Administración electrónica y Cloud Computing: Cautelas y exigencias técnico-jurídicas

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Administración electrónica y Cloud Computing: Cautelas y exigencias técnico-jurídicas"

Ana Sánchez Núñez
hace 8 años
Vistas:

1 SEGURIDAD Y SERVICIOS CLOUD EN LAS AA.PP. LA EXPERIENCIA DEL AYUNTAMIENTO DE POZUELO DE ALARCON Seguridad Legal & Tecnológica Administración electrónica y Cloud Computing: Cautelas y exigencias técnico-jurídicas Dr. Carlos Galán (cgalan@atl.es) 30 de Junio de 2011

Legal & Tecnológica Administración electrónica y Cloud Computing:

2 Contenido Marco de la arquitectura del CC. Modelos de Servicio: SaaS, PaaS y IaaS. Modelos de Despliegue: Público, Privado, Comunidad. Esquema de Relaciones. Cautelas en la elección del Proveedor. Marco jurídico habilitante AE. Marco tecnológico. Seguridad: Normas de Conformidad. Ámbito de aplicación de los Planes de Adecuación al ENI y al ENS. Conclusiones. 2

Cautelas en la elección del Proveedor. Marco jurídico habilitante AE. Marco tecnológico.

3 Semblanza del ponente Carlos Galán es Doctor en Informática, Abogado especialista en Derecho de las Tecnologías de la Información, Certified Information Security Manager (CISM) por ISACA y Consultor Homologado de la EOI. Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y publicaciones especializadas. Vinculado desde 1985 al Grupo Telefónica, ha desarrollado parte de su carrera profesional en esta compañía, ocupando diversos cargos y desarrollando importantes proyectos nacionales e internacionales. Ha sido Vocal Asesor y Director de la Oficina de Modernización del Ministerio del Interior, donde, entre otras actividades, dirigió el Plan de Modernización de las FF. Y CC. de Seguridad del Estado y presidió la Comisión de Informática y Comunicaciones de la Seguridad de los Juegos Olímpicos de Barcelona 92. Ha sido profesor de la Facultad de Informática de la Universidad Politécnica de Madrid, de la Escuela Técnica Superior de Ingenieros Industriales de la UNED, de la licenciatura de Administración y Dirección de Empresas de la Universidad Complutense de Madrid y del Instituto de Postgrado de la Universidad Pontificia de Comillas. Ha sido Director General de la Agencia de Certificación Electrónica ACE (primera Autoridad de Certificación de España), Vicepresidente de la Asociación de Entidades de Confianza Digital AECODI, Director General de Desarrollo y Tecnología de la Fundación General de la Universidad de Málaga y Presidente del Comité de Nuevas Tecnologías de Hispajuris, la mayor red de despachos de abogados de España. En la actualidad, en su calidad de especialista en Administración Electrónica, Seguridad y Firma Electrónica, es Profesor de Derecho de las TIC en el Grado de Derecho de la Facultad de Ciencias Sociales y Jurídicas, en el Máster de Derecho de las Telecomunicaciones y Tecnologías de la Información de la Universidad Carlos III de Madrid, siendo profesor igualmente de Calidad, Seguridad y Protección de la Información y Derecho Informático, de la Ingeniería de Informática y el Máster de Ingeniería de Software, respectivamente, de la Universidad Pontificia de Salamanca, actividades que compagina con la escritura de monografías y artículos y el dictado de conferencias y cursos donde es ponente habitual en las materias relativas al Derecho de las Tecnologías de la Información y las Comunicaciones, la Firma Electrónica, Certificación Digital y Seguridad IT. Carlos Galán es Presidente de la Agencia de Tecnología Legal y Vicepresidente de la Comisión de Contratación y Licitación Electrónica de ANEI. 3

Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y

4 El Marco de la Arquitectura Cloud Computing 4

5 Modelos de Servicio Se utilizan las aplicaciones del proveedor, que se ejecutan en una infraestructura de nube. Se despliegan en la infraestructura de nube aplicaciones del consumidor/cliente (adquiridas o creadas). Servicios de procesamiento, almacenamiento, redes y otros recursos computacionales de forma que el consumidor pueda desplegar y ejecutar cualquier software, que puede incluir sistemas operativos y aplicaciones. 5

6 Modelos de Despliegue La infraestructura de nube se pone a disposición del público en general o de un gran grupo industrial y es propiedad de una organización que vende los servicios en la nube. La infraestructura de nube se gestiona únicamente para una organización. Puede gestionarla la organización o un tercero y puede existir tanto en las instalaciones como fuera de ellas. La infraestructura de nube la comparten diversas organizaciones y soporta una comunidad específica que tiene preocupaciones similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre 6 cumplimiento normativo). Puede ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas.

Puede gestionarla la organización o un tercero y puede existir tanto en las instalaciones como fuera de ellas.

