Seguridad Integral de la Información y su Aplicación en Procesos Gubernamentales

Septiembre 22, 2010

Los Datos como un activo

Algún día, en los estados financieros, habrá un rubro en los activos que se leerá como “Información”; pues en la mayoría de los casos, la información es más valiosa que el hardware que la procesa.

– Grace Murray Hopper, USN (Ret)

CONTENIDO

• Documento Electrónico Seguro (Creación y Traslado)

• DLP & Archiving (Almacenamiento y Destrucción)

• Visión Integral – Aplicaciones/Beneficios

Documento Electrónico Seguro

HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO

• Qué se firmó ?

• Quiénes lo firmaron ?

• Cuándo lo firmaron ?

Qué se Firmó ? …

• El contenido del mensaje de datos, el conjunto de bits que forman el mensaje

• Los participantes en un acuerdo negocian este contenido, y una vez aceptado, proceden a firmarlo electrónicamente

Mensaje de Datos Proceso de

Digestión (Hash)Digestión Firma Electrónica

Avanzada (FEA)Mensaje FirmadoEncripción

Llave Privada

Qué se Firmó ? …

• Al autenticar una FEA es posible determinar si ésta fue aplicada a un mensaje de datos en particular

Mensaje de Datos Proceso de Digestión (Hash)

Digestión (1)Firma Electrónica Avanzada (FEA)

Mensaje Firmado

Digestión (2)

Comparación de Digestiones

No autentico<>

Autentico

=

Llave Pública

Desencripción

Quiénes lo firmaron ? …

• Son los participantes que aceptaron el contenido del mensaje de datos y dieron su aceptación utilizando su Llave Privada para generar la FEA

• El Certificado Digital liga la identidad de los firmantes con su Llave Pública, que por su relación con la Privada permite determinar el autor de una FEA

Privada

Pública

Autoridad Certificadora

• Es un tercero confiable (Trusted Third Party - TTP)

• Valida identidad de quien presenta requerimiento

• Autentica requerimiento para determinar que el dueño del mismo es propietario de la Llave Privada que corresponde a la Pública dentro del requerimiento

• Agrega sus Datos a los datos del requerimiento, agrega período de validez, asigna número de serie y lo Firma Electrónicamente generando el Certificado Digital

Requerimiento de Certificación

Certificado Digital

Quiénes lo firmaron ? …

• Al ser el Certificado Digital un mensaje firmado electrónicamente, este se puede autenticar y determinar:o Que el Certificado no ha sido alterado (es integro)o Que el Certificado fue emitido por una Autoridad Certificadora

confiable (TTP)o Que el Certificado se encuentra en su período de validez

• Teniendo el mensaje firmado electrónicamente por los diferentes participantes y sus correspondientes Certificados Digitales, podemos determinar:o Que el mensaje no ha sido alterado desde el momento de su firma (es

integro)o Que los participantes firmaron el mismo mensajeo Que el mensaje se firmó con ciertas Llaves Privadas específicas (es

auténtico)o Que una Tercero Confiable validó la identidad de los firmantes

avalando que estos son los poseedores de la Llave Privada con la que se realizaron las firmas

Certificados DigitalesMensaje Firmado

Cuándo lo firmaron ? …

• Es necesario determinar si el Certificado Digital del firmante era válido al momento de realizar la firma del mensaje (No Revocado)o Si se firmó antes del momento de la revocación, la firma es válidao Si se firmó después del momento de la revocación, la firma se

considera inválida y se debe rechazar el mensaje

• Es necesario determinar si en su ámbito aplicativo el mensaje tenía validez al momento de su firma (Ejemplo: Una subasta o un concurso con fecha límite para entrega de propuestas)

• Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA) también conocida como Oficialía de Partes, que de fe que una transacción ocurre a cierta fecha y hora a través de la emisión de estampillas de tiempo

Cuándo lo firmaron ? …

Mensaje firmado Proceso de Digestión (Hash)

Digestión

Internet

Time Stamp Authority (TSA)

Estampilla de Tiempo

Receptores de Mensajes

Firmantes

QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …

• X.509 para Certificados Digitales

• OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las Autoridades Certificadoras sobre el estatus de revocación de un certificado.

• TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la existencia de un contenido a una determinada fecha y hora.

• PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes Criptográficos, incluyendo mensajes firmados electrónicamente.

EJEMPLO DOCUMENTO ELECTRONICO SEGURO…

• Lo que se firmó…

• Quienes lo firmaron…

• Cuando lo firmaron…

DLP & Archiving

Necesidades del Mercado

• Las empresas están respondiendo a las necesidades del mercado en cuestión de proteger la información sensible a las amenazas, abuso de privilegios en la información y fugas de información.

• Las organizaciones que manejan datos sensibles, números de tarjetas de crédito e información de la salud de pacientes deben implementar medidas de seguridad.o Las instituciones financieras deben protejer a sus clientes de fraudes y

robo de identidad.o La perdida de información confidencial puede causar el cumplimiento

de infracciones, demandas con clientes y / o pacientes, potencial robo de identidad y un significante daño en la reputación y credibilidad de la organización.

o Cerca de un tercio de los clientes terminan su relación con la organizacion despues de una brecha de seguridad. *

*Fuente : Ponemon study: “Consumer's Report Card on Data Breach Notification” Abril 2008

Como sucede la perdida de datos• En la industria, los empleados sin ninguna mala intención simplemente

pueden poner inadvertidamente la información en peligro, a veces dando por resultado perdida de datos.

Situaciones de perdida de información

Transacciones &Actividades de

Monitoreo

Almacenaje y disposición

Desarrollos y Accesos a producción

TercerosBases deDatos

Comunics.Medios Mobiles

Áreas clavesCumplimiento

Auditoría

Operacional

Financiero

Marca

Estrategia de protección de datos

• Hallazgos de auditoría contra las políticas corporativas

• Normatividad emitida por el Consejo

• IMPI

• Incremento en el interes de protección de datos de consumidores (PROFECO)

• Evitar gastos (honorarios por litigios)

• Notificaciones e indemnizaciones

• Limitaciones presupuestarias • Limitaciones

operacionales

• Separación geográfica de las unidades operativas

• Diferentes niveles de madurez y concientización entre las unidades operacionales

• Eficiencia operativa

• Mayor reglamentación, control y cumplimiento (p.e., CNBV)

• Lineamientos para la protección de datos personales

Areas clave para implementar una estrategia de protección de datos

Con el establecimiento de nuevas regulaciones, el incremento de amenazas internas y externas y el enfoque de valor en los datos corpoativos, existe un nuevo enfoque en proteger los datos más alla del tradicional control de acceso

• Una estrategia de protección de datos corporativo comienza con la comprensión de lo que son sus activos. No todos los datos se pueden proteger por igual – debemos entender lo que necesita ser protegido

• El establecimiento de perfiles de riesgo ayuda a las organizaciones a entender su panorama y contribuir al establecimiento de políticas de seguridad para determinar cómo los sistemas / aplicaciones están configurados, qué derechos tienen los usuarios, y qué mecanismos de seguridad deben proteger los datos sensibles (datos de interés).

Consideraciones para la protección de datos

1 32

Contenido descubierto

Monitoreo de actividades

Monitoreo del Punto Final

Monitoreo de Red

Administración Central, Manejo de Políticas y Flujo de Trabajo

Propietarios de los datos del negocio

Administradores DLP

Manejo de Políticas

DLP Modelo de Solución Conceptual

Datos en MovimientoDatos en Uso Datos en Reposo

Uso de Llaves Criptográficas

Uso de Llaves Criptográficas

Uso de Llaves Criptográficas

* * * * *

En el tema de Almacenamiento a Largo Plazo, no existen los mecanismos adecuados que permitan garantizar la autenticidad e integridad de los mensajes de datos con el paso de los años.

