“Criterios de seguridad para el ejercicio de potestades”
VI Jornadas Iberoamericanas sobre Tecnología y Mercados de Capitales.
SCE - IIMV
Quito, marzo de 2004
Francisco Javier Nozal Millán
Director de Sistemas de Información
CNMV. España
Aspectos básicos
- Es otro enfoque de la Seguridad.
- Orientado a Organismos Públicos que ejercen potestades públicas
- Vinculado muy directamente con derechos y obligaciones de los ciudadanos
- Los datos de carácter personal y su privacidad son de gran relevancia
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (1)
- Proporcionar el conjunto de medidas organizativas y técnicas que garanticen el cumplimiento de los requisitos legales para la validez y eficacia de los procedimientos administrativos de los organismos Públicos, que utilicen medios electrónicos, informáticos y telemáticos en el ejercicio de sus potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (2)
- Facilitar la adopción generalizada por los Organismos Públicos las medidas que aseguren la protección proporcionada a los riesgos de los sistemas que aplicaciones que manejan
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Tres grandes objetivos (3)
- Promover el máximo aprovechamiento de las tecnologías de la información y de las comunicaciones en la actividad administrativa y asegurar a la vez el respeto de las garantías y derechos de los ciudadanos en su relación con las administraciones públicas
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad
- Relativos a la implantación de las medidas de seguridad en el diseño, desarrollo, implantación y explotación de los sistemas y aplicaciones para el ejercicio de potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Normalización
- Exponer las pautas para facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Conservación
- Relativos a la conservación de los datos y las informaciones en soporte electrónico que intervienen o manejan las aplicaciones para el ejercicio de potestades
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad
- Evitar la pérdida de la autenticidad, confidencialidad, integridad y disponibilidad en la información
- Enraizados en la gestión general de la seguridad de los sistemas de la organización
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (1/3)
- Política y Gestión de seguridad
- Organización y Planificación de la seguridad
- Análisis y gestión de riesgos
- Identificación y clasificación de activos a proteger
-Aspectos de seguridad ligados al personal
- Seguridad física
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (2/3)
- Autenticación
- Confidencialidad
- Integridad
- Disponibilidad
- Control de acceso
- Acceso a través de redes
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Seguridad para cada Aplicación. Contenido (2/3)
- Firma electrónica
- Protección de soportes y copias de respaldo
- Desarrollo y explotación de sistemas
- Gestión y registro de incidencias
- Plan de contingencias
- Auditoría y control de la seguridad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Organización y Planificación de la seguridad (entre otras)
- Concienciar al Usuario
- Responsable de la Aplicación
- Responsable de Seguridad
- Comité de Seguridad (en su caso)
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Responsable de la Aplicación
- Designar y autorizar a los usuarios
- Asignar los acceso, motivados, de usuario
- Definir plazos de vigencia administrativa de la información
- Promover la formación del personal vinculado con la aplicación y con los activos a proteger
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Responsable de la Seguridad de la Aplicación
- Elaborar la política de seguridad de la Ap.
- Diseñar, probar e implantar el plan de contingencias de la Ap.
- Informar sobre los niveles de seguridad alcanzados
- Dirigir la auditoría y control de seguridad
- Identificar, analizar e informar sobre los distintos incidentes de seguridad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Autenticación. Nivel de seguridad
* Ligado a la mayor o menor necesidad de formalización, de autorización y de responsabilización probatoria en el conocimiento o la comunicación de la información
- Baja, si no se quiere conocer autor ni responsable
- Normal, si se quiere conocer autor para evitar repudio de origen
- Alta, si se quiere además evitar repudio en destino
- Crítica, si se quiere la certificación de autor y de contenido
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Confidencialidad. Nivel de seguridad
- Libre, sin restricciones en su difusión
- Restringida, con restricciones normales
- Protegida, con restricciones altas
- Confidencial, no difundible por su carácter crítico
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Integridad. Nivel de seguridad
* Ligado a la mayor o menor facilidad de reobtener el activo con calidad suficiente, o sea completo y no corrupto para el uso que se desea darle
- Baja, si se puede reemplazar fácilmente con otro de igual calidad
- Normal, si se puede reemplazar con un activo de calidad semejante con una molestia razonable
- Alta, si la calidad necesaria es reconstruible difícil y costosamente
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Disponibilidad. Nivel de seguridad
* En función del periodo de tiempo máximo de carencia del activo
- Menos de una hora, considerado como fácilmente recuperable
- Hasta un día laborable, coincidente con un plazo habitual de recuperación con ayuda telefónica de especialistas externos o reposición con existencia local
- Hasta una semana, coincidente con un plazo normal de recuperación grave con ayuda presencial de especialistas, de reposición sin existencia o con arranque del centro alternativo
- Más de una semana, considerado como interrupción catastrófica
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Control de accesos
- Autorización de derechos de acceso
- Privilegios especiales innecesarios son causa de vulnerabilidad
- Identificar privilegios asociados a cada subsistema
- Privilegios a personas físicas, no a colectivos
- Reasignación temporal de privilegios
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Conceptos
- Datos: cualquier información concerniente a personas físicas identificadas o identificables
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Niveles de Seguridad
- Básico, datos de carácter personal no especiales
- Medio, con datos relativos a la comisión de infracciones administrativas o penales, a la Hacienda Pública y a los servicios financieros
- Alto, con datos relativos a ideología, creencias, origen racial, salud o vida sexual, o recabados para fines policiales sin consentimiento del afectado
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Ficheros de datos de Carácter Personal.
Requisitos para cada Nivel de Seguridad
- Básico, los ya indicados de general uso en seguridad. Documento de Seguridad
- Medio, además: Responsable de Seguridad, Auditoría, Acceso físico restringido, gestión de soportes y de incidencias. Pruebas no con datos reales
- Alto, además: Cifrado en distribución y telecomunicaciones. Registro detallado de accesos. Copias externas seguras
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Normalización
- Facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones y sistemas
- Según la cadena de :
+ Infraestructuras
+ Servicios
+ Contenidos
+ Accesibilidad
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Interoperabilidad
- Interconexión de redes administrativas
- Protocolos de nivel bajo y medio
- Servicios de nombres de dominios (DNS)
- Protocolos de transferencia de ficheros
- Protocolos de transferencia de hipertexto
- Presentación e intercambio de datos
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Diseño de páginas Web
- Organización de las páginas
- Enlaces hipertextuales
- Multimedia
- Imágenes, animaciones y mapas
- “Scripts”, “applets” y “plug-ins”
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Accesibilidad de páginas Web
- Libertad de elección del software con el que se accede o visualiza la información administrativa
- Software libre o de fuente abierta
- Accesibilidad para personas con discapacidad
+ motrices
+ psíquicas
+ auditivas
+ visuales
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Criterios de Conservación
- La conservación de los datos en soporte electrónico, como una etapa más del ciclo de vida de la información.
- Gestión de formatos, soportes y dispositivos de almacenamiento electrónico.
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Conservación de la información. Los documentos administrativos
- Función de constancia
+ Actos con su existencia, sus efectos y sus errores
+ Derecho de los ciudadanos a su acceso
- Función de comunicación
+ De la Admón: decisión, transmisión, constancia y juicio
+ Del administrado: Solicitud, Denuncia, Alegación y Recurso
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades
Aspectos de la Conservación
- Ciclo de vida de la Información
- Los Formatos
- Los Códigos y Juegos de caracteres
- Los Soportes
- La Perdurabilidad y Preservación
- Los Archivos físicos. Su jerarquía
Criterios de Seguridad, Normalización y Conservación para el ejercicio de Potestades