Arquitectura de Seguridad basada en la Red

Este punto es quizás el que mayor reto plantea a la hora de definir la arquitectura. Hasta ahora hemos contemplado las amenazas que encontramos en las redes telemáticas y hemos explicado las diferentes funcionalidades que encontramos en el mercado y qué productos las incorporan con el objetivo de prevenir esas amenazas.

En la práctica, la seguridad de “extremo a extremo” o entre dispositivos finales (por ejemplo una conexión cifrada entre un punto de votación y una urna electrónica) no es suficiente para resolver todas la problemática relacionada con la implementación del sistema de voto telemático, por lo que a continuación comentaremos por qué también es necesaria la seguridad basada en la red para el correcto funcionamiento del sistema de votación telemática.

La definición tradicional de seguridad en un dispositivo final está asociada a un cliente o servidor. En esta definición, la seguridad entre dispositivos finales comienza en el cliente y termina en el servidor. Dada la multitud de aplicaciones que se ejecutan en paralelo en un sistema de voto telemático y dado el uso de multitud de sistemas intermediarios (incluidos sistemas de transporte, de virtualización, etc.) esta definición ya no es tan precisa, y es necesario que la infraestructura de voto telemático puede establecer una asociación de seguridad en todos los niveles del sistema. Debido a que uno de los objetivos de este proyecto es entender por qué la red tiene un papel que desempeñar en la seguridad, la definición precisa de seguridad en un dispositivo final no es suficiente. Visto de forma abstracta, un punto final (cabina de votación por ejemplo) es una entidad que se comunica a través de una red con otra entidad. Esta definición, aunque vaga, es suficiente para la discusión en cuestión.

No obstante la seguridad entre puntos finales (cliente-servidor o cliente-cliente) es un requisito absoluto para comunicaciones seguras. Dicha solución contiene los siguientes componentes:

80

 Identidad: Este componente engloba las identidades conocidas y verificables en ambos extremos teniendo en cuenta que una identidad puede ser temporal para una conexión. Por ejemplo, un usuario cuando va a votar se identifica con: su DNI electrónico, un sistema biométrico, una contraseña y un certificado electrónico; mientras que un servidor puede identificarse a través de un certificado electrónico de servidor.

 Protocolos (por ejemplo, IPS): Los protocolos se utilizan para negociar dinámicamente claves de sesión y para proporcionar las funciones de seguridad necesarias (por ejemplo, encriptación e integridad) para una conexión. Los protocolos utilizan algoritmos para implementar estas funciones.

 Algoritmos Criptográficos (como por ejemplo AES, Triple Digital Encryption Standard [3DES], Secure Hash Algorithm [SHA-1], etc.): Estos algoritmos utilizan las claves de sesión mencionadas anteriormente para proteger Datos en tránsito, por ejemplo mediante cifrado o verificaciones de integridad.

 Implementación segura: el punto de votación que ejecuta uno de estos protocolos mencionados anteriormente debe estar libre de errores que puedan comprometer la seguridad. La seguridad de la aplicación de voto es relevante aquí. Además, el malware puede comprometer la seguridad, por ejemplo, registrando pulsaciones de teclas en un PC.

 Operación segura: los usuarios del sistema de votación y los operadores del sistema tienen que entender los mecanismos de seguridad, por ejemplo, si se produce una advertencia sobre un certificado no válido.

Para una seguridad completa en la red, todos estos componentes deben estar revisados y auditados por lo sistemas interventores y auditores especialistas. En redes con seguridad implícita en todos los niveles como la que planteamos, se utilizan con éxito hoy, por ejemplo, en aplicaciones de banca en línea. La seguridad es necesaria que esté implícita en todos los niveles, sin ella, muchas aplicaciones como la banca digital no serían posible.

Sin embargo, un único problema de seguridad en cualquiera de los componentes puede comprometer la seguridad del sistema de votación entero, lo más crítico son los errores humanos, específicamente en el manejo de casos de excepcionales, error común que sucede en el sistema de voto tradicional, por ejemplo cuando se produce el conteo de votos: “Si por un voto más no cambiamos el resultado”…

Las preocupaciones en cuestión de seguridad de los dispositivos conectados al sistema de votación telemática incluye la presencia de malware, así como errores en el software. Incluso los profesionales de la seguridad tienen dificultades para determinar si un sistema contiene malware. Tal malware puede controlar la conexión antes de que esta sea segura, logrando así la capacidad de ver los datos, así como potencialmente cambiarlos en tiempo real ( imagínese que se cumplen todos los algoritmos de seguridad pero el malware simplemente en vez de escribir el voto deseado escribe votos en blanco).

