Privacidad y firmas digitales

Transcripción

1 Sesión 5 Privacidad y firmas digitales Robert English Certificación de firmas digitales, cómo garantizar la privacidad? Debe tercerizarse la certificación de las firmas digitales? Definitivamente, la apatía frente a temas de seguridad es un hecho en gran parte de los países del mundo, tanto por parte del sector público, como del privado. La pregunta es: Está esto cambiando y, en todo caso, cuáles serían las implicancias si no cambia esta situación. Se suele confundir los conceptos de privacidad y de confidencialidad. Confidencialidad se refiere al grado de sensibilidad de la información, mientras que la privacidad es el derecho del individuo a ser dejado solo, a no ser interrumpido. En la mayor parte de las organizaciones o instituciones, se aborda el tema de la seguridad de una manera desestructurada. Estas no suelen comprender que existe la necesidad de contar, y por tanto elaborar, un programa o plan de seguridad a ser implementado y cumplido. La solución que se plantee debe ser integral y se debe asignar un fondo específico para su desarrollo. Si se quiere fomentar la seguridad, se debe establecer la obligación de someterse a auditorías permanentes, para supervisar el cumplimiento de las normas que respaldan el concepto, el cual definitivamente es un tema que aún se encuentra pendiente en la mayor parte de las legislaciones. Se debe asegurar, principalmente, que la información colectada sólo vaya a ser utilizada para los fines para los que se solicitó, así como que la institución que cuenta con ella, sólo sea considerada custodio de la misma, no estando facultada para disponer libremente de ella. Uno de los retos mayores de la automatización de las transacciones consiste en mantener los niveles de seguridad que proporcionaba el mundo escrito, cumpliendo con las normas legales y de política organizacional. Actualmente, existe la tendencia generalizada en la mayoría de los países, de desarrollar códigos de privacidad o lineamientos de políticas en este sentido. El plazo que usualmente se requiere para desarrollar este tipo de documentos suele ser considerable, por lo que si en el Perú se está pensando implementar una legislación en este sentido, habrá que pensar que se va a necesitar cierto tiempo para concluir con un sistema. En Canadá la legislación vigente en este sentido la constituyen el Acta de Protección de Información Personal y el Acta de Documentos Electrónicos. Los riesgos que corre la privacidad surgen cuando no se cumplen requisitos tales como contar con la autorización del individuo para obtener su información, custodiar y proteger la información adecuadamente, utilizar adecuadamente esta información, no revelar la información sin autorización del individuo, requisitos que deben estar establecidos en un mandato estatal específico. 143

2 Asimismo, debe establecerse un plan de contingencia para el manejo de casos de riesgo de la seguridad de la información, por ejemplo, cuando se incumpla con las políticas de la organización o con la legislación vigente, o en los casos de revelación de información. También se debe evaluar el llamado impacto de la privacidad, es decir los factores que se tienen que tomar en cuenta para el diseño de un programa que cumpla con los requisitos de seguridad, tales como la encriptación de la información, el control de acceso a la misma, instalación de firewalls, el acceso remoto seguro, auditorías, entre otros. En cuanto a la administración de la autoridad certificadora, el ponente señala la existencia de argumentos a favor y en contra de su tercerización o "outsourcing". El "outsourcing" para el cumplimiento de esta actividad, es un tema que aún se encuentra en evolución en el mundo. Antes de que se opte por una de estas alternativas, es recomendable evaluar el estado de implementación de la PKI tanto en las instituciones públicas, como en las privadas y es también importante la comparación internacional o el benchmarking. Se deben establecer claramente los objetivos nacionales en este sentido, así como definir la posición del Estado, para a partir de ella legislar lo necesario y promover iniciativas como el comercio electrónico, el gobierno en línea, la interoperabilidad, temas claves en el proceso de automatización del Estado. Si se optara por el outsourcing, habrá que decidir qué funciones permanecerán en manos de la organización, ya sea ésta pública o privada. El outsourcing constituye un riesgo, en aquellos casos en los que el Estado no cuenta con experiencia en el tema de seguridad. Es esencial contar con un marco de seguridad electrónica, que respalde la certificación, se encuentre ésta en manos de la propia administración pública o en manos de un proveedor del servicio. En ambos casos se requiere una base legislativa sólida. En el caso en el que se decida tercerizar la PKI, la empresa que provea el servicio deberá saber que tiene que cumplir todas las etapas que comprenden la provisión del mismo: deberá contar con el personal adecuado para el manejo del negocio y de las relaciones con los usuarios, con los equipos adecuados para el cumplimiento de la labor, monitoreo permanente del ancho de banda, manejo de los temas relacionados con el ambiente de trabajo, coordinación de temas operativos internos o externos. Finalmente hay que asumir que la existencia de un problema en la calficación de los recursos humanos, debido a que se trata de un área relativamente nueva, motivo por el cual la capacitación se debe dar dentro de la misma organización certificadora. 144