La razón de esta problemática se debe a que los algoritmos criptográficos y la tecnología en general son muy dinámicos, por ello, lo que se considera como seguro hoy día, no lo será en algunos años, por lo que no se puede garantizar el responder a ciencia cierta el Qué ?, Quién ? Y Cuándo ? Con el paso del tiempo.

Un documento electrónico firmado hoy día usando SHA-1 y RSA 1024 bits, con el paso de los años podría ser “falsificado”, ya que se tendrá el poder de cómputo para “romper” las llaves RSA y hacerse pasar por el dueño de las mismas; dada esta situación, sería imposible garantizar en unos 3 años que un documento que dice haberse firmando electrónicamente en el 2007 es Auténtico e Integro.

Para evitar esta situación, se requiere de un “Refrendo Electrónico” que permita utilizar nuevas tecnologías tiempo antes de que las tecnologías originales utilizadas en la firma de los mensajes de datos se consideren obsoletas o “atacables”, además de que se incorpora la figura de un tercero confiable que pudiera “dar fe” que la información ha conservado sus atributos de Integridad y Autenticidad desde le momento en que fue creada.

Refrendo Electrónico

Mensaje Firmado MD5 – RSA 1024 bits

SHA-256

Documento + Refrendo

• Garantía de la Integridad y Autenticidad del Documento en el

tiempo

Trusted Third Party

Encripción – ECDSA P-256

Estándares internacionales relacionados…

• OAIS : ISO-14721 reference model for Open Archival Information System

• NF Z42-013 AFNOR: technical and organizational requirements for data conservation and guarantee of integrity over time

• Moreq 2 : Model Requirements Specification for the Management of Electronic Records

Temas a considerar…

• Servicio de Refrendo Electrónico para garantizar la Integridad y Autenticidad de los documentos con el paso del tiempo utilizando los Algoritmos y Llaves Electrónicas considerados como “fuertes” al momento en el que se realiza el refrendo

• Dispositivos de almacenamiento con capacidades WORM (Write Once, Read Many) para evitar el borrado de información

• Control de Acceso a la información

• Logs seguros para registrar las acciones realizadas sobre la información (Quién acceso la información ? y Qué acciones realizó ?)

• Esquema de Alta Disponibilidad, respaldo y replicación

• Garantizar infraestructura para apertura de archivos en formatos específicos con el paso del tiempo

Visión Integral Aplicaciones/Beneficios

VISION INTEGRAL

Soluciones integrales de PKISubcomisión de Firma Electrónica Avanzada

Infraestructura de PKI

Recursos Humanos

Infraestructura Física

Políticas y Procedimientos

Entorno Aplicativo

PKI

• Aplicar un marco metodológico para la implementación de “Gobierno Digital y una Oficina sin papel” , contemplando la protección y seguridad de la información según las mejores prácticas y estándares internacionales.

• Implementar de forma estructurada los modelos resultantes para el manejo de la información desde el enfoque de todos los entes involucrados: sistemas, gente, procesos, tecnología, legislación

• Ofrecer la tecnología necesaria que construya procesos robustos y seguros de oficina sin papel con mecanismos de preservación de la información a largo plazo, que contemple:o Firma Electrónica.o Almacenamiento y preservación a largo plazo

Donde lo puedo aplicar ?

REGISTROS PUBLICOS DE LA PROPIEDAD Y DEL COMERCIO

La implementación de soluciones de Firma Electrónica aplicada a procesos registrales dota de transparencia a sus acciones.

Con reglas y mecanismos actuales más eficientes en materia de acceso a la información del Registro Público de la Propiedad y el Comercio, se lleva a cabo un esfuerzo continuo de acercar y facilitar al ciudadano la realización del trámite «Certificados de Libertad o Gravamen» mediante la protección de la información con Firma Electrónica, otorgando elementos de Autenticidad, Integridad y no Repudio.

Algunas Soluciones de Firma Electrónica para RPPyC

Certificados de Libertad o Gravamen

¿Qué es el Certificado de Gravamen?

