08_22092010_1700_presentacion
Upload: comite-de-informatica-de-la-administracion-publica-estatal-y-municipal-ac
Post on 08-Dec-2014
553 views
DESCRIPTION
TRANSCRIPT
Seguridad Integral de la Información y su Aplicación en Procesos Gubernamentales
Septiembre 22, 2010
Los Datos como un activo
Algún día, en los estados financieros, habrá un rubro en los activos que se leerá como “Información”; pues en la mayoría de los casos, la información es más valiosa que el hardware que la procesa.
– Grace Murray Hopper, USN (Ret)
CONTENIDO
• Documento Electrónico Seguro (Creación y Traslado)
• DLP & Archiving (Almacenamiento y Destrucción)
• Visión Integral – Aplicaciones/Beneficios
Documento Electrónico Seguro
HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO
• Qué se firmó ?
• Quiénes lo firmaron ?
• Cuándo lo firmaron ?
Qué se Firmó ? …
• El contenido del mensaje de datos, el conjunto de bits que forman el mensaje
• Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden a firmarlo electrónicamente
Mensaje de Datos Proceso de
Digestión (Hash)Digestión Firma Electrónica
Avanzada (FEA)Mensaje FirmadoEncripción
Llave Privada
Qué se Firmó ? …
• Al autenticar una FEA es posible determinar si ésta fue aplicada a un mensaje de datos en particular
Mensaje de Datos Proceso de Digestión (Hash)
Digestión (1)Firma Electrónica Avanzada (FEA)
Mensaje Firmado
Digestión (2)
Comparación de Digestiones
No autentico<>
Autentico
=
Llave Pública
Desencripción
Quiénes lo firmaron ? …
• Son los participantes que aceptaron el contenido del mensaje de datos y dieron su aceptación utilizando su Llave Privada para generar la FEA
• El Certificado Digital liga la identidad de los firmantes con su Llave Pública, que por su relación con la Privada permite determinar el autor de una FEA
Privada
Pública
Autoridad Certificadora
• Es un tercero confiable (Trusted Third Party - TTP)
• Valida identidad de quien presenta requerimiento
• Autentica requerimiento para determinar que el dueño del mismo es propietario de la Llave Privada que corresponde a la Pública dentro del requerimiento
• Agrega sus Datos a los datos del requerimiento, agrega período de validez, asigna número de serie y lo Firma Electrónicamente generando el Certificado Digital
Requerimiento de Certificación
Certificado Digital
Quiénes lo firmaron ? …
• Al ser el Certificado Digital un mensaje firmado electrónicamente, este se puede autenticar y determinar:o Que el Certificado no ha sido alterado (es integro)o Que el Certificado fue emitido por una Autoridad Certificadora
confiable (TTP)o Que el Certificado se encuentra en su período de validez
• Teniendo el mensaje firmado electrónicamente por los diferentes participantes y sus correspondientes Certificados Digitales, podemos determinar:o Que el mensaje no ha sido alterado desde el momento de su firma (es
integro)o Que los participantes firmaron el mismo mensajeo Que el mensaje se firmó con ciertas Llaves Privadas específicas (es
auténtico)o Que una Tercero Confiable validó la identidad de los firmantes
avalando que estos son los poseedores de la Llave Privada con la que se realizaron las firmas
Certificados DigitalesMensaje Firmado
Cuándo lo firmaron ? …
• Es necesario determinar si el Certificado Digital del firmante era válido al momento de realizar la firma del mensaje (No Revocado)o Si se firmó antes del momento de la revocación, la firma es válidao Si se firmó después del momento de la revocación, la firma se
considera inválida y se debe rechazar el mensaje
• Es necesario determinar si en su ámbito aplicativo el mensaje tenía validez al momento de su firma (Ejemplo: Una subasta o un concurso con fecha límite para entrega de propuestas)
• Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA) también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo
Cuándo lo firmaron ? …
Mensaje firmado Proceso de Digestión (Hash)
Digestión
Internet
Time Stamp Authority (TSA)
Estampilla de Tiempo
Receptores de Mensajes
Firmantes
QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …
• X.509 para Certificados Digitales
• OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado.
• TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora.
• PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes Criptográficos, incluyendo mensajes firmados electrónicamente.
EJEMPLO DOCUMENTO ELECTRONICO SEGURO…
• Lo que se firmó…
• Quienes lo firmaron…
• Cuando lo firmaron…
DLP & Archiving
Necesidades del Mercado
• Las empresas están respondiendo a las necesidades del mercado en cuestión de proteger la información sensible a las amenazas, abuso de privilegios en la información y fugas de información.
• Las organizaciones que manejan datos sensibles, números de tarjetas de crédito e información de la salud de pacientes deben implementar medidas de seguridad.o Las instituciones financieras deben protejer a sus clientes de fraudes y
robo de identidad.o La perdida de información confidencial puede causar el cumplimiento
de infracciones, demandas con clientes y / o pacientes, potencial robo de identidad y un significante daño en la reputación y credibilidad de la organización.
o Cerca de un tercio de los clientes terminan su relación con la organizacion despues de una brecha de seguridad. *
*Fuente : Ponemon study: “Consumer's Report Card on Data Breach Notification” Abril 2008
Como sucede la perdida de datos• En la industria, los empleados sin ninguna mala intención simplemente
pueden poner inadvertidamente la información en peligro, a veces dando por resultado perdida de datos.
Situaciones de perdida de información
Transacciones &Actividades de
Monitoreo
Almacenaje y disposición
Desarrollos y Accesos a producción
TercerosBases deDatos
Comunics.Medios Mobiles
Áreas clavesCumplimiento
Auditoría
Operacional
Financiero
Marca
Estrategia de protección de datos
• Hallazgos de auditoría contra las políticas corporativas
• Normatividad emitida por el Consejo
• IMPI
• Incremento en el interes de protección de datos de consumidores (PROFECO)
• Evitar gastos (honorarios por litigios)
• Notificaciones e indemnizaciones
• Limitaciones presupuestarias • Limitaciones
operacionales
• Separación geográfica de las unidades operativas
• Diferentes niveles de madurez y concientización entre las unidades operacionales
• Eficiencia operativa
• Mayor reglamentación, control y cumplimiento (p.e., CNBV)
• Lineamientos para la protección de datos personales
Areas clave para implementar una estrategia de protección de datos
Con el establecimiento de nuevas regulaciones, el incremento de amenazas internas y externas y el enfoque de valor en los datos corpoativos, existe un nuevo enfoque en proteger los datos más alla del tradicional control de acceso
• Una estrategia de protección de datos corporativo comienza con la comprensión de lo que son sus activos. No todos los datos se pueden proteger por igual – debemos entender lo que necesita ser protegido
• El establecimiento de perfiles de riesgo ayuda a las organizaciones a entender su panorama y contribuir al establecimiento de políticas de seguridad para determinar cómo los sistemas / aplicaciones están configurados, qué derechos tienen los usuarios, y qué mecanismos de seguridad deben proteger los datos sensibles (datos de interés).
Consideraciones para la protección de datos
1 32
Contenido descubierto
Monitoreo de actividades
Monitoreo del Punto Final
Monitoreo de Red
Administración Central, Manejo de Políticas y Flujo de Trabajo
Propietarios de los datos del negocio
Administradores DLP
Manejo de Políticas
DLP Modelo de Solución Conceptual
Datos en MovimientoDatos en Uso Datos en Reposo
Uso de Llaves Criptográficas
Uso de Llaves Criptográficas
Uso de Llaves Criptográficas
* * * * *
En el tema de Almacenamiento a Largo Plazo, no existen los mecanismos adecuados que permitan garantizar la autenticidad e integridad de los mensajes de datos con el paso de los años.
