El entorno necesario para garantizar la seguridad electrónica: Aspectos técnicos, legales y políticos

Transcripción

1 Sesión 2 El entorno necesario para garantizar la seguridad electrónica: Aspectos técnicos, legales y políticos Robert English El marco para garantizar la seguridad electrónica está compuesto por los instrumentos administrativos y actividades operacionales asociadas, que contribuyen a la obtención de los objetivos de seguridad en las operaciones electrónicas. La importancia de contar con un marco para la seguridad electrónica radica en que éste es el punto de partida que permitirá a un tercero analizar y comparar detalladamente las políticas y procedimientos que se siguen, ya sea en el nivel de una institución, de un grupo de instituciones o en el nivel nacional, sobre esta base se llegaría a acuerdos de interoperabilidad o a lo que se denomina certificación cruzada. Un ejemplo en el sector público: El gobierno de Ontario A nivel legislativo, Ontario cuenta con leyes referidas a la libertad de información y a la privacidad, así como con una propuesta de ley de firmas electrónicas. Asimismo, el gobierno de Ontario ha avanzado bastante en el tema de Infraestructura de Clave Pública (PKI). Se cuenta con una autoridad administrativa y de política (Policy Management Authority - PMA), un autoridad de certificación centralizada (root CA), un modelo conceptual de PKI, políticas de certificación, declaraciones de prácticas de certificación, entre otros. Todo esto le ha permitido generar confianza suficiente en su infraestructura, con lo cual ha logrado realizar algunas certificaciones cruzadas tanto con otros gobiernos federales como con instituciones privadas dentro de Ontario. Un ejemplo en el sector privado: Aliant Telecom Inc. Este grupo está formado por cuatro operadores telefónicos (Newfoundland Tel, Island Tel, MTT y New Brunswick Tel). Todos ellos crearon una sola entidad de certificación, dado que el número de suscriptores de cada uno era reducido, lo que no hacía viable crear su propia autoridad de certificación. Según algunos estudios, el número mínimo de certificados que se deben emitir para hacer viable un proyecto de autoridad de certificación es cien mil. Para crear un marco de seguridad, Aliant Telecom Inc. elaboró políticas y estándares de seguridad para las TI, políticas de certificación, declaración de prácticas de certificación, lineamientos de gestión de riesgo de seguridad, entre otros. Todo ello le ha permitido crear una PKI, con la cual puede brindar servicios de redes privadas virtuales (VPN) seguras a sus clientes. La arquitectura de información empresarial (EIA): La EIA permite integrar la arquitectura tecnológica, administrativa, de información, y de investigación y desarrollo con los objetivos empresariales. Los requerimientos de información y los requerimientos de infraestructura de TI deben estar al servicio de los objetivos empresariales, permitiendo su cumplimiento, lo cual devendrá en nuevos objetivos empresariales a los cuales estos requerimientos deberán reacomodarse. 37

2 El desarrollo de una EIA requiere la identificación de las funciones y de los procesos que se llevan a cabo, los requerimientos de información, así como definir los componentes necesarios para establecer dicha EIA. El desarrollo de una EIA permite lograr eficiencia y economía, proporciona una secuencia básica para desarrollar sistemas y procedimientos, provee de información necesaria para definir futuros proyectos, permite identificar información común, procesos y componentes tecnológicos y facilita la comunicación interorganizacional sobre lo que se viene realizando. Estructuras de autoridad La PKI permite una variedad de modelos de infraestructura, entre los que destacan las infraestructuras con una autoridad certificadora centralizada, una autoridad certificadora raíz (root CA) con diversas autoridades de certificación subordinadas, infraestructuras con servicios de registro descentralizados. En general, la PKI promueve la estandarización, dejando siempre espacio para la autonomía y flexibilidad de quien lo implementa. Cabe resaltar la necesidad de mantenerse dentro de los estándares para poder así alcanzar la interoperabilidad de sistemas y la certificación cruzada entre infraestructuras. Las entidades que participan en los servicios de certificación son la PMA, encargada de supervisar las operaciones de la PKI y aprobar políticas y prácticas las autoridades de registro y de certificación, encargadas de validar la identidad y de generar y firmar certificados bajo las políticas y prácticas dictadas por la PMA; y los suscriptores o usuarios de certificados digitales. El modelo conceptual de la PKI Un factor de gran importancia que se debe tomar en cuenta al momento de desarrollar una PKI es la de cómo se garantizará la confianza en la infraestructura. Para ello, en la implementación se debe respetar lo establecido por las políticas de certificación, las declaraciones de prácticas de certificación y cualquier otra política corporativa, con el propósito de satisfacer todos los requerimientos legales que permitirán generar esta confianza. En general, el éxito al implementar una PKI se da cuando el 80% del esfuerzo se destinó a enfrentar los factores organizacionales, de capital humano y de política (aspecto administrativo). El 20% restante de esfuerzo debe ser canalizado a enfrentar los factores tecnológicos (aspecto técnico). Para considerar a un sistema de PKI como seguro, confiable y adecuado para los requerimientos de los usuarios, éste debe cumplir ciertas características. Se le debe otorgar a las firmas digitales la misma validez que a las firmas manuscritas, se deben implementar procesos rigurosos y seguros de identificación y autenticación de los individuos (suscriptores), los niveles de aseguramiento deben establecerse bajo estándares internacionales para facilitar la certificación cruzada, y se debe asegurar la privacidad de la información de los suscriptores. La PKI es un sistema que vincula la tecnología de encriptamiento con procesos y prácticas administrativas rigurosas que permiten desarrollar ambientes virtuales tan seguros y confiables como el mundo real que la PKI intenta emular. Si la confianza en el sistema PKI desaparece, entonces toda la infraestructura pierde su valor. 38