3 Cinnabar Net works Inc. Session 5 Cinnabar Net works Inc. Sesión 5 Digital Signature Certification Authorities: How to Guarantee Privacy Robert English: Managing Principal, IT Security and Privacy Cinnabar Networks Inc. Autoridades de Certificación de Firma Digital: Cómo Garantizar la Privacidad Robert English: Director Administrativo, Seguridad y Privacidad IT Cinnabar Networks Inc. Objectives Objetivos Current organizational approaches Understanding the apathy Identifying privacy business drivers & risks Understanding data use & protection Outline of strategies and process to develop solutions to meet your organization s privacy requirements Enfoques de organización actuales Entendiendo la apatía Identificar los inductores y riesgos para el asunto de la privacidad Entender el uso y protección de los datos Esbozar las estrategias y procesos para desarrollar soluciones para satisfacer los requerimientos de privacidad de su organización. Agenda Introduction Privacy Defined Current Organizational Approaches Understanding the Apathy Privacy Business Drivers The Privacy Conundrum Data Protection Issues Temario Introducción Definición de Privacidad Enfoques de Organización Actuales Entendiendo la Apatía Inductores del Asunto de la Privacidad El Acertijo de la Privacidad Temas de Protección de Datos 145

4 Agenda Temario Privacy Code & Legislation Development Privacy Risks Risk Management Plan Privacy Impact Assessment Framework Privacy Impact Assessments Solutions Questions Código de Privacidad y Desarrollo de la Legislación Riesgos para la Privacidad Plan de Manejo del Riesgo Marco de Evaluación del Impacto a la Privacidad Evaluaciones del Impacto a la Privacidad Soluciones Preguntas Definitions Definiciones Confidentiality Privacy Confidencialidad Privacidad Quality of being sensitive Degree of assessed injury in case of loss, compromise, corruption Right to be left alone (Right to anonymity) Lawful right to exercise control over personal information Calidad de ser sensible Grado de daño evaluado en caso de pérdida, compromiso, corrupción Derecho a ser dejado solo (Derecho al anonimato) Derecho legal a ejercer control sobre la información personal Current Organizational Approaches Generally unstructured Obligations not well understood Not always driven by program requirements Solutions generally not integrated with I&IT architectures or security approaches No explicit funding Enfoques de Organización Actuales Generalmente no está estructurada Las obligaciones no son bien entendidas No siempre es guiada por los requerimientos de programas Las soluciones generalmente no están integradas con las arquitecturas IT o los enfoques de seguridad No hay financiamiento explícito 146

5 Understanding the Apathy Entendiendo la Apatía Privacy audits few & far between Consequences have been minimal Electronic services not yet at the cusp Legislation still pending Global commerce still not a dictator Privacy policies and guidelines not enough on their own Las auditorias de privacidad son pocas y muy separadas entre sí Las consecuencias han sido mínimas Los servicios electrónicos todavía no han llegado a la cima La legislación todavía está pendiente El comercio global todavía no es el que dicta Las políticas y lineamientos de privacidad todavía no son suficientes por sí mismos Privacy Business Drivers? Solutions/Safeguards Requirement International Codes Legislation Policy Standards Due Diligence Risks Programs and Services Collection Use Disclosure Connectivity Internet Shared Systems Reliance on Technology ESD & E-Commerce Perception: Data matching, Data mining Transaction monitoring Inductores del Asunto de la Privacidad? Soluciones/Salvaguardas Requerimientos Códigos Internacionales Legislación Políticas Normas Diligencia Debida Riesgos Programas y Servicios Recolección Uso Divulgación Conectividad Internet Sistemas Compartidos Confianza en la Tecnología ESD & Comercio electrónico Percepción: Data matching, Data mining Monitoreo de Transacciones The Privacy Conundrum El Acertijo de la Privacidad What is public about me The car I drive Name Social Standing Appearance Qué es público sobre mi El auto que manejo Nombre Condición social Apariencia My police record My medical history My driving record What is private about me My financial situation How do we establish a privacy relationship between the public and the private us? My insurance policies Mis antecedentes policiales Mi historia clínica Mi registro de conductor Qué es privado sobre mi Mi situación financiera Cómo establecemos una relación de privacidad entre nuestra parte pública y privada? Mis pólizas de seguros 147

