la defensa en profundidad aplicada a los sistemas de ... · pdf fileprincipios de la defensa...

PREMIER MINISTRE Secrétariat général de la défense nationale

Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations

Bureau conseil

La defensa en profundidad aplicada a los sistemas de información

COMPENDIO

Versión 1.1 – 19 de julio de 2004

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P – T e l . 0 1 7 1 7 5 8 4 1 5 - F a x 0 1 7 1 7 5 8 4 0 0

Compendio sobre el concepto de la defensa en profundidad aplicada a los SI

Este documento ha sido realizado por la oficina de consultoría de la DCSSI (SGDN / DCSSI / SDO / BCS)

Rogamos nos haga llegar sus comentarios y sugerencias a la siguiente dirección

(ver formulario de recogida de comentarios que se encuentra al final del compendio):

Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d'information

Sous-direction des opérations Bureau Conseil

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

[email protected]

Página 2 de 51

mailto:[email protected]


Contenido

INTRODUCCIÓN 5

1.1 PRESENTACIÓN DEL ESTUDIO 5 1.2 PLANO DEL DOCUMENTO 5 1.3 BIBLIOGRAFÍA 6 1.4 SIGLAS Y ABREVIATURAS 7

2 ANÁLISIS DEL CONCEPTO 8

2.1 CONCEPTOS PROVENIENTES DE LA BIBLIOGRAFÍA 8 2.1.1 ESTUDIO DEL ÁMBITO MILITAR 8 2.1.2 ESTUDIO DEL ÁMBITO INDUSTRIAL 9 2.1.3 ESTUDIO DEL CAMPO DE LA SSI 12 2.1.4 ANÁLISIS DE LOS CONTEXTOS 13 2.2 APORTES DE LAS ENTREVISTAS 15 2.3 CONCLUSIÓN DE LA PRIMERA FASE 16

3 LA DEFENSA EN PROFUNDIDAD EN SSI 17

3.1 DEFINICIÓN DEL CONCEPTO 17 3.1.1 APRECIACIONES GENERALES DEL CONCEPTO 17 3.1.2 DEFINICIONES 19 3.1.3 PRINCIPIOS GENERALES 20 3.2 APLICACIÓN DEL CONCEPTO 21 3.2.1 PROFUNDIDAD DE LA ORGANIZACIÓN 21 3.2.2 PROFUNDIDAD EN LA IMPLEMENTACIÓN 22 3.2.3 PROFUNDIDAD EN LAS TECNOLOGÍAS 22

4 EL MÉTODO DE DEFENSA EN PROFUNDIDAD 23

4.1.1 PRIMERA ETAPA DETERMINACIÓN DE LOS BIENES Y DE LOS OBJETIVOS DE SEGURIDAD 25 4.1.2 SEGUNDA ETAPA: ARQUITECTURA GENERAL DEL SISTEMA 26 4.1.3 TERCERA ETAPA ELABORACIÓN DE LA POLÍTICA DE DEFENSA 27 4.1.4 CUARTA ETAPA: CALIFICACIÓN DE LA DEFENSA EN PROFUNDIDAD 28 4.1.5 QUINTA ETAPA: EVALUACIÓN PERMANENTE Y PERIÓDICA 31

5 CONCLUSIONES 32

6 ANEXO: APLICACIÓN DEL MÉTODO PROPUESTO 34

6.1 PRESENTACIÓN DEL CASO CONCRETO 34 6.2 DESARROLLO DEL MÉTODO 36 6.2.1 PRIMERA ETAPA DETERMINACIÓN DE LOS OBJETIVOS DE SEGURIDAD 36 6.2.2 SEGUNDA ETAPA: ARQUITECTURA GENERAL DEL SISTEMA 39 6.2.3 TERCERA ETAPA ELABORACIÓN DE LA POLÍTICA DE DEFENSA 45

Página 3 de 51


6.2.4 CUARTA ETAPA: CALIFICACIÓN 46 6.2.5 QUINTA ETAPA: EVALUACIÓN Y AUDITORÍA 48

FORMULARIO DE RECOGIDA DE COMENTARIOS 50

Índice de ilustraciones

FIGURA 1: ESCALA INES............................................................................................................. 9 FIGURA 2: LAS TRES BARRERAS................................................................................................. 10 FIGURA 3: LOS ENFOQUES METODOLÓGICOS (FUENTE: [DRA7])............................................... 12 FIGURA 4: PROCEDIMIENTO DE IDENTIFICACIÓN DE LAS LÍNEAS DE DEFENSA............................ 18 FIGURA 5: LAS ETAPAS DEL MÉTODO......................................................................................... 23 FIGURA 6: ESCALA DE GRAVEDAD SSI ...................................................................................... 25 FIGURA 7: PRINCIPIOS DE UNA EVALUACIÓN ............................................................................. 29 FIGURA 8: DESCRIPCIÓN DEL TELESERVICIO .............................................................................. 34 FIGURA 9: DESCRIPCIÓN DEL TELESERVICIO .............................................................................. 35 FIGURA 10: ARQUITECTURA GENERAL TRAS LA INTEGRACIÓN DE LAS NECESIDADES DE

SEGURIDAD........................................................................................................................ 39 FIGURA 11: ENFOQUE INDUCTIVO.............................................................................................. 41 FIGURA 12: ENFOQUE DEDUCTIVO............................................................................................. 42 FIGURA 13: COMBINACIÓN DE LOS ENFOQUES ........................................................................... 42 FIGURA 14: MODELIZACIÓN DE LA INTERFAZ "USUARIO/ADMINISTRACIÓN".............................. 43

Índice de cuadros CUADRO 1: ÍNDICE BIBLIOGRÁFICO SIMPLIFICADO ...................................................................... 6 CUADRO 2: SIGLAS Y ABREVIATURAS.......................................................................................... 7 CUADRO 3: LAS ETAPAS DEL MÉTODO ....................................................................................... 20 CUADRO 4: ESCALA DE GRAVEDAD SSI..................................................................................... 26 CUADRO 5: NECESIDADES DE SEGURIDAD POR CRITERIOS ......................................................... 37 CUADRO 6: JERARQUIZACIÓN DE HECHOS TEMIDOS................................................................... 38 CUADRO 7: JERARQUIZACIÓN DE LOS INCIDENTES PREVISTOS ................................................... 44 CUADRO 8: CUADRO DE LAS LÍNEAS DE DEFENSA ..................................................................... 44

Página 4 de 51


Introducción

1.1 Presentación del estudio En materia de seguridad, en el área de los sistemas de información como en otras áreas, lo más peligroso es, muy a menudo, dormirse, concientemente o no, en una falsa certeza. Un procedimiento sano consistiría en gestionar la incertidumbre, mantener una inquietud razonada y una verdadera vigilancia. En este marco, la Oficina de Consultoría de la DCSSI realizó un estudio referido a la definición y a la formalización del concepto de defensa en profundidad aplicado al ámbito de la seguridad de los sistemas de información. El objeto del estudio es permitir sacar conclusiones prácticas y operativas en materia de arquitectura de SI y de gestión de los riesgos. Para alcanzar estos objetivos, se ha consultado a una gran cantidad de expertos y actores de la industria francesa.

1.2 Plano del documento Este documento contiene tres partes principales, reflejo del procedimiento:

la primera parte establece un resumen exhaustivo de la bibliografía sobre las prácticas empleadas en los ámbitos industrial y militar, en un intento por determinar los grandes principios de la defensa en profundidad;

la segunda plantea los conceptos y las definiciones de la defensa en profundidad aplicada a la SSI;

la tercera expone el método que surge de los principios anteriormente definidos y se aplica a la seguridad de los sistemas de información;

un anexo ejemplifica el método a partir de un caso concreto que permitió identificar las modalidades de evaluación.

La conclusión retoma las reflexiones realizadas en el marco de este estudio para extraer sus aportes y orientar los trabajos posteriores.

Página 5 de 51


1.3 Bibliografía El cuadro que figura a continuación enumera los documentos más importantes tratados en el marco de este estudio. Cuando se cita alguna referencia en este documento, el número correspondiente aparece entre corchetes (se conservó la numeración del conjunto de la documentación del estudio).

Ref. Autor(es) Fecha Título Editor [SALI] R. Mackey Junio de 2002 Security Architecture, Layered Insecurity http://www.infosecuritymag.com/2002/jun/insecurity.shtml [RATP] J.

VALANCOGNE 28.02.02 La défense en profondeur (de la RATP) http://www.institutbull.com.fr/sujets/valancogne

[SBGN] Bob Clark

11.06.02 Small Business Guide to Network Security http://www.giac.org/practical/Bob_Clark_GSEC.doc

[DRQR] Tim BassSilk Road, LLC Vienna, VA

Defense-in-depth revisited: qualitive riskanalysis methodology for complex network-centric operations

http://www.silkroad.com/papers/pdf/milcom2001-430.pdf

[IATF] IATF Release 3.1 Septiembre de 2002 Chapter 2 Defense in Depth http://www.iatf.net [DNCW] CAPT Dan Galik,

USN Defense in Depth: Security for Network-Centric

Warfare http://www.chips.navy.mil/archives/98_apr/Galik.htm

[DRA7] D.HOURTOLOU

Septiembre de 2002 Analyse des risques et prévention des accidentsmajeurs (DRA-007)

http://www.ineris.fr/recherches/download/assurance.pdf

[DEQS] Yves Deswarte,Mohamed Kaâniche, Rodolphe Ortalo

Évaluation quantitative de sécurité http://www.inria.fr/rapportsactivite/RA95/saturne/node11.html

Cuadro 1: índice bibliográfico simplificado

Página 6 de 51

http://www.infosecuritymag.com/2002/jun/insecurity.shtml

http://www.institutbull.com.fr/sujets/valancogne

http://www.giac.org/practical/Bob_Clark_GSEC.doc



http://www.iatf.net/

http://www.chips.navy.mil/archives/98_apr/Galik.htm

http://www.ineris.fr/recherches/download/assurance.pdf

http://www.inria.fr/rapportsactivite/RA95/saturne/node11.html


1.4 Siglas y abreviaturas Las siglas y abreviaturas utilizadas en este documento están indicadas en el siguiente cuadro.

Término Significado AIEA Agencia Internacional de Energía Atómica

CDES Comando de la doctrina y de la Enseñanza militar Superior

DdD Department of Defense (Departamento de Defensa de los Estados Unidos)

MTAI Marco Técnico de Aseguramiento de la Información

SDI Intrusion Detection System (sistema de detección de intrusos)

SII Servicio de Información de Internet (servidor Internet Microsoft)

INERIS Instituto Nacional del Entorno Industrial y de los Riesgos

GIASN Grupo Internacional asesor en Seguridad Nuclear

IPSN Instituto de Protección y de Seguridad Nuclear

SI Sistema de Información

SFEN Sociedad Francesa de Energía Nuclear

SSI Seguridad de los sistemas de Información

Cuadro 2: siglas y abreviaturas

Página 7 de 51


2 Análisis del concepto

2.1 Conceptos provenientes de la bibliografía

2.1.1 Estudio del ámbito militar El concepto de defensa en profundidad parecería haber tenido sus comienzos con Vauban. En el siglo XV, la aparición de balas de cañón metálicas capaces de destruir las fortificaciones verticales provoca la construcción de fortificaciones mucho más bajas que utilizan la profundidad del terreno. Los conceptos subyacentes son los siguientes:

los bienes que se deben proteger están rodeados de varias líneas de defensa; cada línea de defensa participa en la defensa global; cada línea de defensa desempeña un papel: debilitar el ataque, entorpecerlo, retardarlo

(por ejemplo, entrega de terreno a cambio de ganar tiempo); cada línea de defensa es autónoma (está prevista la pérdida de la línea anterior para

evitar un efecto castillo de naipes): la pérdida de una línea de defensa debilita a la siguiente pero ésta dispone de sus propios medios de defensa frente a los distintos ataques (cada posible proceso de ataque ocasiona su correspondiente defensa);

Se ponen en marcha todos los medios para reforzar la defensa de las distintas líneas: - utilización del terreno (la fortificación es una adecuación del terreno); - murallas para limitar los efectos de penetraciones y los tiros por carambola; - informarse para evitar sorpresas.