3 Cinnabar Net works Inc. Session 2 Cinnabar Net works Inc. Sesión 2 Electronic Security Framework Marco de Seguridad Electrónica Robert English Managing Principal, IT Security & Privacy Robert English Director Administrativo, Seguridad & Privacidad IT Presentation Coverage Definition A public sector example Enterprise Information Governance A Policy Management Authority A PKI Conceptual Model A private sector example A clean slate example Temas de la Presentación Definición Un ejemplo del sector público Arquitectura de Información de la Empresa Gobernancia Una Autoridad de Administración de Políticas Un Modelo Conceptual PKI Un ejemplo del sector privado Un ejemplo sin antecedentes Definition Definición ES Framework The administrative instruments and associated operational activities that contribute to the support of achieving secure electronic operational objectives Marco ES Los instrumentos administrativos y las actividades operativas asociadas que contribuyen para alcanzar los objetivos de operación electrónica segura 39

4 A Public Sector Example Government of Ontario Legislation Freedom of Information and Privacy Act Municipal Freedom of Information and Privacy Act Electronic Signatures Act (in draft) Cabinet Directives Information Management and Information Technology Directive Un Ejemplo del Sector Público Gobierno de Ontario Legislación Ley de Libertad de Información y Privacidad Ley Municipal de Libertad de Información y Privacidad Ley de Firmas Electrónicas (en proyecto) Directivas de Gabinete Directiva de Tecnología de la Información y Manejo de la Información A Public Sector Example Un ejemplo del Sector Público Government of Ontario (cont d) Enterprise Information (EIA).all architectures are integrated and highly interdependent Gobierno de Ontario (continuación) Arquitectura de Información de la Empresa (EIA).todas las arquitectuiras son integradas y altamente interdependientes A Public Sector Example Government of Ontario (cont d) A Public Key Infrastructure Governance Structure Policy Management Authority (Chair Corporate CIO) Centralized Certification Authority PKI Conceptual Model PKI Concept of Operations PKI Certificate Policies PKI Certificates Practice Statements Un ejemplo del sector público Gobierno de Ontario (continuación) Una Infraestreuctura de Clave Pública Estructura de Gobernancia Autoridad de Administración de Políticas (Presidencia Congreso Corporativo de Organizacioones Industriales) Autoridad de Certificación centralizada Modelo conceptual PKI Concepto de operaciones PKI Políticas de Certificación PKI Relacione de Prácticas de Certificación PKI 40

