NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD

Transcripción

1 NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD ÍNDICE 1. IDN SERVICIOS INTEGRALES NECESIDADES DE SEGURIDAD INFORMÁTICA EN LA ADMINISTRACIÓN ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIÓN GESTIÓN DE INCIDENCIAS IDENTIFICACIÓN Y AUTENTICACIÓN CONTROL DE ACCESO GESTIÓN DE SOPORTES COPIAS DE SEGURIDAD CIFRADO DE DATOS ANEXO: SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS SOLUCIÓN IMPLANTADA EN EL AYUNTAMIENTO DE VÍTORIA- GASTEIZ SOLUCIONES LLEVADAS A CABO EN CASTILLA-LA MANCHA SOLUCIONES LLEVADAS A CABO EN BARCELONA SOLUCIONES LLEVADAS A CABO EN ALCOBENDAS ACTUACIONES DEL MINISTERIO DE ADMINISTRACIONES PÚBLICAS ACTUACIONES DEL MINISTERIO DE TRABAJO AEPD AGENCIA CATALANA ACTUACIONES LLEVADAS A CABO EN CANARIAS ACTUACIONES LLEVADAS A CABO EN MURCIA ACTUACIONES LLEVADAS A CABO EN LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA DE LA SEGURIDAD SOCIAL

2 1. IDN SERVICIOS INTEGRALES IDN Servicios Integrales se caracteriza por ser una empresa especializada en consultoría, diseño, gestión e implantación de Soluciones de Seguridad Informática y Redes de Comunicaciones, con una gran capacidad para abordar soluciones tecnológicas complejas relacionadas con las Tecnologías de la Información. La empresa centra su actividad en el sector de nuevas tecnologías e innovación, calificado como proyecto empresarial I+E por el Ministerio de Trabajo y Asuntos Sociales. En la actualidad, IDN Servicios Integrales está inmersa en el desarrollo de numerosos proyectos para el sector empresarial e institucional, siendo socio tecnológico del Centro Europeo de Empresas e Innovación de Albacete, para la puesta en marcha de dos sistemas de conectividad securizada con el apoyo de las Consejerías de Ciencia y Tecnología e Industria y Trabajo. En los últimos años hemos pretendido acometer proyectos ambiciosos tecnológicamente, desempeñando todo el esfuerzo en la investigación de nuevos productos y servicios de seguridad y confianza en los sistemas de información desarrollados íntegramente por los profesionales del Departamento de Seguridad Informática de IDN Servicios Integrales. La base para ofrecer servicios confiables y de calidad está en la aplicación del conocimiento y experiencia adquirida día tras día, generando soluciones de seguridad a medida para cada uno de nuestros clientes, de forma cercana y personalizada. Nuestro compromiso, siempre en constante evolución y mejora, se fundamenta en el estudio de necesidades e implantación de soluciones integrales de seguridad a medida, poniendo a disposición de nuestros clientes servicios y soluciones acordes a sus requerimientos: Planes de Continuidad y Alta disponibilidad, Auditoria y Consultoría de Seguridad Informática, Certificado y Firma digital, Conectividad de Redes, Protección de Contenidos, Securización de redes, Implantación de SGSI, etc. IDN Servicios Integrales S.L. pone a disposición de sus clientes a los profesionales más cualificados y los medios técnicos más avanzados para ofrecerle servicios de calidad, generando soluciones a medida de cada uno de nuestros clientes. La estructura de la empresa se divide en distintos departamentos: Administración, Infraestructuras y proveedores, Seguridad y Conectividad, Consultoría, Auditoria, Comercial y Marketing, cada uno orientado a conseguir los objetivos acordados en los planes - 1 -