El Certificado de Gravamen es el documento por medio del cual, el registrador de la propiedad da fe sobre las cargas o limitaciones a la propiedad de la que se pide la información, mediante la emisión de la certificación del estado registral que guarda un bien.¿Qué es el Certificado de Libertad de Gravamen?

El certificado de libertad de gravamen es el documento a través del cual, el registrador da fe del estado de libertad absoluta que guarda un bien en relación a cualquier situación concerniente a los gravámenes o limitaciones de dominio.

FLUJO BÁSICO – CERTIFICADOS DE LIBERTAD O GRAVAMEN.

BENEFICIOS

• Eficiencia de la gestión registral• Reducción de burocracia• Mayores beneficios, menores costos• Transparencia en los trámites y servicios al ciudadano• Agilidad en la resolución de trámites• Combate a la corrupción• Modernización de los procesos administrativos• Resultados rápidos, en beneficio del ciudadano

Un REGISTRO PÚBLICO DE LA PROPIEDAD Y EL COMERCIO eficaz, moderno y transparente

Algunas Soluciones aplicables a Justicia

FLUJO BÁSICO – OFICIALÍA DE PARTES - JUZGADO.

Notificaciónelectrónica

Promociónelectrónica

SELLO

• Eficiencia de la gestión jurídica• Procuración de justicia pronta y expedita.• Resguardo seguro de información a largo plazo.• Intercambio seguro de información entre instancias judiciales.• Transparencia en los Procesos Judiciales• Agilidad en la resolución de trámites• Combate a la corrupción• Modernización de los procesos administrativos• Agilidad en la impartición de justicia hacia el ciudadano.

Un PODER JUDICIAL eficaz, moderno y transparente

Beneficios de la Firma electrónica en la Procuración e Impartición de Justicia

• Incorporar a los comprobantes de pagos realizados por la ciudadanía un mecanismo que asegure la autenticidad, validez e integridad de la información de los mismos.

• Incorporar en los sistemas de información contable del Gobierno la funcionalidad de recepción de los Comprobantes Fiscales Digitales por parte de sus proveedores.

• Generar una Addenda (información de uso particular para el Gobierno del Estado) para poder intercambiar con los proveedores información adicional y que sea de utilidad para el Gobierno.

Sello digital para Comprobantes de pago y Recepción de Comprobante Fiscal Digital (CFD) - Objetivos

Certificados de Libre Gravamen SimpleCertificados de Libre Gravamen Notariado

Emisión de Actas de NacimientoPublicación del Diario OficialApertura Rápida de Empresas

Aplicaciones de Gobierno digital en los Estados

4 Estados realizando estos procesos

3 Estados realizando estos procesos

Control de PresupuestosDeclaraciones patrimoniales

Control PresupuestalOficio Electrónico Compras y Adquisiciones

Notificaciones Personales ElectrónicasPromociones Electrónicas

Oficio Electrónico Interno

Aplicaciones de Gobierno digital en los Estados

1 Estado realizando estos 3 procesos

1 Estado realizando estos 2 procesos

1 Estado realizando estos 2 procesos

1 Estado realizando este proceso

Modelo de Solución

Archiving

MARCO NORMATIVO

Procesos & Información Información Electrónica Gestión de información Archivo digital

Porqué hacer todo esto ?

Estimados de costos de elaboración y envío de oficios

Descripción CostosCosto

Unitario

Paquete de 500 hojas $40.02 $0.08

Toner de impresión para5000 hojas $3,108.00 $0.62

Gasolina por día(5 oficios diario en promedio) $30.00 $6.00

Costo de envío Hora-Hombre por día (5 oficios diario en promedio) $118.00 $23.60

Total precio por oficio en papel $30.30

Nota: Estos costos son un estimado de lo que cuesta generar y enviar un oficio, los costos de gasolina y hora hombre son aproximados por la variación que existe en volumen de oficios y distancia de la entrega de los mismos. No se estimaron costos de luz y mantenimiento de vehículos.

