Agencia Estatal Boletín Oficial del Estado
Suscrito el 21 de octubre de 2015 el Convenio específico entre el Ministerio de Defensa y la Universidad Politécnica de Madrid para el modelado del perfil del usuario y simulación de su comportamiento en sistemas TIC, en cumplimiento de lo dispuesto en el artículo 8.2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo de esta resolución.
Madrid, 23 de noviembre de 2015.–El Secretario General Técnico del Ministerio de Defensa, David Javier Santos Sánchez.
En Madrid a 21 de octubre de 2015
REUNIDOS
De una parte: El Excmo. Almirante General don Fernando García Sánchez, Jefe de Estado Mayor de la Defensa, en uso de las facultades que le fueron delegadas por el titular del Ministerio de Defensa de acuerdo con la Orden DEF/3015/2004, de 17 de septiembre, sobre delegación de competencias en autoridades del Ministerio de Defensa en materia de convenios de colaboración.
De otra parte: don Roberto Prieto López, Vicerrector de Investigación de la Universidad Politécnica de Madrid, (CIF Q-2818015F), en adelante UPM, en nombre y representación de la misma, en virtud de la delegación de competencias otorgada por el Excmo. y Magfco. Sr. Rector de la UPM, con fecha 2 de enero de 2013.
Las partes, reconociéndose capacidad jurídica, competencia y legitimación suficientes para obligarse y a tal efecto suscribir el presente Convenio Específico,
EXPONEN
Este convenio se firma al amparo del Acuerdo Marco de colaboración entre el Ministerio de Defensa y la Universidad Politécnica de Madrid, para la formación, investigación y desarrollo de actuaciones en materia de ciberdefensa, suscrito el 6 de noviembre de 2013, en adelante el Acuerdo Marco.
El citado Acuerdo Marco tiene por objeto establecer la cooperación entre el Ministerio de Defensa (MINISDEF) y la Universidad Politécnica de Madrid (UPM), dentro del ámbito de sus respectivas competencias, dirigida a la formación de personal cualificado en Ciberdefensa así como para el desarrollo de estudios, investigaciones y actuaciones conjuntas en ese ámbito. Para hacer efectiva la realización de este objeto, las partes firmantes establecerán mediante convenios específicos los proyectos concretos con el fin de realizar diferentes actuaciones, entre las que se encuentra «realizar estudios y proyectos de investigación y desarrollo en esta materia» (Ciberdefensa).
El Ministerio de Defensa, representado por el Mando Conjunto de Ciberdefensa (MCCD) está interesado en la colaboración del Departamento de Lenguajes y Sistemas Informáticos e Ingeniería de Software adscrito a la Escuela Técnica Superior de Ingenieros Informáticos de la UPM, para desarrollar un programa de colaboración en investigación y fomento de la formación del personal, a través de la ejecución de diversos trabajos de carácter técnico, centrados en la investigación y desarrollo (I+D) del modelado del perfil de usuario y simulación de su comportamiento en Sistemas TIC.
Por todo ello las partes formalizan el presente convenio específico, que se regirá por las siguientes
CLÁUSULAS
Este convenio específico de colaboración tiene por objeto la realización de las actuaciones concretas en desarrollo del objeto del Acuerdo Marco de Colaboración entre el Ministerio de Defensa (MINISDEF) y la Universidad Politécnica de Madrid (UPM) para la formación, investigación y desarrollo de actuaciones en materia de ciberdefensa, en lo concerniente a la realización de actividades centradas en el fomento de la investigación y la formación técnica, concretadas en el estudio y proyecto de investigación y desarrollo del modelado del perfil de usuario y simulación de su comportamiento en Sistemas TIC, según los objetivos y plan de trabajo definidos en el anexo a este documento.
