Introducción

El proyecto EISPP ("European Information Security Promotion Programme") es un proyecto financiado por la Comisión Europea bajo el 5º Programa Marco. El proyecto tiene como objetivo el desarrollo de una infraestructura de red europea de CERTs y la definición de los contenidos y vías de distribución de información sobre seguridad informática a PyMES. El proyecto, iniciado en Junio de 2002 con una duración estimada de 18 meses, está gestionado por un consorcio de CERTs privados, ISP/ASPs, profesionales de la seguridad y PyMES (directamente o a través de Cámaras de Comercio).

El Consorcio encargado del proyecto está compuesto por: Cert-IST, esCERT, Siemens CERT, I-Net, CLUSIT, Inetsecur y Callineb Consulting

¿Para qué sirve EISPP?

Los problemas

Falta de confianza
Durante años, algunas empresas han intentado desarrollar sus actividades a través del comercio electrónico utilizando redes públicas, principalmente Internet. En Febrero de 2000 un ataque de DDoS (ataque distribuido de denegación de servicios) afectó a los sitios de comercio electrónico más importantes, y más recientemente los gusanos Code Red o Nimda han afectado a cientos de miles de websites.
Las amenazas contra la seguridad de las empresas van evolucionando. En un principio los ataques se dirigían básicamente a las grandes compañías pero en la actualidad también se dirigen contra las PYMEs y los usuarios finales. Los daños y perjuicios causados en los ataques de antaño eran relativamente fáciles de reparar. Pero hoy día, éste no es el caso, y estas amenazas han provocado una pérdida de confianza por parte de los usuarios y de los empresarios a la hora de emplear Internet para desarrollar sus negocios. Estos acontecimientos han obstaculizado el desarrollo de Internet por parte de las PYMEs.

Un soporte inadecuado
Las grandes empresas pueden permitirse contar con CERTs internos, tanto desde un punto de vista financiero como desde un punto de vista de recursos internos, pero no siempre aprovechan el material preventivo (p.e. los avisos de seguridad). Así, el mencionado ataque de DDoS y los gusanos Nimda y Code Red consiguieron afectar a muchas de estas compañías. Las PYMEs carecen de recursos financieros y de recursos internos que les permitan reaccionar ante los avisos de seguridad.

Actividad dispersa y falta de estándar
Las alertas publicadas por CERTs y organizaciones especializadas (como bugtraq de IIS o de los vendedores de aplicaciones) nunca han sido estandarizados (el estándar CVE ha sido adoptado sólo por unos pocos). El personal técnico de las compañías recibe a menudo una "inundación" de avisos sobre vulnerabilidades y se ven incapaces de analizarlos y de poder evaluar cuáles son más urgentes. Esto se produce por la falta en los avisos de una evaluación clara sobre el riesgo de la vulnerabilidad y su facilidad de explotación. Aunque algunas de estas alertas sí que pueden contener este tipo de información, según el centro encargado de emitirla el riesgo varía. Por ejemplo, en toda Europa existen especialistas que se encargan de controlar las vulnerabilidades de la mayoría de la red y de los componentes de sistema pero en cambio no existe nada que centralice todo el conocimiento y donde se puedan encontrar a todos los centros expertos en la materia.

Objetivos de EISPP
El objetivo principal del EISPP (European Information Security Promotion Programme) es construir un marco europeo que ofrezca a las PYMEs europeas los servicios de seguridad que necesitan para confiar en el comercio electrónico y así poder desarrollar sus negocios en este nuevo medio. Para lograr este objetivo hay que tener presente otros objetivos secundarios:

• Establecer una red de actividad entre los CERTs Europeos que permita compartir y mejorar su propio material de prevención con el material de otros CERTs y empresas implicadas en dicha prevención.

• Proporcionar a las PYMES servicios adaptados, útiles y eficaces. Como se ha comentado anteriormente en el apartado "Un soporte inadecuado", contar con una sola opinión en materia de seguridad informática no es la mejor forma de mejorar la seguridad de una empresa. Si el servicio en cambio es ofrecido pro un grupo de varias organizaciones especializadas se consigue una evaluación mucho más objetiva de la situación, pudiendo así evaluar qué riesgos suponen para las empresas las vulnerabilidades que van apareciendo.

• Además, también se pretende establecer un modelo de financiación para poder ofrecer estos servicios.

También es importante que se den a conocer los resultados del proyecto a todas las PYMEs europeas y al resto de actores clave dentro de este sector.