5 A Public Sector Example Government of Ontario (cont d) Trust Relationship Model Cross Certification Cross-jurisdictional Privacy Impact Assessment Methodology Risk Management Guideline Privacy Impact Assessment Cross-certification agreement with Teranet (Private Sector CA) in final stages Un ejemplo del sector público Gobierno de Ontario (continuación) Modelo de Relación de Confianza Certificación Cruzada Metodología de Evaluación del Impacto a la Privacidad interjurisdiccional Pautas para el Manejo de Riesgos Evaluación del Impacto a la Privacidad Acuerdo de Certificación Cruzada con Teranet (CA del Sector Privado) en la etapa final A Public Sector Example Government of Ontario Policy Assurance Model Concept for attribute authority Smart Card Initiative Workforce Information Network Registration Authority Standard Representation: Public Sector CIOs Forum Un Ejemplo del Sector Público Gobierno de Ontario Modelo de Seguridad de las Políticas Concepto de autoridad de atributos Iniciativa de Smart Card Red de Información de la Fuerza de Trabajo Norma de la Autoridad de Registro Representación: Foro del Congreso de Organizaciones Industriales del Sector Público A Public Sector Example Government of Ontario Pilots: Ontario Business Connects Child Aids Service Integrated Justice: Sex Offender Registry Integrated Justice: Major Case Management Ontario Provincial Police: A subordinate CA Representation: Public Sector CIOs Forum Un Ejemplo del Sector Público Gobierno de Ontario Pilotos: Conexiones de Negocios de Ontario Servicio de Ayuda a los Niños Justicia Integrada: Registro de Delincuentes Sexuales Justicia Integrada: Manejo de Casos importantes Policia Provincial de Ontario: Una CA subordinada Representación: Foro del Congreso de Organizaciones Industriales del Sector Público 41

6 A Private Sector Example Un Ejemplo del sector Privado Aliant Telecom Inc. Working Partnership between: Newfoundland Tel. Island Tel. of PEI Maritime Telephone and Telegraph of Nova Scotia New Brunswick Tel. Aliant Telecom Inc. Sociedad de trabajo entre: Newfoundland Tel. Island Tel. of PEI Maritime Telephone and Telegraph of Nova Scotia New Brunswick Tel..ES framework to support service offerings and corporate security needs.marco SE para respaldar la oferta de servicios y las necesidades de seguridad corporativa Aliant Telecom Inc. ES Framework Major components of the framework: Enterprise wide IT security policy Enterprise wide IT security standards PKI Certificate Policies PKI Certificate Practice Statements VPN IT Security Policy VPN IT Security Standards Marco ES de Aliant Telecom Inc. Principales Componentes del Marco: Política de seguridad IT para toda la empresa Normas de seguridad IT para toda la empresa Políticas de certificación PKI Relación de Prácticas de Certificación PKI Política de Seguridad IT VPN Normas de Seguridad IT VPN 42

7 Aliant Telecom Inc. ES Framework (Cont d) Security Risk Management Guideline Legal/contractual Terms and Conditions Aliant Telecom Inc. Marco ES (Continuación) Pautas para el Manejo del Riesgo para la Seguridad Términos y condiciones legales/contractuales Enterprise Information Arquitectura de Información de la Empresa Information and Information Technology Información y Arquitectura de Tecnología de la Información I & IT Arquitectura I & IT What is an I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? Qué es una arquitectura I&IT? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? 43

8 Public Sector Example - -Rapid Business Change Ejemplo del Sector Público Rápido Cambio en los Negocios New Business Processes Enable Drive Information and Application Requirements Enable Drive IT Infrastructure Requirements Nuevos Procesos de Negocios I Habilita Impulsa Requerimientos de Información Y Aplicación Habilita Impulsa Requerimientos de Infraestructura IT The problem is NOT aligning I&IT with the business the problem is quickly realigning when the business changes El problema NO es alinear la I&IT con los negocios el problema es realinearlas rápidamente cuando los negocios cambian I & IT -- Definitions in general is the harmonization of form and environment I&IT aims at harmonizing information and technology with an organization s business Enterprise refers to the highest level of harmonization or integration within a given business entity Definiciones - Arquitectura I & IT Arquitectura en general es la armonización de forma y ambiente La Arquitectura I&IT busca armonizar la información y la tecnología con los negocios de una organización La Arquitectura de Empresa se refiere al más alto nivel de armonización o integración dentro de una entidad de negocios dada I & IT -- Like a master plan... Like a master plan for a city, which lays out the street network, power grid, water system, etc, an enterprise I&IT architecture defines a set of principles and requirements that: are derived from business requirements guide the planning and engineering of an organization s information and information technology infrastructure, across various component architectures are easily understood by all overarch all other architectures - a framework for detailed architectures help gauge the impact of emerging technology Arquitectura I & IT Como un Plan Maestro Como el plan maestro para una ciudad que traza la red de calles, la plantilla de electricidad, los sistemas de agua, etc., la arquitectura I I& IT de empresa define un conjunto de principios y requerimientos que : se derivan de los requerimientos de negocios guían la planificación e ingeniería de la infraestructura de información y tecnología de la información de una organización a través de varias arquitecturas componentes son facilemnte entendidos por todos se extienden sobre todas las otras arquitecturas un marco para arquitecturas detalladas ayudan a medir el impacto de la tecnología emergente 44

9 What does an I&IT contain? Qué contiene una Arquitectura I&IT? Identification of the functions and processes that are carried out Identification of the things the organization needs information about Definition of components that together will become the form of the architecture Identificación de las funciones y procesos que se realizan Identificación de las cosas sobre las que la organización necesita información Definición de los componentes que juntos darán forma a la arquitectura Components an information architecture to describe the things that are considered important an application architecture, concentrating on workflows and business processes a security architecture for the development of an integrated security environment an infrastructure architecture for the physical network Componentes de Arquitectura una arquitectura de información para describir las cosas que son consideradas importantes una arquitectura de aplicaciones, que se concentra en los flujos de trabajo y los procesos de negocios una arquitectura de seguridad para el desarrollo de un ambiente de seguridad integrado una arquitectura de infraestructura para la red física And last but not least... a management architecture to describe the governance, planning, service management, contract management, customer satisfaction, service level agreements, performance management, configuration management, security management, cost/billing management, system management tools, standards, etc... Y finalmente pero no menos importante... Una arquitectura de administración para describir la gobernancia, planificación, administración de servicios, administración de contratos, satisfacción del cliente, acuerdos de nivel de servicios, administración del desempeño, administración de configuración, administración de la seguridad, administración de costos/facturación, herramientas de administración del sistema,normas, etc... 45

10 Putting it all together... Poniéndolo todo junto... Business Processes and Direction Procesos y Dirección denegocios M a n a g e m e n t Work Groups Workflows Documents Information Application Infrastructure S e c u r i t y A d m i n i s t r a c i ó n Grupos de Trabajo Flujos de Trabajo Documentos Arquitectura de Información Arquitectura de Aplicación Arquitectura de Infraestructura S e g u r i d a d I & IT What is I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? Arquitectura I & IT What is I&IT architecture? Enfoque Teórico Recommended approach Benefits of an I&IT Who should be interested? Theoretical Approach Enfoque Teórico BUSINESS DIRECTION DIRECCION DE NEGOCIOS I&IT PLANNING BUSINESS STRATEGIES Traditional Focus of I&IT PLANIFICACION I&IT ESTRATEGIA DE NEGOCIOS Enfoque tradicional de I&IT BUSINESS REQUIREMENTS REQUERIMIENTOS DE NEGOCIOS I&IT PLANNING PLANIFICACION I&IT I&IT DELIVERY ENTREGA DE I&IT 46

11 Business Drivers Inductores de Negocios Direction stemming from business strategy Represent vision and goals Serve as the foundation for architecture requirements Must be expressed so as to be able to confirm achievement Must be championed by the business community (not the IT community) Su dirección se deriva de la estrategia de negocios Representan las visiones y metas Sirven como base para los requerimientos de arquitectura Tienen que ser expresados de manera tal que permitan confirmar los logros Deben ser defendidos por la comunidad empresarial (no por la comunidad de IT) General I&IT Principles Set of tenets believed to be important in achieving an organization s business vision - examples: Information shall be managed as a corporate resource, subject to corporate direction Every employee and all information shall be network accessible The electronic versions of documents shall be the official versions Principios Generales I&IT Conjunto de principios que se consideran importantes para alcanzar la visión de negocios de una organización - ejemplos : La Información debe manejarse como un recurso corporativo, sujeto a la dirección corporativa Todo empleado debe tener acceso a la red y toda la información debe estar accesible en la red Las versiones electrónicas de los documentos deben ser las versiones oficiales Requirements Requerimientos de Arquitectura Stem from enterprise business drivers and general I&IT principles Set of requirements to enable the business drivers and general I&IT principles Must link every architecture requirement to business drivers and general I&IT principles Must be endorsed by the business community Se derivan de los inductores de negocios de la empresa y de los principios generales de I&IT Un conjunto de requerimientos para habilitar a los inductores de negocios y los principios generales de I&IT Tdos los requerimeintos de arquitectura deben vincularse a inductores de negocios y principios generales I&IT Deben ser respaldados por la comunidad empresarial 47