La razón de esta problemática se debe a que los algoritmos criptográficos y la tecnología en general son muy dinámicos, por ello, lo que se considera como seguro hoy día, no lo será en algunos años, por lo que no se puede garantizar el responder a ciencia cierta el Qué ?, Quién ? Y Cuándo ? Con el paso del tiempo.
Un documento electrónico firmado hoy día usando SHA-1 y RSA 1024 bits, con el paso de los años podría ser “falsificado”, ya que se tendrá el poder de cómputo para “romper” las llaves RSA y hacerse pasar por el dueño de las mismas; dada esta situación, sería imposible garantizar en unos 3 años que un documento que dice haberse firmando electrónicamente en el 2007 es Auténtico e Integro.
Para evitar esta situación, se requiere de un “Refrendo Electrónico” que permita utilizar nuevas tecnologías tiempo antes de que las tecnologías originales utilizadas en la firma de los mensajes de datos se consideren obsoletas o “atacables”, además de que se incorpora la figura de un tercero confiable que pudiera “dar fe” que la información ha conservado sus atributos de Integridad y Autenticidad desde le momento en que fue creada.
Refrendo Electrónico
Mensaje Firmado MD5 – RSA 1024 bits
SHA-256
Documento + Refrendo
• Garantía de la Integridad y Autenticidad del Documento en el
tiempo
Trusted Third Party
Encripción – ECDSA P-256
Estándares internacionales relacionados…
• OAIS : ISO-14721 reference model for Open Archival Information System
• NF Z42-013 AFNOR: technical and organizational requirements for data conservation and guarantee of integrity over time
• Moreq 2 : Model Requirements Specification for the Management of Electronic Records
Temas a considerar…
• Servicio de Refrendo Electrónico para garantizar la Integridad y Autenticidad de los documentos con el paso del tiempo utilizando los Algoritmos y Llaves Electrónicas considerados como “fuertes” al momento en el que se realiza el refrendo
• Dispositivos de almacenamiento con capacidades WORM (Write Once, Read Many) para evitar el borrado de información
• Control de Acceso a la información
• Logs seguros para registrar las acciones realizadas sobre la información (Quién acceso la información ? y Qué acciones realizó ?)
• Esquema de Alta Disponibilidad, respaldo y replicación
• Garantizar infraestructura para apertura de archivos en formatos específicos con el paso del tiempo
Visión Integral Aplicaciones/Beneficios
VISION INTEGRAL
Soluciones integrales de PKISubcomisión de Firma Electrónica Avanzada
Infraestructura de PKI
Recursos Humanos
Infraestructura Física
Políticas y Procedimientos
Entorno Aplicativo
PKI
• Aplicar un marco metodológico para la implementación de “Gobierno Digital y una Oficina sin papel” , contemplando la protección y seguridad de la información según las mejores prácticas y estándares internacionales.
• Implementar de forma estructurada los modelos resultantes para el manejo de la información desde el enfoque de todos los entes involucrados: sistemas, gente, procesos, tecnología, legislación
• Ofrecer la tecnología necesaria que construya procesos robustos y seguros de oficina sin papel con mecanismos de preservación de la información a largo plazo, que contemple:o Firma Electrónica.o Almacenamiento y preservación a largo plazo
Donde lo puedo aplicar ?
REGISTROS PUBLICOS DE LA PROPIEDAD Y DEL COMERCIO
La implementación de soluciones de Firma Electrónica aplicada a procesos registrales dota de transparencia a sus acciones.
Con reglas y mecanismos actuales más eficientes en materia de acceso a la información del Registro Público de la Propiedad y el Comercio, se lleva a cabo un esfuerzo continuo de acercar y facilitar al ciudadano la realización del trámite «Certificados de Libertad o Gravamen» mediante la protección de la información con Firma Electrónica, otorgando elementos de Autenticidad, Integridad y no Repudio.