Actualmente el concepto de defensa en profundidad ya no está a la orden del día, la defensiva sólo es el resultado de una posición de inferioridad que será utilizada con el fin de retomar la iniciativa. Por lo tanto, dos principios tomaron mucha importancia:

la información, que permite validar o refutar las hipótesis realizadas sobre las acciones enemigas, detectar su intención, etc.;

el movimiento (aspecto dinámico de la defensa). Los grandes principios de la defensa en profundidad son los siguientes:

la información es la primera línea de defensa: desde la información sobre las amenazas efectivas, la detección de actuaciones a menudo precursoras de ataques, hasta cualquier detección no sólo de ataques comprobados e identificados sino también de todo comportamiento “anormal” y, por lo tanto, sospechoso;

Existen varias líneas de defensa coordinadas y ordenadas por capacidad de defensa; la pérdida de una línea de defensa debe debilitar el ataque (al menos indirectamente,

recogiendo un máximo de información sobre su origen o sus orígenes, su naturaleza, sobre las próximas etapas posibles o probables), no ocasionar la pérdida de otras líneas de defensa sino por el contrario permitir reforzarlo;

una línea de defensa debe incluir las muestras (aunque éstas se limiten a la detección de anomalías y al trazado en el caso de ataques de tipo no identificables) en todos los ataques posibles (completado de una línea en ella misma);

la defensa no excluye acciones ofensivas.

Página 8 de 51


2.1.2 Estudio del ámbito industrial

2.1.2.1 Nuclear El concepto de defensa en profundidad aplicado al ámbito de la seguridad nuclear proviene de los trabajos posteriores al accidente de "Three Miles Island" del jueves 29 de marzo de 1979, cuando el núcleo del reactor, enfriado en forma insuficiente, se fundió parcialmente. Se define como una defensa que incluye tres barreras sucesivas independientes que llevan a un nivel extremadamente bajo la probabilidad de que un accidente pueda tener repercusiones fuera de la central. La idea es que cada dispositivo de seguridad debe ser considerado a priori como vulnerable y que, por lo tanto, debe ser protegido por otro dispositivo1. La EDF identifica también tres líneas de defensa de distinta naturaleza:

la pertinencia del diseño (en especial la práctica de la redundancia y de la diversificación);

la detección de fallos latentes y de incidentes; la limitación de consecuencias (“mitigación”).

La defensa en profundidad está asociada a una gestión de los riesgos de los cuales a continuación se presentan los 8 niveles normalizados.

Figura 1: escala INES2

1 «La seguridad de las centrales nucleares está basada, especialmente en Francia, en al filosofía de la "defensa en profundidad", organizada en torno a múltiples niveles de protección que abarcan barreras sucesivas que llevan a un nivel extremadamente bajo la probabilidad de que un accidente pueda generar consecuencias fuera de la central. La idea es que cada dispositivo de seguridad debe considerarse a priori como vulnerable y que, por lo tanto, debe ser protegido por otro dispositivo.» Clefs CEA Nº 45 – recuadro D: Las tres barreras, ilustración del concepto de "defensa en profundidad" (actualización de marzo de 2002). 2 Fuente: http://nucleaire.queret.net

Página 9 de 51


En el esquema que figura a continuación aparecen las tres barreras (el ducto de combustible, la cuba de acero del reactor, de 20 centímetros de espesor, el aislamiento (de 90 centímetros de espesor)) que rodean al reactor3

Figura 2: las tres barreras4

3 En los reactores modernos, este aislamiento es doble. 4 Fuente: http://perso.club-internet.fr/sorinj/la_surete.htm

Página 10 de 51

http://perso.club-internet.fr/sorinj/la_surete.htm


2.1.2.2 RATP (transporte público parisino) Los principios de defensa en profundidad utilizados en el ámbito nuclear se encuentran en muchos complejos industriales que presentan riegos mayores. Al igual que en el ámbito nuclear, el riesgo proviene a menudo del interior y las distintas barreras tienen como objeto el aislamiento. En [4], J. Valancogne introduce una caracterización de las barreras:

Las barreras pueden ser tecnológicas, ya sea de procedimientos o humanas. También pueden ser mixtas, es decir que pueden combinar estos distintos atributos.

Las barreras son estáticas o dinámicas (un aislamiento es una barrera estática mientras que un automatismo encargado de abrir una válvula es una barrera dinámica). Las barreras dinámicas (se abren y se cierran) pueden: - ser tecnológicas, humanas o mixtas, - inhibir la agresión en el momento en que éstas se manifiestan (se cierra) o por el

contrario, abrirse al flujo si éste no es agresivo (se abre), - actuar en distintas escalas de tiempo, - ser un logro o un fracaso, - utilizar distintos principios de realización (intrínseco, probabilista).

Éstas pueden actuar sobre el elemento agresor, sobre el flujo o sobre el elemento que se debe proteger.

La eficacia de las barreras no depende únicamente de su diseño; los aspectos de mantenimiento y de evolución en el tiempo también son muy importantes. A cada barrera se le puede asociar un árbol de fallos. El ejemplo de la catástrofe de Bhôpal, muestra el sucesivo fracaso de las tres barreras previstas para evitar el accidente, principalmente debido a la existencia de defectos de procedimiento y de mantenimiento. J. Valancogne insiste también en la importancia de la experiencia y en particular en el análisis de los incidentes (dichos elementos pueden ser encontrados en el ámbito nuclear). Además, al no tratarse de un sistema fijo, la eficacia de las defensas debe ser periódicamente reevaluada.

2.1.2.3 Química Una obra particularmente interesante, titulada “Análisis de los riesgos y prevención de accidentes mayores” (DRA-007) [43] fue publicada por el INERIS (Instituto Nacional del Entorno Industrial y de los Riesgos). Se trata del informe final (septiembre de 2002) del proyecto ASEGURAMIENTO cuyo objetivo era realizar un análisis comparado de los métodos de análisis de los riesgos y enfoques de seguridad en Europa a través del estudio de una instalación química real tomada como referencia. El procedimiento global incluye las siguientes fases:

Determinación de los riesgos. Jerarquización de los riesgos:

- clases de gravedad en función de los efectos (letales, irreversibles); - frecuencia/probabilidad en función de la cantidad de barreras; - matriz de aceptabilidad de los riesgos (en función de su gravedad y frecuencia):

zonas autorizadas, aceptables y críticas; Análisis cualitativo, los métodos utilizados se dividen en tres categorías:

- Los métodos de análisis inductivos (la mayoría: HAZSCAN, SWIFT, HAZOP, APR) se basan en un análisis descendente de la secuencia accidental (de las causas hacia las consecuencias).

- Los métodos de análisis deductivos (árbol de fallos) se basan en un análisis ascendente de la secuencia accidental (de las consecuencias hacia las causas).

Página 11 de 51


- Los métodos basados en la identificación sistemática de las causas de rechazos, construidos sobre la base de la opinión de un experto y de la experiencia (guía nacional o grilla de auditoría).

Análisis cuantitativo, los métodos utilizados se reparten en dos categorías que son objeto del esquema que figura a continuación: - enfoque probabilista; - enfoque determinista.

Figura 3: los enfoques metodológicos (fuente: [DRA7])

Tras un análisis comparado entre los enfoques determinista y probabilista del riesgo, se estableció que ninguno de los dos se adapta perfectamente a la gestión del riesgo SSI. Una solución alternativa propuesta sería entonces basarse en el concepto de barreras de defensa y de barreras de defensa en profundidad, principio fundador de la seguridad, en las instalaciones nucleares o industriales de Francia. Según el INERIS, el enfoque por barreras de defensa permite más transparencia en la presentación de la gestión de los riesgos y, por lo tanto, una información que el público y las asociaciones perciben mejor.

2.1.3 Estudio del campo de la SSI Se distinguen tres tipos de documentos:

documentos en los cuales no se trata de una simple referencia al sentido común: la defensa no debe limitarse a la periferia o asentarse en un único medio.

documentos que tratan, en particular, sobre la seguridad de los sistemas de información del ministerio de defensa y que utilizan este término; principalmente en los Estados Unidos a partir de 1998.

documentos más metodológicos que han sido detallados en el documento de la fase 2: - [13] intentando ser un método simplificado para pequeños organismos; - [31] acercándose más a un análisis de riesgos cualitativos; - [3], preconizando la defensa en profundidad mediante un contra-ejemplo; - [7], de origen NSA, es el inicio de los conceptos utilizados por el DdD.

Página 12 de 51


2.1.4 Análisis de los contextos En primer lugar, es necesario considerar las diferencias de contexto entre los tres ámbitos estudiados. Los siguientes puntos parecen interesantes: El factor sorpresa:

- en el ámbito militar, se busca sistemáticamente y forma parte de la maniobra; - en el ámbito nuclear, es, sin duda, el factor que se busca reducir al máximo aunque

no deba ser ignorado; - en el ámbito de la seguridad informática, está presente en el hecho de que siempre

existirán nuevas formas de ataque (actualmente la defensa no tiene la iniciativa);

La información: va a permitir, en particular, la disminución de la incertidumbre sobre las acciones enemigas confirmando o refutando las hipótesis y ayudará a evitar los perjuicios de la sorpresa; la información no debe estar disociada de la planificación.

La cooperación entre las distintas líneas de defensa: - en el ámbito militar, sistemáticamente se busca la sinergia entre los distintos

medios: el agregado de un medio suplementario debe procurar una ventaja más importante que la simple suma de líneas de defensa que no son independientes;

- en el ámbito nuclear, se insiste en el aspecto de independencia relacionado con las amenazas (las causas de fallos) de las distintas líneas de protección;

- parece que en seguridad informática, el agregado de los dispositivos de protección está fuertemente ligado a la presencia de amenazas, tomadas éstas en forma unitaria.

El origen de las amenazas (internas/externas):

- la noción de defensa vecina ilustra perfectamente este principio: el enemigo puede encontrarse en toda la profundidad del dispositivo y por consiguiente, cualquiera sea el papel que tenga, cada combatiente debe asegurar su propia protección vecina;

- en el ámbito industrial, se toman en cuenta las amenazas externas (por ejemplo, terrorismo) al igual que las amenazas internas (el proceso industrial en sí mismo);

- para la seguridad informática encontramos el aspecto global del ataque que proviene del interior y del exterior; la profundidad del dispositivo de protección deberá, por lo tanto, definirse en varias dimensiones. Esto significa que la profundidad de la defensa deberá contemplar la organización, la implementación y las tecnologías, sin contentarse con una simple defensa perimétrica frente al "exterior" del sistema.

Para que exista defensa en profundidad se requiere como mínimo:

- varias líneas de defensa independientes en el sentido en que cada una sea capaz de defenderse sola contra todos los ataques (es decir que se prevé la pérdida de la línea anterior, no hay presunción de que exista la línea anterior); rigurosamente convendría hablar de líneas de defensa autónomas o completas, es decir, aptas para responder a todas las amenazas; efectivamente, uno de los principios de la doctrina militar dice que además, las líneas participan en la defensa global que presenta entonces una fuerza de defensa superior a la suma de defensas de cada línea (este punto no es retomado como principio en el ámbito industrial ya que se vincula más a la independencia de las barreras);

Página 13 de 51


- cooperación entre las líneas de defensa, sino el concepto es llevado únicamente a simples barreras sucesivas cuya resistencia no depende de la anterior (entonces pueden ser atacadas sucesivamente);

- la pérdida de una línea debe permitir reforzar la defensa y no debilitarla (este punto es un corolario del anterior pero aquí se deja para aportar al aspecto dinámico de la defensa).

El origen del concepto de defensa en profundidad es militar. Esta palabra se utilizó luego en el ámbito nuclear, el cual hace de éste un método. El concepto es retomado luego en el marco más general de la industria (química) y del transporte (RATP). En el ámbito industrial, la defensa en profundidad permite completar el análisis probable de riesgos mediante un aspecto determinista y una creación de un modelo a nivel de los componentes. El concepto es retomado también principalmente en los Estados Unidos a nivel de la seguridad de los sistemas de información pero sin desarrollarlo realmente ya que parece agrupar distintas nociones en torno a la palabra profundidad en el sentido de varios medios redundantes o complementarios. Sin embargo, parecen existir dos enfoques, el primero insiste en el aspecto global de la defensa y el otro se orienta más a los componentes. En este último enfoque la referencia al análisis del riesgo es más explícita.

Página 14 de 51


2.2 Aportes de las entrevistas De la entrevista llevada a cabo con personal militar se desprende la importancia:

del factor información, que ya había sido señalado pero que aún falta reforzar; del aspecto dinámico y de la planificación; de las nociones de responsabilidad por niveles.