12 I & IT Why adaptive architecture? What is I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? Arquitectura I & IT Why adaptive architecture? What is I&IT architecture? Theoretical approach Enfoque recomendado Benefits of an I&IT Who should be interested? Recommended Approach Enfoque recomendado Structured, step-by-step approach Begin by understanding business direction business model (clients, mandate, and services) business direction (vision, objectives, strategies) business drivers Enfoque estructurado, paso a paso Empieza por entender la dirección de negocios modelo de negocios (clientes, mandato y servicios) dirección de negocios (visión, objetivos, estrategias) inductores de negocios Recommended Approach Develop and agree on high level I&IT principles Develop conceptual I&IT architecture architecture requirements stemming from business drivers and general I&IT principles definition of component architectures (e.g., information, application, security etc) development of design principles and best practices for each component Enfoque recomendado Desarrolar y acordar principios I&IT de alto nivel Desarrollar una arquitectura I&IT conceptual los requerimientos de arquitectura se derivan de los inductores de negocios y los principios generales de I&IT definición de las arquitecturas componentes (por ejemplo, información, aplicaciones, seguridad, etc.) desarrollo de principios de diseño y mejores prácticas para cada componente 48

13 Introducing Zachman... There is no single way to view an enterprise architecture... Presentando a Zachman... No hay una forma única de visualizar una arquitectura de empresa... What How Where Who When Why Qué Cómo Dónde Quién Cuándo Por qué Contextual Contextual Conceptual Conceptual Logical Lógico Physical Físico Components Componentes Functional Funcional EIA Framework Marco EIA EIA Information Security Infrastructure Organization Event Management Framework Contextual Conceptual Logical Physical Components Functional Scope and Business Model General Principles/ Requirements Detailed Principles and Standards Detailed Designs/Engineering Drawings System Components Configurations Marco EIA Contextual Conceptual Lógico Físico Arquitectura de Arquitectura de Arquitectura de Arquitectura de Arquitectura Arquitectura de Información Seguridad Infraestructura Organización de Eventos Administración Alcance y Modelo de Negocios Principios Generales/Requerim.de Arquitectura Principios y Normas Detalladas Diseños Detallados/Planos de Ingeniería Componentes Componentes de Sistema Funcional Configuraciones Security - Business Security Model Arquitectura de Seguridad - Modelo de Seguridad de Negocios External Trends and Influencing Factors (Technology, GSP, Lead Agency Standards, etc) Tendencias externas y Factores de influencia (Tecnología, GSP, Normas de la Agencia Principal, etc) Business Drivers Influence Need IM/IT Framework s Principles Enable Influence IM/IT Security Issues Influencia Necesita Inductores Principios de de Negocios Marco IM/IT Permite Influencia Temas de Seguridad IM/IT s Influence Influencia IM/IT Security Principles Privacy Needs Guide Information IM/IT Security Enables Needs Security P P Application h e y r Enables s s Needs i o Processes Standards Tools, Technology c n (eg, TRA) Procedures a n Enables l e l Result Balanced Security Privacidad Necesita Arquitectura de Información Permite Necesita Arquitectura de Aplicación Permite Necesita Arquitectura de Tecnología Permite Principios de Seguridad IM/IT Guía Seguridad IM/IT Security F P í e s r i s Resultado c o Procesos Normas Herramientas, a n Procedimientos (ejem. TRA) a l Seguridad Equilibrada Management IM/IT Security Physical SecurityPersonnel Security Security Policy and Governance Arquitectura de Administración Seguridad IM/IT Seguridad Personal Seguridad Física Política de Seguridad y Gobernancia 49

14 Agenda Why adaptive architecture? What is I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? Temario Why adaptive architecture? What is I&IT architecture? Theoretical approach Recommended approach Beneficios de una Arquitectura I&IT Who should be interested? Benefits of a sequenced basis for systems development and priority setting provides the information needed to clearly define the scope of follow-on projects a means for identifying all stakeholders involved in the development effort Beneficios de la Arquitectura una base secuencial para el desarrollo de sistemas y establecimiento de prioridades proporciona la información necesaria para definir claramente el alcance de los proyectos de seguimiento un medio para identificar a todos los interesados involucrados en el esfuerzo de desarrollo Benefits of an opportunity to identify common information, processes and technological components provides for enterprise communication about what is to be created and used fosters the use of common terms Beneficios de la Arquitectura una oportunidad para identificar información, procesos y componentes tecnológicos comunes ayuda a la comunicación en la empresa sobre lo que se va a crear y usar incentiva el uso de términos comunes 50