6 The Privacy Conundrum 3 major privacy issues: You can trace electronic transactions back to me (data trail) You can cross-reference multiple programs or databases with a shared personal identifier and profile me through my activities (data matching) You have created an environment that, over time, may allow you to do the above (function creep) El Acertijo de la Privacidad 3 grandes problemas de privacidad: Usted puede rastrear transacciones electrónicas hasta llegar a mi (data trail) Usted puede hacer una referencia cruzada de múltiples programas o bases de datos con un identificador personal compartido y preparar un perfil mio a través de mis actividades (data matching) Usted ha creado un ambiente, que conforme pase el tiempo podría permitirle hacer lo anterior (deslizamiento de funciones) The Privacy Conundrum El Acertijo de la Privacidad 3 desired outcomes: Prevention of the three issues is: established in legislation reflected in governance guaranteed by technology design that prevents future function creep 3 resultados deseados: Que la prevención de los tres problemas esté : establecida en la legislaciópon reflejada en la gobernancia garantizada por un diseño tecnológico que evite un futuro deslizamiento de funciones Data Protection Issues: Security Carelessness refers to the potential for embarrassment of either the organization, or an individual that results from the inadvertent disclosure or compromise of sensitive personal data and may result in civil liability Temas de Protección de Datos: Seguridad Descuido Se refiere a la potencial vergüenza que podría sufrir la organización, o un individuo que es resultado de la divulgación inadvertida o compromiso de información personal sensible y podría dar como resultado una responsabilidad civil 148

7 Data Protection Issues: Security Due-care to maintain the same level of protection, service, accountability and traceability offered in the paper world when the process is moved to an electronic environment. If the level of protection is not maintained, liability may be incurred or provisions of various acts or regulations not met. Temas de Protección de Datos: Seguridad Debido cuidado Para mantener el mismo nivel de protección, servicio, responsabilidad y rastreabilidad que se ofrece en el mundo de papel cuando el proceso sea realizado en un ambiente electrónico. Si no se mantiene el nivel de protección, se podría incurrir en una responsabilidad civil o incumplir distintas leyes o regulaciones. Privacy Data Protection Issues: Security The Security Architecture must provide the needed services and mechanisms to meet the needs of: Freedom/Access to Information Act; Privacy Act; Privacy Codes; and Organizational policies. Temas de Protección de Datos: Seguridad Privacidad La Arquitectura de Seguridad debe proporcionar los servicios y mecanismos necesarios para satisfacer las necesidades de: La Ley de Libertad/Acceso a la Información; La Ley de Privacidad; Los Códigos de Privacidad; y Las Políticas Organizacionales. Surveillance Limiting surveillance is concerned with managing the technological ability to monitor, track and observe individuals. Data Protection Issues: Security Temas de Protección de los Datos: Seguridad Supervisión La supervisión limitante tiene que ver con el manejo de la habilidad tecnológica para monitorear, rastrear y observar individuos. 149

