criterios de seguridad para el ejercicio de potestades vi jornadas iberoamericanas sobre tecnología...
TRANSCRIPT
“Criterios de seguridad para el ejercicio de potestades”
VI Jornadas Iberoamericanas sobre VI Jornadas Iberoamericanas sobre Tecnología y Mercados de Capitales.Tecnología y Mercados de Capitales.
SCE - IIMVSCE - IIMV
Quito, marzo de 2004Quito, marzo de 2004
Francisco Javier Nozal Millán
Director de Sistemas de Información
CNMV. España
Aspectos básicos
- Es otro enfoque de la Seguridad.
- Orientado a Organismos Públicos que ejercen potestades públicas
- Vinculado muy directamente con derechos y obligaciones de los ciudadanos
- Los datos de carácter personal y su privacidad son de gran relevancia
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (1)
- Proporcionar el conjunto de medidas organizativas y técnicas que garanticen el cumplimiento de los requisitos legales para la validez y eficacia de los procedimientos administrativos de los organismos Públicos, que utilicen medios electrónicos, informáticos y telemáticos en el ejercicio de sus potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (2)
- Facilitar la adopción generalizada por los Organismos Públicos las medidas que aseguren la protección proporcionada a los riesgos de los sistemas que aplicaciones que manejan
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (3)
- Promover el máximo aprovechamiento de las tecnologías de la información y de las comunicaciones en la actividad administrativa y asegurar a la vez el respeto de las garantías y derechos de los ciudadanos en su relación con las administraciones públicas
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad
- Relativos a la implantación de las medidas de seguridad en el diseño, desarrollo, implantación y explotación de los sistemas y aplicaciones para el ejercicio de potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Normalización
- Exponer las pautas para facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Conservación
- Relativos a la conservación de los datos y las informaciones en soporte electrónico que intervienen o manejan las aplicaciones para el ejercicio de potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad
- Evitar la pérdida de la autenticidad, confidencialidad, integridad y disponibilidad en la información
- Enraizados en la gestión general de la seguridad de los sistemas de la organización
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (1/3)
- Política y Gestión de seguridad
- Organización y Planificación de la seguridad
- Análisis y gestión de riesgos
- Identificación y clasificación de activos a proteger
-Aspectos de seguridad ligados al personal
- Seguridad física
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (2/3)
- Autenticación
- Confidencialidad
- Integridad
- Disponibilidad
- Control de acceso
- Acceso a través de redes
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (2/3)
- Firma electrónica
- Protección de soportes y copias de respaldo
- Desarrollo y explotación de sistemas
- Gestión y registro de incidencias
- Plan de contingencias
- Auditoría y control de la seguridad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Organización y Planificación de la seguridad (entre otras)
- Concienciar al Usuario
- Responsable de la Aplicación
- Responsable de Seguridad
- Comité de Seguridad (en su caso)
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Responsable de la Aplicación
- Designar y autorizar a los usuarios
- Asignar los acceso, motivados, de usuario
- Definir plazos de vigencia administrativa de la información
- Promover la formación del personal vinculado con la aplicación y con los activos a proteger
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Responsable de la Seguridad de la Aplicación
- Elaborar la política de seguridad de la Ap.
- Diseñar, probar e implantar el plan de contingencias de la Ap.
- Informar sobre los niveles de seguridad alcanzados
- Dirigir la auditoría y control de seguridad
- Identificar, analizar e informar sobre los distintos incidentes de seguridad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Autenticación. Nivel de seguridad
* Ligado a la mayor o menor necesidad de formalización, de autorización y de responsabilización probatoria en el conocimiento o la comunicación de la información
- Baja, si no se quiere conocer autor ni responsable
- Normal, si se quiere conocer autor para evitar repudio de origen
- Alta, si se quiere además evitar repudio en destino
- Crítica, si se quiere la certificación de autor y de contenido
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Confidencialidad. Nivel de seguridad
- Libre, sin restricciones en su difusión
- Restringida, con restricciones normales
- Protegida, con restricciones altas
- Confidencial, no difundible por su carácter crítico
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Integridad. Nivel de seguridad
* Ligado a la mayor o menor facilidad de reobtener el activo con calidad suficiente, o sea completo y no corrupto para el uso que se desea darle
- Baja, si se puede reemplazar fácilmente con otro de igual calidad
- Normal, si se puede reemplazar con un activo de calidad semejante con una molestia razonable
- Alta, si la calidad necesaria es reconstruible difícil y costosamente
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Disponibilidad. Nivel de seguridad
* En función del periodo de tiempo máximo de carencia del activo
- Menos de una hora, considerado como fácilmente recuperable
- Hasta un día laborable, coincidente con un plazo habitual de recuperación con ayuda telefónica de especialistas externos o reposición con existencia local
- Hasta una semana, coincidente con un plazo normal de recuperación grave con ayuda presencial de especialistas, de reposición sin existencia o con arranque del centro alternativo
- Más de una semana, considerado como interrupción catastrófica
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Control de accesos
- Autorización de derechos de acceso
- Privilegios especiales innecesarios son causa de vulnerabilidad
- Identificar privilegios asociados a cada subsistema
- Privilegios a personas físicas, no a colectivos
- Reasignación temporal de privilegios
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Conceptos
- Datos: cualquier información concerniente a personas físicas identificadas o identificables
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Niveles de Seguridad
- Básico, datos de carácter personal no especiales
- Medio, con datos relativos a la comisión de infracciones administrativas o penales, a la Hacienda Pública y a los servicios financieros
- Alto, con datos relativos a ideología, creencias, origen racial, salud o vida sexual, o recabados para fines policiales sin consentimiento del
afectado
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Requisitos para cada Nivel de Seguridad
- Básico, los ya indicados de general uso en seguridad. Documento de Seguridad
- Medio, además: Responsable de Seguridad, Auditoría, Acceso físico restringido, gestión de soportes y de incidencias. Pruebas no con datos reales
- Alto, además: Cifrado en distribución y telecomunicaciones. Registro detallado de accesos. Copias externas seguras
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Normalización
- Facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas
- Según la cadena de :
+ Infraestructuras
+ Servicios
+ Contenidos
+ Accesibilidad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Interoperabilidad
- Interconexión de redes administrativas
- Protocolos de nivel bajo y medio
- Servicios de nombres de dominios (DNS)
- Protocolos de transferencia de ficheros
- Protocolos de transferencia de hipertexto
- Presentación e intercambio de datos
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Diseño de páginas Web
- Organización de las páginas
- Enlaces hipertextuales
- Multimedia
- Imágenes, animaciones y mapas
- “Scripts”, “applets” y “plug-ins”
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Accesibilidad de páginas Web
- Libertad de elección del software con el que se accede o visualiza la información administrativa
- Software libre o de fuente abierta
- Accesibilidad para personas con discapacidad
+ motrices
+ psíquicas
+ auditivas
+ visuales
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Conservación
- La conservación de los datos en soporte electrónico, como una etapa más del ciclo de vida de la información.
- Gestión de formatos, soportes y dispositivos de almacenamiento electrónico.
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Conservación de la información. Los documentos administrativos
- Función de constancia
+ Actos con su existencia, sus efectos y sus errores
+ Derecho de los ciudadanos a su acceso
- Función de comunicación
+ De la Admón: decisión, transmisión, constancia y juicio
+ Del administrado: Solicitud, Denuncia, Alegación y Recurso
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Aspectos de la Conservación
- Ciclo de vida de la Información
- Los Formatos
- Los Códigos y Juegos de caracteres
- Los Soportes
- La Perdurabilidad y Preservación
- Los Archivos físicos. Su jerarquía
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades