PDF de programación - Elementos criptográficos para el Esquema Nacional de Seguridad

ELEMENTOS CRIPTOGRÁFICOS PARA EL
ESQUEMA NACIONAL DE SEGURIDAD

D. Jorge Dávila Muro

Facultad de Informática y CriptoLab – UPM

29 de Marzo de 2011

29/03/2011

© 2011 Jorge Dávila

1

Organización e Información

• Todo proceso colectivo precisa de Información

y capacidad para actuar.
La Administración requiere información cierta
para poder aplicar las leyes y normativas
vigentes.

•

Ley 30/1992, de 26
de noviembre, de
Régimen Jurídico de
las Administraciones
Públicas y del
Procedimiento
Administrativo
Común.

29/03/2011

© 2011 Jorge Dávila

2

La (e-)Administración Pública

• Tramite pseudo-electrónico o «trámite de Potemkin»,

sería aquel que es electrónico en los puntos en que
contacta con el ciudadano, pero manual en el resto del
procedimiento.

• Trámite Electrónico sería aquel que utiliza en todo su

recorrido sistemas y aplicaciones informáticas.

La ley 11/2007
• «Trámite Electrónico» (pero no lo define en su glosario).
• «Gestión Electrónica de los Procedimientos Administrativos»,
• «Actuación Administrativa Automatizada».
• «Procedimiento Electrónico», como aquel que es gestionado

electrónicamente en su totalidad.

Probablemente…

Hoy No Existe un genuino trámite electrónico completo,
de extremo a extremo, y funcionando.

29/03/2011

© 2011 Jorge Dávila

3

La (e-)Administración Pública

•

• Actualmente, lo que hay son «aplicaciones» y no

procedimientos administrativos electrónicos.
Esas aplicaciones informáticas específicas suelen
ser algo OSCURO, INDOMABLE y HERMÉTICO para
el gestor, y sólo son parcialmente controladas
gracias a las habilidades del informático de turno.

La «aplicaciones» suelen ser:
• Hojas de Cálculo genéricas.
• Bases de Datos locales o compartidas.
• Un SISTEMA INFORMÁTICOS CORPORATIVO

CENTRALIZADO y controlado por la
correspondiente Subdirección General de
Informática.

29/03/2011

© 2011 Jorge Dávila

4

Dificultades presentes ….

NO ES FÁCIL AUTOMATIZAR los trámites y
procedimientos administrativos:
– La Complejidad y Ambigüedad de la

legislación

– La Variable Interpretación de la ley según

criterios geográficos, temporales o según el
interlocutor.

– La elevada frecuencia de cambio en las

leyes y reglamentos.

– No han sido pensadas para su

– Están plagadas de Vicios y Prácticas del

automatización.

trámite manual.

lo anterior.

– La escasez de recursos e ideas para corregir

29/03/2011

© 2011 Jorge Dávila

5

El Desarrollo del ENS….

•

Fundamentar la CONFIANZA en que los Sistemas de
Información.

• Asegurar:

– Que funcionan de acuerdo con sus especificaciones

funcionales, sin interrupciones o modificaciones fuera de
control.

– Que la información no puede llegar a personas no

autorizadas.

•

•

Se desarrollará y perfeccionará en paralelo a la
evolución de los servicios y el paso del tiempo.
La seguridad va más allá de la protección individual de
cada sistema.

• Hay que evitar «TIERRAS DE NADIE» y «FRACTURAS o
FISURAS» que pudieran dañar a la información o a los
servicios prestados.

29/03/2011

© 2011 Jorge Dávila

6

Teniendo en cuenta….

•

•
•
•
•
•

•
•

La normativa nacional sobre Administración
electrónica.
La Protección de Datos de Carácter Personal.
La ley de Firma electrónica.
El DNI electrónico,
El Centro Criptológico Nacional (CCN).
La regulación de diferentes instrumentos y
servicios de la Administración,
Las directrices y guías de la OCDE y
Las disposiciones nacionales e internacionales
sobre normalización.

29/03/2011

© 2011 Jorge Dávila

7

Artículo 1. Los Objetivos.

«Establecer los principios básicos y requisitos mínimos que, según
el interés general, naturaleza y complejidad de la materia
regulada, den una protección adecuada a la información y
servicios.»

El ENS se aplica alas Administraciones públicas
para asegurar:
 Acceso,
 Integridad,
 Disponibilidad,
 Autenticidad,
 Confidencialidad,
 Trazabilidad y
 Conservación de datos.

29/03/2011

© 2011 Jorge Dávila

8

Los Principios Básicos

Recuperación.

o Seguridad Integral.
o Gestión de Riesgos.
o Prevención, Detección y
o Líneas de Defensa (perímetros).
o Reevaluación periódica.
o Funciones Diferenciadas.

Artículo 5. LA SEGURIDAD COMO UN PROCESO INTEGRAL.

«La seguridad se entenderá como un proceso integral constituido por todos los
elementos técnicos, humanos, materiales y organizativos, relacionados con el
sistema.»

Se presta máxima atención a la concienciación de las PERSONAS:

«Ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones
inadecuadas, deben ser fuentes de riesgo para la seguridad.»

29/03/2011

© 2011 Jorge Dávila

9

Cómo hacerlo….

Artículo 6. GESTIÓN DE LA SEGURIDAD BASADA EN LOS
RIESGOS.

«El análisis y gestión de riesgos será parte esencial del
proceso de seguridad y deberá mantenerse
permanentemente actualizado.»