8 Privacy Protection Tools Comprehensiveness and Complexity Legislation Privacy Codes & Standards Threat and Risk Assessments / ITS Tools Privacy Impact Assessments Status Quo Timing Herramientas para la Protección de la Privacidad Comprehensividad Y Complejidad Legislación Códigos & Normas de Privacidad Evaluaciones de Amenazas y Riesgos / Herramientas ITS Evaluaciones del Impacto a la Privacidad Status Quo Timing Privacy Code Development Desarrollo del Código de Privacidad Structure of CSA Model Privacy Code at: index_info.html Principle Title and commentary Statements of elaboration See the Canadian Bankers Association Privacy Model Code at: eng/publications/ pub_privacy.htm Estructura del Código Modelo de Privacidad CSA en: index_info.html Principio Título y Comentario Declaraciones de Elaboración Vea el Código Modelo de Privacidad de la Asociación de Banqueros Canadienses en: eng/publications/ pub_privacy.htm Leads to the development of an Organization specific privacy code Lleva al desarrollo de un Código de Privacidad Específico para la Organización Legislation Development Federal Bill C-54/C-6 Legislative Process Minister Moved For Adoption Feb 00 Introduced into House Oct 98) Consultation Gazette 98 Draft By IC/Justice 97/ 98 Legislation April /8 Timeline 2000 Desarrollo de la Legislación Proyecto de Ley Federal C-54/C-6 Proceso Legislativo Ministro promovió su adopción Feb 00 Se presentó a la Cámara Oct 98) Gazeta de Consulta 98 Proyecto de IC/Justicia 97/ 98 Legislación Abril /8 Línea de tiempo

9 Personal Information Protection & Electronics Documents Act Purpose: To provide Canadians with the right of privacy with respect to their personal information that is collected, used or disclosed by an organization in the private sector Ley de Protección de la Información Personal y Documentos Electrónicos Propósito: Dar a los canadienses el derecho de privacidad con respecto a la información personal que es recolectada, usada o divulgada por una organización del sector privado. Application of new Privacy Act Initially: Federally-regulated private sector, including telecommunications, broadcasting, banking and inter-provincial transportation, and Crown corporations operating in such areas as: AECL, CBC, VIA Rail, Port corporations etc. Other federal entities not covered under the existing Privacy Act: Canada Post subsidiaries, Canadian Race Relations Foundation Aplicación de la Nueva Ley de Privacidad Inicialmente: El sector privado regulado federalmente, incluyendo telecomunicaciones, radiodifusión, banca y transporte interprovincial, y Corporaciones de la Corona que operan en areas tales como : AECL, CBC, VIA Rail, Corporaciones de puertos, etc. Otras entidades federales no cubiertas bajo la Ley de Privacidad existente: Canada Post subsidiaries, Canadian Race Relations Foundation Application of New Privacy Act After a period of 3 years: all personal; information collected, used and disclosed in the course of commercial activities Exemption: any province that adopts similar legislation Aplicación de la Nueva Ley de Privacidad Luego de un periodo 3 años: toda la información personal, recolectada, usada y divulgada en el curso de actividades comerciales Exención: cualquier provincia que adopte legislación similar 151

10 New Privacy Act Principles Based on the Canadian Standards Association (CSA) Code Recognized as a national standard in 1996 Addresses collection, use and disclosure Rights of individuals to access their information and to have it corrected Principios de la Nueva Ley de Privacidad Basada en el Código de la Asociación Canadiense de Normas (CSA) Reconocida como norma nacional en 1996 Considera la recolección, uso y divulgación Derecho de los individuos a tener acceso a información sobre ellos y poder corregirla New Privacy Act Principles Principios de la Nueva Ley de Privacidad Accountability Identifying Purpose Consent Limiting Collection Limiting Use, Disclosure & Retention Accuracy Safeguards Openness Individual Access Challenging Compliance Responsabilidad Identificar el propósito Consentimiento Limitar la recolección Limitar el uso, revelación y retención Exactitud Salvaguardas Apertura Acceso Individual Exigir el cumplimiento Privacy Risks Failure to Comply With Requirements For: Collection Accuracy & Retention Protection Use Disclosure Riesgos para la Privacidad El no poder cumplir con los requerimientos para: Recolección Exactitud y Retención Protección Uso Divulgación 152

11 Privacy Risks Collection (not all inclusive) Expressly authorized by the individual Purpose & legal authority to collect Collected for law enforcement Necessary for an operating program or activity Collected from the individual unless the individual authorizes otherwise Riesgos par la Privacidad Recolección (no se incluye todo) Expresamente autorizada por el individuo Propósito y autoridad legal para recolectarla Recolectada para la aplicación de alguna Ley Necesaria para un programa o actividad operante Obtenida del propio individuo a menos que éste autorice otra forma de recolección Privacy Risks Accuracy & Retention (not all inclusive) Information must be kept accurate & complete Keep information 1 year after use so individual can gain access to it Custodian must correct information if asked Custodian must inform those it was disclosed to of the change or update Riesgos para la Privacidad Exactitud & Retención (no se incluye todo) La información debe mantenerse exacta y completa Guardar la información un año después de su uso para que el individuo pueda tener acceso a la misma El custodio debe corregir la información si así se le solicita El Custodio debe informar a aquellos a los que se les dio la información sobre el cambio o actualización Privacy Risks Protection of Personal Information The head of a public body or private organization must protect personal information by making reasonable security arrangements against such risks as unauthorized access, collection, use, disclosure or destruction Riesgos para la Privacidad Protección de la Información Personal La cabeza de un organismo público o una organización privada tiene que proteger la información personal dando disposiciones razonables de seguridad contra riesgos como el acceso, recolección, uso, divulgación o destrucción no autorizadas de información 153