15 Agenda Why adaptive architecture? What is I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Who should be interested? Temario Why adaptive architecture? What is I&IT architecture? Theoretical approach Recommended approach Benefits of an I&IT Quién debe estar interesado? Who should be interested? Anyone who - is concerned about business integration (not just business automation is concerned about ensuring IT investments are linked to business requirements needs to harmonize the thoughts and actions of diverse groups Quién debe estar interesado? Cualquiera a quien - le preocupe la integración de negocios (no sólo la automatización de los negocios) le preocupe asegurarse de que las inversiones en IT estén vinculadas a los requerimientos de negocios necesite armonizar los pensamientos e ideas de diferentes grupos Discussion Discusión 51

16 A Typical Governance Structure Una Estructura de Gobernacia Típica Government of Ontario Public Key Infrastructure Infraestructura de Clave Pública del Gobierno de Ontario (GO) The Infrastructure PKI Supports Variety of Infrastructure models, including: Single Centralized Certificate Authority Root CA with Subordinate CAs in Other Ministries Baseline Security and Certificate Policies and practices, adapted for specific Programs as needed Centralized Registration Services or Decentralized Registration PKI Encourages Standards but also Offers Some Autonomy and Flexibility within Specific Ministries and/or Programs La Infraestructura La PKI soporta una variedad de modelos de Infraestructura, incluyendo: Una única Autoridad de Certificación (CA) Centralizada Una CA Raiz con CA Subordinadas en otros Ministerios Políticas y prácticas básicas de Seguridad y Certificación, adaptadas para los Programas específicos, conforme se necesite Servicios de Registro Centralizados o Registro Descentralizado La PKI incentiva el uso de Normas pero también ofrece alguna Autonomia y Flexibilidad dentro de Ministerios y/o Programas Específicos Governing Entities of the Certificate Authority Service Entidades Que Rigen el Servicio de Autoridad de Certificación Policy Management Authority (PMA) to Oversee Operation of PKI and Approve Policies and Practices Certificate Authority (CA) to Generate and Sign Certificates under Policies and Practices, Ensure Availability Registration Authorities (RA/LRA) to Assume Responsibility for Validating Identity of Subscribers and Request Certificates Subscribers to Use Certificates for Proving Identity, Encrypting/Decrypting Information, Digitally Signing Transactions According to Terms and Conditions Autoridad de Administración de Políticas (PMA) para supervisar la operación de las PKI y aprovar Políticas y Prácticas Autoridad de Certificación (CA) para generar y firmar certificados según las políticas y prácticas, para asegurar disponibilidad Autoridades de Registro (RA/LRA) para asumir la responsabilidad de la validación de la identidad de los abonados y solicitar certificados Abonados para utilizar certificados para probar la identidad, información de encripción y desencripción, firmar digitalmente transacciones de acuerdo con los Términos y Condiciones 52

17 ONTARIO Non Profit PKI Governance Sin fines de lucro Gobernancia PKI Private Sector OTHER EXTERNAL DOMAINS Ontario PUBLIC DOMAIN Members of Public Int. Justice BPS & Business Partner DOMAIN Lawyers Universities Hospitals OMA WIN/Hr GO OPS DOMAIN Finance Health GO PMA Primary CA Other Provinces Other Provinces Federated Super PMA Sector Privado OTROS DOMINIOS EXTERNOS DOMINIO PUBLICO Ontario Miembros del público Justicia Interna ONTARIO BPS & DOMINIO de socio comercial Abogados Universidades Hospitales OMA WIN/Hr DOMINIO OPS GO Finanzas Salud PMA GO CA Primary Primaria CA Other Provinces Otras Provincias Super PMA Federada Post Offices Banks TelCos Sched. Agencies Schools Oficinas de Correos Bancos TelCos Agencias de Programación Escuelas FEDERAL JURISDICTION Federal Govt. Multiple domains of interest exist JURISDICCION FEDERAL Gob. Federal Existen multiples dominios de interés Banks Key Question: How will relationships work between entities? Bancos Pregunta Clave: Cómo funcionarán las relaciones entre entidades? EXTERNAL DOMAINS TelCos Federated Super PMA DOMINIOS EXTERNOS TelCos Super PMA Federada PUBLIC of ONTARIO DOMAINS GO BPS & BUSINESS PARTNER DOMAINS Accredited GO OPS CA Accredited OPS RB CA DOMAIN Operational Authority Accredited RB CA Medium Level Assurance Environment GO PMA Primary CA Other Provinces Federal Government DOMINIOS del PUBLICO de ONTARIO BPS GO & DOMINIOS DE SOCIOS COMERCIALES OPS CA DOMINIO acreditadas CA RB OPS Acreditadas GO Autoridad Operativa CA RB Acreditadas Ambiente de Aseguramiento de Nivel medio PMA GO CA Primary Primaria CA Otras Provincias Gobierno Federal Accredited RB CA CA RB Acreditadas Post Offices Accredited RB CA= Accredited Role-based CA Primary CA= GO PKI Root CA Oficinas de Correos CA RB Acreditadas= CA acreditada con base en rol CA Primaria= CA raíz PKI GO Potential CA Accreditation Structure Estructura de Acreditación Potencial de CA Post Office CA GO PMA Primary CA Federated Super PMA CA Oficina de Correos PMA GO CA Primaria Super PMA Federada TelCo CA Bank CA External Domains GO DOMAIN Accredited RB CA Accredited OPS CA Medium Level Assurance GO ID Certificates Issued Accredited RB CA Federal Government Other Other Provinces Provinces CA TelCo CA Banco Dominios Externos DOMINIO GO CA RB Acreditada CA OPS Acreditada Aseguramiento de Nivel Medio Certificados Emitidos GO ID CA RB Acreditada Other Otras Provinces Provincias Gobierno Federal Potential Out Sourcing of Citizen ID Certificate Issuance to Accredited Institutions GO Attribute Certificates Issued by RB CAs GO BUSINESS PARTNER & BPS DOMAINS Accredited RB CA Accredited RB CA= Accredited Role-based CA Primary CA= GO PKI Root CA Potencial Tercerización de la Emisión de Certificados de ID de Ciudadanos a Instituciones Acreditadas GO Certificados de Atributos Emitidos por CAs RB GO SOCIOS COMERCIALES & DOMINIOS BPS CA RB Acreditada CA RB Acreditada= CA acreditada basada en rol CA Primaria= CA Raíz PKI GO 53