En el marco de la defensa en profundidad de los sistemas de información, estos tres puntos podrían traducirse por la consideración de los siguientes principios:

Al momento de instalar una “barrera”, hay que prever al mismo tiempo: - el punto de control de su buen funcionamiento o de su caída (función

información); - las informaciones necesarias que se deben recoger para saber que un atacante va a

tomarlo como blanco. Durante la elaboración de la política global, es necesario prever la caída de una barrera

y entonces: - prever muestras dinámicas; - planificar las posibles acciones en función de los distintos casos;

La seguridad del sistema de información debe ser preocupación de todo el personal y no sólo de los especialistas; para cada nivel se deben nombrar responsables: - a nivel individual (la seguridad inmediata): carta, un manual de procedimiento,

etc.; - a nivel de cada célula de la organización (la seguridad vecina): expediente de

seguridad adaptado con procedimientos y uno o varios planes de emergencia de nivel elemental;

- a nivel del organismo (la seguridad lejana), los planes de emergencia van a tener un alcance más genérico de tipo multiservicio, sitios de emergencia, etc.

El concepto de la defensa en profundidad debe ser visto, en el ámbito industrial, como el resultado lógico del control de los riesgos:

Una vez definido el objetivo de seguridad (evitar una disipación fuera del sitio, un accidente, etc.) se lleva a cabo un análisis utilizando los métodos conocidos, la defensa en profundidad combina entonces a la vez los enfoques determinista y probabilista; dichos enfoques complementarios permiten prever e instalar las barreras (enfoque determinista en el momento del diseño) luego evaluar la probabilidad de fallos de las barreras (enfoque probabilista).

Luego podemos graduar los distintos incidentes en una escala global que tiene importantes ventajas pedagógicas y mediáticas: - escala de valores comunes, - permite presentar la defensa según un esquema entendible por todos, - permite determinar fácilmente la gravedad de un incidente que depende de la

barrera superada. Por último, cada superación de barrera da lugar a medidas preventivas y correctivas y

esto, previendo hasta la fase última cuando el hecho temido, se produce.

Página 15 de 51


2.3 Conclusión de la primera fase Según los criterios definidos para la defensa en profundidad, no se encontró solución completa expuesta en el marco de la seguridad de los sistemas de información. En cambio, los principios provenientes de los ámbitos militar e industrial aportan ideas interesantes. Efectivamente, el ámbito militar está cercano a la seguridad informática en lo referente a los aspectos ataque/defensa y el medio industrial aporta el lado global, sistemático y cuantitativo, por lo tanto, al ámbito informático le falta un rigor medido. De aquí en adelante, resulta: que el término defensa en profundidad, tal como aparece actualmente en el ámbito de la seguridad

informática, no representa una revolución respecto de los principios actualmente aplicados; que el enriquecimiento de los actuales principios de seguridad informática mediante

aportes extraídos del método de defensa en profundidad aplicado al ámbito industrial y al ámbito militar debería permitir definir un método real de defensa en profundidad en el cual se trataría más de defensa que de seguridad.

Página 16 de 51


3 La defensa en profundidad en SSI

3.1 Definición del concepto

3.1.1 Apreciaciones generales del concepto El principio más universal del concepto de defensa en profundidad y que se encuentra en los tres ámbitos, militar, industrial y seguridad de los sistemas de información es de varias barreras independientes. Los demás principios están luego medianamente desarrollados según los casos. Además, si en el ámbito industrial el concepto es siempre el mismo, hay que reconocer que no es así en el caso de la seguridad de los sistemas de informaciones. Sin embargo, el concepto de barrera está i) ligado únicamente al componente protector (restricción, separación) e ignora entonces otras dimensiones esenciales ii) demasiado dependiente de la amenaza y, por lo tanto, delicado para manipular a nivel de la seguridad de los sistemas de información cuando uno se dirige a responsables de la toma de decisiones o a usuarios, principalmente en razón de su carácter técnico y múltiple. Por el contrario, la noción de línea de defensa parece más rica y dice más, aunque esta noción es muy arbitraria.

Por ejemplo, en el caso de un puesto de trabajo protegido por un cortafuegos y un antivirus contra los accesos no autorizados provenientes de Internet, el antivirus constituye la segunda barrera frente a un intento de colocar un código malicioso por intrusión, pero se transforma en la primera barrera si el vector utilizado es el correo electrónico, puesto que el mensaje de correo electrónico es autorizado por el cortafuegos. Efectivamente, en el marco de la seguridad informática, los medios de protección (en este caso, el cortafuegos) son más un filtro que verdaderas barreras (cf. 3.1.2), como ocurre en el ámbito nuclear.

Ciertamente, no es posible establecer un vínculo directo entre barrera, línea de defensa y nivel de gravedad puesto que la defensa se caracteriza por múltiples formas y amenazas múltiples. En cambio, la noción de línea de defensa permite agrupar barreras para darles un aspecto "comunicación" y ponerlos en relación con los niveles de gravedad5. Una línea de defensa corresponde entonces a una transición entre dos niveles de gravedad e implica una reacción correspondiente planificada. Entonces, el procedimiento propuesto va a llevar a determinar las barreras6 que se deben instalar en función de las amenazas y de los bienes a proteger, luego a determinar el nivel de gravedad de los incidentes de seguridad provocados por la superación de las barreras con el fin de agruparlas por nivel de gravedad para que aparezcan así las líneas de defensa. Éstas

5 Los niveles de gravedad propuestos están indicados anteriormente en el capítulo. 6 La palabra barrera (ver definición dada anteriormente en el capítulo) es tomada aquí como sinónimo de medida de seguridad (humana, de procedimiento, tecnológica) retomando la definición genérica de la palabra propuesta por el Sr. Valancogne con el fin de darle a la palabra línea de defensa, un sentido más global y "comunicante". Descartamos, por lo tanto, el sentido que la CEA da a estos términos.

Página 17 de 51


participan en el esfuerzo de comunicación hacia los responsables de la toma de decisiones y usuarios pero no remplazan el estudio de las barreras por parte de los especialistas de la seguridad. En la siguiente figura este procedimiento se presenta así:

BarrerasAmenaza

Bien que debe protegerse

Incidentes de seguridad

Escala de gravedad 42 31

Líneas dedefensa Línea 1 Línea 2 Línea 3

Figura 4: procedimiento de identificación de las líneas de defensa

El procedimiento debe combinar de manera iterativa el enfoque deductivo (por los recursos) luego inductivo (por las amenazas). Éste detiene el diseño cuando es posible validar la arquitectura y los medios de protección y determinar los riesgos residuales (calificación del sistema estudiado). Debemos notar que las barreras están asociadas a amenazas (lo que impone un enfoque inductivo) pero que la gravedad de los incidentes de seguridad depende de los recursos (lo que impone un análisis de riesgo y un enfoque deductivo). Los dos enfoques (inductivo y deductivo) se complementan uno con otro y se deben reiterar hasta obtener un nivel suficiente de protección. Entonces es posible validar la arquitectura y los medios de protección instalados en correspondencia con los riesgos y hacer aparecer los riesgos residuales (calificación del sistema). Además, una barrera (y una línea de defensa) puede cubrir varias amenazas y su superación provoca un incidente cuya gravedad depende de la cantidad de líneas de defensa que falten superar y del valor de los bienes que se deben proteger. Entonces existe una doble representación: una para los responsables de la toma de decisiones y los usuarios, voluntariamente global

y simple (el aspecto línea de defensa y escala de gravedad presentado en el esquema anterior).

Esta representación es importante para el aspecto comunicación del método. la otra, más fina, se basa en modelizaciones particulares de los procesos críticos mediante

amenazas principales y está destinada a los especialistas. En este caso, sin duda va a ser interesante subdividir los distintos niveles, subdivisiones que corresponderían entonces a variantes dentro de la planificación (el aspecto situacional provoca barreras e incidentes de gravedad del esquema anterior).

Esta representación es importante para el aspecto calificación del método (representación esquemática de las distintas medidas de seguridad asociadas a una amenaza y que protege un bien, elaborada durante la construcción de las situaciones y que permite: i) determinar las barreras por instalar a partir del análisis inductivo y luego deductivo iterativo hasta obtener el nivel de protección necesario ii) apreciar la gravedad de un hecho de seguridad en función de la criticidad del bien y de la cantidad de líneas restantes.

Página 18 de 51


La modelización particular efectuada para los bienes críticos y las amenazas principales permite efectuar el vínculo directo y en efecto detectar más fácilmente los “vacíos de seguridad” y por consiguiente autorizar una evaluación.

3.1.2 Definiciones El análisis de los distintos principios y del concepto de defensa en profundidad permite proponer las siguientes definiciones: La gravedad de un hecho de seguridad mide el impacto real del hecho en función de la criticidad del bien (cuando un hecho tiene una consecuencia directa sobre un bien) o el impacto potencial de este hecho sobre el bien amenazado en función de la cantidad de líneas de defensa restantes y de la criticidad de este bien (el hecho no tiene impacto sobre el bien sino sobre sus medios de defensa). A través del método se propone una escala que fije los niveles de gravedad con el fin de poder comparar entre ellos los distintos incidentes de seguridad. Para un incidente de seguridad, son los usuarios los responsables de determinar el nivel de gravedad correspondiente que se aprecie en función del impacto de este incidente sobre el bien que se debe proteger. Una barrera es un medio de seguridad capaz de proteger una parte del sistema de información contra al menos una amenaza. Una barrera puede ser humana, de procedimiento o técnica, estática o dinámica, manual o automática. Debe beneficiarse con un medio de control de su estado. Una línea de defensa es un conjunto de barreras, por situación o familia de situaciones y su superación provoca un incidente cuya gravedad depende de la cantidad de barreras que queden por superar por la amenaza o las amenazas para alcanzar el bien o los bienes protegidos y depende también del valor de estos bienes (es decir, que un incidente de seguridad está asociado a un nivel de gravedad que indica la línea de defensa abstracta superada). Para ser una línea y no un conjunto de medios de protección, toda línea de defensa debe disponer de dispositivos y de medios de detección/monitoreo y de notificación. La defensa en profundidad del sistema de información es una defensa global y dinámica, que coordina varias líneas de defensa que cubren toda la profundidad del sistema. El término profundidad debe entenderse en su sentido más amplio, es decir, en la organización del SI, en su implementación y, por último, en las tecnologías utilizadas. Se trata, por lo tanto, de permitir acciones de neutralización de los atentados contra la seguridad, al menor costo, mediante la gestión de los riesgos, un sistema de informes, la planificación de las reacciones y el enriquecimiento permanente gracias a la experiencia adquirida. Esta defensa en profundidad tiene una doble finalidad: i) reforzar la protección del sistema de información mediante un enfoque cualitativo que permita verificar la finalización y la calidad del dispositivo ii) brindar un medio de comunicación que permita a los responsables de la toma de decisiones y a los usuarios tomar conciencia de la gravedad de los incidentes de seguridad. En la seguridad de los sistemas de información, una barrera, un medio o dispositivo, está asociado como mínimo a una amenaza particular y ubicado en un lugar bien definido (entre el origen de la agresión y el bien que se debe proteger). Puede proteger a varios bienes pero no obligatoriamente del mismo modo. Por consiguiente, el análisis de las líneas de defensa debe

Página 19 de 51


efectuarse para cada bien (o conjunto de bienes) y para cada amenaza, es decir, para cada tipo de incidente de seguridad. Este análisis se realiza con una granularidad que depende de la importancia del riesgo considerado (función de la criticidad del bien y/o de la probabilidad de aparición de la amenaza), combinando el enfoque inductivo (por las amenazas) luego deductivo (por los recursos que se deben proteger).

3.1.3 Principios generales El concepto de defensa en profundidad obedece a los grandes principios generales que se presentan a continuación. Cada uno de estos principios puede existir en forma individual, pero la profundidad de la defensa la proporciona el conjunto de los mismos.

Título Naturaleza Globalidad La defensa debe ser global, lo que significa que engloba todas las

dimensiones del sistema de información: a) aspectos organizacionales; b) aspectos técnicos; c) aspectos de implementación.

Coordinación La defensa debe ser coordinada, lo que significa que los medios implementados actúan:

a) gracias a una capacidad de alerta y difusión; b) tras una correlación de los incidentes.

Dinamismo La defensa debe ser dinámica, lo que significa que el SI dispone de una política de seguridad que identifica:

a) una capacidad de reacción; b) una planificación de las acciones; c) una escala de gravedad.

Suficiencia La defensa debe ser suficiente, lo que significa que cada medio de protección (organizacional o técnico) debe contar con:

a) una protección propia; b) un medio de detección; c) procedimientos de reacción.

Exhaustividad La defensa debe ser completa, lo que significa que: a) los bienes que deben protegerse se protegen en función de su criticidad; b) que cada uno de ellos está protegido, como mínimo, por tres líneas de

defensa; c) se formaliza la difusión de la experiencia adquirida.

Demostración La defensa debe ser demostrada, lo que significa que: a) se califica a la defensa; b) existe una estrategia de homologación; c) la homologación acompaña al ciclo de vida del sistema de información.

Cuadro 3: las etapas del método

El principio de exhaustividad, en su componente "cantidad mínima de barreras" surge de un enfoque pragmático proveniente del ámbito nuclear: se considera que una de las tres barreras está afectada por el incidente o la agresión iniciadora del incidente, que una de las otras dos es defectuosa por una razón fortuita y que, de este modo, las consecuencias se encuentran limitadas, "sin duda alguna", por la tercera.

Página 20 de 51


3.2 Aplicación del concepto La defensa en profundidad apunta, por lo tanto, a controlar la información y el sistema que la gestiona mediante el equilibrio y la coordinación de líneas de defensa dinámicas o estáticas en toda la profundidad del sistema de información. Es decir, en la dimensión organizacional, de la implementación y de las tecnologías. No intentamos aquí proporcionar una caja de herramientas para la defensa en profundidad, ni de mostrar buenas o mejores prácticas de la misma, sino, más bien, de ilustrar con ejemplos lo que puede ser concretamente una defensa en profundidad. Para un procedimiento coherente y estructurado, es indispensable seguir la metodología propuesta en el siguiente capítulo.

3.2.1 Profundidad de la organización Poner profundidad en la organización en el sentido que establece la defensa en profundidad podría consistir, en primer lugar, en definir una cadena de responsabilidades del principio al final, es decir, del usuario al responsable de la seguridad. Esta continuidad en la organización depende de la realización de actividades de concienciación y de formación regulares y probadas. Esta cadena de responsabilidades debe ser conocida por todos y contar con un procedimiento de informe de incidentes y de difusión de avisos o alertas de seguridad. Como todas las líneas de defensa, las implementadas desde una perspectiva organizacional deben supervisarse y deben preverse los procedimientos de emergencia correspondientes. La organización en profundidad consiste también en prever la difusión de los resultados de la experiencia, para que todo el mundo pueda beneficiarse con la experiencia de los demás. Esta difusión de los resultados de la experiencia servirá también para mantener vivo el referencial de seguridad a lo largo de todo el ciclo de vida del SI, que no depende sólo de las tecnologías utilizadas sino también de los hombres y los conocimientos disponibles. La difusión de los resultados de la experiencia debe adaptarse en función de los destinatarios, siendo diferente si está destinada a los usuarios o a los operadores del sistema.. Podría ser oportuno prever una estructura para informar de los resultados de la experiencia de manera anónima o, al menos, fuera de cualquier jerarquía funcional. El referencial de seguridad del sistema de información debe ser validado al más alto nivel y debe ser conocido por todos. Esto significa, por lo tanto, que el referencial de seguridad sólo podrá cumplir su rol cuando afecte a la organización en toda su profundidad. La seguridad debe ser un asunto de todos y no un nicho reservado a los expertos. La organización debe buscar, en forma continua y dinámica, evaluar su nivel de seguridad respecto de los objetivos de seguridad surgidos de un análisis de riesgos. La organización debe contar con la capacidad de autoevaluarse o bien de recurrir a terceros para evaluar su nivel de seguridad. El sistema de información evoluciona en un entorno físico, que interactúa permanentemente con dicho sistema. Esta interacción debe ser vigilada y deben preverse los procedimientos de emergencia correspondientes. La noción de integración de la seguridad en los proyectos demuestra también cierta madurez. Por último, la homologación de la seguridad y la capacidad de la organización para replantearla en función del entorno, del ciclo de vida de los sistemas y de los incidentes de seguridad, son puntos clave dentro de la defensa en profundidad.

Página 21 de 51


3.2.2 Profundidad en la implementación La implementación de la seguridad debe basarse en políticas validadas y probadas. Esta implica también que los usuarios participen en el envío de informes sobre incidentes y gocen de información sobre las alertas de seguridad. Para ser defendido en profundidad, el sistema de información debe contar con una política dinámica de actualización de las herramientas y del referencial de documentos. Sin estas actualizaciones y estos replanteos de los procedimientos de seguridad, la defensa podría convertirse en una mera ilusión. Toda implementación de herramientas requiere de la gestión, el seguimiento y el control de las mismas. Esto supone, en particular, un análisis de las trazas que permita detectar incidentes. Una línea de defensa, sea del tipo que sea, debe ser controlada. La política de mantenimiento debe también contar con profundidad, diversificando los proveedores, verificando y comprobando sus contratos para garantizar la conformidad de los mismos con los objetivos de seguridad.

3.2.3 Profundidad en las tecnologías La defensa en profundidad consiste, por lo tanto, en oponer a las amenazas líneas de defensa coordinadas e independientes. Desde el punto de vista de las tecnologías, esto puede significar, por ejemplo, que el hecho de que un servicio de red se vea comprometido no debe permitir el acceso a los derechos más elevados sobre todo el sistema. En este contexto, otorgar derechos de administrador a todos los usuarios de un sistema es contrario a la defensa en profundidad. En materia de protección de la información, esto podría también significar que el cifrado a nivel de las aplicaciones no es, por sí solo, suficiente, y que podría ser necesario proteger también la capa IP. Como consecuencia de la defensa en profundidad, la seguridad no se basa en un solo elemento sino en un conjunto coherente de elementos. Esto significa, por lo tanto, que no debe existir, en teoría, un punto único sobre el cual se apoye todo el edificio. De este modo, la defensa no debe basarse en una tecnología o en un producto de seguridad, cualquiera sea la calidad del mismo. En su calidad de barrera, todo producto de seguridad debe ser controlado, protegido y dotado de un plan de reacción en caso de incidente. Es necesario intentar reducir la exposición del sistema a las diferentes amenazas. Esto significa, por ejemplo, crear zonas despejadas utilizando cortafuegos y sistemas de detección de intrusión. En ese marco de menor exposición, es necesario limitar sistemáticamente los servicios ofrecidos a lo estrictamente necesario. Poner profundidad en las tecnologías es también defender incluso los puestos de usuarios, instalando cortafuegos en dichos puestos así como un antivirus regularmente actualizado y de diferente tipo del instalado en la pasarela de correo electrónico. A estas herramientas debe sumarse una formación de los usuarios destinada a hacerles tomar conciencia de que la tecnología no basta y es necesario mantenerse atentos, cualesquiera sean las herramientas empleadas.

Página 22 de 51


4 El método de defensa en profundidad Este método permite al diseñador de proyecto integrar los principios de la defensa en profundidad tal como han sido definidos anteriormente (cf §3.1.3). Aporta, en particular, la posibilidad de calificar un sistema y, en cierta forma, de medir su nivel de defensa. Para alcanzar este objetivo, el método parte de la hipótesis de que se ha realizado previamente una gestión de los riesgos. Además, este método se inscribe dentro de un proceso de integración de la SSI en los proyectos. El método que permite aplicar el concepto de defensa en profundidad a la seguridad de los sistemas de información abarca las siguientes etapas:

Objetivos de seguridad

Organización arquitectura general

Política de defensa Evaluación

Puntos de control

Clasificación de los impactos

Clasificación de los incidentes

Escala de gravedad

Etapa 1 Etapa 2 Etapa 3 Etapa 5

(dinámica)(estática)

Calificación Etapa 4

Homologación

Ciclo de vida del sistema

Figura 5: las etapas del método

1. Determinación de los bienes y de los objetivos de seguridad. La defensa en

profundidad se construirá a partir de los resultados de esta etapa. Los objetivos de seguridad permiten clasificar los impactos dentro de la escala de gravedad, lo que posibilitará luego ubicar los incidentes de seguridad en esa escala y, consecuentemente, brindar información a partir de un cuadro de incidentes, asociado a una representación esquemática del sistema de información y de las líneas de defensa.

2. Elaboración de la organización y de la arquitectura general del sistema (la

profundidad del dispositivo). Los puntos de control y de evaluación deben definirse en esta etapa. Esta elaboración debe llevarse a cabo lo antes posible en los proyectos, puesto que permite identificar las barreras, la gravedad de los incidentes de seguridad (en función de la cantidad de barreras residuales) y las líneas de defensa.

Página 23 de 51


3. Elaboración de la política de defensa que abarca dos partes: la primera organiza la

información y la segunda, la defensa reactiva correspondiente (inter-reacción, planificación). Esta etapa define la política operativa de la defensa e identifica los puntos de control. Esta política de defensa debe permitir la observación del sistema, el informe de los acontecimientos de seguridad para alimentar el esquema orientativo y la toma de decisiones respecto de los medios de reacción que deben implementarse. Esta etapa tiene un aspecto operativo y dinámico, mientras que la anterior es más estática.

4. La coherencia global del sistema, así como las medidas complementarias

implementadas en las etapas anteriores, debe permitir lograr un alto nivel de protección. Este nivel también debe luego ser demostrable. El objetivo de esta etapa es, por lo tanto, calificar al sistema de información en relación con los criterios de defensa en profundidad.

5. Evaluación permanente y periódica de la defensa a partir de los métodos de ataque

y de los resultados de la experiencia. Esta etapa corresponde a la parte de control y auditoría. Consiste en la actualización de la defensa a partir de los resultados de la evaluación y para integrar las evoluciones. Esta etapa corresponde, por lo tanto, a las operaciones de mantenimiento en condición segura. Debería desembocar en una decisión de homologación que debe ser coherente con las evoluciones del sistema a lo largo de todo su ciclo de vida.

Página 24 de 51


4.1.1 Primera etapa determinación de los bienes y de los objetivos de seguridad

Esta primera etapa se compone entonces de las siguientes acciones, en definitiva, clásicas: determinación de los bienes para defender y su criticidad (el análisis de riesgo que permitirá luego cuantificar el valor de la defensa: la fiabilidad de un equipamiento debe ponderarse mediante el valor de la consecuencia de su pérdida para graduar el nivel de alerta). Luego de esta primera etapa, se identifican los actores del modelo y se definen las necesidades de seguridad. Un método de tipo EBIOS se adapta especialmente para la realización de esta etapa. Efectivamente, "EBIOS contribuye a la elaboración de las tareas que debe realizar el diseñador de proyecto. Permite determinar el perímetro del estudio manteniendo una visión global del sistema estudiado en su contexto, expresar necesidades (vinculadas con los bienes que deben protegerse), identificar amenazas y definir un plan de proyectos y responsabilidades"7. En el siguiente cuadro se indica la escala de gravedad propuesta para clasificar los hechos de seguridad en función del impacto sobre el sistema de información. Está inspirada en la escala INES. Sin embargo, la escala INES distingue los incidentes de los accidentes en función del impacto fuera del sitio del hecho o no. En el marco de la seguridad de los sistemas de información, esta distinción no tiene razón de ser. La escala propuesta se basa entonces únicamente en el impacto del hecho.

5

4

3

2

1

0

Inaceptable

Muy importante

Importante

Media

Leve

Ninguna Normal

Perturbación

Parada

Degradación

Figura 6: escala de gravedad SSI

Esta gravedad puede medirse de muy diversas maneras: se tratará, en algunos casos, de medir una pérdida económica y, en otros, de comparecer ante un tribunal. Por tal motivo, es fundamental comprender que esta medición de la gravedad de un incidente debe realizarse tras una gestión de los riesgos y no sobre la base de simples apreciaciones de la situación.

7 Expresión de la necesidades e identificación de los objetivos de seguridad – Compendio – Versión del 4 de febrero de 2004

Página 25 de 51


Categoría Nivel Gravedad Criterio 5 Inaceptable El hecho cuestiona la supervivencia de la empresa.

(el hecho temido ocurre). Parada

4 Muy importante El hecho presenta un riesgo muy importante y necesita medidas de urgencia inmediatas.

3 Importante El hecho no ocasiona riesgo importante alguno pero se toca una parte significativa del sistema.

Degradación

2 Media El hecho tiene una consecuencia sobre el funcionamiento normal y debe generar una reacción inmediata.

Perturbación 1 Leve El hecho no tiene consecuencias notables pero debe tratarse para restablecer un funcionamiento normal.