12 Privacy Risks Riesgos a la Privacidad Use of Personal Information Only for the purpose for which it was collected For other purposes if the individual it is about consents to the other use Uso de Información Personal Sólo para el propósito para el cual fue recolectada Para otros propósitos solo si el individuo a quien se refiere la información da su consentimiento para el otro uso Privacy Risks Disclosure of Personal Information Only if the disclosure would not be an unreasonable invasion of personal privacy For the purpose for which the information was collected For any purpose to comply with an enactment of a government For the purpose of complying with a subpoena, warrant or order Riesgos para la Privacidad Divulgación de Información Personal Sólo si la divulgación no será una invasión irracional de la privacidad personal Para el propósito para el cual la información fue recolectada Para cualquier propósito para cumplir con una norma del gobierno Con el objetivo de cumplir con un comparendo, citación u orden Risk Management Plan Plan para el Manejo del Riesgo Programs, objectives, public benefits Relevant privacy issues, references Specific privacy risks associated with the program and application Options, solutions, recommendations for addressing or mitigating privacy risks Relevant public opinion/expectations about privacy Outline of privacy communications strategy Life cycle maintenance approach to privacy Programas, objetivos, beneficios públicos Temas relevantes de privacidad, referenciass Riesgos específicos para la privacidad asociados con el programa y aplicación Opciones, soluciones, recomendaciones para enfrentar o mitigar los riesgos para la privacidad Opinión/expectativa pública relevante con respecto a la privacidad Generalidades de la estrategia de comunicaciones con privacidad Enfoque de privacidad de mantenimiento del ciclo de vida 154

13 Privacy Impact Assessment Framework Establish Intent Why * Legal Instrument * Business * Notice Program Need Identify Assets What * Address * Postal Code * Loss Impact * SOS InfoFlow Analysis Product System * What * Topology * Where * threat Criteria * Vulnerability * Who * How * Assurance * How long Risk Mngt *PIA *TRA *Risk Mitigation *Options/ safeguar ds Marco de Evaluación del Impacto a la Privacidad Establecer Identificar Intención Activos Qué Por qué * Dirección * Instrumento Legal * Código Postal * Negocios Impacto de * Aviso pérdida Necesidad * SOS Programa Flujo de inf. Producto * Qué * Donde Criterios * Quién * Cómo * Cuánto tiempo Análisis Sistema * Topología * Amenaza * Vulnerabilidad * Seguridad Manejo deriesgos *PIA *TRA *Mitigacion de riesgos *Opciones / salvaguar da Governance/Accountability Gobernancia/Responsabilidad Privacy Impact Assessment (PIA) Evaluación del Impacto a la Privacidad (PIA) Purpose: To identify privacy issues and options for data protection in the design of privacy-compliant programs and systems. Steps: * Consultation * Statements of Sensitivity * Assurance/Analysis * Identify Options/ Select Safeguards * Implementation/Life Cycle Maintenance Propósito: Identificar problemas de privacidad y opciones para la protección de datos en el diseño de programas y sistemas que consideren el tema de la privacidad. Pasos: * Consulta * Documento de Sensibilidad * Aseguramiento/Análisis * Identificar opciones/ Seleccionar salvaguardas * Implementación/Mantenimiento del Ciclo de Vida PIA Approaches Enfoques PIA Privacy policy and guidelines/code of ethics PIA Methodology Privacy Information Assets Privacy functional Security Requirement Environmental Assessment Política de privacidad y lineamientos/código de ética Metodología PIA Activos de Información de Privacidad Requerimientos de la Seguridad funcional de la Privacidad Evaluación ambiental 155