Algunas Soluciones de Firma Electrónica para RPPyC
Certificados de Libertad o Gravamen
¿Qué es el Certificado de Gravamen?
El Certificado de Gravamen es el documento por medio del cual, el registrador de la propiedad da fe sobre las cargas o limitaciones a la propiedad de la que se pide la información, mediante la emisión de la certificación del estado registral que guarda un bien.¿Qué es el Certificado de Libertad de Gravamen?
El certificado de libertad de gravamen es el documento a través del cual, el registrador da fe del estado de libertad absoluta que guarda un bien en relación a cualquier situación concerniente a los gravámenes o limitaciones de dominio.
FLUJO BÁSICO – CERTIFICADOS DE LIBERTAD O GRAVAMEN.
BENEFICIOS
• Eficiencia de la gestión registral• Reducción de burocracia• Mayores beneficios, menores costos• Transparencia en los trámites y servicios al ciudadano• Agilidad en la resolución de trámites• Combate a la corrupción• Modernización de los procesos administrativos• Resultados rápidos, en beneficio del ciudadano
Un REGISTRO PÚBLICO DE LA PROPIEDAD Y EL COMERCIO eficaz, moderno y transparente
Algunas Soluciones aplicables a Justicia
FLUJO BÁSICO – OFICIALÍA DE PARTES - JUZGADO.
Notificaciónelectrónica
Promociónelectrónica
SELLO
• Eficiencia de la gestión jurídica• Procuración de justicia pronta y expedita.• Resguardo seguro de información a largo plazo.• Intercambio seguro de información entre instancias judiciales.• Transparencia en los Procesos Judiciales• Agilidad en la resolución de trámites• Combate a la corrupción• Modernización de los procesos administrativos• Agilidad en la impartición de justicia hacia el ciudadano.
Un PODER JUDICIAL eficaz, moderno y transparente
Beneficios de la Firma electrónica en la Procuración e Impartición de Justicia
• Incorporar a los comprobantes de pagos realizados por la ciudadanía un mecanismo que asegure la autenticidad, validez e integridad de la información de los mismos.
• Incorporar en los sistemas de información contable del Gobierno la funcionalidad de recepción de los Comprobantes Fiscales Digitales por parte de sus proveedores.
• Generar una Addenda (información de uso particular para el Gobierno del Estado) para poder intercambiar con los proveedores información adicional y que sea de utilidad para el Gobierno.
Sello digital para Comprobantes de pago y Recepción de Comprobante Fiscal Digital (CFD) - Objetivos
Certificados de Libre Gravamen SimpleCertificados de Libre Gravamen Notariado
Emisión de Actas de NacimientoPublicación del Diario OficialApertura Rápida de Empresas
Aplicaciones de Gobierno digital en los Estados
4 Estados realizando estos procesos
3 Estados realizando estos procesos
Control de PresupuestosDeclaraciones patrimoniales
Control PresupuestalOficio Electrónico Compras y Adquisiciones
Notificaciones Personales ElectrónicasPromociones Electrónicas
Oficio Electrónico Interno
Aplicaciones de Gobierno digital en los Estados
1 Estado realizando estos 3 procesos
1 Estado realizando estos 2 procesos
1 Estado realizando estos 2 procesos
1 Estado realizando este proceso
Modelo de Solución
Archiving
MARCO NORMATIVO
Procesos & Información Información Electrónica Gestión de información Archivo digital
Porqué hacer todo esto ?
