VI Jornadas Iberoamericanas sobre Tecnología y Mercados de … · 2014. 12. 23. · “Criterios de seguridad para el ejercicio de potestades” VI Jornadas Iberoamericanas sobre

“Criterios de seguridad para el ejercicio de potestades”

VI Jornadas Iberoamericanas sobre Tecnología y Mercados de Capitales.

SCE - IIMV

Quito, marzo de 2004

Francisco Javier Nozal Millán

Director de Sistemas de Información

CNMV. España

Aspectos básicos

- Es otro enfoque de la Seguridad.

- Orientado a Organismos Públicos que ejercen potestades públicas

- Vinculado muy directamente con derechos y obligaciones de los ciudadanos

- Los datos de carácter personal y su privacidad son de gran relevancia

Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades

Tres grandes objetivos (1)

- Proporcionar el conjunto de medidas organizativas y técnicas que garanticen el cumplimiento de los requisitos legales para la validez y eficacia de los procedimientos administrativos de los organismos Públicos, que utilicen medios electrónicos, informáticos y telemáticos en el ejercicio de sus potestades



- Facilitar la adopción generalizada por los Organismos Públicos las medidas que aseguren la protección proporcionada a los riesgos de los sistemas que aplicaciones que manejan



- Promover el máximo aprovechamiento de las tecnologías de la información y de las comunicaciones en la actividad administrativa y asegurar a la vez el respeto de las garantías y derechos de los ciudadanos en su relación con las administraciones públicas


Criterios de Seguridad

- Relativos a la implantación de las medidas de seguridad en el diseño, desarrollo, implantación y explotación de los sistemas y aplicaciones para el ejercicio de potestades


Criterios de Normalización

- Exponer las pautas para facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas


Criterios de Conservación

- Relativos a la conservación de los datos y las informaciones en soporte electrónico que intervienen o manejan las aplicaciones para el ejercicio de potestades


Criterios de Seguridad

- Evitar la pérdida de la autenticidad, confidencialidad, integridad y disponibilidad en la información

- Enraizados en la gestión general de la seguridad de los sistemas de la organización


Criterios de Seguridad para cada Aplicación. Contenido (1/3)

- Política y Gestión de seguridad

- Organización y Planificación de la seguridad

- Análisis y gestión de riesgos

- Identificación y clasificación de activos a proteger

-Aspectos de seguridad ligados al personal

- Seguridad física



- Autenticación

- Confidencialidad

- Integridad

- Disponibilidad

- Control de acceso

- Acceso a través de redes



- Firma electrónica

- Protección de soportes y copias de respaldo

- Desarrollo y explotación de sistemas

- Gestión y registro de incidencias

- Plan de contingencias

- Auditoría y control de la seguridad


Organización y Planificación de la seguridad (entre otras)

- Concienciar al Usuario

- Responsable de la Aplicación

- Responsable de Seguridad

- Comité de Seguridad (en su caso)


Responsable de la Aplicación

- Designar y autorizar a los usuarios

- Asignar los acceso, motivados, de usuario

- Definir plazos de vigencia administrativa de la información

- Promover la formación del personal vinculado con la aplicación y con los activos a proteger


Responsable de la Seguridad de la Aplicación

- Elaborar la política de seguridad de la Ap.

- Diseñar, probar e implantar el plan de contingencias de la Ap.

- Informar sobre los niveles de seguridad alcanzados

- Dirigir la auditoría y control de seguridad

- Identificar, analizar e informar sobre los distintos incidentes de seguridad


Autenticación. Nivel de seguridad

* Ligado a la mayor o menor necesidad de formalización, de autorización y de responsabilización probatoria en el conocimiento o la comunicación de la información

- Baja, si no se quiere conocer autor ni responsable

- Normal, si se quiere conocer autor para evitar repudio de origen

- Alta, si se quiere además evitar repudio en destino

- Crítica, si se quiere la certificación de autor y de contenido


Confidencialidad. Nivel de seguridad

- Libre, sin restricciones en su difusión

- Restringida, con restricciones normales

- Protegida, con restricciones altas

- Confidencial, no difundible por su carácter crítico


Integridad. Nivel de seguridad

* Ligado a la mayor o menor facilidad de reobtener el activo con calidad suficiente, o sea completo y no corrupto para el uso que se desea darle

