Actualizado el 16 de Junio del 2017 (Publicado el 14 de Enero del 2017)
1.009 visualizaciones desde el 14 de Enero del 2017
6,4 MB
53 paginas
Creado hace 14a (30/03/2011)
ELEMENTOS CRIPTOGRÁFICOS PARA EL
ESQUEMA NACIONAL DE SEGURIDAD
D. Jorge Dávila Muro
Facultad de Informática y CriptoLab – UPM
29 de Marzo de 2011
29/03/2011
© 2011 Jorge Dávila
1
�Organización e Información
• Todo proceso colectivo precisa de Información
y capacidad para actuar.
La Administración requiere información cierta
para poder aplicar las leyes y normativas
vigentes.
•
Ley 30/1992, de 26
de noviembre, de
Régimen Jurídico de
las Administraciones
Públicas y del
Procedimiento
Administrativo
Común.
29/03/2011
© 2011 Jorge Dávila
2
�La (e-)Administración Pública
• Tramite pseudo-electrónico o «trámite de Potemkin»,
sería aquel que es electrónico en los puntos en que
contacta con el ciudadano, pero manual en el resto del
procedimiento.
• Trámite Electrónico sería aquel que utiliza en todo su
recorrido sistemas y aplicaciones informáticas.
La ley 11/2007
• «Trámite Electrónico» (pero no lo define en su glosario).
• «Gestión Electrónica de los Procedimientos Administrativos»,
• «Actuación Administrativa Automatizada».
• «Procedimiento Electrónico», como aquel que es gestionado
electrónicamente en su totalidad.
Probablemente…
Hoy No Existe un genuino trámite electrónico completo,
de extremo a extremo, y funcionando.
29/03/2011
© 2011 Jorge Dávila
3
�La (e-)Administración Pública
•
• Actualmente, lo que hay son «aplicaciones» y no
procedimientos administrativos electrónicos.
Esas aplicaciones informáticas específicas suelen
ser algo OSCURO, INDOMABLE y HERMÉTICO para
el gestor, y sólo son parcialmente controladas
gracias a las habilidades del informático de turno.
La «aplicaciones» suelen ser:
• Hojas de Cálculo genéricas.
• Bases de Datos locales o compartidas.
• Un SISTEMA INFORMÁTICOS CORPORATIVO
CENTRALIZADO y controlado por la
correspondiente Subdirección General de
Informática.
29/03/2011
© 2011 Jorge Dávila
4
�Dificultades presentes ….
NO ES FÁCIL AUTOMATIZAR los trámites y
procedimientos administrativos:
– La Complejidad y Ambigüedad de la
legislación
– La Variable Interpretación de la ley según
criterios geográficos, temporales o según el
interlocutor.
– La elevada frecuencia de cambio en las
leyes y reglamentos.
– No han sido pensadas para su
– Están plagadas de Vicios y Prácticas del
automatización.
trámite manual.
lo anterior.
– La escasez de recursos e ideas para corregir
29/03/2011
© 2011 Jorge Dávila
5
�El Desarrollo del ENS….
•
Fundamentar la CONFIANZA en que los Sistemas de
Información.
• Asegurar:
– Que funcionan de acuerdo con sus especificaciones
funcionales, sin interrupciones o modificaciones fuera de
control.
– Que la información no puede llegar a personas no
autorizadas.
•
•
Se desarrollará y perfeccionará en paralelo a la
evolución de los servicios y el paso del tiempo.
La seguridad va más allá de la protección individual de
cada sistema.
• Hay que evitar «TIERRAS DE NADIE» y «FRACTURAS o
FISURAS» que pudieran dañar a la información o a los
servicios prestados.
29/03/2011
© 2011 Jorge Dávila
6
�Teniendo en cuenta….
•
•
•
•
•
•
•
•
La normativa nacional sobre Administración
electrónica.
La Protección de Datos de Carácter Personal.
La ley de Firma electrónica.
El DNI electrónico,
El Centro Criptológico Nacional (CCN).
La regulación de diferentes instrumentos y
servicios de la Administración,
Las directrices y guías de la OCDE y
Las disposiciones nacionales e internacionales
sobre normalización.
29/03/2011
© 2011 Jorge Dávila
7
�Artículo 1. Los Objetivos.
«Establecer los principios básicos y requisitos mínimos que, según
el interés general, naturaleza y complejidad de la materia
regulada, den una protección adecuada a la información y
servicios.»
El ENS se aplica alas Administraciones públicas
para asegurar:
Acceso,
Integridad,
Disponibilidad,
Autenticidad,
Confidencialidad,
Trazabilidad y
Conservación de datos.
29/03/2011
© 2011 Jorge Dávila
8
�Los Principios Básicos
Recuperación.
o Seguridad Integral.
o Gestión de Riesgos.
o Prevención, Detección y
o Líneas de Defensa (perímetros).
o Reevaluación periódica.
o Funciones Diferenciadas.
Artículo 5. LA SEGURIDAD COMO UN PROCESO INTEGRAL.
«La seguridad se entenderá como un proceso integral constituido por todos los
elementos técnicos, humanos, materiales y organizativos, relacionados con el
sistema.»
Se presta máxima atención a la concienciación de las PERSONAS:
«Ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones
inadecuadas, deben ser fuentes de riesgo para la seguridad.»
29/03/2011
© 2011 Jorge Dávila
9
�Cómo hacerlo….
Artículo 6. GESTIÓN DE LA SEGURIDAD BASADA EN LOS
RIESGOS.