http://laip.sinaloa.gob.mx/ciapem2006/presentacion/MinervaOrtegaDuenas.ppt

Estimado de total de hojas

Estudio realizado en el período del 1 de enero al 24 de junio del 2004

603,311.00

$30.30

Proyección de Reducción de Costos

$ 10,479,944 M.N.Reducción en el gasto por Oficio Electrónico de $24.46

• Implementación de Oficio sin papel• Gastos en Infraestructura• Energía Eléctrica, sitio x 6 meses

Costo Total

$ 2,500,000 M.N.

Considerando 603,311 hojas impresas las diferentes Secretarías de Gobierno (del 1 de enero al 24 de junio del 2004 ).

Costo por Oficio electrónico ($2,500,000/428,381) es $5.83 M.N.

En términos de Retorno de la Inversión del proyecto es de 400%.

En términos de Pay Back Period el proyecto se paga en menos de dos meses.

Impacto Ambiental

El riesgo de no invertir en proyectos de este tipo no es solo financiero sino también ambiental.

Tomando en cuenta que de un árbol de 5 años de edad se obtienen 10,000 hojas, evitaríamos cortar cientos de árboles por semestre conservando nuestro ecosistema.

Incluso el ciclo de vida del papel es responsable de la degradación del ambiente en diversos lugares del planeta.

Las estadísticas de consumo per cápita de papel se citan a menudo como un indicador del nivel de vida de un país. Desgraciadamente, también podría utilizarse como indicador de la contribución a la contaminación de las aguas, la atmósfera y el suelo; a la tala de bosques y a la generación de basura.

Cómo hacerlo ?

ROADMAP – Gobierno Digital y Oficina sin papel

Soluciones Tecnológicas en Esquema SaaS…

bSigned

Acuerdos Electrónicos

Internet

Conservación de Mensajes de Datos (NOM-151)

Conclusiones

ES NECESARIO TENER UNA VISION INTEGRAL DE LO QUE IMPLICA IMPLEMENTAR UNA SOLUCION CON INFORMACION SEGURA Y LEGALMENTE VALIDA A TRAVES DEL TIEMPO…

• Tecnología para implantar la Infraestructura tecnológica de seguridad.• Alineamiento con iniciativas gubernamentales (ITFEA, leyes estatales de firma,

Lineamientos para la protección de datos personales, NOM-151, etc.).• SOLUCIONES soportadas por metodologías y regulaciones.• Avalar la robustez y confiabilidad de la infraestructura tecnológica sobre la cual

está instalada la solución de PKI y de protección de la información.• Incorporar seguridad en los procesos institucionales mediante el diseño de

procesos de seguridad.• Normatividad.• Administración del cambio para incorporar procesos con Firma Electrónica

Avanzada.• Diseño y desarrollo de soluciones que incorporen objetivos de seguridad.• Apoyo jurídico para regular el uso de las herramientas de protección de la

información (ej. firma electrónica avanzada)

EFICIENCIA , TRANSPARENCIA Y SEGURIDAD…

• Eficientar procesos y reducir costoso Eliminación de gastos en papelo Eliminación de gastos en toner o cartuchos para impresoraso Eliminación de gastos de mensajería para traslado de documentoso Eliminación de riesgos en el traslado de documentos confidenciales

(perdida, robo, apertura, alteraciones y maltratos)o Eliminación de espacio físico para almacenamiento de los documentoso Disminución dramática en los tiempos de gestión de firmas de

documentos (Una sola firma ampara todo el contenido del documento, a diferencia del mundo en papel, donde cada hoja debe rubricarse y la firma autógrafa aparece únicamente al final del documento. El proceso de rubricar cada hoja y firma se debe realizar además en las copias del documento)

o Disminución dramática en tiempos de búsqueda de documentoso Disminución del riesgo en documentos ya almacenados (robo,

alteraciones y maltratos)