Funcionamiento normal

0 Ninguna importancia desde el punto de vista de

la seguridad

Funcionamiento normal

Cuadro 4: escala de gravedad SSI

En esta etapa se trata entonces de indicar el nivel de gravedad de los principales hechos temidos (por ejemplo, podremos tomar los factores de riesgo estudiados en el análisis de riesgo) para los distintos bienes que se deben proteger. Es importante que el análisis realizado en esta etapa sea el fruto de la combinación y de la validación mutua de un enfoque deductivo (por los recursos) luego inductivo (por las amenazas) y que el factor humano sea tomado en cuenta Las situaciones elaboradas durante esta etapa estarán modelizadas en la siguiente etapa.

4.1.2 Segunda etapa: arquitectura general del sistema Esta etapa apunta a determinar la profundidad del dispositivo y a realizar elecciones en cuanto a las organizaciones, las tecnologías y los procedimientos de seguridad. Para realizar dichas elecciones e identificar los puntos más sensibles a las diferentes amenazas, el método aconseja utilizar, en primer lugar, un enfoque inductivo (el más natural y el más comúnmente empleado), que consiste en partir de la amenaza y prever las líneas de defensa hasta llegar al bien que se debe proteger. Luego, el experto en SSI desarrolla un enfoque deductivo partiendo del bien que se debe proteger hacia la amenaza, a fin de implementar eventualmente nuevas líneas pero también para identificar en el sistema los puntos más expuestos. En esta parte se identifican los siguientes puntos: división de las zonas en función de los riesgos, los actores, las principales funciones de la

empresa (la urbanización del sistema e información). Esta división se establece según los principios de independencia de las entidades y de aislamiento;

determinación de las barreras (medio técnico, de procedimiento y humano); clasificación de las zonas en función de su sensibilidad y determinación de las reglas de

paso de una a otra (en esta etapa conviene tratar el caso de la clasificación de las informaciones y las medidas a tomar para la interconexión de dos ámbitos de niveles distintos de seguridad);

división de las zonas en ámbitos de confianza: introducción de divisiones de organización en general (la profundidad de la organización);

repartición privada/común en cada ámbito y entre ámbitos. En esta etapa es indispensable: establecer un “cuadro de medidas” tomadas con el fin de mostrar los medios de defensa en

toda la profundidad; modelizar los sistemas críticos con el fin de evaluarlos;

Página 26 de 51


fijar los incidentes (superación de una barrera) en una escala de gravedad global anteriormente definida en función de la clasificación de los impactos ya que permitirá aportar, a nivel de la política operativa, la graduación de las acciones y definir las líneas de defensa.

En los proyectos, esta etapa debe realizarse normalmente en la fase inicial de los proyectos, es decir que un estudio de seguridad debe estar integrado en la gestión del proyecto. Cuando el sistema ya existe, el método es el siguiente8 : analizar la topología del sistema de información, tanto técnica como funcional; identificar las barreras existentes; modelizar los procesos más importantes (modelización de datos críticos y principales

amenazas con el fin de identificar las barreras); evaluar la arquitectura existente para determinar las modificaciones que se deben aportar

con el fin de responder a las críticas (por ejemplo, agregado de nuevas barreras).

4.1.3 Tercera etapa elaboración de la política de defensa Esta etapa está compuesta por dos subetapas: Determinación de la defensa global y coordinada9 :

- detección (determinación de los puntos de control y de detección de los ataques); - envío de la información; - correlación de los hechos; - alerta.

Planificación; - determinación de posibles nuevas configuraciones, con un funcionamiento normal

(dispositivo de tolerancia para desperfectos con resultados idénticos) y con un funcionamiento en modo degradado (por ejemplo: funcionamiento únicamente en local, resultados menores, etc.);

- planos de reacción (por ejemplo, planificación de posibles acciones en función de hechos temidos, planos de continuidad pero también nueva configuración de red, utilización de medios de respaldo, etc.).

La defensa global se presenta según los tres ejes (organizacional, implementación, tecnológico) que integran las líneas de defensa utilizadas en las zonas definidas en la etapa anterior. Cada línea dispone idealmente de tres funciones de seguridad: protección, detección y reacción.. Para los distintos incidentes de seguridad, la política de defensa debe determinar su gravedad con el fin de beneficiarse con el aporte “pedagógico” del método que permite una mejor sensibilización del personal. Los niveles de gravedad de los incidentes se deducirán luego a partir de la cantidad de líneas de defensa restantes. 8 Para esta parte, el lector se remitirá a las mejores prácticas editadas por la DCSSI:

- MEJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS SSI – Utilización de los resultados del método EBIOS® para el estudio de un sistema existente – Versión del 2 de febrero de 2004;

- MEJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS SSI – Utilización de los resultados del método EBIOS® para el estudio de un sistema en desarrollo – Versión del 13 de enero de 2004.

- 9 Para esta parte, el lector se remitirá a las mejores prácticas editadas por la DCSSI: MEJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS SSI – Utilización de los resultados del método EBIOS® para elaborar una PSSI – Versión del 21 de marzo de 2003.

Página 27 de 51


La gravedad de un incidente depende más de los medios de defensa restantes que de aquellos que han sido superados. Efectivamente, por ejemplo, un ataque interno puede permitir saltear varias barreras que deberían saltearse en el caso de ataque externo. Sucede que, según los principios de la defensa en profundidad anteriormente definidos: hay, como mínimo, 3 líneas de defensa; la cantidad de líneas de defensa debe adaptarse al riesgo (probabilidad de aparición y

criticidad del bien).

La defensa debe ser a la vez global (todos los medios participan en el mismo objetivo de seguridad) y coordenada. Esta coordinación concierne principalmente a los medios de información (permite precisar la amenaza real mediante el análisis de varias informaciones referentes a un ataque en curso) y de reacción (nueva configuración de medios de defensa a partir de la detección de otro medio de defensa, incluyendo los medios de filtrado). Debemos destacar que esta coordinación concierne más a las barreras que a las líneas de defensa. En el caso de que existan ataques a la seguridad, la planificación de las reacciones aporta la dinámica de la defensa. Los incidentes y accidentes deben clasificarse según la escala de gravedad e iniciar obligatoriamente una reacción de nivel técnico (respuesta automática), de procedimiento (aplicación del procedimiento o del correspondiente plano) o humano (decisión, iniciativa, etc.). Los planos de reacciones deben ser graduados del mismo modo que los ataques a la seguridad para reforzar las medidas en función del nivel de gravedad. Efectivamente, en el marco de la defensa en profundidad, se debe prever la consideración de varios incidentes al mismo tiempo. Entre las medidas no técnicas que se deben tomar, se deben prever aquellas que apuntan a acciones en justicia contra terceros externos al igual que aquellas previstas en el reglamento interno contra el personal de la empresa (a la técnica de brindar los elementos de pruebas que apuntalarán estas medidas).

4.1.4 Cuarta etapa: calificación de la defensa en profundidad En esta etapa se trata de llevar a cabo la calificación (validación de la organización y de la arquitectura) del sistema, que resulta de dos enfoques: el primero es cualitativo mientras que el segundo es demostrativo y se lleva a cabo mediante el estudio de las situaciones aplicables.

4.1.4.1 El enfoque cualitativo Este enfoque formal apunta a verificar el cumplimiento de los principios de la defensa en profundidad anteriormente definidos (§ 3.1.3). También sirve para verificar el cumplimiento del método tal como puede formalizarse a nivel del organismo. Esta parte se relaciona, por lo tanto, con un procedimiento de calidad. Es muy similar al capítulo 7 ("racional") de la norma ISO 15408 (criterios comunes) que permite demostrar el carácter exhaustivo de los objetivos de seguridad respecto de las amenazas seleccionadas.

Página 28 de 51


4.1.4.2 El enfoque demostrativo El método de calificación debe ser coherente con el método global de defensa en profundidad tal como éste fue diseñado y, en particular, debe basarse en los resultados producidos a lo largo de las distintas etapas. Este método está esquematizado en la figura de abajo y explicitado mas adelante.

Evaluación

AuditoríaProblemas

Análisis de

riesgos

Dispositivo de

protección

Puntos de control

Clasificación de los incidentes

Ciclo de vida

Componentes seguridad

Clasificación de los impactos

Clasificación de los riesgos

Escala de gravedadde

Elementos de medida

Calificación Homologación

Figura 7: principios de una evaluación

La primera etapa, determinación de objetivos de seguridad, permite por una parte, clasificar los potenciales impactos sobre la escala de gravedad en función de los retos y por otra parte, determinar los elementos de medida para clasificar los riesgos. La segunda etapa, arquitectura del sistema, tiene como resultado una clasificación de los incidentes de seguridad en función de los componentes defectuosos. En la tercera etapa –elaboración de la política de defensa– se identificaron los puntos de control que se utilizarán para la evaluación permanente del dispositivo durante la etapa de calificación. Por lo tanto, el método se basa en: un método de análisis de los riesgos de la seguridad de los sistemas de información

completado con la jerarquización de los riesgos mediante componentes principales y funciones de seguridad en una escala de gravedad anteriormente definida que permite clasificar los incidentes de seguridad;

una modelización de la defensa en profundidad aplicada a los riesgos principales y el análisis de las situaciones más importantes (en particular, la situación "envolvente") o más probables. Estas situaciones son iterativas, ya que permiten determinar las barreras y evaluar la defensa practicando el método del componente defectuoso hasta obtener la “demostración” de la solidez de la defensa;

una clasificación de los incidentes de seguridad sobre la anterior escala de gravedad realizada en función de los riesgos definidos. Se identifican los puntos de control del buen

Página 29 de 51


funcionamiento así como aquellos que permiten detectar los eventuales ataques. Dichos puntos permitirán proceder a una evaluación permanente y periódica;

las evaluaciones realizadas, por una parte, mediante los métodos habituales de auditoría y, por otra parte, mediante la evaluación de las defensas a partir de situaciones e incidentes de seguridad (búsqueda de consecuencias potenciales);

los distintos estudios que permiten demostrar el nivel de seguridad alcanzado y comunicar en relación con el tema para poner en marcha la defensa en profundidad y sensibilizar al personal sobre los incidentes de seguridad (aspecto comunicación reforzado con la presencia de un esquema orientativo de seguridad que identifica los incidentes sobre una escala de gravedad).

El método de calificación de defensa en profundidad utiliza entonces dos métodos demostrativos de análisis que son: el análisis por situación “envolvente”: este análisis consiste en establecer una situación

que cubra el riesgo máximo (la destrucción del establecimiento principal) y mostrar que las demás situaciones (por ejemplo, la imposibilidad de ingresar al establecimiento principal) están incluidas en el caso “envolvente” y que, por lo tanto, la solución elegida las cubre. Este enfoque permite verificar la coherencia de la cantidad de barreras con la gravedad del hecho temido;

el análisis por "componente defectuoso". Consiste en postular un incidente de seguridad y un fallo aleatorio de otro componente situado entre el incidente y el hecho temido para analizar la protección restante y verificar que ésta sea suficiente.

4.1.4.3 Conclusión En consecuencia, el método completa el análisis cualitativo global clásico mediante un análisis cuantitativo de tipo determinista en los casos particulares de situaciones de riesgos importantes, utilizando la noción de situación envolvente y de componente defectuoso. Este método está bien adaptado al principio de “demostración” de la seguridad que es la regla en el caso de la seguridad nuclear y conviene promoverlo.

La calificación específica del concepto de defensa en profundidad debe, por lo tanto, permitir verificar la coherencia entre la cantidad de líneas de defensa y la gravedad de los hechos temidos, determinada al concluir la primera etapa, así como la aceptación de los riesgos residuales en caso de insuficiencia de las líneas de defensa. Las tres primeras etapas no son secuenciales sino iterativas, hasta la obtención del nivel de seguridad requerido por la criticidad de los recursos que deben protegerse, de las amenazas potenciales y de los riesgos residuales. Esta etapa permite identificar los riesgos residuales que deben conocerse y asumirse.

Página 30 de 51


4.1.5 Quinta etapa: evaluación permanente y periódica Además, la evaluación debe ser a la vez periódica (puesta en marcha inicial y revisión periódica propiamente dicha) y permanente (explotación de la experiencia y del monitoreo). Esta etapa tiene como objetivo evaluar la defensa en forma sistemática: estudio estático de los componentes; dinámica sobre incidente (experiencia); esquema orientativo; auditoría periódica; retroacción (ver lo que figura a continuación).

Esta etapa está estrechamente ligada a la siguiente ya que participa del mismo objetivo: actualizar la defensa y reforzarla tomando dos criterios esenciales sacados del ejemplo de la RATP para los casos no cuantificables en términos de costo/ganancia: no retroceder; mejorar si el costo lo vale.