Estructura del proyecto
Este proyecto se estructura básicamente en seis partes:

• Coordinación del proyecto
• Plan de difusión y explotación del proyecto
• Desarrollo de la infraestructura compartida de avisos
• Distribución de avisos a PYMEs
• Despliegue e integración de productos de seguridad IT
• Medida y evaluación de resultados

Para los usuarios del sistema las más interesantes son la tercera, la cuarta y la quinta parte.

Workpackage 3: Desarrollo de la infraestructura compartida de avisos
El objetivo de WP3 es establecer una "infraestructura compartida" entre los centros que participan en el proyecto (que forman CERTs) que permita al mundo empresarial (tanto a grandes compañías como a PYMEs) contar con "almacén" de material preventivo. Además se ha previsto aprovechar este proyecto para constituir una red europea especializada en este ámbito. Esta infraestructura servirá para desarrollar una base de datos de vulnerabilidades que permitirá también interrelacionar a los centros.

Workpackage 5: Despliegue e integración de productos de seguridad
El mantenimiento de los productos de seguridad informática es un desafío para las PYMEs. Generalmente las PYMEs cuentan en su plantilla con una cantidad limitada de personal técnico y los productos de seguridad no siempre pueden ser actualizados con los parches correspondientes por problemas de logística. En muchos casos las PYMEs precisan de un proveedor del servicio que le facilite la información específica para mantener al día sus productos, liberando de esta forma al personal técnico de este trabajo y pudiéndose así centrar en el negocio de la organización. Considerando la diversidad de exigencias y de soluciones que existen entre las distintas PYMEs, en este proyecto se ha dedicado un esfuerzo importante para que sea válido en situaciones distintas y para que sea posible extrapolar la experiencia práctica lograda en las pruebas piloto y permitir así una reutilización para que el proyecto pueda implantarse en un futuro en la mayoría de las PYMES europeas.

Las recomendaciones realizadas en la 4ª Parte serán revisadas en "la vida real" para poder obtener feedback directo de las PYMEs. Los objetivos de la 5ª Parte son:

• Integrar la distribución de avisos de seguridad con el empleo de productos de seguridad dentro de las PYMEs. Así, las PYMEs, además de recibir el aviso de seguridad, también recibirán información sobre cómo deben configurar su firewall/IDS/escáner de virus para afrontar este agujero de seguridad. Esta información siempre se adaptará al tipo de herramientas de seguridad perimetral empleadas por cada PYME en concreto.

• Probar que la información que se hace llegar a las PYMEs es adecuada; para ello se han seleccionado a empresas de los diferentes países que participan en el proyecto.

• Automatizar la distribución de avisos; para ello se incluirá dentro del mismo una herramienta que permita la detección automática de la vulnerabilidad, y se incluirá también el parche acumulativo correspondiente para solventar el fallo.
  

Participación de los usuarios

Los usuarios están implicados en el proyecto desde dos puntos de vista:

• Como usuarios finales: PYMEs que reciben y usan los avisos y servicios directamente cuando los suministra la infraestructura compartida formada por los CERTs o vía intermediarios.

• Como intermediarios: ISP, ASP y Cámaras de Comercio añaden un nivel entre los CERT y los usuarios finales. La función de los intermediarios es que el sistema funcione mejor y permita añadir con mayor facilidad los servicios personalizados, como por ejemplo los que se experimentarán en el desarrollo de la quinta parte.
  

En la siguiente figura se muestran algunos ejemplos de cómo los CERTs, los intermediarios y las PYMEs interactúan (clic en la imagen para ampliarla).

A continuación se expone un ejemplo de las ventajas que tiene contar con un servicio de alertas personalizado.

Una PYME recibe un aviso sobre una vulnerabilidad que afecta a su entorno informático que incluye a: Microsoft, Compaq, Sun, Oracle y Checkpoint. Así, la PYME se encuentra con una sobrecarga de información, donde no tiene ni capacidad ni tiempo para seleccionar los avisos que afectan a sus sistemas y si sus sistemas están correctamente parcheados. EISPP provee a la PYME la información concreta sobre los sistemas y configuraciones que ésta utiliza, como por ejemplo Checkpoint FW-1 funcionando sobre una plataforma Nokia, o proporciona indicadores para que un cierto IDS detecte nuevas vulnerabilidades para Oracle 8i sobre plataforma Solaris 8. Además, EISPP facilita también comentarios elaborados por la red de expertos en seguridad de Europa. Así se consigue que la información sobre seguridad se emplee de manera eficaz.