La UPM se compromete a:
a) Mantener la adecuada dotación económica y de medios de los grupos de trabajo necesarios para sus fines.
b) Designar a un profesor director de los trabajos y a que se realicen los trabajos que se describen en el anexo de este convenio en la forma y condiciones pactadas en el mismo, responsabilizándose de que hayan sido concedidas las autorizaciones reguladas en la normativa vigente y de la ordenación y aplicación de gastos y pagos relativos al objeto del convenio.
c) Designar al personal que, por su capacidad técnica y en función del grado de clasificación de la información manejada, considere oportuno que intervenga en la realización de las tareas específicas derivadas de la ejecución de este convenio, de manera que el proyecto contribuya a la mejora de la formación técnica en aspectos de ciberdefensa del personal de la UPM, y a que el resto del profesorado participante lleve a cabo las obligaciones de este convenio, ejecutándolo en los términos que determine el Director de los trabajos o persona en quien delegue, y las autoridades universitarias.
d) Informar al Mando Conjunto de Ciberdefensa (MCCD), a través del director de los trabajos, acerca de la marcha de los mismos con la periodicidad establecida en el anexo.
e) Asesorar al MCCD durante las fases de implantación y explotación de la herramienta desarrollada como consecuencia del proyecto de I+D.
El MCCD se compromete a:
a) Definir los requisitos necesarios para el proyecto de colaboración en I+D.
b) Designar personal para el seguimiento y control del citado proyecto.
c) Designación de personal experto para colaboración con el personal de la UPM para el trabajo conjunto y la aclaración de las cuestiones técnicas cuando sea necesario.
d) Participar con la cantidad máxima de ciento sesenta y tres mil doscientos diez euros con treinta y un céntimos (163.210,31 euros) para la realización de las actividades objeto del presente convenio.
Este gasto será imputado a la aplicación presupuestaria 14.02.122AN.650 del MINISDEF.
La aportación económica se efectuará mediante tres ingresos de acuerdo al siguiente calendario:
a) Un 40% (65.284,11 euros) a la firma del convenio.
b) Un 30% (48.963,10 euros) asociado al cumplimiento del hito 3 definido en el anexo.
c) Un 30% (48.963,10.euros) a la terminación satisfactoria de la totalidad de las tareas descritas en el anexo.
El abono de dichas cantidades se hará efectivo mediante transferencia bancaria a la cuenta n.º 0065 0100 12 0031000262 del Barclays Bank, Pza. de Colón, 2 - 28046 Madrid, a nombre de Universidad Politécnica de Madrid-Investigación Transferencia Tecnológica.
La Oficina de Transferencia de Tecnología (OTT) será la unidad administrativa de la UPM encargada de la gestión y administración del convenio, en cuanto a su registro, cobros, pagos, obligaciones fiscales y demás servicios de apoyo de carácter administrativo derivados de la realización del mismo.
Corresponde a MINISDEF la titularidad de los resultados del proyecto de investigación objeto de este convenio.
La UPM podrá utilizar la formación técnica adquirida en el desarrollo del proyecto de investigación, siempre con el cumplimiento estricto de la cláusula de confidencialidad de la información estipulada en el Acuerdo Marco.
El control y seguimiento se llevará a cabo por la Comisión de Seguimiento del Acuerdo Marco.
Los aspectos relacionados con la confidencialidad se regirán por las disposiciones al efecto estipuladas en el Acuerdo Marco.
La Comisión de Seguimiento del Acuerdo Marco determinará en cada momento, en función del grado de clasificación de la información manejada y otros criterios, el lugar de realización de los trabajos.
El presente convenio tendrá una duración de doce meses a partir de la fecha de su firma.
Este convenio podrá resolverse por mutuo acuerdo entre las partes, bien porque consideren finalizado el desarrollo del proyecto de colaboración en I+D antes del período marcado, o por cualquier otra causa que haga inviable, inconveniente o no rentable su prosecución.
El incumplimiento grave de cualquiera de las obligaciones contraídas por el presente convenio por una de las partes, facultará a la otra para resolver el mismo, quedando automáticamente anulados todos los derechos y obligaciones correspondientes sobre el objeto del convenio.
La comunicación a la otra parte de la decisión de resolución del convenio deberá realizarse mediante denuncia expresa con seis meses de antelación a la finalización de su vigencia, notificándose tal intención con un preaviso de un mes.
Las disposiciones del apartado «Confidencialidad» subsistirán después de la terminación o resolución del convenio.
Al presente convenio, de naturaleza administrativa, no le es de aplicación el Texto Refundido de la Ley de Contratos del Sector Público, aprobado por el Real Decreto Legislativo 3/2011, de 14 de noviembre, en virtud de la exclusión contenida en el artículo 4.1 c) del citado texto legal, salvo que, en ejecución de este convenio, hubieran de suscribirse contratos que, por su naturaleza, tengan la consideración de contratos sujetos al citado texto refundido.
En materia presupuestaria, económica y financiera se atendrá al contenido de la Ley 47/2003, de 26 de noviembre, General Presupuestaria.
Las controversias surgidas entre las partes se resolverán de mutuo acuerdo en el seno de la comisión de seguimiento prevista en la cláusula quinta, acudiendo, en lo posible, a los principios establecidos en el indicado Texto Refundido de la Ley de Contratos del Sector Público y en el resto del ordenamiento jurídico administrativo.
A este convenio le son de aplicación las normas contenidas en el título III, capitulo III, de los Estatutos de la UPM y en la normativa para la realización de trabajos de carácter científico, técnico o artístico, así como para el desarrollo de enseñanzas de especialización o actividades específicas de formación (aprobada en Junta de Gobierno de 27 de Febrero de 2003) que regulan las condiciones y procedimientos de autorización que se aplican en la UPM.
Las cuestiones litigiosas que puedan surgir en la interpretación de este convenio y que no hayan sido resueltas por la comisión de seguimiento, se someterán al orden jurisdiccional contencioso-administrativo.
Habiendo leído el presente por sí mismos y hallándose conformes, lo firman por duplicado y a un solo efecto, en lugar y fecha arriba citados.–Por el Ministerio de Defensa, el Jefe de Estado Mayor de la Defensa, Fernando García Sánchez.–Por la Universidad Politécnica de Madrid, el Vicerrector de Investigación, Roberto Prieto López.
Modelado del Perfil de Usuario y Simulación de su Comportamiento en Sistemas TIC
1. Objeto.
En este documento se describe la línea de I+D sobre «Modelado del perfil de usuario y simulación de su comportamiento en Sistemas TIC» a desarrollar en este convenio MCCD-UPM, conforme a lo planteado en [1].
2. Introducción.
Los usuarios de una comunidad que tiene acceso a diferentes sistemas de información y servicios TIC suelen presentar diferentes facetas y realizar diferentes actividades dentro de la misma. En principio, si se encuesta a los miembros de la comunidad y se les pide que respondan a ciertas preguntas y realicen ciertos ejercicios, con sus respuestas se pueden descubrir perfiles diferentes que permiten catalogar a los distintos usuarios.
Sin embargo, en una comunidad estructurada, esos usuarios no son elegidos al azar sino por presentar unas capacitaciones que los hacen aptos para el desempeño de un determinado puesto de trabajo. Así mismo, las relaciones entre los agentes están fuertemente mediatizadas por la operativa en la que los distintos puestos de trabajo tienen sentido.
En general es útil disponer de herramientas que permitan simular distintos usuarios operando dentro de un escenario laboral u operativo modelado. Estas herramientas permiten generar «tráfico» de todo tipo frente al cual probar otras herramientas antes de hacerlo sobre escenarios reales. Disponiendo de una descripción suficiente de los diferentes agentes implicado, del número de cada uno de ellos, y de las propiedades del escenario en el que ha de operar, así como las relaciones entre ellos, se pueden sortear casos concretos de dinámicas individuales que, reunidas en una misma realidad, permiten describir en cierto grado, lo que es de esperar en un escenario real.
En este sentido, es de gran interés la posibilidad de emplear herramientas que faciliten y, en la medida de lo posible, automaticen la configuración y despliegue de los escenarios de simulación válidos en ciberdefensa. Este es precisamente el marco general en el que se encuadra la línea de trabajo objeto de esta propuesta dentro del acuerdo de colaboración MCCD-UPM.
3. Objetivos.
El objetivo esencial de este proyecto es adquirir la capacidad para poder simular ciertas actividades en el ciberespacio, en particular, lo que se refiere a conjuntos de personas desarrollando distintos tipos de procedimientos mediante el uso de distintas tecnologías. Este proyecto se centra en la caracterización y emulación automática del factor humano como parte integrante esencial de los sistemas de Información y por ende, pieza clave de la seguridad de éstos.
4. Descripción de la línea de trabajo.
Este proyecto se compone de dos partes: (1) el modelado de usuarios en Sistemas TIC; y (2) la simulación de su comportamiento.
4.1 Modelado del perfil de usuarios en sistemas TIC.
Para la actividad de Modelado del Perfil de usuarios en Sistemas TIC, se pretende tener un enfoque genérico que no requiera un estudio previo de una organización en concreto para poder modelar esa organización, sino tener la capacidad de general perfiles suficientemente genéricos mediante la parametrización de una serie de campos. En base a esa parametrización, se asocian a esos perfiles una serie de actividades en la red que en una segunda fase permitiría simular la actividad de esos usuarios en diversos escenarios.
En este apartado se estudiaran y definirán cuáles son los campos que sirven como base para modelar el comportamiento de los usuarios dentro de una instalación TIC. Algunos aspectos a tener en cuenta podrían ser:
Tipo de usuario y rol dentro del Sistema.
Las políticas de la organización, el sector de negocio, y/o la clasificación del Sistema.
Los conocimientos y nivel de formación del usuario.
Carga de trabajo pendiente según los distintos roles o funciones reconocidos.
Nivel de estrés por falta de tiempo para la realización de las funciones asignadas.
Grado de seguimiento de los procedimientos del Sistema.
Características culturales.
Tasas de error humano.
Retribuciones salariales.
Para el establecimiento de la lista completa de aspectos, cualidades y capacidades de usuario u operario TIC a incluir dentro de este desarrollo, el personal de la UPM encargado de esta fase del proyecto coordinará la definición del alcance de dicho catálogo con la persona que el MCCD designe como enlace técnico para el proyecto. Esto se hará antes de pasar a descomponerla en elementos relacionables con operaciones tipo en el seno de una red o de un sistema de información.
Estos componentes deberían dar lugar a una lista de campos cuyas magnitudes permitan relacionar la naturaleza y circunstancia de cada usuario simulado, con el ritmo y tipo de actividad que desarrolla en el seno de un sistema TIC. Por otra parte, se establecerán cuáles son las operaciones básicas que se realizan en una red o sistema TIC (login/logout, transferencia de ficheros, conexiones y transportes http, operaciones con bases de datos, comunicaciones VoIP, video streaming, correo electrónico, etc.).
Ambos extremos, los perfiles de usuario y las actividades en red, se reunirán en una herramienta para la generación de perfiles de usuario en base a campos a los que el MCCD pueda dar valor en cada simulación (tipo de usuario y rol, conocimientos, carga de trabajo, condiciones del entorno…). A estos perfiles se les asociará una serie de actividades en la red que la herramienta mostrará en su interfaz y que constituyen la definición funcional del escenario social a simular. La simulación propiamente dicha se trata en la segunda tarea de este proyecto.
Todo desarrollo irá siempre acompañado de documentación sobre su estructura y funcionamiento interno, así como de un manual básico de usuario.
4.2 Simulación del comportamiento de usuarios en sistemas TIC.
El objetivo de esta tarea es poder simular, con cierto grado de verosimilitud, el comportamiento, las acciones y/o las reacciones de los usuarios en base a unos modelos de comportamiento predefinidos previamente.
Partiendo de la modelización concreta que de un sistema o escenario TIC puede hacer la herramienta desarrollada en la primera fase de este proyecto, los desarrollos de esta segunda fase utilizaran esa caracterización de usuarios para ejecutar simulaciones concretas de esa comunidad.
En esta segunda parte se desarrollarán métodos y herramientas automáticas que permitan simular de comportamiento de usuarios individuales artificiales en el seno de sistemas TIC. Este simulador generará colecciones masivas de eventos que constituirán la evolución (simulada) de tales escenarios. Este simulador no incluirá relaciones causales entre las operaciones que se sortean en cada simulación.