- Baja, si se puede reemplazar fácilmente con otro de igual calidad

- Normal, si se puede reemplazar con un activo de calidad semejante con una molestia razonable

- Alta, si la calidad necesaria es reconstruible difícil y costosamente


Disponibilidad. Nivel de seguridad

* En función del periodo de tiempo máximo de carencia del activo

- Menos de una hora, considerado como fácilmente recuperable

- Hasta un día laborable, coincidente con un plazo habitual de recuperación con ayuda telefónica de especialistas externos o reposición con existencia local

- Hasta una semana, coincidente con un plazo normal de recuperación grave con ayuda presencial de especialistas, de reposición sin existencia o con arranque del centro alternativo

- Más de una semana, considerado como interrupción catastrófica


Control de accesos

- Autorización de derechos de acceso

- Privilegios especiales innecesarios son causa de vulnerabilidad

- Identificar privilegios asociados a cada subsistema

- Privilegios a personas físicas, no a colectivos

- Reasignación temporal de privilegios


Ficheros de datos de Carácter Personal.

Conceptos

- Datos: cualquier información concerniente a personas físicas identificadas o identificables

- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso



Niveles de Seguridad

- Básico, datos de carácter personal no especiales

- Medio, con datos relativos a la comisión de infracciones administrativas o penales, a la Hacienda Pública y a los servicios financieros

- Alto, con datos relativos a ideología, creencias, origen racial, salud o vida sexual, o recabados para fines policiales sin consentimiento del afectado



Requisitos para cada Nivel de Seguridad

- Básico, los ya indicados de general uso en seguridad. Documento de Seguridad

- Medio, además: Responsable de Seguridad, Auditoría, Acceso físico restringido, gestión de soportes y de incidencias. Pruebas no con datos reales

- Alto, además: Cifrado en distribución y telecomunicaciones. Registro detallado de accesos. Copias externas seguras


Criterios de Normalización

- Facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas

- Según la cadena de :

+ Infraestructuras

+ Servicios

+ Contenidos

+ Accesibilidad


Interoperabilidad

- Interconexión de redes administrativas

- Protocolos de nivel bajo y medio

- Servicios de nombres de dominios (DNS)

- Protocolos de transferencia de ficheros

- Protocolos de transferencia de hipertexto

- Presentación e intercambio de datos


Diseño de páginas Web

- Organización de las páginas

- Enlaces hipertextuales

- Multimedia

- Imágenes, animaciones y mapas

- “Scripts”, “applets” y “plug-ins”


Accesibilidad de páginas Web

- Libertad de elección del software con el que se accede o visualiza la información administrativa

- Software libre o de fuente abierta

- Accesibilidad para personas con discapacidad

+ motrices

+ psíquicas

+ auditivas

+ visuales


Criterios de Conservación

- La conservación de los datos en soporte electrónico, como una etapa más del ciclo de vida de la información.

- Gestión de formatos, soportes y dispositivos de almacenamiento electrónico.


Conservación de la información. Los documentos administrativos

- Función de constancia

+ Actos con su existencia, sus efectos y sus errores

+ Derecho de los ciudadanos a su acceso

- Función de comunicación

+ De la Admón: decisión, transmisión, constancia y juicio

+ Del administrado: Solicitud, Denuncia, Alegación y Recurso


Aspectos de la Conservación

- Ciclo de vida de la Información

- Los Formatos

- Los Códigos y Juegos de caracteres

- Los Soportes

- La Perdurabilidad y Preservación

- Los Archivos físicos. Su jerarquía


Documents

VI Jornadas Iberoamericanas sobre Tecnología y Mercados de … · 2014. 12. 23. · “Criterios de seguridad para el ejercicio de potestades” VI Jornadas Iberoamericanas sobre