.jpg)
El CCN-CERT del Centro Criptológico Nacional ha desarrollado una nueva herramienta de seguridad destinada a facilitar a las administraciones públicas la ayuda necesaria para cumplir con el Esquema Nacional de Seguridad (ENS).
Carácter innovador:
CLARA permite <bÇ>verificar la aplicación de las plantillas de seguridad de las guías 850A, 850B, 851A y 851B en nuestros sistemas de información. Estas guías se centran básicamente en dar cumplimiento desde un punto de vista técnico a los requisitos del ENS en entornos Windows 7 y Windows server 2008 R2.
Problemática:
Desde que el Esquema Nacional de Seguridad (RD 3/2010, de 8 de Enero) viera la luz a principios de 2010, todas las administraciones públicas del estado, tuvieron que asumir la obligación de adecuar sus sistemas de información a las exigencias contempladas en él antes del 30 de enero de 2014.
La preocupación por el nivel real de avance de la adecuación al ENS por parte del sector público era cada vez más generalizada, hasta el punto que desde AMETIC se decidió llevar a cabo un estudio al respecto. Los resultados del estudio, fueron publicados a mediados de noviembre de 2012, y de ellos se podía deducir que existe un riesgo serio de que se incumplan los plazos establecidos a no ser que se inviertan más recursos y más especializados en dicha adecuación.
En dicho estudio se indicaba que sólo una décima parte de las administraciones públicas estaban avanzando a un ritmo que permitiese garantizar el cumplimiento del ENS en los plazos previstos, y que dichas administraciones correspondían principalmente a las de mayor tamaño.
Sin embargo, no se ofrecían muchos más detalles acerca de las administraciones públicas analizadas ni sobre el nivel de avance específico de cada una de ellas.
Solución planteada:
El ENS, que está regulado a través del RD 3/2010 de 8 de Enero y que se aplica sobre el ámbito de la administración electrónica (previsto ya en el artículo 42 de la ley 11/2007 de 22 de Junio de Acceso Electrónico de los Ciudadanos a los Servicios Públicos), tiene como objetivo establecer la política de seguridad en la utilización de los medios electrónicos y la adecuada protección de la información en el ámbito de las Administraciones Publicas.
En este sentido, CLARA, en formato de herramienta de auditoría, entra en escena para facilitar el tedioso trabajo de analizar la seguridad de sistemas operativos Windowsmas que requieran satisfacer el cumplimiento del ENS, en cualquiera de los diferentes niveles de seguridad.
El ENS establece en tres niveles (bajo medio o alto) el nivel de cumplimiento que los sistemas informáticos deben satisfacer en función de diferentes factores como, por ejemplo, la disponibilidad de los servicios o la criticidad de la información almacenada. CLARA ha sido diseñada con una funcionalidad sencilla, sin más opciones que la especificación del nivel que el sistema que se analiza debe cumplir.
Detalles de la solución:
La aplicación desarrollada por el CERT del Centro Criptólógico Nacional se compone de dos elementos:
– CLARA ENS. Para funcionalidad como cliente o para análisis independiente.
– CLARA ENS. Para funcionalidad como agente, escuchando a través de un puerto las solicitudes de cliente, remitiendo al mismo los análisis efectuados
Por otro lado, la herramienta genera tres tipos de informe tipo HTML:
– Informe de red, que recoge un resumen de los resultados de análisis efectuados a través de la red mediante el empleo de agentes.
– Informe ejecutivo, que recoge el resultado resumen de análisis sobre un sistema agrupado por controles ENS.
– Informe técnico, que recoge el resultado de cada uno de los parámetros evaluados para el cumplimiento del ENS en el nivel correspondiente, para el sistema analizado.