El producto de estas simulaciones son listas cronológicas de operaciones que se habrían desarrollado durante la simulación realizada. Todos esos eventos podrán ser ejecutados en entornos virtuales de simulación y análisis en instalaciones y desarrollos que caen fuera de este proyecto en concreto.
Los eventos que aparecerán en esas simulaciones estarán relacionados con operaciones tan frecuentes como (1) la lectura y envío de correo electrónico corporativo, (2) a la visualización y edición de documentos, (3) a la navegación web, (4) a la realización de procedimientos operativos de administración, salvaguardia, monitorización, etc., (5) al uso de dispositivos externos (móviles, USB, etc.), etc.
Las actividades que se realizarán serán las siguientes:
Diseño, desarrollo e implementación de una aplicación informática que constituya un simulador de escenarios TIC según una definición y parametrización dada en cada caso.
Diseño e implementación de la unidad de salida encargada que confeccionar los registros (logs) que son el resultado final de cualquier simulación. Esta operación se podrá realizar en colaboración con los investigadores encargados de la herramienta para generar tráfico en una red real o virtualizada dentro de las instalaciones del MCCD, si bien las líneas de investigación deben ser totalmente independientes, así como sus productos finales, que, a su vez, deberán ser compatibles. La colaboración entre los investigadores de las tareas en ningún caso será indispensable, ni su ausencia ser motivo de modificación del alcance del proyecto o de la planificación del mismo.
Simulación en escenarios sencillos utilizando los perfiles de usuarios identificados en la primera fase.
Readaptación, si fuese necesario, de los perfiles de usuarios en base a las pruebas anteriores.
Estudio de conclusiones y acciones futuras en un informe.
El producto de este trabajo serán las herramientas y métodos para la simulación de actividad en escenarios y sistemas TIC aglutinando entidades con personalidad propia operando en escenario elegido a través de sus parámetros.
El simulador se limita a generar trazas (logs) de actividad que describirán suficientemente la evolución de la simulación y que estarán disponibles para su tratamiento posterior en otras líneas de investigación distintas de este proyecto. La generación de tráfico y actividades al dictado de los resultados de una simulación, son tareas ajenas a este proyecto y deberán ser desarrolladas aparte.
5. Plan de trabajo.
5.1 Tarea 1. Estudio y definición de los campos para modelar el comportamiento de usuarios dentro de una instalación TIC.
El equipo de desarrollo de la UPM coordinará la definición del alcance de esta tarea con la persona que el MCCD designe como enlace técnico del proyecto. En esta tarea, el equipo de desarrollo identificará las cualidades, funcionalidades y otros elementos que mejor describen a los usuarios humanos tipo, que son propios de los escenarios que se quieren simular.
5.2 Tarea 2. Establecimiento de cuáles son las operaciones básicas que se realizan en una red o sistema TIC.
En esta tarea se identificarán y caracterizarán cuáles son las operaciones básicas que son el origen de la mayor parte del tráfico de una red o sistema TIC, y que está directamente relacionado con las actividades de los usuarios. Se propondrá un modelo básico de cada una de ellas de modo que la especificación de las mismas sea suficiente para que, en otro proyecto, se pueda generar realmente ese tráfico en una red real o virtualizada.
5.3 Tarea 3. Diseño e implementación de una Aplicación de Modelado de escenarios de Simulación.
En esta tarea se diseñará e implementará una herramienta básica que permita definir los perfiles de las entidades que concurren en los escenarios que se quieren simular. El MCCD podrá dar valor en cada simulación a esas cualidades (tipo de usuario y rol, conocimientos, carga de trabajo, condiciones del entorno, etc.) y la herramienta les asociará una serie de potenciales actividades en la red.
Al final de esta tarea se desarrollara la documentación y manuales necesarios que acompañan a la herramienta desarrollada.
5.4 Tarea 4. Diseño, desarrollo e implementación de un Simulador de escenarios TIC.
En esta tarea se diseñará y desarrollará una aplicación encargada de simular ejecuciones de escenarios TIC modelados con la herramienta desarrollada en la tarea anterior. El resultado de la simulación será un fichero fácilmente interoperable de registros que describa a nivel de operación lo que ha ocurrido en el sistema en cada instante de la simulación.
