Actualmente se desempeña como Gerente de Tecnología de CertiSur S.A.

Transcripción

1 Armando Carratalá Licenciado en Ciencias de la Comunicación de Buenos Aires (UBA). En su trayectoria profesional se ha desarrollado en distintas tareas de soporte técnico y administración de proyectos dentro del ámbito gubernamental y privado, así como dictado de seminarios y cursos en congresos y universidades. Entre 1993 y 1998 participó en la instalación y mantenimiento de la red del Ministerio de Justicia de la República Argentina y en el desarrollo de la interfaz para Internet del Sistema Argentino de Informática Jurídica, la mayor base de datos juridica de habla castellana. En 1996 participó en la redacción del Decreto 427/98 que impulsó la creación de la Infraestructura de Firma Digital para la Administración Pública Nacional. Entre 1998 y 1999 se desempeño como responsable técnico para la implantación de la PKI de Gobierno, la primera PKI del pais, y asesoró a la Secretaria de la Función Publica en la redacción del proyecto de ley de firma digital. Trabajó en el diseño de una autoridad certificante a ser utilizada dentro de la Administración Pública. En 1999 fue responsable técnico, por parte de Argentina, de la firma de convenio entre Argentina y Chile utilizando esta tecnología, tercer acto de este tipo realizado en el mundo. Actualmente se desempeña como Gerente de Tecnología de CertiSur S.A. La creación de un entorno seguro para las transacciones electrónicas es un tema que se viene trabajando desde Una de las principales dificultades fue que no existía mucha experiencia en este campo a escala internacional. En Argentina, la creación de un entorno seguro fue una iniciativa estatal. En un principio, el sector privado no quiso participar en la misma. El objetivo fue construir una PKI para que fuese utilizada por los usuarios y permitiera mejorar la eficiencia en el funcionamiento del Estado, pues muchas operaciones podrían ser realizadas de esta manera por vía electrónica en ambientes seguros. En su inicio se esperaba que muchos servicios pudieran ser prestados en forma electrónica, pero esto aún no se concreta. No obstante, hoy en día la infraestructura para que aparezcan nuevos servicios ya existe. Una de las ventajas que tiene la creación de una PKI es que permite integrar y dar autonomía a la información que es recolectada y administrada por el Estado. 167

2 A lo largo del proceso fue necesaria la capacitación dirigida hacia las altas autoridades, inclusive a los técnicos que laboraban en el Estado, pero que no estaban involucrados en la toma de decisiones. En 1996 es que se crea en la Argentina un comité que asume el proceso de difusión del esquema. Hay que tener claro que el personal que se requiere para la creación de un ambiente seguro es altamente especializado por lo que se necesita contar con los recursos para atraerlo y mantenerlo dentro del aparato estatal. Vistas las dificultades del proceso de creación, el gobierno argentino decidió darle un plazo perentorio de dos años al periodo de implementación del PKI. De hecho, sólo la etapa de convocar a todos lo que participarían en el programa tomó un año. La difusión de las bondades del mecanismo estuvo a cargo del grupo de asesoramiento y requirió de un trabajo paciente de convencimiento. 168

3 Cinnabar Net works Inc. Session 6: Governance The Role of Government ITS Governance and Public Key Infrastructure (PKI) Implementation Robert A. English Managing Principal, ITS & Privacy Cinnabar Net works Inc. Sesión 6: Gobernancia El Rol del Gobierno Gobernancia ITS e Implementación de Infraestructura de Clave Pública (PKI) Robert A. English Director Administrativo, ITS & Privacidad Presentation Outline The PKI Implementation Challenge: Technical & Administrative Governance Structures & Mechanisms Issues and Interdependencies Rationalization of Issues & Structures Steps To Early Resolution Esquema de la Presentación El Desafío de la Implemantación PKI : Técnico y Administrativo Estructuras y Mecanismos de Gobernancia Problemas e Interdependencias de Problemas y Estructuras Pasos para una Temprana Resolución Implementation Challenge Administrative Challenges: Not an all inclusive list Legislative or Statutory Legal Governance Accountability General Enterprise Security Departmental Security Desafío de Implementación Desafíos Administrativos: No es una lista que incluya todos Legislativos o Estatutorios Legales Gobernancia Responsabilidad Seguridad General de la Empresa Seguridad Ministerial 169

4 Implementation Challenges Administrative Challenges ITS Policies and Standards Certificate Policies and Practices Cross-certification Agreements Acceptable Use Policy Auditor General Requirements Relevance of Financial Administration Act and Comptroller General Requirements Desafíos de Implementación Desafíos Administrativos Políticas y Normas ITS Prácticas y Políticas de Certificación Acuerdos de Certificación Cruzada Política de Uso Aceptable Requerimientos del Auditor General Relevancia de la Ley de Administración Financiera y Requerimientos del Contralor General Implementation Challenges Technical Challenges: Not an all inclusive list: Risk Management/Threat & Risk Assessments Determining adequacy of technology base System infrastructure and architecture design Product design and functionality Product assurance, integrity and certification Desafíos de Implementación Desafíos Técnicos: No es una lista que los incluya todos: Manejo de Riesgos/Evaluaciones de Amenazas y Riesgos Determinar que tan adecuada es la base tecnológica Diseño de arquitectura e infraestructura de sistema Diseño y funcionalidad del producto Seguridad, integridad y certificaciín del producto Implementation Challenges Desafíos de Implementación Technical Challenges: Product/system technical interoperability System certification and accreditation Due diligence testing Product selection and acquisition approach Ensure accessibility to network resources in a secure manner Desafíos Técnicos: Interoperabilidas técnica Producto/sistema Certificación y Acreditación de Sistema Prueba de diligencia debida Enfoque de selección y adquisición de producto Asegurar una accesibilidad a recursos de red de manera segura 170