Incluso en ausencia de malware, el usuario de un proveedor de servicios puede participar en actividades ilegales como ataques DDoS por lo que encontrar e implementar métodos basados en la red son necesarios para detectar tales intentos, comenzando con formas simples como la falsificación de IPs. Los ataques de DDoS ilustran por qué la seguridad solo del punto final puede no ser suficiente, y se requiere una seguridad basada en red. Bajo un ataque DoS, un servidor que contiene una urna electrónica puede recibir más tráfico de lo que puede manejar. Tales

81

ataques también pueden sobrecargar recursos de red impidiendo el proceso normal de las elecciones.

La aplicación de la calidad de servicio (QoS) también es un problema de seguridad en la red: el sistema de voto podría clasificar erróneamente todo su tráfico como "de alta prioridad". En ausencia de un control completo de la aplicación de voto telemático, si todos los flujos estuvieran cifrados de extremo a extremo, este control sería "ciego", probablemente llevando a resultados no deseados.

En resumen los protocolos y soluciones de seguridad los dispositivos finales son una piedra angular esencial en la seguridad del sistema, no podemos implementar el sistema de votación sin ellos. Sin embargo, no es realista en las redes actuales suponer que las soluciones de seguridad en el dispositivo final bastarán por sí solas. La seguridad general requiere tanto la seguridad en el punto final como la basada en la red.

Entendido y argumentado que la seguridad que se plantea para la infraestructura de red en los sistemas de votación es completa en todos los niveles del sistema, pasamos a definir las áreas principales para dar una solución completa.

La infraestructura de seguridad propuesta en este proyecto incluye seis áreas principales y verifica que se cumplas todas las políticas en cada una de ellas:

Figura 16 - Áreas de Seguridad propuestas

Seguridad del usuario:

 Autenticación, autorización y controles de acceso.

 Autenticación de múltiples factores con políticas de contraseñas que se integran con los sistemas de directorio Activo.

 Funciones de usuario internas (perteneciente al sistema de votación) y externas (votantes) con capacidades de auditoría completas para ambos tipos de usuarios. Permisos granulares dependiendo de los perfiles de usuario.

82  Protección de datos en los puntos finales.

 Políticas de cumplimiento y autenticación de contraseñas.  Encriptación de dispositivo de 256 bits para archivos locales.

 Capacidades nativas de gestión de dispositivos móviles (MDM), como la limpieza remota y la fijación de dispositivos.

Seguridad de la red:

 Confidencialidad y protección de los datos durante el tránsito  IPSEC y HTTPS utilizados para la comunicación segura.

 Protocolo SSL utilizado para todas las sesiones de transferencia de datos.  Encriptación de 256 bits aplicada a todos los datos en tránsito.

Seguridad del contenido y los datos:

 Prevención y aislamiento de la violación de datos

 Encriptación AES de 256 bits con opciones de transferencia de claves

 Descubrimiento de datos y evaluación en tiempo real de la prevención de pérdida de datos (DLP)

 Aislamiento de datos a nivel de dominios (claves únicas por tipo de interventores)  Controles granulares de compartición de información.

Seguridad en el centro de datos:

 Confidencialidad, integridad y disponibilidad de los datos en reposo  SSAE-16 Tipo II centros de datos compatibles

 Seguridad física con vigilancia las 24 horas y controles de acceso biométricos  Políticas de recuperación ante desastres y evaluación continua de la amenaza Normativa y cumplimiento:

 Cumplimiento del Esquema Nacional de Seguridad.  Uso del marco Institucional de seguridad.

 Estándar de seguridad de la información global ISO / IEC 27001: 2013.

 Compatibilidad con Centro de datos de la UE para resolver los problemas de residencia de datos u otras problemáticas de índole internacional.

Como como conclusión de este punto podemos destacar la importancia de entender la seguridad en el sistema como un todo y que tiene que estar implícita en todos los elementos del sistema, y no solo en dispositivos finales con túneles de cifrado entre ellos. Adicionalmente y partiendo de este concepto si podemos crear varias área funcionales donde establecer criterios concretos, en nuestro caso hemos establecido 6.