3 estratégicos empresariales, y que de forma conjunta hacen posible alcanzar las metas fijadas a corto y largo plazo. IDN Servicios Integrales ha reforzado su posición como empresa en el mercado al convertirse en la primera empresa de Castilla-La Mancha, proveedora de servicios integrales gestionados, de comunicación y seguridad informática, en conseguir la certificación de su Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE 71502:2004 de AENOR. Esta certificación pone en marcha el motor del ciclo de mejora continuo de nuestro sistema, para gestionar de una manera eficaz, la protección de la seguridad de nuestra información y la de nuestros clientes frente a posibles riesgos existentes dentro y fuera de IDN Servicios Integrales. Se puede decir que es un privilegio ser los promotores y ejecutores de nuestro propio SGSI, lo cual nos ha permitido conocer en mayor profundidad nuestro sistema de información. La Dirección de IDN Servicios Integrales, ha sido pieza clave en el proceso de implantación del Sistema de Gestión de Seguridad de la Información, aportando todos los recursos necesarios con el objetivo de mejorar la gestión de la seguridad de la información, siendo consciente de la importancia de proteger sus activos internos, mejorando sus expectativas de negocio y aportando una clara ventaja competitiva para la empresa

4 2. NECESIDADES DE SEGURIDAD INFORMÁTICA EN LA ADMINISTRACIÓN ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIÓN NIVEL BÁSICO Artículo 5. Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Artículo 9. Funciones y obligaciones del personal. 1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artículo 8.2.c). 2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. AMENAZAS RECOMENDACIONES - Controlar el acceso a redes internas y externas. ACCESO NO AUTORIZADO A LA INFORMACIÓN DESDE EL EXTERIOR - Aislar aplicaciones en subredes. - Proteger los sistemas o servidores mediante cortafuegos, que permitan la autenticación de la conexión, control de acceso, ocultación de la estructura interna de la red, inspección del tráfico, y registro de eventos. - Análisis de vulnerabilidades. - Implantar mecanismos que permitan conexiones seguras. - Autentificar el acceso de usuarios a los distintos recursos de la red. - Definir en cada sistema y aplicación los usuarios que pueden acceder a través de conexiones externas. - Controlar el acceso a puertos de diagnóstico remotos. - Acceso remoto a través de redes privadas virtuales

5 - Uso de antivirus. INFECCIÓN MEDIANTE VIRUS - Control de dispositivos para evitar la instalación de software. - Formación del personal en medidas de seguridad. HERRAMIENTAS PROPUESTAS POR IDN FORTIGATE FIREWALL Esta herramienta ofrece: - Antivirus - Filtrado de contenidos Web y de - Firewalls de inspección detallada - IPSec VPN - Detección y prevención de intrusiones y funciones de desvío de tráfico. - Protección de redes en tiempo real. FORTICLIENT Esta solución está diseñada para: - Proveer de acceso remoto seguro a recursos de base operativa móvil, y acceso de sitios remotos de socios de la empresa. FortiClient tiene capacidad IPSec que incluye: - Firewall personal - NAT y NAT Traversal, - Administración de políticas centralizadas - Múltiples políticas para acceder a diferentes dispositivos - Encriptación robusta, y - Una serie de herramientas para troubleshooting. FortiAnalyzer minimiza el esfuerzo requerido para: FORTIANALYZER - Monitorear y mantener políticas de uso aceptables - Identificar patrones de ataques y - Procesar al atacante y descubrir brechas de seguridad

6 SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS Implantación de la Intranet Administrativa de la Administración General del Estado. Las Comunidades Autónomas cuentan con Intranet en su Administración. El Hospital Son Llatzer, de la Consejería de Salud y Consumo de la Comunidad Autónoma y Gobierno de las Islas Baleares, implantaron una solución que consta de conexiones seguras mediante VPN IP-SEC, uso de tecnologías de tercera generación GPRS/ UMTS, utilización de entorno centralizado que no sobrecargue las conexiones (CITRIX), y securización del acceso al dispositivo y a la conexión mediante Tokens USB. GESTIÓN DE INCIDENCIAS NIVEL BÁSICO Artículo 10. Registro de incidencias. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. NIVEL MEDIO Artículo 21. Registro de incidencias. 1. En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. 2. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. AMENAZAS RECOMENDACIONES PERIODOS LARGOS CON EL SISTEMA FUERA DE SERVICIO IMPACTO DE LAS INCIDENCIAS SOBRE LA ORGANIZACIÓN - Registrar las incidencias y las soluciones llevadas a cabo. - Formación de los usuarios respecto del registro de incidencias