18 Related Governance Structure New I&IT structure that relates to the PKI PMA IITDC: Seek their direction and approval on issues that go beyond the OPS and on difficult decisions affecting business initiatives IITMC: Have their chairperson sit as a member of the PMA because they deal with policy, standards and guidelines at the Corporate level Estructura de Gobernacia Relacionada Nueva estructura I&It que se relaciona a la PMA PKI IITDC: Busca su dirección y aprobación en temas que van más allá de la OPS y para decisiones dificiles que afectan las iniciativas de negocios IITMC: Tiene un presidente que es miembro de la PMA porque lidian con políticas, normas y lineamientos a nivel corporativo. Related Governance Structure New I&IT structure that relates to the PKI PMA I&IT Business Initiatives Committee: Given knowledge of customers and responsibilities for the BI projects with an interdependency with PKI, the I&IT Business Initiatives Committee should be consulted as necessary on common issues pertaining to PKI and its development; Estructura de Gobernacia Relacionada Nueva estructura I&IT que se relaciona a la PMA PKI Comité de Iniciativas de Negocios I&IT : Dado el conocimiento que tiene de los clientes y de las responsabilidades para los proyectos BI con interdependencia con PKI, el Comité de Iniciativas de Negocios I&IT debe ser consultado cuando sea necesario sobre temas comunes relacionados a la PKI y su desarrollo; Related Governance Structure New I&IT structure that relates to the PKI PMA Architectural Review Board: Have the Chair of the ARB sit as a member of the PMA as well as the Chief Service Delivery due to the latter s involvement with the central CA service; Estructura de Gobernancia Relacionada Nueva estructura I&IT que se relaciona a la PMA PKI Junta de Revisión de Arquitectura (ARB): El presidente de esta junta es miembro de la PMA así como de Entrega de Servicios de Importancia debido a la participación del último en el servicio de CA central; 54