Los resultados de esta etapa deben permitir presentar a los responsables de la toma de decisiones las medidas tomadas para satisfacer las necesidades de seguridad definidas en la etapa 1 y demostrar así que se alcanzaron los objetivos. En esta etapa se debe realizar un esfuerzo de comunicación para agrupar las situaciones por familia e identificar las principales líneas de defensa, así como las medidas planificadas en cuanto a las reacciones previstas. Esta etapa se integra al ciclo de vida del sistema y debe, por ello, contemplar las operaciones destinadas a mantener al sistema operativo, lo cual se relaciona con las evoluciones de las organizaciones, las tecnologías y los procedimientos. Esta etapa debe desembocar en una decisión de homologación de seguridad que permita declarar que el sistema de información se considera apto para procesar información de determinado nivel de sensibilidad. Esta homologación está estrechamente vinculada al ciclo de vida del sistema y no es nunca una decisión permanente.

Página 31 de 51


5 Conclusiones En el marco de la seguridad de los sistemas de información, el estudio de la defensa en profundidad muestra que: el concepto es, a menudo, citado como una noción de sentido común sobre la redundancia

de las tecnologías empleadas o para reagrupar diferentes principios ampliamente difundidos, pero la reflexión profunda no se desarrolla actualmente en el marco de la SSI; el concepto utilizado en el ámbito industrial es más rico que los métodos de análisis de

riesgo utilizados habitualmente pero es pragmático y por eso fácilmente transportable; el concepto, con su dinámica y su facilidad de comunicación, es un enriquecimiento

notable de los métodos habituales con los cuales es compatible; el concepto se aplica concretamente en el ámbito nuclear especialmente, para calificar

sistemas.

En comparación con los métodos habitualmente utilizados para la seguridad de los sistemas de información o propuestos en la bibliografía y que se presentan como surgidos del método de defensa en profundidad, el método propuesto en este documento aportaría las siguientes mejoras: importancia del análisis cuantitativo que permite en el futuro, evaluar el sistema; calificación a partir de modelizaciones particulares que dan una evaluación inicial;

efectivamente, las situaciones envolventes parecen estar mejor adaptadas y ser más realizables que los análisis probabilistas;

profundidad de la organización basándose en una demostración de la seguridad del dispositivo a partir de las situaciones de riesgo y de las líneas de defensa;

evaluación según una escala de gravedad, de tipo escala INES que aporta un aspecto comunicación muy fuerte;

aspecto global de la defensa; importancia de la información y de la observación (puntos de control) preservando la

libertad de acción; aspecto dinámico de la defensa que integra el proceso de monitoreo, de alerta, de

respuesta y la planificación; escalabilidad de la defensa a través de la organización de la difusión de la experiencia

adquirida (búsqueda no sólo de las causas, sino también de las consecuencias potenciales); lo que permite validar las situaciones, actualizarlas, etc.;

demostración de la defensa que permite calificar un sistema de información.

Sin embargo, no hay que olvidar que la palabra defensa (en lugar de seguridad) conlleva ideas fuertes, ya que aporta las nociones de dinámica, de iniciativa y de libertad de acción, de funcionamiento en modo funcionalidad reducida, etc. y no se limita a implementar medios de protección pasivos. Este concepto de la defensa en profundidad aplicada a los sistemas de información aporta también un enfoque original sobre la problemática de la calificación de sistemas. El área del transporte y el ámbito nuclear se han basado en este concepto para calificar sus instalaciones, la SSI debe poder inspirarse de ellos. Los principios aplicables a la SSI identificados en este

Página 32 de 51


documento y el método propuesto para aplicarlos podrían contribuir a definir la calificación de un sistema de información. Debemos señalar que el concepto de la defensa en profundidad puede aplicarse a todos los niveles de un sistema de información, tanto a nivel macroscópico, como en este documento, como a los aspectos más microscópicos como, por ejemplo, a la evaluación de un producto o a la implementación de un algoritmo. Dos ejes de estudio complementarios parecen interesantes:

el desarrollo de herramientas del método con el fin de modelizar las situaciones y de mostrar las líneas de defensa en función de las consecuencias de los incidentes de seguridad;

la formalización del método y un trabajo de censado de componentes, medios de control, medios de detección de ataques, etc.;

la realización de conjuntos de componentes de arquitectura tipos, cuya resistencia está probada y permite capitalizar sobre los distintos estudios (por ejemplo para las centrales nucleares de igual tecnología); esos conjuntos deberían ser modulares para ser reutilizables;

la realización de estudios más teóricos sobre la determinación de una probabilidad de resistencia de los componentes que debería estar vinculada a una noción de certificación o a la evaluación cuantitativa de la seguridad.

Página 33 de 51


6 Anexo: Aplicación del método propuesto En este documento se presentan únicamente los puntos particulares más significativos del método.

6.1 Presentación del caso concreto El caso concreto estudiado es el de un teleservicio dedicado a la solicitud vía Internet de documentación personal. Cada usuario dispone, mediante este teleservicio, de una función que le permite saber, en un momento dado, en qué estado se encuentra su petición. Los usuarios se identifican antes de cualquier conexión (control de la identidad, determinación de la condiciones de la petición, etc.). Una vez confeccionados, los documentos provistos por este teleservicio se almacenan lo más cerca posible de los usuarios (ayuntamiento y prefectura) a fin de minimizar los desplazamientos de los usuarios. El teleservicio se organiza en varios servicios que corresponden cada uno a una función: centralizar las peticiones de los usuarios que llegan vía Internet; dar las órdenes correspondientes a los diferentes servicios de la administración pública

para procesar la petición; transmitir los datos a un servicio de archivado.

El estudio de seguridad, llevado a cabo según el método propuesto en el presente documento, involucra, por lo tanto, únicamente a los siguientes sistemas de información: la interfaz con los usuarios que permite recibir las peticiones por e-mail Internet (sistema

de comunicación que incluye un dispositivo de acceso a Internet y un sistema de correo electrónico);

la interfaz con las demás instituciones públicas (sistema de comunicación de tipo intranet extendido);

la interfaz con la autoridad (sistema de interconexión de dos intranets).

Administración A

Correo electrónico

Usuario

Intercambio AdministraciónB

Archivage

DepositarioSolicitud

Suministro

Figura 8: descripción del teleservicio

Página 34 de 51


Desde el punto de vista de la seguridad, el teleservicio está compuesto por elementos que presentan las siguientes características: el sistema (hardware, software e intranet) propiamente dicho;

- los servidores y los puestos de trabajo, que conforman una red dedicada; - este sistema se encuentra instalado en cada institución pública y bajo su

responsabilidad; - los usuarios son personal de dicha institución; - el soporte técnico está a cargo de personal externo identificado;

la interfaz con los usuarios por e-mail Internet (sistema de comunicación que incluye un

dispositivo de acceso a Internet y un sistema de correo electrónico): - los mensajes que contienen ficheros adjuntos llegan a un puesto dedicado que tiene la

conexión a Internet; los ficheros adjuntos se extraen automáticamente mediante una herramienta que controla la validez del pedido (adecuación entre la dirección de correo electrónico y el número de identificación del usuario en el pedido);

- uso de un sistema de comunicación poco protegido (Internet);

la interfaz con las demás instituciones públicas (sistema de comunicación de tipo intranet extendido): - conexión entre las dos redes por VPN Internet; - uso de un sistema de comunicación medianamente protegido (VPN Internet);

la interfaz con el depositario (sistema de interconexión de dos intranets):

- vínculo entre las dos redes (teleservicio y archivos) por intermedio de una pasarela; - personal de la administración pública.

Internet

Usuario

Administración B Operatividad

Puesto de trabajo

Teleservicio

Red local

Serv Depositario

Administración A

Figura 9: descripción del teleservicio

Página 35 de 51


6.2 Desarrollo del método En este caso concreto, sólo se trata de necesidades particulares de seguridad del teleservicio considerando que las necesidades "genéricas" (protección física, protección de las personas, etc.) están cubiertas por otra parte. Del mismo modo, las características del sistema (rendimiento, etc.) deberían estudiarse en el marco del proyecto global propiamente dicho. Como se describe en el desarrollo del método, un análisis de los riesgos es un requisito previo para abordar este método. Sería, en efecto, ilusorio buscar una defensa en profundidad de bienes que no han sido identificados, haciendo frente a amenazas que no serían más que el fruto de una simple apreciación de la situación.

6.2.1 Primera etapa determinación de los objetivos de seguridad

En este caso concreto, sólo se trata de necesidades particulares de seguridad del teleservicio considerando que las necesidades "genéricas" (protección física, protección de las personas, etc.) están cubiertas por otra parte. Del mismo modo, las características del sistema (rendimiento, etc.) deberían estudiarse en el marco del proyecto global propiamente dicho.

La primera etapa permite definir las necesidades de seguridad del sistema global y de sus componentes por criterio de seguridad. El teleservicio completo tiene, por lo tanto, una importante necesidad de disponibilidad que es necesario lograr mediante la redundancia de los medios informáticos y la presencia de medios de emergencia sistemáticos. Es muy probable que, durante su funcionamiento, uno o varios componentes se vean afectados por una falla de hardware, de software o de cualquier otro tipo. La disponibilidad del sistema en sí mismo es el punto esencial. Esta importante necesidad de disponibilidad está vinculada al impacto que tendría un fallo en el funcionamiento del sistema. La gravedad intrínseca de un incidente que comprometa de manera prolongada la disponibilidad del sistema se considera, por lo tanto, como "inaceptable". La implementación de medidas particulares a nivel del manejo de los datos y de las comunicaciones debe permitir satisfacer una necesidad particular de integridad y confidencialidad. El análisis de los riesgos ha permitido identificar cierta cantidad de riesgos teniendo en cuenta el uso de Internet. La gravedad intrínseca de un incidente es, por lo tanto, "seria" para la integridad y "muy seria" para la confidencialidad, dado que la gravedad de este factor se ve acentuada por la presencia de personal externo susceptible de incrementar el riesgo de que se produzcan indiscreciones. Debemos destacar que todo el teleservicio debe presentar un importante nivel de seguridad desde el punto de vista de la confidencialidad, porque la parte de transmisión está estrechamente vinculada a los datos manejados. Es conveniente ser precavidos en caso de intercambio de puestos de trabajo por parte del encargado de su mantenimiento, que podría ser externo al circuito. Si es necesario, puede preverse la encriptación de los ficheros almacenados. Debe procurarse responder a las necesidades de prueba y control dentro del funcionamiento del sistema en su totalidad, ya que este punto forma parte de la seguridad completa. La

Página 36 de 51


trazabilidad de todas las acciones y la búsqueda sistemática de la condición "estable" del sistema debe permitir controlar permanentemente la validez de los datos brindando al mismo tiempo la certeza de la autenticidad de los flujos de información. La gravedad intrínseca de un incidente será, por lo tanto, "seria". Los medios que deben implementarse para obtener el nivel de seguridad suficiente con los usuarios pueden depender de los equipos y sistemas puestos en servicio por éstos, dado que cada uno de ellos puede haber implementado medidas diferentes del resto. Señalaremos, sin embargo, que, a priori, deberían utilizar un puesto de trabajo compartido, con acceso a Internet para su uso doméstico. En ese caso es conveniente privilegiar las soluciones habituales del mercado. Este punto requiere, de todos modos, un estudio complementario que permita determinar una tipología de los usuarios y de los medios que éstos prevén implementar: puesto dedicado o compartido: a priori dedicado; vínculo con un sistema informatizado o no: a priori no; etc.

La síntesis de las necesidades aparece en el siguiente cuadro:

Subsistema Disponibilidad Integridad Confidencialidad Prueba y control Teleservicio propiamente dicho

Interrupción < 1h Sin alteración de los datos

Información referida a datos personales y, por tanto, confidenciales

Control de la validez de los datos

Recepción y procesamiento de las peticiones


Confidencialidad por cifrado (utilización Internet)

Autenticación del emisor y prueba de la recepción

Comunicación con las demás instituciones públicas


Confidencialidad por cifrado (utilización Internet)

Autenticación del emisor y prueba de la recepción

Comunicación con los depositarios


Informaciones confidenciales

Registro histórico y traza

Cuadro 5: necesidades de seguridad por criterios

El método debe aportar los medios de la evaluación, en esta etapa del estudio es importante jerarquizar los objetivos de seguridad. Esta jerarquización permite luego graduar los incidentes según una escala de gravedad propuesta por el método. Para esta jerarquización, conviene tomar en cuenta las potenciales consecuencias de los incidentes de seguridad. El análisis del cuadro anterior muestra que existe una jerarquización implícita de los bienes a proteger que están en orden decreciente: el teleservicio propiamente dicho, el sistema de recepción de las peticiones, el sistema de comunicación con las instituciones públicas, el sistema de comunicación con los depositarios. También existe una jerarquización de los objetivos de seguridad: la disponibilidad es primordial, se considera menos importante la integridad que la confidencialidad. El cuadro que figura a continuación presenta un ejemplo de la jerarquía de los potenciales incidentes tal como se desprende de esto utilizando la escala de gravedad propuesta por el método.