7 HERRAMIENTAS PROPUESTAS POR IDN SERVICE DESK - Registra la incidencia: quién informa del problema, síntomas, equipo involucrado, etc. - Clasifica la incidencia y asigna el trabajo a realizar a un grupo de soporte o a un técnico. - Investiga la causa de la incidencia y la compara con otras parecidas. Documenta la solución, anexa ficheros con información relacionada y cierra la incidencia. - Comunica automáticamente al usuario el estado de su solicitud a través del y/o portal de soporte. - Elabora informes, que ayuden a conocer qué está sucediendo y a mejorar el proceso. SOLUCIONES IMPLANTADAS La Subdirección General de Informática de la Seguridad Social ha implantado, entre otras medidas: - Configuración, evolución y resolución de incidencias hardware/software de los equipos de la red tanto SNA como IP. Gestión de incidencias en el acceso a través de la red troncal y de la red de acceso. Soporte a la operación, mantenimiento de redes y atención a usuarios. El CiberCentro de atención al usuario del Gobierno de Canarias ha sido dotado de una solución de gestión de incidencias que acelera la localización y solución de fallos y optimiza el servicio de atención al cliente

8 IDENTIFICACIÓN Y AUTENTICACIÓN NIVEL BÁSICO Artículo 11. Identificación y autenticación. 1. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. 2. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 3. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. NIVEL MEDIO Artículo 18. Identificación y autenticación. 1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. AMENAZAS ACCESOS INDEBIDOS A LA INFORMACIÓN ROBO DE INFORMACIÓN RECOMENDACIONES - Establecimiento de mecanismos de identificación y autenticación para acceder a los datos. - Generación de listados de usuarios y claves y renovación periódica de los mismos. - Uso del protector de pantalla. - Registro de usuarios y accesos permitidos para el desempeño de sus funciones. - Uso de identificadores únicos para cada usuario. SOLUCIONES IMPLANTADAS Autenticación basada en técnicas de criptografía asimétrica y en el uso de certificados digitales

9 HERRAMIENTAS PROPUESTAS POR IDN CONTROL DE ACCESO POR DIRECCIONES IP, NOMBRE DE HOST O DOMINIO - Permitir el acceso a todos los ordenadores excepto a los que tengan un dirección IP o nombre de host determinados. - Denegar el acceso a todos los ordenadores excepto a los que tengan un dirección IP o nombre de host determinados. AUTENTICACIÓN USUARIO/ CONTRASEÑA MEDIANTE Los usuarios introducen un nombre y una contraseña como medio de asegurar su identidad. Todos los servidores proporcionan esta forma de autenticación, con distintas posibilidades y niveles de seguridad. CONTROL DE ACCESO POR CERTIFICADOS Permite: - Autenticar al servidor frente a los clientes, - Identificación de clientes mediante certificado. TARJETAS - Vincula la seguridad física e informática. - Unifica distintas aplicaciones de identificación en una sola plataforma centralizada. - Permite proporcionar y denegar los servicios a los usuarios de forma inmediata, reduciendo así el riesgo de que antiguos empleados consigan acceder a datos o sistemas. IDENTIFICADORES BIOMETRICOS La biometría puede aportar soluciones de alta seguridad. La tecnología funciona mediante la comparación de un identificador biométrico contra una nueva muestra que se captura al momento. Este es un proceso que cuenta con tres pasos (capturar, procesar y registrar) seguidos de un cuarto paso de verificación o identificación. SLUCIONES IMPLANTADAS El Ayuntamiento de Vitoria-Gasteiz ha implantado: Para accesos a la red y autenticación, Smart Card Logon con tarjeta ciudadana; Radius y VPN (conexiones externas); HTTP s; y certificación digital. Como medidas de seguridad en - 8 -