19 Related Governance Structure New I&IT structure that relates to the PKI PMA Common Infrastructure PM Committee: Have the chairperson sit as a member of the PMA due to coordination knowledge between common infrastructure projects. IT Standards Council and IT Security Advisory Committee: Use as advisory bodies to the PKI PMA. Estructura de Gobernacia Relacionada Nueva estructura I&IT que se relaciona a la PMA PKI Comité de Administración de Proyectos de Infraestructura Común: Su presidente es miembro de la PMA debido al conocimiento de la coordinación entre proyectos de infraestructura común. Concejo de Normas IT y Comité de Asesoría en Seguridad : Funcionan como organismos de asesoría para la PMA PKI. Policy Management Authority Terms of Reference Finalize the GO-PKI Governance Model and Conceptual Model for approval by Management Board of Cabinet; Approve the submission to Management Board of Cabinet, including the recommendation to create a Policy Management Authority (PMA) Establish and approve appropriate mechanisms, controls and reporting structures for the management of the GO PKI; Autoridad de Administración de Políticas Términos de Referencia Terminar el Modelo de Gobernacia PKI del GO y el Modelo Conceptual PKI del GO para su aprobación por parte de la Junta Administrativa del Gabinete; Aprobar su entrega a la Junta Administrativa del Gabinete, incluyendo la recomendación de crear una Autoridad de Administración de Políticas (PMA) Establecer y aprobar mecanismos, controles y estructuras de información apropiadas para la administración de la PKI del GO; Policy Management Authority Terms of Reference Ensure that the Root Certification Authority (Root CA) complies with the policies, standards and directives regarding GO-PKI; Ensure through policies, standards and directives the harmonized operation of the GO-PKI and the inter-operability between its members; Establish and approve responsibilities, standards and procedures that determine when and how new subordinate/attribute CAs can become members of the GO PKI; Autoridad de Administración de Políticas Términos de Referencia Asegurar que la Autoridad De Certificación Raíz (CA Raíz) cumpla con las políticas, normas y directivas relacionadas a la PKI del GO; Asegurar mediante políticas, normas y directivas la operación armonizada de la PKI del GO y la interoperabilidad entre sus miembros; Establecer y aprobar responsabilidades, normas y procedimeientos que determinen cuándo y cómo las nuevas CA subordinadas/de atributos pueden hacerse miembros de la PKI del GO; 55

20 Policy Management Authority Terms of Reference Establish and approve applicable policies, practices and guidelines to be followed by the Root CA and cross-certified or subordinate CAs operated by government Ministries and make them available for use by Ministry CAs to maintain required levels of reliability and security in the GO PKI system; Accredit subordinate/attribute certification authorities; Negotiate and approve cross-certification agreements with certification authorities external to the GO PKI, including inter-governmental and international agreements; Autoridad de Administración de Políticas Términos de Referencia Establecer y aprobar políticas, prácticas y pautas a ser seguidas por la CA Raíz y CAs con certificación cruzada o subordinadas operadas por los Ministerios del gobierno y ponerlas a disposición para ser usadas por las CA de los Ministerios para mantener los niveles requeridos de confiabilidad y seguridad en el sistema PKI del GO; Acreditar autoridades de certificación subordinadas/de atributos; Negociar y aprobar acuerdos de certificación cruzada con autoridades de certificación externas a la PKI del GO, incluyendo acuerdos intergubernamentales e internacionales; Policy Management Authority Terms of Reference Direct the Root Certification Authority (Root CA) to issue, downgrade or revoke crosscertification relationships; Appoint registration authorities and determine security safeguards for their operational sites in accordance with this policy; Consider, and where applicable, approve requests for exceptions by a Ministry or Agency for a different level of assurance other than a medium level of assurance; Autoridad de Administración de Políticas Términos de Referencia Considerar, y cuando se aplicable, aprobar registros/aplicaciones en volumen Considerar, y cuando sea aplicable, hacer recomendaciones para admitir a miembros de fuera de los Ministerios y las agencias de Programación I y IV. Determinar el proceso de resolución de disputas en caso de disputas entre la CA Raíz y las CA subordinadas/de atributos o entre CAs y nombrar personas que se encarguen de tomar las decisiones. Dirigir la creación e implementación de estrategias de educación y comunicación que promuevan el conocimiento de los objetivos PKI del GO. Policy Management Authority Terms of Reference Consider, and where applicable, approve bulk applications/registrations Consider, and where applicable, make recommendations to admit members outside of Ministries and Schedule I and IV agencies. Determine the dispute resolution process in the event of disputes between the Root CA and subordinate/attribute CA s or between CA s, and appoint decision-makers. Directing the creation and implementation of education and communications strategies that promote awareness of GO PKI objectives. Autoridad de Administración de Políticas Términos de Referencia Considerar, y cuando se aplicable, aprobar registros/aplicaciones en volumen Considerar, y cuando sea aplicable, hacer recomendaciones para admitir a miembros de fuera de los Ministerios y las agencias de Programación I y IV. Determinar el proceso de resolución de disputas en caso de disputas entre la CA Raíz y las CA subordinadas/de atributos o entre CAs y nombrar personas que se encarguen de tomar las decisiones. Dirigir la creación e implementación de estrategias de educación y comunicación que promuevan el conocimiento de los objetivos PKI del GO. 56