Página 37 de 51


Ataque grave a las necesidades de seguridad expresadas para el criterio Gravedad del hecho temido Disponibilidad Integridad Confidencialidad Prueba y control

5 – Inaceptable Teleservicio 4 – Muy importante Recepción de las

peticiones Teleservicio

3 – Importante Comunicación instituciones públicas

Teleservicio Recepción de las peticiones

Recepción de las peticiones

2 - Medio Comunicación depositario

Recepción de las peticiones

Comunicación instituciones públicas

Teleservicio

1 - Leve Comunicación institución pública y depositario

Comunicación depositario

Comunicación institución pública y depositario

Cuadro 6: jerarquización de hechos temidos

Por ejemplo, en este documento, la modelización de las cadenas de relación sólo hace referencia a los riesgos asociados a la presencia de comunicaciones con las instituciones públicas que utilizan el canal Internet, considerando que se ha previsto un medio de criptografía que permite autentificar al interlocutor, garantizar la integridad de los datos y preservar su confidencialidad, así como una aplicación de control de las peticiones.

Página 38 de 51


6.2.2 Segunda etapa: arquitectura general del sistema

6.2.2.1 Presentación de la solución global El siguiente esquema muestra la arquitectura general del sistema resultante de la integración de las necesidades de seguridad.

Internet

Usuario

Explotación Servidor back up

DMZ Puesto de transferencia

Red local

Servidor

VPN VPN

Intranet

Depositario

Puestos de trabajo

Administración B Administración A Teleservicio

Puesto de transferencia

Figura 10: arquitectura general tras la integración de las necesidades de seguridad

El sistema está diseñado en torno a los siguientes principios: se utilizan dos servidores con discos RAID que pueden pasar de un servidor al otro, una

lectora DAT permite alimentar las instalaciones de respaldo y una grabadora de CD sirve para el archivado;

la confidencialidad de los intercambios de información se encuentra protegida con el exterior pero no con el depositario. Todos los intercambios de información se realizan a partir de puestos de trabajo dedicados y existen opciones de emergencia. Los puestos que permiten los intercambios de información disponen de cortafuegos personales;

el uso del antivirus es generalizado (servidores y puestos de trabajo) debido a la presencia de Internet y de disqueteras;

se implementan medidas organizacionales (por ejemplo, controles) y lógicas (sobre la gestión de la información, archivado, trazas, etc.).

Página 39 de 51


6.2.2.2 Enfoque inductivo y deductivo Se trata ahora de definir diferentes barreras según los enfoques inductivo y deductivo. Para estos enfoques contamos con el formalismo del método EBIOS y los criterios comunes (ISO 15408) en cuanto a la descripción de la amenaza que se caracteriza por un elemento peligroso que utiliza un método de ataque para dañar un bien. Esta modelización sólo se realiza aquí para una amenaza considerada principal al concluir el análisis de riesgo, dado que el bien crítico en este caso concreto es la información que se encuentra en el servidor del teleservicio. La amenaza se define, por lo tanto, de la siguiente manera: la fuente de peligro es una persona malintencionada que busca desacreditar al teleservicio

y dañar la imagen de marca de la administración pública; el método de ataque es la alteración de programas aprovechando las vulnerabilidades

vinculadas al uso del correo electrónico; el hecho temido es un ataque a la seguridad del sistema de información:

- contra la integridad de los datos: aceptación de una petición falsa; - contra la disponibilidad del SI mediante la no disponibilidad del servidor; - contra la confidencialidad de los datos mediante la divulgación de información.

Como en este documento se trata sólo de un ejemplo, la modelización de los enfoques sólo se centrará en los riesgos vinculados al uso de Internet entre los usuarios y el teleservicio. En este contexto, los principales riesgos considerados son los siguientes: Los principales riesgos que provocan una falta de disponibilidad prolongada del sistema.

Estos riesgos están cubiertos por la presencia de instalaciones de respaldo que permiten reiniciar el sistema en ellas operan en modo reducido.

La falta de disponibilidad del teleservicio tras una avería del hardware o un error humano. Este riesgo está cubierto por la redundancia de los medios y procedimientos de control manuales.

La pérdida de integridad o confidencialidad de los datos durante los intercambios de información entre los diferentes sistemas: este riesgo está parcialmente cubierto por el uso de un medio de cifrado que permite autenticar al interlocutor, garantizar la integridad de los datos y preservar su confidencialidad.

Un dato no válido que entra en el teleservicio por intermedio del canal de comunicación utilizado para recoger las peticiones de los usuarios.

Enfoque inductivo La primera situación estudia el caso de la recepción de un mensaje de petición al teleservicio que podría ser tomado por un mensaje verdadero y, así, atacar la integridad del sistema de información (cf. figura 11). Este mensaje pasa a través del control de acceso al puesto ya que éste acepta los mensajes entrantes. Las barreras implementadas luego son: Barrera Nº 11: la aplicación que extrae los mensajes del puesto de trabajo verifica que la

petición sea válida y que se haya realizado correctamente. Barrera Nº 12: la aplicación procede a la verificación de la firma a fin de autenticar al

emisor y verificar la integridad de la petición. Barrera Nº 13: la aplicación controla la legitimidad de la petición (derechos, primera

petición, renovación, etc.). Barrera Nº 14: la aplicación registra la petición así como los errores o rechazos e inicia,

eventualmente, el procesamiento.

Página 40 de 51


La segunda situación estudia el caso de un acceso no autorizado durante el cual se introduce un código malicioso. En esta situación, se trata de un virus destructor que podría dañar la disponibilidad del sistema de información. Barrera Nº 21: el puesto de trabajo está dotado de un cortafuegos personal configurado

para aceptar sólo los flujos de tipo mensajes de entrada y de salida. Debemos destacar que esta barrera no es eficaz para los códigos maliciosos transmitidos por correo electrónico.

Barrera Nº 22: el puesto de trabajo está equipado con un antivirus. Barrera Nº 23: la política de seguridad es la única barrera en el puesto de trabajo que

permite limitar un ataque al puesto realizado por un virus (principio de menor privilegio, por ejemplo, o política de actualización).

Barrera Nº 24: el servidor está equipado con un antivirus.

Método de ataque Elemento peligroso

Hecho temido

Acceso no autorizado

Código malicioso

21 : barrera de acceso al puesto

Mensaje erróneo

Fichero adjunto erróneo

Petición falsa

Ataque puesto Internet

Disponibilidad servidor

11 : barrera control validez

12 : barrera control firma

14 : barrera control coherencia

ERAtaque a la seguridad del SI

DisponibilidadIntegridad

22 : barrera

24 : barrera control AV servidor

23 : barrera política seguridad

Cliente falso

13 : barrera control legitimidad

Situación 1 Situación 2

Figura 11: enfoque inductivo

Enfoque deductivo En este enfoque, partimos del bien que se debe proteger, interesándonos aquí en los datos de carácter confidencial, como los datos personales de los usuarios, utilizados en el marco del teleservicio. Barrera Nº 31: el control de los derechos debe prohibir los accesos no autorizados al

servidor de datos. Barrera Nº 32: el puesto de trabajo está dotado de un cortafuegos personal configurado

para aceptar sólo los flujos de tipo mensajes de entrada y de salida. Barrera Nº 33: el puesto de trabajo está equipado con un antivirus que realiza detecciones

incluso en los ficheros adjuntos a los mensajes. Barrera Nº 34: el cortafuegos personal está configurado para dejar salir únicamente el

flujo autorizado.

Página 41 de 51


Amenaza



Troyano

Ataque servidor

Divulgación de datos

ER

Ataque a la seguridad del SI

33 : barrera control AV puesto


31 : barrera derechos de acceso

Situación 3

Confidencialidad

Figura 12: enfoque deductivo

Combinando los dos enfoques, observamos que ciertas barreras están particularmente expuestas por cuanto se encuentran en diversas situaciones y según los dos enfoques. Esta comprobación contradice el principio de independencia: la destrucción de una barrera haría saltar al mismo tiempo la primera y la segunda línea de defensa y debería, por lo tanto, llevarnos a reforzar esos puntos clave.

Amenaza Elemento peligroso

Hecho temido


Código malicioso


Troyano

Mensaje erróneo

Fichero adjunto erróneo

Petición falsa

Ataque puesto Internet

Disponibilidad servidor

Ataque servidor

Divulgación de datos

11 : barrera control mensaje

12 : barrera control firma

14 : barrera control coherencia

ER Ataque a la seguridad SI

DisponibilidadIntegridad Confidencialidad

22 : barrera control AV puesto

24 : barrera control AV servidor

32 : barrera de acceso al puesto 23 : barrera política seguridad

Cliente falso

13 : barrera control legitimidad

31 : barrera derechos de acceso

Figura 13: combinación de los enfoques

Página 42 de 51


Conclusión

De este modo, nos damos cuenta de que la protección frente a virus destructores aportados por los mensajes de correo electrónico es muy frágil: las barreras eficaces son los antivirus del puesto y del servidor, así como la política de seguridad del hardware de ambos. Por lo tanto, es muy importante bloquear el virus en el puesto de trabajo e impedir que se propague al servidor. El estudio muestra, en consecuencia, la necesidad de reforzar el puesto de trabajo: aplicando una política estricta de control de los privilegios; agregando un segundo antivirus que complemente al primero y que no esté diseñado del

mismo modo; forzando la firma de los mensajes salientes; concienciando al personal.

De este modo, para la interfaz con el usuario o, de manera más general, con Internet, elegimos la solución descrita en la figura 14.

Internet

Revendedores

DMZ

Red local

Barreras

1

1 2 3 4 5

Control de acceso Firewall Personal entradas/salidas)

6

2

3

4

5

6

Antivirus puesto de trabajo

Antivirus servidor

Aplicación (descifrado)

Derecho de acceso a los datosPolítica de seguridad

Figura 14: modelización de la interfaz "usuario/administración"

Página 43 de 51


6.2.2.3 Jerarquización de los incidentes de seguridad A partir del análisis de estas tres situaciones de riesgo y, en particular, de su impacto en el teleservicio, y combinando dicho análisis con la jerarquía de los hechos temidos (cuadro 6), es posible ubicar estas situaciones dentro de la escala de gravedad (cf. cuadro 7).

Gravedad Código malicioso (Disponibilidad)

Mensaje erróneo (Integridad)

Troyano (Confidencialidad)

5 – Inaceptable Servidor no disponible 4 – Muy importante Puesto Internet no

disponible Divulgación de datos

3 – Importante Código malicioso en puesto Internet

Falsa petición Detección de un intento de acceso al servidor

2 - Medio Código malicioso detectado por antivirus del puesto Internet

Detección de una falsa petición a nivel de la firma

Troyano detectado por antivirus del puesto Internet

1 - Leve Intento de intrusión bloqueado por el firewall

Detección errónea de un fichero adjunto o remitente desconocido

Intento de intrusión bloqueado por el firewall

Cuadro 7: jerarquización de los incidentes previstos

Las diferentes líneas de defensa que pueden ahora identificarse para el bien crítico que es el servidor de datos que soporta el teleservicio, relacionadas con la amenaza seleccionada son, por lo tanto, las siguientes: el cortafuegos del puesto de trabajo; el puesto de trabajo en sí mismo (firma electrónica, antivirus y política de defensa); la protección del servidor en sí mismo (gestión de los atributos, antivirus y política de

defensa). Línea Código malicioso

(Disponibilidad) Mensaje erróneo

(Integridad) Troyano

(Confidencialidad) 1 Cortafuegos personal Control de mensaje Cortafuegos personal 2 Antivirus del puesto Control de firma

electrónica Antivirus del puesto

3 Política de seguridad del puesto

Firma electrónica

4 Antivirus del servidor Control de los derechos de acceso al servidor

5 Cuadro 8: Cuadro de las líneas de defensa

Página 44 de 51


6.2.3 Tercera etapa elaboración de la política de defensa

Esta etapa tiene por objetivo elaborar la política global de defensa. Ciertamente, es indispensable completar el estudio anterior que ha permitido construir la arquitectura general del sistema con la definición de la política de seguridad global y de los procedimientos que deberán aplicarse, y planificar las reacciones. El tema principal de esta etapa será, por lo tanto, el problema de la implementación de la seguridad. La determinación de la política de seguridad en su totalidad no presenta ningún interés para el ejemplo propuesto en este documento. Por tal motivo, sólo se tratan aquí las particularidades resultantes de la defensa en profundidad: coordinación de las líneas de defensa, especialmente en lo que respecta a la detección de

los incidentes de seguridad; planificación de las reacciones ante los diferentes incidentes.