7 Control de Gestión Esquema de Relaciones Proveedor Servicios Consumidor 7

8 Convenio (ANS) Control de Gestión Esquema de Relaciones Proveedor Servicios Consumidor 8

9 Convenio (ANS) Control de Gestión Esquema de Relaciones Proveedor -Externo -AA.PP. Servicios Consumidor -AA.PP. 9

10 Esquema de Relaciones Convenio 2 (ANS) Convenio 1 (ANS) Control de Gestión Delegación Proveedor N2 Proveedor N1 Consumidor Servicios Servicios -Externo -AA.PP. -Externo -AA.PP. -AA.PP. 10

11 Cautelas en la elección del Proveedor LEGAL CONTRACTUAL 1. Observancia de la normativa legal aplicable. - Procedimiento Administrativo: - Genérica. - Específica, sobre la materia concreta. - Administración Electrónica. - Genérica. - Específica: Por razón de competencias. Por razón de especialidad. 2. Observancia de garantías adicionales: - Servicio adecuado a los fines perseguidos? - Cubre todas las fases administrativas? (v.g. en la econtratación) - Garantiza la seguridad? Privacidad? Evidencias? - Garantiza la interoperabilidad? - Atención al cliente?, Reputación?, experiencia?, certificaciones?, futuro?... LCSP RDLCSP LRJAPPAC LAECSP RDLAECSP ENS ENI LSSICE PUBLICA PLIEGOS OFERTAS EVALUA ADJUDICA PEDIDO FACTURA PAGO 11

Observancia de garantías adicionales: - Servicio adecuado a los fines perseguidos? - Cubre todas las fases administrativas? (v.g. en la econtratación) - Garantiza la seguridad?

12 Marco Jurídico Habilitante AE Ley 11/2007 Acceso Electrónico de los Ciudadanos a los Servicios Públicos RD 1671/2009 Rgto. Desarrollo LAECSP RD 3/2010 ENS RD 4/2010 ENI Planes Directores (Acuerdo Consejo Gobierno) Ley 30/1992 LRJAPPAC Ley 6/1997 LOFAGE Ley 7/1985 LrBRL RD 2568/1986 RDLrBRL Ordenanzas Reguladoras del Uso de los Medios Electrónicos

Desarrollo LAECSP RD 3/2010 ENS RD 4/2010 ENI Planes Directores (Acuerdo Consejo

13 Marco Tecnológico 1. Exigencias de Interoperabilidad: Infraestructuras y Servicios Comunes (ENI, 12 ENS, 28) Nodos de Interoperabilidad (ENI, 13-15) Interoperabilidad de documentos y formatos (ENI, 22-23) Control de la interoperabilidad (ENI, 25-28) Normas Técnicas de Interoperabilidad (D.A. 1ª) 2. Exigencias de Seguridad: Principios básicos de seguridad (ENS, 4) Requisitos mínimos de seguridad (ENS, 11 y ss.) 13

Interoperabilidad (ENI, 13-15) Interoperabilidad de documentos y formatos (ENI, 22-23) Control de la

14 El ENS se aplicará obligatoriamente a Sedes, Registros y Acceso Electrónicos Cada órgano de las AA.PP. establecerá mecanismos de control Seguridad: Normas de Conformidad Las especificaciones de seguridad se incluirán en Ciclo de vida de Servicios y Sistemas Las AA.PP. publicarán declaraciones de conform., distintivos, etc. (ENS, 38-41) 14

establecerá mecanismos de control Seguridad: Normas de Conformidad Las

15 Ámbito de aplicación del Plan de Adecuación a ENS/ENI Sedes electrónicas. Registros electrónicos. SI accesibles electrónicamente por los ciudadanos. SI para el ejercicio de derechos. SI para el cumplimiento de deberes. SI para recabar información y estado del procedimiento administrativo. Cualquiera que sea la forma de prestación del servicio 15

SI para el ejercicio de derechos. SI para el cumplimiento de deberes.

16 Conclusiones: - Puede usarse el modelo de Cloud Computing en el ambiente de la Administración Electrónica. - A los proveedores de servicios en la nube les es exigible todo lo que es exigible a las AA.PP. - Por tanto, conviene que los Proveedores de Servicios: - Posean las acreditaciones precisas/convenientes. - Superen las Auditorías pertinentes (en Interoperabilidad y en Seguridad, especialmente). - Se formalicen adecuadamente los contratos de prestación de los servicios en la nube. - La formación/concienciación de las AA.PP. Es fundamental para llevar todo ello adelante. 16

- Por tanto, conviene que los Proveedores de Servicios: - Posean las acreditaciones precisas/convenientes.

17 Muchas gracias ATL Agencia de Tecnología Legal c/ Arzobispo Morcillo, 34 5C Tel Madrid España (Spain) 17

18 Área Gobernanza Cumplimiento Confianza Arquitectura Identidad y control de acceso Aislamiento de software Disponibilidad Respuesta a incidentes Recomendación Implantar políticas y estándares en la provisión de servicios cloud. Establecer mecanismos de auditoría y herramientas para que se sigan las políticas de la organización durante el ciclo de vida. Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos cloud. Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización. Incorporar mecanismos en el contrato que permitan controlar los procesos y controles de privacidad empleados por el proveedor. Comprender las tecnologías que sustentan la infraestructura del proveedor para comprender las implicaciones de privacidad y seguridad de los controles técnicos. Asegurar las salvaguardas necesarias para hacer seguras la autenticación, la autorización y las funciones de control de acceso. Entender la virtualización y otras técnicas de aislamiento que el proveedor emplee y valorar los riesgos implicados Asegurarse que durante una interrupción prolongada del servicio, las operaciones críticas se pueden reanudar inmediatamente y todo el resto de operaciones, en un tiempo prudente. Entender y negociar los contratos de los proveedores así como los procedimientos para la respuesta a incidentes requeridos por la organización. 18

Entender los distintos tipos de leyes y regulaciones y su impacto potencial en los entornos cloud. Revisar y valorar las medidas del proveedor con respecto a las necesidades de la organización.

Documentos relacionados

La Seguridad Jurídica de los Servicios Cloud

La Seguridad Jurídica de los Servicios Cloud de/para las Administraciones Públicas T11 Privacidad en la nube Dr. Carlos Galán Presidente Agencia de Tecnología Legal Profesor de la Universidad Carlos III