad. En algunos entornos, especialmente en los dedicados a la Administración Electrónica, interesan, además, otros aspectos muy importantes de las transacciones on-line como son la autenticidad o la trazabilidad.
[VER FIGURA EN PDF ADJUNTO]
Fig. 1: Fuente: CCN-CERT.
La Administración en su conjunto no puede ser ajena a este escenario y debe considerar el desarrollo, la adquisición, conservación y utilización segura de las TIC como algo imprescindible que garantice el funcionamiento efi-Page 46caz al servicio del ciudadano y de los intereses nacionales. Sobre todo, teniendo en cuenta los nuevos retos a los que se enfrenta, procedentes de muy diversas fuentes: Servicios de Inteligencia, Grupos Organizados, Terroristas, Hackers, Grupos Criminales, Empleados Deshonestos, etc. Se hace imprescindible, por tanto, tomar conciencia de los riesgos a través de medidas a todos los niveles (legislativas, organizativas y técnicas) así como de la implementación de herramientas técnicas de seguridad (anti-virus, firewalls, software para autenticación de usuarios o para cifrado de la información) y del empleo de productos certificados, de inspecciones o auditorías de seguridad, etc.
[VER FIGURA EN PDF ADJUNTO]
Fig. 2: Fuente: CCN-CERT.
La sociedad española, tal y como recoge la exposición de motivos de la Ley 11/2002, de 6 de mayo, que regula las funciones del Centro Nacional de Inteligencia (CNI), demanda unos Servicios de Inteligencia eficaces, especializados y modernos, capaces de afrontar los nuevos retos del actual esce-Page 47nario nacional e internacional. No cabe duda de que entre los elementos característicos de este escenario figura el desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como los riesgos emergentes asociados a su utilización.
La Administración no es ajena a este escenario considerando el desarrollo, adquisición, conservación y utilización segura de las TIC como algo imprescindible para garantizar su funcionamiento eficaz al servicio del ciudadano y de los intereses nacionales. La Seguridad de las Tecnologías de la Información y las Comunicaciones (STIC) es tan importante para la seguridad y el bienestar de los ciudadanos como lo es la protección de los propios ciudadanos, sus intereses y su sociedad.
Asimismo, continúa la exposición de motivos, el concepto de seguridad de los sistemas de información no sólo abarca la protección de la confidencialidad de ésta; en la mayoría de los casos es necesario también que los sistemas permitan el acceso de los usuarios autorizados, funcionen de manera íntegra y garanticen que la información que manejan mantiene su integridad. En consecuencia, la seguridad de los sistemas de información debe garantizar la confidencialidad, la disponibilidad y la integridad de la información que manejan y la disponibilidad y la integridad de los propios sistemas.
En este mismo sentido, el capítulo I, artículo 4.º de la citada Ley, sitúa como funciones del CNI, el coordinar la acción de los...
Para continuar leyendo
Solicita tu prueba