10 equipos, Firewall de Checkpoint, Sondas IDS y estudio de accesos a red (interna y externa) con empresas externas expertas en esta materia. El Gobierno canario instala terminales para fichar con la huella dactilar. Además del control horario sobre su jornada laboral, la implantación del nuevo sistema supondrá un valor añadido para los empleados públicos de la Administración de Justicia, ya que mediante su código personal podrán gestionar a través del sitio web del Gobierno de Canarias los permisos y licencias a que tienen derecho, así como los períodos vacacionales, teniendo un control exhaustivo de los días utilizados y disponibles. CONTROL DE ACCESO NIVEL BÁSICO Artículo 12. Control de acceso. 1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 3. La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. NIVEL MEDIO Artículo 19. Control de acceso físico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. NIVEL ALTO - 9 -

11 Artículo 24. Registro de accesos. 1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. 5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. AMENAZAS RECOMENDACIONES ACCESO INDEBIDOS A LA INFORMACIÓN ACCESO DE PERSONAS NO AUTORIZADAS - Listado actualizado de usuarios con acceso a información restringida. - Definición de mecanismos que identifiquen a cualquier usuario que acceda a datos restringidos y comprobación de su autorización para ello. Limitar el tiempo máximo de conexión a aplicaciones, así como la franja horaria de acceso. - Mantener un registro de eventos relativos al control de acceso. - Controlar el acceso a los programas de utilidades. - Bloquear las cuentas que no sean utilizadas durante un período de tiempo fijado. - Implantar control de acceso físico y lógico. Control de acceso físico a los locales donde se encuentren los datos a proteger. - Implantar procesos de autenticación. - Gestión de claves. HERRAMIENTAS PROPUESTAS POR IDN

12 FORTIMANAGER Es una herramienta integrada de administración y monitoreo que permite administrar fácilmente gran cantidad de Firewalls Antivirus FortiGate. Minimiza el esfuerzo administrativo requerido para implementar, configurar, monitorear, y mantener el rango completo de los servicios de protección de red provistos por los dispositivos FortiGate instalados en ubicaciones locales y remotas. SANTUARY CONTROL DEVICE - Controla el acceso de usuarios a los dispositivos físicos del sistema - Impide la introducción de código malicioso, software ilícito y otros programas contraproducentes - Proporciona un sistema de Log. SOLUCIONES IMPLANTADAS Firma electrónica avanzada basada en certificados reconocidos. GESTIÓN DE SOPORTES NIVEL BÁSICO Artículo 13. Gestión de soportes. 1. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero. NIVEL MEDIO

13 Artículo 20. Gestión de soportes. 1. Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. 4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. NIVEL ALTO Artículo 23. Distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. AMENAZAS RECOMENDACIONES PERDIDA DE DATOS DIFUSIÓN DE LA INFORMACIÓN - Mantener un registro de salida y entrada de soportes. - Establecimiento de métodos de inventariado y clasificación de los soportes informáticos en dónde se almacenan los datos con acceso restringido a los mismos. - Etiquetar cada soporte electrónico transportable con el máximo nivel de seguridad de la información que contenga. - Aplicar cifrado integral del disco duro para la protección de la confidencialidad de la información contenida en equipos portátiles

14 y en otros equipos que puedan contener información que requiera confidencialidad. SOLUCIONES IMPLANTADAS Fujitsu España, ha dotado al CiberCentro de atención al usuario del Gobierno de Canarias de una solución de gestión de incidencias que acelera la localización y solución de fallos y optimiza el servicio de atención al cliente. El software implementado integra el inventario completo de todos los equipos atendidos por el CiberCentro y registra la totalidad de las solicitudes de servicios. COPIAS DE SEGURIDAD NIVEL BÁSICO Artículo 14. Copias de respaldo y recuperación. 1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. 3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. NIVEL MEDIO Artículo 22. Pruebas con datos reales. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado. NIVEL ALTO