«El análisis y gestión de riesgos será parte esencial del
proceso de seguridad y deberá mantenerse
permanentemente actualizado.»
Artículo 7. Prevención, Reacción y Recuperación.
Prevención para que no se den,
Detección para que no continúen,
Corrección, para que no afecten gravemente.
Además…
«El sistema garantizará la CONSERVACIÓN de los
datos e informaciones en soporte electrónico»
29/03/2011
© 2011 Jorge Dávila
10
�Líneas de defensa.
•
El sistema ha de disponer de una
estrategia de protección constituida por
múltiples capas de seguridad, dispuesta
de forma que, cuando una de las capas
falle, permita:
– Ganar tiempo para una reacción
adecuada.
– Reducir la probabilidad de que el
sistema sea globalmente
comprometido.
– Minimizar el impacto final.
29/03/2011
© 2011 Jorge Dávila
11
�Requisitos Mínimos …
• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos.
• Seguridad por defecto.
•
• Protección de la información almacenada y en tránsito.
• Prevención ante los sistemas interconectados.
• Registro de actividad.
• Gestión de Incidentes de seguridad.
• Planes de Continuidad de la actividad.
• Mejora continua del proceso de seguridad.
Integridad y actualización del sistema.
Todos los órganos
superiores de las
AAPP deberán
disponer de su…
Política de
Seguridad
29/03/2011
© 2011 Jorge Dávila
12
�Sobre Personal y Profesionalidad
Artículo 14. Gestión de personal.
«Todo el personal relacionado con la información y
los sistemas deberá ser FORMADO e INFORMADO
de sus deberes y obligaciones en materia de
seguridad. Sus actuaciones deben ser supervisadas
para verificar que se siguen los procedimientos
establecidos.»
Artículo 15. Profesionalidad.
«La seguridad de los sistemas estará atendida,
revisada y auditada por personal CUALIFICADO,
DEDICADO e INSTRUIDO en todas las fases de su
ciclo de vida: instalación, mantenimiento, gestión
de incidencias y desmantelamiento. «
29/03/2011
© 2011 Jorge Dávila
13
�La Seguridad por Defecto.
Hay que Diseñar y Configurar para obtener la
SEGURIDAD POR DEFECTO:
o Mínima funcionalidad.
o Las funciones de operación, administración y
registro de actividad serán las mínimas necesarias,
– … y sólo accesibles por las personas y desde
emplazamientos autorizados.
o Se eliminarán o desactivarán las funciones que
sean INNECESARIAS e INADECUADAS al fin que se
persigue.
o El uso del sistema debe ser sencillo y seguro, la
utilización insegura REQUIERA de un acto
consciente por parte del usuario.
29/03/2011
© 2011 Jorge Dávila
14
�Protección de Información
Almacenada y en Tránsito.
•
•
•
Especial atención a la INFORMACIÓN ALMACENADA O
EN TRÁNSITO.
– Cuidado con los equipos portátiles, PDAs, tablets,
smartphones, memorias USB, MP3 y MP4s, dispositivos
periféricos, redes abiertas o con cifrado débil, etc.
Forman parte de la seguridad los procedimientos que
aseguren la RECUPERACIÓN Y CONSERVACIÓN a largo
plazo de los documentos electrónicos.
Toda información en soporte no electrónico, que haya
sido causa o consecuencia directa de la información
electrónica, deberá estar protegida con el mismo grado
de seguridad que ésta.
29/03/2011
© 2011 Jorge Dávila
15
�Los Registros de Actividad.
•
•
•
Se registrarán las actividades de los usuarios,
Se retendrá información para el análisis,
investigación y documentación de actividades
indebidas o no autorizadas.
Se identificará en cada momento a la persona
que actúa.
«…con plenas garantías del derecho al honor, a la
intimidad personal y familiar y a la propia imagen de
los afectados, y de acuerdo con la normativa sobre
protección de datos personales.»
• Artículo 24. Incidentes de seguridad.
• Artículo 25. Continuidad de la actividad.
29/03/2011
© 2011 Jorge Dávila
16
�Seguridad de las Comunicaciones.
•
El ENS establece las condiciones técnicas de
seguridad de las comunicaciones en lo relativo a:
1. Generar evidencia de transmisión y
recepción,
2. Establecer su fecha y hora,
3. Verificar la Integridad del contenido
4. Exigir la Identificación fidedigna del
remitente y destinatario.
Estas comunicaciones tendrán
valor y la eficacia jurídica
(Evidencias Digitales)
29/03/2011
© 2011 Jorge Dávila
17
�Notificaciones y Publicaciones electrónicas.
Las notificaciones y publicaciones
electrónicas deben:
– Asegurar la autenticidad del organismo
que lo publique.
– Asegurar la integridad de la
información publicada.
– Dejar constancia de la fecha y hora de
publicación o notificación, así como del
acceso a su contenido.
– Asegurar la autenticidad del
destinatario de la publicación o
notificación.
29/03/2011
© 2011 Jorge Dávila
18
�Las Categorías del ENS.
Valor
Costes
• La categoría depende del EQUILIBRIO entre la
importancia de la información, los servicios
que presta y el esfuerzo requerido para su
protección, en según los riesgos a los que está
expuesto.
• Se aplica el principio de PROPORCIONALIDAD.
• La determinación de la categoría se efectúa en
función de las CONSECUENCIAS que tendría
un incidente en la información o
Crear cuenta
Comentarios de: Elementos criptográficos para el Esquema Nacional de Seguridad (0)
No hay comentarios