14 PIA Linkage to Security Risk Management Vinculos PIA al Manejo de Riesgos para la Seguridad Development of an assurance model Threat & Vulnerability Analysis Identification of Safeguards RM Decision/Acceptable Risk or Exposure Safeguard Implementation Life Cycle Maintenance of security & privacy profile Desarrollo de un modelo de seguridad Análisis de Amenazas & Vulnerabilidad Identificación de Salvaguardas Decisión de MR/Riesgo aceptable o exposición Implementación de Salvaguardas Mantenimiento del Ciclo de Vida del perfil de seguridad y privacidad PIA Linkage to Security Risk Management Soluciones PIA Development of an assurance model Threat & Vulnerability Analysis Identification of Safeguards RM Decision/Acceptable Risk or Exposure Safeguard Implementation Life Cycle Maintenance of security & privacy profile Salvaguardas: encripción, autenticación, control de acceso, no-repudio, autorización o administración de privilegios Seguridad perimétrica: firewalls, gateways de aplicación Acceso remoto seguro Organizacional(roles y responsabilidades) Seguridad administrativa (procedimientos de salida) Personal (selección, verificaciones de confiabilidad) Seguridad física (acceso controlado) Auditorías Discussion Discusión Questions & Answers Preguntas & Respuestas 156

15 Cinnabar Net works Inc. PKI Certification Authority: Own/Manage or Outsource Session 5 Robert English Managing Principal, IT Security & Privacy Cinnabar Net works Inc. Autoridad de Certificación PKI: Administración Directa o Tercerización Sesión 5 Robert English Director Administrativo, Seguridad & Privacy IT Presentation Objectives Objetivos de la Presentación To provide the Government of Peru a view of the issues and challenges that will assist in their consideration of: The pros and cons of outsourcing Those aspects that are essential to control or standardize if outsourcing is decided The timing of an outsource decision Proporcionar al Gobierno del Perú una visión de los temas y desafíos que los asistirá en sus consideraciones de : Los pros y contras de la tercerización Los aspectos que son esenciales para controlar o estandarizar si se decide tercerizar El momento oportuno para tomar la decisión de tercerizar Presentation Coverage Government s National Objectives Determining What s Important Status of PKI in Peru: Public & Private sectors (what s stable, what s evolving) National Policy Frameworks Operational Considerations Related Issues and Challenges Temas a Cubrir en la Presentación Objetivos Nacionales del Gobierno Determinar qué es importante Estado de la PKI en el país: sectores Público & Privado (qué es estable, qué está en evolución) Marcos de Políticas Nacionales Consideraciones Operacionales Temas y Desafíos Relacionados 157

16 National Objectives Is the government position clear: Legislation: force to digital signatures and privacy High level governance and political oversight Link to government initiatives: electronic commerce, government on line etc. Interoperability, standards based approach Objetivos Nacionales Es la posición del gobierno clara: Legislación: obliga a considerar los aspectos de firma digital y seguridad Gobernancia de alto nivel y supervisión política Vínculación a las iniciativas del gobierno:comercio electrónico, gobierno en línea, etc Interoperabilidad, un enfoque basado en normas Retaining What s Important Where outsourcing is contemplated Government s usually retain: Balanced governance structure with public and private sector representation Control over policy framework: certificate policies, certificate practice statements, cross-certification Registration process Review of objective third party audit Retener lo que es importante Cuando se contempla la tercerización, los gobiernos usualmente retienen lo siguiente : Una estructura de gobernancia equilibrada con representación del sector público y privado Un control sobre el Marco de Políticas : políticas de certificación, relación de prácticas de certificación, certificación cruzada Proceso de Registro Revisión de auditoría realizada por una tercera parte confiable Insisting On The Following Insistir en lo siguiente Where outsourcing is being contemplated an enterprise will usually insist on: A policy assurance model that will meet government needs Liability acceptance that is consistent with the policy assurance model Right to embed security in Service Level Agreements Subscriber agreements that ensure the integrity of the service offering is maintained and that certificate use and liability is properly framed and understood Cuando se contempla la tercerización, las empresas usualmente insistirán en : Un modelo de seguridad de las políticas que satisfaga las necesidades del gobierno Una aceptación de responsabilidades que sea consistente con el modelo de seguridad de la política El derecho a incluir la seguridad en los Acuerdos de Nivel de Servicio Acuerdos que aseguren que la integridad del servicio ofrecido se mantenga y que se entienda y enmarque apropiadamente el uso de certificados y sus responsabilidades 158