6.2.3.1 Determinación de una política global y coordinada Una vez fijadas las diferentes barreras, es conveniente determinar los puntos de control (para saber si la barrera funciona o no) y los puntos de detección de los eventuales ataques. Este análisis permitirá también seleccionar los "indicadores correctos" en la quinta etapa del método. El factor humano no debe subestimarse, ya que, efectivamente, la detección rápida de los incidentes de seguridad depende muchas veces de los usuarios, porque no siempre es posible analizar automáticamente y sin demora toda la información recogida por los medios de detección. La política de seguridad debe contemplar: Una configuración de los programas que permita indicar las anomalías a los usuarios (si

fuera necesario, autorizar un flujo sólo el tiempo necesario, por ejemplo, para la actualización del antivirus).

Una formación particular para los usuarios a fin de concienciarlos sobre los riesgos vinculados a la conexión Internet y, en particular, sobre los virus que se presentan en los ficheros adjuntos de los mensajes de correo electrónico, que representan el principal riesgo de esta conexión puesto que el flujo de los mensajes es obligatorio.

Controles del correcto funcionamiento de todo el sistema (trazas, registro de acontecimientos, espacio en disco, etc.).

Un aislamiento de los diferentes sistemas, disponiendo cada uno de sus propios medios de protección. La implementación de medios de detección particulares de tipo IDS.

Un sistema de informe de los incidentes de seguridad que permita reaccionar (ver la parte siguiente referida a la planificación) y, como mínimo, advertir a los usuarios, por ejemplo, en caso de detección de un nuevo virus.

Página 45 de 51


6.2.3.2 Planificación Debe preverse la reacción ante la aparición de alguno de los incidentes de seguridad previstos. En el ejemplo estudiado en este documento, el principal riesgo identificado es la falta de disponibilidad del teleservicio propiamente dicho, la cual puede resultar de dos causas principales: una avería del hardware o del software (error de manipulación, por ejemplo) que afectaría

al mismo servidor o a la red local y, en menor medida, a una cadena de comunicación; un atentado contra la seguridad del sistema por parte de una persona malintencionada

ajena al organismo (el caso de un delito informático interno no se trata aquí y el caso de un error ha sido tratado anteriormente).

Para el caso de una caída del servidor debido a una avería del hardware, la planificación prevé las diferentes soluciones posibles: puesta en servicio en el segundo servidor a partir de los discos RAID del primero, sin

pérdida de datos, aproximadamente en treinta minutos; puesta en servicio en el segundo servidor a partir del respaldo de datos efectuado de disco

a disco, con recuperación de los datos provenientes de las comunicaciones y carga del resto de los datos en menos de media jornada;

puesta en servicio en las instalaciones de respaldo externalizadas, a partir de la copia de seguridad realizada en casetes con recuperación de los datos provenientes del correo electrónico (reencaminamiento sistemático de una casilla de correo electrónico a otra de emergencia) y carga de los demás datos, en una jornada.

El respaldo de la red es posible por redundancia de los medios (dos servidores y red de emergencia).

6.2.4 Cuarta etapa: Calificación

Esta calificación pasa utilizando un enfoque cualitativo (cumplimiento de los principios de la defensa en profundidad) y un enfoque demostrativo (reacción ante situaciones envolventes y por elemento defectuoso).

6.2.4.1 Enfoque cualitativo Dentro del caso concreto, este aspecto de demostración tiene, claro está, un carácter completamente artificial. Por tal motivo, sólo nos limitaremos a recordar los principios que rigen la defensa en profundidad para un sistema de información, sin realizar la demostración.

Página 46 de 51


Título Naturaleza Globalidad La defensa debe ser global, lo que significa que engloba todas las

dimensiones del sistema de información: d) aspectos organizacionales; e) aspectos técnicos; f) aspectos de implementación.

Coordinación La defensa debe ser coordinada, lo que significa que los medios implementados actúan:

c) gracias a una capacidad de alerta y difusión; d) tras una correlación de los incidentes.

Dinamismo La defensa debe ser dinámica, lo que significa que el SI dispone de una política de seguridad que identifica:

d) una capacidad de reacción; e) una planificación de las acciones; f) una escala de gravedad.

Suficiencia La defensa debe ser suficiente, lo que significa que cada medio de protección (organizacional o técnico) debe contar con:

d) una protección propia; e) un medio de detección; f) procedimientos de reacción.

Exhaustividad La defensa debe ser completa, lo que significa que: d) los bienes que deben protegerse se protegen en función de su criticidad; e) que cada bien está protegido, como mínimo, por tres líneas de defensa; f) se formaliza el resultado de la experiencia.

Demostración La defensa debe ser demostrada, lo que significa que: d) se califica a la defensa; e) existe una estrategia de homologación; f) la homologación acompaña al ciclo de vida del sistema de información.

6.2.4.2 Enfoque demostrativo El enfoque demostrativo incluye un análisis por situación envolvente –similar al realizado en la etapa 2– y por elemento defectuoso. En el marco de este caso concreto, nos contentaremos con la demostración por elemento defectuoso en una situación determinada. Consideremos la situación Nº 2 anteriormente presentada: un código malicioso que ha llegado por correo electrónico no ha sido detectado por el

antivirus, cualquiera sea el motivo de esta no detección; queda entonces como barrera, la política de seguridad del puesto; así como también el antivirus en el servidor que es de diferente tipo al antivirus que se

encuentra en el puesto de trabajo. En caso de fallos de la política de seguridad, existe aún una barrera antes del hecho temido, lo que es suficiente.

Página 47 de 51


6.2.5 Quinta etapa: Evaluación y auditoría

Parece interesante estudiar en este documento los incidentes de seguridad significativos a fin de identificar la fase dinámica de informe de los resultados de la experiencia y de la retroalimentación. Los incidentes de seguridad que se estudiarán son: un fallo de la tarjeta de red del servidor; un fallo de la lectora DAT.

Un fallo de la tarjeta de red del servidor es un hecho inaceptable si no se soluciona en el plazo requerido, ya que compromete la disponibilidad del teleservicio en sí mismo. Mientras se resuelve ese fallo, se adopta una solución provisoria mediante la aplicación del procedimiento previsto para pasar la red del servidor principal al servidor de emergencia. Este procedimiento provoca una caída de 30 minutos aproximadamente, tiempo necesario para intercambiar los roles de los dos servidores. Un fallo del lector DAT es un acontecimiento de seguridad no previsto dentro de la escala de gravedad. Compromete la disponibilidad de las instalaciones de respaldo externalizadas. Ciertamente, la seguridad del establecimiento principal continúa intacta ya que hay duplicación de los datos entre los dos servidores del establecimiento principal. Es conveniente, por lo tanto, analizar los medios previstos para evitar ese hecho y evaluar los riesgos potenciales: El medio de emergencia previsto es un disco ZIP con suficiente capacidad (la extracción

de datos se realiza por vaciado de las tablas y, eventualmente, compresión para minimizar el espacio necesario en lugar de una copia de respaldo física de la base como en una DAT). Existe, por lo tanto, todavía al menos una barrera antes de que la disponibilidad de las instalaciones de respaldo se vea limitada.

El riesgo potencial, que es un daño a la disponibilidad de las instalaciones principales, está cubierto por las líneas de defensa conformadas por la redundancia de los servidores y las instalaciones de respaldo. Hay entonces tres líneas de defensa relacionadas con el hecho temido (la redundancia de los servidores, las instalaciones de respaldo y la forma de evitarlo).

Un virus contenido en un fichero adjunto a un mensaje de correo electrónico compromete al sistema de recepción de las peticiones anteriormente modelado, cuya modelización ha mostrado justamente una falla en la situación considerada. En este párrafo estudiaremos, por lo tanto, cómo ampliar la modelización y las situaciones, en el marco del resultado de la experiencia. Deben considerarse dos aspectos: la clasificación del hecho dentro de la escala de gravedad y las medidas correctoras

surgidas normalmente de la planificación; el estudio de los riesgos potenciales y de la ampliación de las situaciones.

Página 48 de 51


La clasificación del hecho depende, en un primer momento, del medio de detección del incidente que ha podido identificarse en los siguientes puntos de control clasificados por orden de importancia: detección por el antivirus del puesto: no es un incidente sino un funcionamiento normal

del antivirus; detección por el usuario del puesto de trabajo antes de que el virus haya podido actuar: es

un acontecimiento de mediana gravedad en función de la modelización realizada para los códigos maliciosos (queda aún la protección de la comunicación entre el puesto de trabajo y el servidor, luego el antivirus del servidor y, finalmente, la política de seguridad del servidor (redundancia) y la presencia de instalaciones de respaldo;

detección por el antivirus del servidor: es un acontecimiento de gravedad muy seria porque el sistema de recepción de peticiones queda inoperante y porque ya no hay ninguna barrera, fuera de la política de seguridad, que proteja al servidor (si consideramos las instalaciones de respaldo, el nivel desciende pero corresponde a un requerimiento de disponibilidad en modo funcionalidad reducida en razón de la muy escasa probabilidad de aparición: su presencia se deriva más bien de la integración de los riesgos residuales considerados como inaceptables).

Este incidente pone de manifiesto la importancia de la formación de los usuarios y de la actualización regular de las aplicaciones. En este contexto, debe privilegiarse tanto el resultado de la experiencia como la implementación de indicadores que permitan detectar señales débiles que, puestas en correlación, servirían para prevenir incidentes graves. De este modo, la detección, repetida en el tiempo, de puestos de usuarios atacados por virus debe ser una alerta para el sistema de defensa. Es conveniente tratar cada nueva debilidad detectada teniendo en mente dos principios: no retroceder; mejorar si el costo lo vale.

Las demás tareas previstas durante esta etapa no son específicas de la defensa en profundidad, excepto la parte del esquema orientativo que debe incorporar la escala de gravedad de los incidentes.

Página 49 de 51


Formulario de recogida de comentarios Este formulario puede enviarse a la siguiente dirección: Secretaría General de Defensa Nacional Dirección Central de Seguridad de los Sistemas de Información Subdirección de Operaciones Oficina de Consultoría 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP [email protected] Identificación del aporte Nombre y organismo (facultativo): ............................................................................................................ Dirección de correo electrónico: ................................................................................................................ Fecha: ........................................................................................................................................................ Observaciones generales sobre este documento ¿El documento responde a sus necesidades? Sí No

En caso afirmativo:

¿Piensa que puede mejorarse su contenido? Sí No

En caso afirmativo:

¿Qué otros temas hubiera deseado que tratáramos? ................................................................................................................. ................................................................................................................. ¿Qué partes del documento le parecen inútiles o inadecuadas? ................................................................................................................. .................................................................................................................

¿Piensa que puede mejorarse su formato? Sí No

En caso afirmativo:

¿En qué aspecto podríamos mejorarlo?

- legibilidad, comprensión - presentación - otro

Indique sus preferencias en cuanto al formato: ................................................................................................................. .................................................................................................................

En caso negativo:

Indique el aspecto que no le resulta conveniente y defina lo que le hubiera resultado conveniente: .......................................................................................................................................... .......................................................................................................................................... ¿Qué otros temas desearía que se trataran? .......................................................................................................................................... ..........................................................................................................................................

Página 50 de 51

mailto:[email protected]


Observaciones específicas sobre este documento Puede formular comentarios detallados utilizando el siguiente cuadro.

"N°" indica un número de orden. El "tipo" está compuesto por dos letras:

La primera letra indica la categoría de la observación: - O Error de ortografía o de gramática - E Falta de explicaciones o de aclaración en un punto existente - I Texto incompleto o faltante - R Error La segunda letra indica su carácter: - m menor - M Mayor

La "referencia" indica la ubicación precisa en el texto (número de párrafo, línea...). El "enunciado de la observación" permite formalizar el comentario. La "solución propuesta" permite presentar la forma de resolver el problema enunciado.

N° Tipo Referencia Enunciado de la observación Solución propuesta

1

2

3

4

5

Gracias por su colaboración

Página 51 de 51

la defensa en profundidad aplicada a los sistemas de ... · pdf fileprincipios de la defensa...

Documents