15 Artículo 25. Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. AMENAZAS RECOMENDACIONES PERDIDA DE INFORMACIÓN - Etiquetar cada soporte electrónico transportable con el máximo nivel de seguridad de la información que contenga. - Incluir en las copias de respaldo los ficheros de registros de eventos (trazas de audit, logs) y diario de incidencias. - Emplear en las copias de respaldo formatos no propietarios que garanticen su accesibilidad en el tiempo. - Realización de copias de seguridad que garanticen la reconstrucción de los datos en el momento en que se produzca la pérdida o destrucción de los mismos. - Definición de un calendario de realización de copias de seguridad (una semanalmente al mínimo). HERRAMIENTAS PROPUESTAS POR IDN AUTOMATED DISTRIBUTION UTILITY Permite enviar archivos a los destinos deseados, haciendo copias de seguridad que pueden ser recuperadas. EASEBACKUP PROFESSIONAL Soporta infinidad de dispositivos donde efectuar la copia. También permite utilizar el correo electrónico o un sitio FTP para almacenar las copias creadas. Incorpora tecnología que permite compresiones de hasta un 90 % con respecto al tamaño original de los archivos. EVERYDAY AUTOBACK Permite realizar copias de seguridad automatizadas, después de añadir o modificar un backup proyectado, este software puede generar inmediatamente la lista de tareas diarias acordadas según la configuración. NOVABACKUP Crea copias de seguridad de servidores, pequeñas redes, discos duros, etc. Posee una gran variedad de opciones y una interfaz muy simple

16 COBIAN BACKUP Permite realizar copias de seguridad de ficheros y carpetas, y guardarla en el disco duro local o en alguna otra unidad de red. Además permite: - Realizar copias periódicas - Soporta protocolos de compresión de archivos, mediante el uso del algoritmo ZIP y se puede proteger con contraseña. - Permite copias progresivas. SOLUCIONES IMPLANTADAS La Diputación de Barcelona dispone en todas las oficinas de una línea de back-up integrada al router. CIFRADO DE DATOS NIVEL ALTO Artículo 26. Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. AMENAZAS RECOMENDACIONES ACCESO A LA INFORMACIÓN - Intercambio de una clave simétrica de cifrado por un canal seguro o después de cifrarla con criptografía asimétrica. - Proteger la confidencialidad de las claves privadas frente a su divulgación no deseada y su modificación o destrucción. - Proteger las claves públicas frente a su modificación o destrucción. - Generar y obtener certificados de clave pública. - Distribuir las claves a los distintos usuarios incluyendo la forma de activación de claves cuando se reciben. - Almacenar las claves incluyendo la forma en que los usuarios autorizados pueden acceder a ellas. - Cambiar y actualizar las claves incluyendo las normas relativas a la

17 forma de realizar los cambios. - Actuar ante situaciones en las que se ha violado una clave privada. - Revocar las claves incluyendo su desactivación y anulación. - Archivar las claves para la información respaldada en distintos medios de almacenamiento. - Crear un diario de actividades relacionadas con la administración de claves, para su utilización con fines de auditoría. - Aplicar cifrado integral del disco duro para la protección de la confidencialidad de la información contenida en equipos portátiles y en otros equipos que puedan contener información que requiera confidencialidad. - Aplicar cifrado en los soportes removibles. - Utilizar algoritmos que permitan una longitud mínima de 128 bits: 3DES, IDEA, RC4, RC5, AES, o equivalentes. - Utilizar el protocolo SSL v3/tls v1 o superior con cifrado simétrico de al menos 128 bits, para el establecimiento de sesión Web cifrada. - Utilizar el estándar S/MIME v2 o superior con correo electrónico seguro. - Utilizar SSH en sesiones de administración. HERRAMIENTAS PROPUESTAS POR IDN AUTOCRIPT Características: - Encripta y desencripta ficheros y carpetas. - Diversos métodos de encriptamiento. - Administración de llaves de encriptamiento. - Copia, comprime, descomprime, sincroniza y monitorea ficheros. - Permite programar funciones. - Interfaz intuitiva y fácil de usar CRYPT2000 Descripción: Es una solución de Seguridad contra terceros que garantiza el Control de Acceso a la máquina, y preserva la confidencialidad de la Información, mediante el cifrado del disco duro y de las carpetas de Red

18 - Impide el acceso a la máquina por personal no autorizado - Protege la Información ante robos, ya que resulta ilegible Dependiendo de la modalidad de Cryt2000 se obtienen las siguientes ventajas: - Control de Acceso - Cifrado del Disco Duro - Cifrado de Carpetas de Red - Arranque con Tarjeta SOLUCIONES IMPLANTADAS Entre las tecnologías utilizadas destaca el Ayuntamiento de Vitoria-Gasteiz utilizando: Para intercambio de información con otras entidades, AXCRIPT (cifrado de los datos) y EDITRAN (vía líneas X.25 de forma segura)