17 Status of PKI in Peru Estado de la PKI en el Perú Outsourcing is a high risk where: Government lacks experience National control over service availability or business continuity is lost Privacy of individual citizens is lost: on recovery of confidentiality keys from an off-shore CA Policy Frameworks are evolving: policies and practices are unstable, cross-certification methodology is evolving, directories services are evolving, audit standards for CA certification are evolving and PKIs have not been accredited etc. La tercerización tiene un alto riesgo cuando: El gobierno no tiene experiencia Se perdió el control nacional sobre la disponibilidad de servicios o continuidad de los negocios Se perdió la privacidad de los ciudadanos individuales: en la recuperación de las claves de confidencialidad de una CA extranjera Los Marcos de Políticas están evolucionando: las políticas y prácticas son inestables, la metodología de certificación cruzada está evolucionando, los servicios de directorios están evolucionando, las normas de auditoría para la certificación por CA están evolucionando y las PKI no han sido acreditadas etc. National Policy Frameworks Marcos de Políticas Nacionales ES Framework supports both own or outsource: Sound legislative basis Enterprise wide: IM/IT governance, IM/IT architectures, security policies and standards, PKI policy framework etc. Acceptable use, code of ethics, intellectual property, etc. El Marco ES (de seguridad electrónica) soporta tanto una administración propia como una tercerizada : Sólida base legislativa Para toda la empresa: gobernacia IM/IT, arquitecturas IM/IT, políticas y normas de seguridad, marcos de políticas PKI, etc. Uso aceptable, código de ética, propiedad intelectual, etc. Operational Considerations Consideraciones Operacionales CA Product or Service Management Responsible for end-to-end delivery and evolution of the product/service: Managing business relationships: government and industry stakeholders Negotiating service level agreements with users Maintaining service quality, including availability Sponsoring user groups Administración de Producto o Servicio CA Responsable de la entrega end-to-end y de la evolución del producto/servicio : Administrando las relaciones de negocios: gobierno e interesados de la industria Negociando acuerdos de nivel de servicio con los usuarios Manteniendo una calidad de servicio, incluyendo disponibilidad Auspiciando grupos de usuarios 159

18 Operational Considerations Consideraciones Operacionales Operations Management Computer goods Maintenance of PKI h/w and s/w infrastructure: including installation, management and monitoring of system components Establishment of funds to increase capacity for business growth (10 to 15% year) Monitoring bandwidth and augmenting as needed to meet service, throughput and capacity needs Administración de las Operaciones Artículos de computación Mantenimiento de una infraestructura PKI h/w y s/w : incluyendo instalación, administración y monitoreo de los componentes del sistema Establecimiento de fondos para aumentar la capacidad para el crecimiento de los negocios (10 a 15% anual) Monitorear el ancho de banda y aumentarlo conforme se necesite para satisfacer las necesidades de servicio, producción y capacidad Operational Considerations Consideraciones Operacionales Operations Management Computer facilities High availability computer facility: 24/7 operation, physical and environmental security, un-interruptable and conditioned power, high availability communications connectivity etc Production application platforms (UNIX, NT etc) Technical support specialists (4 levels) Administración de Operaciones Instalaciones de Computación Instalaciones de computación de alta disponibilidad: operación 24/7, seguridad física y ambiental, electricidad acondicionada y sin interrupción, disponibilidad de conectividad para comunicaciones, etc Plataformas de aplicación de producción (UNIX, NT, etc) Especialistas en soporte técnico (4 niveles) Operational Considerations Consideraciones Operacionales Operations Management Service Management Set of disciplined processes that provide tools, organization and procedures to manage service level commitments Generation of service level reports, service indicators and performance tracking Configuration control process involving engineering & development, testing environment and the production environment Administración de las Operaciones Administración de Servicio Conjunto de procesos disciplinados que proporcionan herrammientas, organización y procedimientos para manejar los compromisos de nivel de servicios Generación de informes de nivel de servicio, indicadores de servicio y rastreo de desempeño Proceso de control de configuración que incluyen ingeniería y desarrollo, ambiente de pruebas y el ambiente de producción 160