Artículo 7. Prevención, Reacción y Recuperación.
 Prevención para que no se den,
 Detección para que no continúen,
 Corrección, para que no afecten gravemente.

Además…

«El sistema garantizará la CONSERVACIÓN de los
datos e informaciones en soporte electrónico»

29/03/2011

© 2011 Jorge Dávila

10

Líneas de defensa.

•

El sistema ha de disponer de una
estrategia de protección constituida por
múltiples capas de seguridad, dispuesta
de forma que, cuando una de las capas
falle, permita:

– Ganar tiempo para una reacción

adecuada.

– Reducir la probabilidad de que el

sistema sea globalmente
comprometido.

– Minimizar el impacto final.

29/03/2011

© 2011 Jorge Dávila

11

Requisitos Mínimos …

• Organización e implantación del proceso de seguridad.
• Análisis y gestión de los riesgos.
• Gestión de personal.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos.
• Seguridad por defecto.
•
• Protección de la información almacenada y en tránsito.
• Prevención ante los sistemas interconectados.
• Registro de actividad.
• Gestión de Incidentes de seguridad.
• Planes de Continuidad de la actividad.
• Mejora continua del proceso de seguridad.

Integridad y actualización del sistema.

Todos los órganos
superiores de las
AAPP deberán
disponer de su…
Política de
Seguridad

29/03/2011

© 2011 Jorge Dávila

12

Sobre Personal y Profesionalidad

Artículo 14. Gestión de personal.

«Todo el personal relacionado con la información y
los sistemas deberá ser FORMADO e INFORMADO
de sus deberes y obligaciones en materia de
seguridad. Sus actuaciones deben ser supervisadas
para verificar que se siguen los procedimientos
establecidos.»

Artículo 15. Profesionalidad.

«La seguridad de los sistemas estará atendida,
revisada y auditada por personal CUALIFICADO,
DEDICADO e INSTRUIDO en todas las fases de su
ciclo de vida: instalación, mantenimiento, gestión
de incidencias y desmantelamiento. «

29/03/2011

© 2011 Jorge Dávila

13

La Seguridad por Defecto.

Hay que Diseñar y Configurar para obtener la
SEGURIDAD POR DEFECTO:
o Mínima funcionalidad.
o Las funciones de operación, administración y

registro de actividad serán las mínimas necesarias,
– … y sólo accesibles por las personas y desde

emplazamientos autorizados.

o Se eliminarán o desactivarán las funciones que

sean INNECESARIAS e INADECUADAS al fin que se
persigue.

o El uso del sistema debe ser sencillo y seguro, la

utilización insegura REQUIERA de un acto
consciente por parte del usuario.

29/03/2011

© 2011 Jorge Dávila

14

Protección de Información
Almacenada y en Tránsito.

•

•

•

Especial atención a la INFORMACIÓN ALMACENADA O
EN TRÁNSITO.
– Cuidado con los equipos portátiles, PDAs, tablets,

smartphones, memorias USB, MP3 y MP4s, dispositivos
periféricos, redes abiertas o con cifrado débil, etc.

Forman parte de la seguridad los procedimientos que
aseguren la RECUPERACIÓN Y CONSERVACIÓN a largo
plazo de los documentos electrónicos.

Toda información en soporte no electrónico, que haya
sido causa o consecuencia directa de la información
electrónica, deberá estar protegida con el mismo grado
de seguridad que ésta.

29/03/2011

© 2011 Jorge Dávila

15

Los Registros de Actividad.

•
•

•

Se registrarán las actividades de los usuarios,
Se retendrá información para el análisis,
investigación y documentación de actividades
indebidas o no autorizadas.
Se identificará en cada momento a la persona
que actúa.

«…con plenas garantías del derecho al honor, a la
intimidad personal y familiar y a la propia imagen de
los afectados, y de acuerdo con la normativa sobre
protección de datos personales.»

• Artículo 24. Incidentes de seguridad.
• Artículo 25. Continuidad de la actividad.

29/03/2011

© 2011 Jorge Dávila

16

Seguridad de las Comunicaciones.

•

El ENS establece las condiciones técnicas de
seguridad de las comunicaciones en lo relativo a:

1. Generar evidencia de transmisión y

recepción,

2. Establecer su fecha y hora,
3. Verificar la Integridad del contenido
4. Exigir la Identificación fidedigna del

remitente y destinatario.

Estas comunicaciones tendrán
valor y la eficacia jurídica
(Evidencias Digitales)

29/03/2011

© 2011 Jorge Dávila

17

Notificaciones y Publicaciones electrónicas.

Las notificaciones y publicaciones
electrónicas deben:
– Asegurar la autenticidad del organismo

que lo publique.

– Asegurar la integridad de la

información publicada.

– Dejar constancia de la fecha y hora de
publicación o notificación, así como del
acceso a su contenido.

– Asegurar la autenticidad del

destinatario de la publicación o
notificación.

29/03/2011

© 2011 Jorge Dávila

18

Las Categorías del ENS.

Valor

Costes

• La categoría depende del EQUILIBRIO entre la

importancia de la información, los servicios
que presta y el esfuerzo requerido para su
protección, en según los riesgos a los que está
expuesto.

• Se aplica el principio de PROPORCIONALIDAD.

• La determinación de la categoría se efectúa en

función de las CONSECUENCIAS que tendría
un incidente en la información o