Al final de esta tarea se desarrollara la documentación y manuales necesarios que acompañan a la herramienta desarrollada.
5.5 Tarea 5. Prueba de las Herramientas y Simulación en escenarios sencillos.
En esta última tarea, se someterán las dos herramientas desarrolladas en este proyecto a una batería de pruebas propuesta por la UPM y aprobada por el MCCD, simulando escenarios sencillos cuya corrección pueda ser fácilmente evaluada por personas. Estos modelados y simulaciones sencillas servirán para la validación de resultados por parte del MCCD y para el entrenamiento de sus futuros operadores.
5.6 Tarea 6. Entrega y presentación de los Modelos1 y su Documentación asociada.
1 En este contexto, la palabra «prototipo» se refiere a los modelos elaborados durante el proceso de desarrollo del proyecto de I+D, con el fin de servir de demostradores y ayudar a la compresión de la funcionalidad. Por tanto, el prototipo no debe entenderse como «una unidad de presente a partir de la cual se van a construir las series correspondientes».
En este último hito se hace entrega definitiva al MCCD del modelo constituido por las dos herramientas desarrolladas en este proyecto. Como parte de esa entrega y presentación se ejecutará el modelo en una plataforma virtualizada en VMware (ESX).
Así mismo, las herramientas irán acompañadas de una documentación que permite comprender el modelo, el contexto desarrollado y las conclusiones extraídas (Descripción técnica del modelo y sus funcionalidades, Resultados de las pruebas, Documentación de los componentes o módulos que componen los modelos, su configuración y/o los desarrollos realizados, Informe de conclusiones y próximos pasos (evolución del modelo).
La Tabla 1 refleja la planificación temporal de las tareas definidas en el anterior apartado.
Tabla 1. Plan de trabajo (meses)
|
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
T1. Estudio y definición de los campos para modelar el comportamiento de usuarios dentro de una instalación TIC. |
|
|
|
|
|
|
|
|
|
|
|
|
|
T2. Establecimiento de cuáles son las operaciones básicas que se realizan en una red o sistema TIC. |
|
|
|
|
|
|
|
|
|
|
|
|
|
T3. Diseño e implementación de una aplicación de modelado de escenarios de simulación. |
|
|
|
|
|
|
|
|
|
|
|
|
|
T4. Diseño, desarrollo e implementación de un simulador de escenarios TIC. |
|
|
|
|
|
|
|
|
|
|
|
|
|
T5. Prueba de las Herramientas y simulación en escenarios sencillos. |
|
|
|
|
|
|
|
|
|
|
|
|
|
T6. Entrega y presentación del prototipo y su documentación asociada. |
|
|
|
|
|
|
|
|
|
|
|
|
6. Hitos y entregas.
Teniendo en cuenta el plan de trabajo detallado en el epígrafe anterior, en la Tabla 2 se refleja la planificación de hitos y entregas del proyecto.
Tabla 2. Hitos y entregas
|
Hito |
Descripción |
Fecha |
Entrega |
|---|---|---|---|
|
H1 |
Modelos de Perfiles y Operaciones Básicas. |
Mes 4. |
Informe con las definiciones de los Perfiles de Usuario reconocidos y las Operaciones Básicas de red con los que pueden ser relacionados. |
|
H2 |
Aplicación de Modelado de escenarios de Simulación. |
Mes 7. |
Entrega preliminar de la Aplicación de Modelado de Perfiles y documentación asociada. |
|
H3 |
Simulador de escenarios TIC. |
Mes 10. |
Entrega preliminar del Simulador y documentación asociada. |
|
H4 |
Entrega y presentación del modelo. |
Mes 12. |
Informe Final, resultados de simulación y primeros análisis. |
7. Referencias.
[1] Acuerdo de colaboración MCCD-UPM. «Línea de trabajo sobre Herramienta de visualización y trazado de un ciberataque». junio 2013.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