Estimados de costos de elaboración y envío de oficios
Descripción CostosCosto
Unitario
Paquete de 500 hojas $40.02 $0.08
Toner de impresión para5000 hojas $3,108.00 $0.62
Gasolina por día(5 oficios diario en promedio) $30.00 $6.00
Costo de envío Hora-Hombre por día (5 oficios diario en promedio) $118.00 $23.60
Total precio por oficio en papel $30.30
Nota: Estos costos son un estimado de lo que cuesta generar y enviar un oficio, los costos de gasolina y hora hombre son aproximados por la variación que existe en volumen de oficios y distancia de la entrega de los mismos. No se estimaron costos de luz y mantenimiento de vehículos.
http://laip.sinaloa.gob.mx/ciapem2006/presentacion/MinervaOrtegaDuenas.ppt
Estimado de total de hojas
Estudio realizado en el período del 1 de enero al 24 de junio del 2004
603,311.00
$30.30
Proyección de Reducción de Costos
$ 10,479,944 M.N.Reducción en el gasto por Oficio Electrónico de $24.46
• Implementación de Oficio sin papel• Gastos en Infraestructura• Energía Eléctrica, sitio x 6 meses
Costo Total
$ 2,500,000 M.N.
Considerando 603,311 hojas impresas las diferentes Secretarías de Gobierno (del 1 de enero al 24 de junio del 2004 ).
Costo por Oficio electrónico ($2,500,000/428,381) es $5.83 M.N.
En términos de Retorno de la Inversión del proyecto es de 400%.
En términos de Pay Back Period el proyecto se paga en menos de dos meses.
Impacto Ambiental
El riesgo de no invertir en proyectos de este tipo no es solo financiero sino también ambiental.
Tomando en cuenta que de un árbol de 5 años de edad se obtienen 10,000 hojas, evitaríamos cortar cientos de árboles por semestre conservando nuestro ecosistema.
Incluso el ciclo de vida del papel es responsable de la degradación del ambiente en diversos lugares del planeta.
Las estadísticas de consumo per cápita de papel se citan a menudo como un indicador del nivel de vida de un país. Desgraciadamente, también podría utilizarse como indicador de la contribución a la contaminación de las aguas, la atmósfera y el suelo; a la tala de bosques y a la generación de basura.
Cómo hacerlo ?
ROADMAP – Gobierno Digital y Oficina sin papel
Soluciones Tecnológicas en Esquema SaaS…
bSigned
Acuerdos Electrónicos
Internet
Conservación de Mensajes de Datos (NOM-151)
Conclusiones
ES NECESARIO TENER UNA VISION INTEGRAL DE LO QUE IMPLICA IMPLEMENTAR UNA SOLUCION CON INFORMACION SEGURA Y LEGALMENTE VALIDA A TRAVES DEL TIEMPO…
• Tecnología para implantar la Infraestructura tecnológica de seguridad.• Alineamiento con iniciativas gubernamentales (ITFEA, leyes estatales de firma,
Lineamientos para la protección de datos personales, NOM-151, etc.).• SOLUCIONES soportadas por metodologías y regulaciones.• Avalar la robustez y confiabilidad de la infraestructura tecnológica sobre la cual
está instalada la solución de PKI y de protección de la información.• Incorporar seguridad en los procesos institucionales mediante el diseño de
procesos de seguridad.• Normatividad.• Administración del cambio para incorporar procesos con Firma Electrónica
Avanzada.• Diseño y desarrollo de soluciones que incorporen objetivos de seguridad.• Apoyo jurídico para regular el uso de las herramientas de protección de la
información (ej. firma electrónica avanzada)
EFICIENCIA , TRANSPARENCIA Y SEGURIDAD…
• Eficientar procesos y reducir costoso Eliminación de gastos en papelo Eliminación de gastos en toner o cartuchos para impresoraso Eliminación de gastos de mensajería para traslado de documentoso Eliminación de riesgos en el traslado de documentos confidenciales
(perdida, robo, apertura, alteraciones y maltratos)o Eliminación de espacio físico para almacenamiento de los documentoso Disminución dramática en los tiempos de gestión de firmas de
documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)
o Disminución dramática en tiempos de búsqueda de documentoso Disminución del riesgo en documentos ya almacenados (robo,
alteraciones y maltratos)