19 ANEXO: SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS 1. SOLUCIÓN IMPLANTADA EN EL AYUNTAMIENTO DE VÍTORIA- GASTEIZ Para dar respuesta a sus necesidades, el Ayuntamiento de Vitoria-Gasteiz cuenta con: Sistema de información. Redundancia de los recursos más críticos, para mayor seguridad de los datos ante posibles pérdidas de información, se han implantado filtros, firewalls, etc., para evitar accesos indebidos al sistema, que afecten a la seguridad e integridad de los datos y de las infraestructuras. Entre los principales proyectos que se han llevado acabo con relación a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y a la securización en la infraestructura de sistemas y de redes de comunicaciones, cabe destacar: La instauración de reglas para las contraseñas de acceso a los sistemas, La adecuación del registro de soportes magnéticos y la creación de BD de accesos físicos al CPD". En tercer lugar, se han llevado a cabo diagnósticos de seguridad y pruebas de vulnerabilidad, con la realización periódica de diagnósticos sobre protección de datos de carácter personal y sobre el estándar ISO/IEC 17799, con el propósito de determinar el grado del cumplimiento de la normativa relativa a la LOPD; Reconocer y analizar el estado de vulnerabilidad de la instalación frente a las amenazas, y evaluar el grado de exposición, atendiendo a la probabilidad de materialización de la amenaza; Determinar el nivel de riesgo asumido, en función de las medidas de control y contención implantadas por cada amenaza detectada; y Valorar la oportunidad de adoptar un conjunto de contramedidas adecuado a las amenazas presentes, considerando la relación coste-beneficio entre el esfuerzo de adecuación y el control obtenido". Asimismo, se han implantado medidas preventivas: La adecuación de las aplicaciones y ficheros municipales a la LOPD; La protección perimetral desde Internet al ayuntamiento y el filtrado de lo enviado desde el ayuntamiento hacia el exterior;

20 La protección periférica de los accesos desde y hacia entes asociados; la protección interna, empezando desde el nodo principal; La protección y política de accesos remotos; y La instauración y extensión de las políticas de seguridad. Otras actuaciones han sido: La elaboración del Documento de Instrucciones TICs; La gestión de las incidencias de seguridad para identificarlas, registrarlas, tratarlas e identificar y resolver sus causas; Las acciones orientadas a mejorar la seguridad en la red municipal se realizan trabajos de securización de red, con mejoras en los firewall, configuración de VPNs, así como en redes periféricas). Por último mencionar también la instalación de líneas ADSL con router y conexión VPN, con el objeto de establecer un nexo seguro de comunicación entre los centros municipales. Además, en la aplicación de seguridad y control de accesos, se realizaron mejoras para permitir trabajar con tarjetas de identificación digital. Con objeto de salvaguardar los datos de carácter personal, en 2002 se elaboró un plan de acción, el Proyecto Integral de Mejora en el Tratamiento de Datos de Carácter Personal por el Ayuntamiento de Vitoria-Gasteiz. En este marco, el departamento trabaja en dos ámbitos: protección de datos de carácter personal y el estándar internacional ISO/IEC 17799, de buenas prácticas para preservar la confidencialidad de la información, su integridad y disponibilidad. Las iniciativas más destacadas son: Normativa y organización de seguridad; Principio de información en la recogida de datos y consentimiento del interesado; Deber de secreto; acceso a datos por terceros y comunicación de datos; y Ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Como tecnologías utilizadas, se encuentran las siguientes: Para intercambio de información con otras entidades, AXCRIPT (cifrado de los datos) y EDITRAN (vía líneas X.25 de forma segura). Para accesos a la red y autenticación, Smart Cari Logon con tarjeta ciudadana; Radius y VPN (conexiones externas); HTTP s; y certificación digital. Como medidas de seguridad en equipos, Firewall de Checkpoint, Sondas IDS y estudio de accesos a red (interna y externa) con empresas externas expertas en esta materia