Políticas de seguridad en los entornos de defensa

60 Perspectiva de las AA.PP. Políticas de seguridad en los entornos de defensa LAS POLÍTICAS DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES EN LOS ENTORNOS DE DEFENSA ESTÁ BASADA EN TRES PILARES: NORMAS Y PROCEDIMIENTOS, ESTRUCTURA ORGANIZATIVA Y MEDIDAS TÉCNICAS el suministro, con carácter principal pero no exclusivo, de servicios de consultoría técnica y de apoyo en InOscar Pastor Acosta JEFE DE PROYECTOS ISDEFE Sociedad mercantil estatal (empresa pública). Con carácter estratégico para la defensa y la seguridad nacional. Con independencia de intereses comerciales, industriales o financieros. No vinculada con ningún grupo u organización empresarial. Y con una actuación preferente y prioritaria, no exclusiva, para el Ministerio de Defensa y las Fuerzas Armadas. geniería de Sistemas y en materia de Cooperación Industrial al Ministerio de Defensa, las Fuerzas Armadas y a otros Ministerios e Instituciones Oficiales que los demanden. Para cumplir con dicha misión, el P sa. Ministerio de Defensa ha dotado a ara hablar de la Seguridad de las Tecnologías de la Información y las Comunicaciones en Isdefe de las siguientes características societarias: los entornos de Defensa, se hace imprescindible contar con la experiencia que puede aportar una compañía como Isdefe. Las características singulares que confluyen en ella le proporcionan una perspectiva única e inmejorable a la hora de analizar las principales iniciativas y proyectos en la implantación de las Políticas de Seguridad en los Entornos de Defen- Presentación de ISDEFE Analicemos, como paso previo, las singularidades antes referidas y para ello repasemos brevemente sus características. Como empresa, la misión de Isdefe es servir a los intereses de la seguridad y defensa nacional mediante Diciembre Figura 1. Distribución a 31 de Diciembre de 2004 del personal de Isdefe por titulaciones. Nº 1 Enero / Febrero 2006 Perspectiva de las AA.PP. Gestión del conocimiento. Inversión sostenida en equipamiento. 61 Políticas de Seguridad en los Entornos de Defensa A la hora de hablar de la Seguridad de la Información en los entornos de Defensa la primera cuestión que surge es ¿qué se entiende por Política de Seguridad y si realmente se hace necesario su definición e implantación? La política de seguridad de la información de cualquier organización, y en Defensa no es diferente, pretende establecer un entorno equilibrado de Información. Figura 2. La necesidad de establecer una Política de Seguridad de la Información. medidas, que garanticen que dicha información, como activo estratégico para la consecución de sus objetivos, se protege de forma adecuada. Dicho entorno se basa en tres pilares: Normas y procedimientos. Estructura organizativa. Medidas técnicas. Su indefinición, o un mal diseño de la misma, produciría un desequilibrio, que derivaría en un aumento del riesgo en la protección de la información, Respecto a las actividades de Ingeniería de Sistemas, Isdefe actúa normalmente como ingeniería de usuario, apoyando a los organismos responsables de la adquisición y del soporte logístico de grandes sistemas. En funciones de consultoría, apoya a los órganos de dirección en la preparación de las decisiones, para asegurar los resultados desde el punto de vista técnico, reduciendo los factores de riesgo. Por todo ello, podríamos destacar los siguientes rasgos que caracterizan su perfil como empresa: Opción por la excelencia en tecnología y gestión. Personal muy cualificado. Formación permanente en nuevas tecnologías y procesos. Plan continuado en I+D+i propios. Colaboración en I+D+i con Organismos Internacionales. Información Figura 3. Estructura de la Política de Seguridad de la Infor mación para el Ministerio de Defensa. Nº 1 Enero / Febrero 2006 62 Perspectiva de las AA.PP. dado que ésta vendrá determinada por su punto más vulnerable, a pesar de que la organización esté invirtiendo cantidades ingentes de recursos en su mejora. Justificada la necesidad de una Política de Seguridad, fijémonos ahora en cómo se estructura en los entornos de Defensa. Para proteger la información, como elemento intangible que es, debemos centrarnos en los elementos tangibles que la soportan, sobre los que estableceremos nuestras medidas de protección. En concreto: Las personas. Los documentos. Los sistemas de información y comunicaciones. Las instalaciones y emplazamientos Y las organizaciones que nos proveen de servicios (empresas externas en el entorno del Ministerio de Defensa). Departamento, como en la implantación de las medidas técnicas de protección, como por ejemplo la Infraestructura de Clave Pública (PKI) o la Tarjeta Electrónica del Ministerio de Defensa (TEMD). Centrándonos en el primero de los proyectos, la Política de Seguridad de la Información viene marcada por el entorno normativo extremadamente desde su definición hasta su posterior puesta