19 Operational Considerations Consideraciones Operacionales Operations Management Service Desk Reporting of problems and managing change Problems defined with the user Ticket number provided for tracking resolution in management reporting system Escalation process Trend reporting Administración de Operaciones Mostrador de Servicios Información sobre problemas y administración del cambio Los problemas se definen con el usuario Se da un número de ticket para rastrear la resolución en el sistema de información a la gerencia Proceso de escalamiento Información sobre tendencias Operational Considerations Operations Management Systems Management Systems monitoring for availability: notifies on-call support engineer, service desk and the clients: Includes PKI host, ftp server, web server, data base and Internet firewall and routers.. Network Monitoring & Firewall Management S/W & H/W Support: Installation & support of all operating system s/w, all architected and approved foundation s/w products, all network related equipment and lines and environmental systems Consideraciones Operacionales Administración de Operaciones Administración de Sistemas Monitoreo de sistemas buscando disponibilidad: se notifica al ingeniero de soporte de turno, al mostradorb de servicios y a los clientes : Incluye un host PKI, sevidor ftp, servidor web, base de datos y firewall y routers para Internet. Monitoreo de Red & Administración de Firewall Soporte S/W & H/W: Instalación y soporte de todos los s/w del sistema operativo, todos los productos de s/w arquitecturados y de bases aprobadas, todo el equipo relacionado a la red y sistemas de línea y ambientales Operational Considerations Operations Management Systems Management Installation and support of the DBMS s/w, database connectivity and query tools. Includes all new releases, database schema definition, backup, recovery etc. Configuration/asset management for all infrastructure including h/w & s/w for all servers and maintaining support agreements with all providers Security management:maintenance of the overall security profile established by threat and risk assessment and confirmed by system certification and accreditation process Consideraciones Operacionales Administración de Operaciones Administración de Sistemas Instalación y soporte del s/w DBMS, conectividad de base de datos y herramientas de búsqueda. Incluye todos los nuevos lanzamientos, definición de esquema de base de datos, copia de seguridad, recuperación, etc. Administración de configuración/activos para toda la infraestructura incluyendo el h/w & s/w para todos los servidores, manteniendo acuerdos de nivel de servicio con los proveedores Mantenimiento de la administración de seguridad: mantenimiento del perfil general de seguridad establecido por la evaluación de amenazas y riesgos y confirmado por el proceso de certificación y acreditación del sistema 161

20 Operational Considerations Operations Management Data Care Services Incremental back-ups for different retention periods stored off-site Release Management Application design and development Readiness and Acceptance Testing Environment (support certification) Production environment Consideraciones Opreracionales Administración de Operaciones Servicios de Cuidado de Datos Copias de seguridad incrementales por diferentes periodos de retención almacenadas fuera del site Administración de Lanzamiento de nuevos productos Diseño y desarrollo de aplicaciones Ambiente de pruebas de aceptación y pruebas que demuestren que el producto está listo para ser lanzado (certificación de soporte Ambiente de producción Operational Considerations Operations Management Technical Development Technical architecture and design of the service Development of new features and lab proving Creation of upgrade documentation: EC lab, RATE, Disaster Recovery Participating in beta releases with vendors e.g. Entrust Provision of guidance to users for use of PKI with specific applications On-going interaction and communications with all stakeholders Consideraciones Operacionales Administración de Operaciones Desarrollo Técnico Arquitectura y diseño técnico del servicio Desarrollo de nuevas características y pruebas de laboratorio Creación de documentación de upgrade: laboratorio EC, RATE, Recuperación de Desastres Participar en lanzamientos beta con los proveedores, por ejemplo Entrust Guíar a los usuarios para el uso de una PKI con aplicaciones específicas Interacción y comunicación continuada con todos los interesados Related Issues & Challenges The people issue: Hard to find, hire, train and retain On Job Training program an absolute must No complete system training available: Entrust products, entrust communications, system administration, firewalls, directories, security administration, IT system security, custodial (key management) El tema de la gente: Temas & Desafíos Relacionados Difícil de encontrar, contratar, capacitar y retener El Programa de Capacitación en el Trabajo es una necesidad absoluta No existe una capacitación completa en sistemas : Productos Entrust, comunicaciones confiables, administración de sistemas, firewalls, directorios, administración de seguridad, seguridad de sistemas IT, custodios (administración de claves) 162