en marcha, que actualmente lidera la Inspección General CIS (IGECIS). Concretamente, en el Área de Seguridad de la IGECIS, Isdefe proporciona asistencia técnica tanto en la definición y despliegue de la Política de Seguridad de la Información del complejo que tiene que afrontar el Ministerio de Defensa. En él aparece tanto legislación nacional, que concierne a toda la Administración del Estado, así como la propia del ámbito militar; como legislación internacional, por ejemplo las Directivas de OTAN, o de la Unión Europea. Todo ello, condicionado por los niveles más altos en la exigencia de protección de la información, como son los que impone la Ley de Secretos Oficiales y su desarrollo normativo para la protección de la información clasificada. Isdefe cuenta con una amplia experiencia en el asesoramiento técnico a las más importantes autoridades de seguridad, tanto nacionales como internacionales. Lo que redunda en una mejor prestación los servicios para sus clientes del entorno de Defensa. Así, y por citar sólo alguna de sus colaboraciones más destacadas, Isdefe ha venido colaborando con el Centro Criptológico Nacional del Centro Nacional de Inteligencia en el desarrollo de las normas, procedimientos, instrucciones técnicas y guías, que constituyen el cuerpo normativo nacional para la Seguridad de las Tecnologías de la Información y las Comunicaciones (Serie CCN-STIC): CCN-STIC-001 Política de Seguridad de las TIC. CCN-STIC-101 Procedimiento Acreditación Nacional. CCN-STIC-202 Estructura y Contenido de la Declaración de Requisitos de Seguridad (DRS). CCN-STIC-203 Estructura y Contenido de los Procedimientos Operativos de Seguridad (POS). CCN-STIC-204 CO-DRES-POS abreviado para Pequeñas Redes. CCN-STIC-301 Requisitos de Seguridad de las TIC. CCN-STIC-302 Interconexión de Sistemas. CCN-STIC-303 Inspección de Seguridad de las TIC. Isdefe cuenta con una amplia experiencia en el asesoramiento técnico a las más importantes autoridades de seguridad La Experiencia de Isdefe Como ya se ha mencionado anteriormente, Isdefe goza de una perspectiva privilegiada sobre los proyectos e iniciativas de seguridad en los entornos de Defensa. En este sentido, viene colaborando con el Ministerio de Defensa en el Plan Director de Sistemas de Información y Comunicaciones, REFERENCIAS y ENLACES [1] «Proyectos de seguridad puestos en marcha por la Inspección General CIS». Revista e.Security. Edición española. Año I. Nº 5. Octubre 2005. [2] «Implantación de la infraestructura de clave pública del MINISDEF». Revista e.Security. Edición española. Año I. Nº 5. Octubre 2005. [3] Centro Criptológico Nacional, Series CCN-STIC. http://www.ccn.cni.es/.htm [4] Centro Criptológico Nacional, Herramienta PILAR de Análisis de Riesgos. http://www.ccn.cni.es/herramienta_pilar.htm [5] OTAN. http://www.nato.int/ [6] Isdefe, Memoria de Actividades 2004. http://www.isdefe.es/ Nº 1 Enero / Febrero 2006 Perspectiva de las AA.PP. 63 entorno normativo Figura 4. Complejidad del entorno normativo del Ministerio de Defensa. CCN-STIC-402 Estructura de Seguridad. CCN-STIC-403 Gestión Incidentes de Seguridad. CCN-STIC-404 Control de Soportes Informáticos. CCN-STIC-405 Dispositivos Seguros Creación de Firma. CCN-STIC-406 Seguridad Wireless. CCN-STIC-407 Seguridad Telefonía Móvil. CCN-STIC-430 Herramientas de Seguridad. CCN-STIC-432 Sistema de Detección de Intrusos. CCN-STIC-611 Configuración Segura (SUSE Linux). ... En el ámbito internacional, Isdefe participa activamente en diferentes foros y grupos de seguridad, entre los que se incluyen: Subcomité Infosec de OTAN. Célula de Consejeros sobre PKI de OTAN. Grupo de Trabajo para la Interconexión Segura de Redes OTAN. Grupo de Trabajo para la definición de las Arquitecturas de Seguridad en OTAN. Grupo de Trabajo para la Definición del Protocolo de Interoperabilidad de las Comunicaciones Seguras en OTAN. Grupo de Trabajo para la Modernización Criptográfica en OTAN. Grupo de Trabajo sobre Comunicaciones Multimedia en OTAN. Subgrupo de Trabajo Industrial sobre Cifradores IP para OTAN. ... CONCLUSIÓN F inalmente, y a modo de conclu- tas a prestar una gran atención a su protección, generalizando la necesidad de implantar Políticas de Seguridad, que garanticen un nivel adecuado de riesgo. Los entornos de Defensa no son ajenos a esta ten- dencia, si bien están condicionados por una normativa extremadamente compleja, así como por la necesidad de implantar las medidas más exigentes para la protección de su información clasificada. Es en este contexto, dónde la experiencia nacional e internacional de una empresa como Isdefe puede proporcionar su mejor nivel de servicio, garantizando la satisfacción de los clientes de un entorno tan exigente como es el de Defensa. sión, podemos afirmar que la definición de la información como recurso estratégico de las organizaciones, para la consecución de sus objetivos, ha obligado a és- Nº 1 Enero / Febrero 2006