5 Implementation Challenges Technical Challenges: PKI baseline technology conformance Product and system integration requirements Enable applications and infrastructure for PKI Implementation of cryptographic tokens Desafíos Técnicos: Desafíos de Implementación Conformidad de la tecnología base PKI Requerimientos de integración de sistemas y productos Permite aplicaciones e infraestructura para PKI Implementación de tokens criptográficos Structures & Mechanisms Estructuras y Mecanismos Structures: Corporate/Departmental Security--Enterprise Wide Information Management/Information Technology (IM/IT) Public Key Infrastructure root or management nodes Estructuras: Corporativa/Ministerial Seguridad para toda la empresa Administración de la información/tecnologí de la Información (IM/IT) Raíz o nodos de administración de Infraestructura de Clave Pública Structures & Mechanisms Estructuras y Mecanismos Mechanisms: Councils/Boards Committees Task Forces Working Groups Regulations, Policies, Directives Mecanismos: Consejos/Juntas Comités Fuerzas de Tareas Grupos de Trabajo Regulaciones, Políticas, Directivas 171

6 Issues & Interdependencies Governance--a show-stopper Impact of higher level guidance i.e. GOC PMA & CSE policy or guidance Impact of cross-certifications with outside organizations Security of, and accountability for, information systems Problemas e Interdependencias La Gobernacia se lleva toda la atención Impacto de de una guía de alto nivel, es decir, PMA del GOC y política o guía CSE Impacto de la certificación cruzada con organizaciones externas Seguridad y responsabilidad por los sistemas de información Issues & Interdependencies Problemas e Interdependencias Overlap in Governance bodies Terms of Reference (TORs) and roles & responsibilities Reflecting ITS in Governance body TORs The need for a coherent enterprise wide Security/ITS program Corporate commitment and initiative resourcing Superposición en los organismos de gobernancia en Términos de Referencia (TORs) y roles y responsabilidades Reflejar la ITS en los Términos de Referencia del organismo de gobernancia La necesidad de un programa de seguridad/its coherentre para toda la empresa Compromiso corporativo y búsqueda de iniciativas Issues & Interdependencies Impact of international developments in the PKI area involving cross-certification & interoperability, CA certification etc. Impact of legislative and legal developments on the establishment of governance structures Problemas e Interdependencias El impacto del desarrollo internacional en el area PKI incluyendo certificación cruzada e interoperabilidad, certificación CA, etc. El impacto de los desarrollos legislativos y legales en el establecimiento de estructuras de gobernancia 172

7 Rationalization Consider whether ITS should be represented in both security & IM/IT structure If the security function is distributed, is coordination adequate for a coherent program If security is centralized are there adequate linkages between the centralized function and line organizations Considerar si la ITS debe ser representada tanto en la estructura IM/IT como en la de seguridad Si la función de seguridad es distribuida, determinar si la coordinación es adecuada para un programa coherente Si la seguridad es centralizada, determinar si hay suficientes vínculos entre la función centralizada y las organizaciones de línea Rationalization Ensure consistency among all policies, directives, standards & guidelines Streamline committee structure to ensure it s responsive to planning and implementation timelines & interoperability commitments Ensure that all governance bodies are empowered to make decisions and that roles are clear Asegurar consistencia entre todas las políticas, directivas, normas y lineamientos Estructura de Comité directa para asegurar que éste responda a los compromisos de plazos de planificación, implementación e interoperabilidad Asegurarse de que todos los organismos de gobernancia tengan facultad para tomar decisiones y que los roles estén claros Rationalization Include or link ITS to business planning priorities for IM/IT to establish senior level commitment and resource allocation Extend governance structures to include outside organizations where business linkages have been established with partners i.e. federal government and other jurisdictions Incluir o vincular la ITS en las prioridades de la planificación de negocios para IM/IT para establecer compromiso de los niveles más altos y conseguir asignación de recursos Ampliar las estructuras de gobernancia para incluir organizaciones externas cuando se hayan establecido vínculos de negocios con socios, es decir, el gobierno federal y otras instituciones 173

8 Rationalization Examining legislative & legal requirements for possible influence on the establishment of governance structures Examining cross-certification and CA certification developments of trading partners, international bodies etc. on the establishment and operation of governance structures Examinar los requerimientos legislativos y legales para una posible influencia en el establecimiento de estructuras de gobernancia Examinar los desarrollos de certificación cruzada y certificación CA de los socios comerciales, organismos internacionales, etc. en el establecimiento y operación de las estructuras de gobernancia Rationalization Accountability of shared information or systems in an evolving era of new technologies, such as PKI, is paramount: Does the governance structure include, or make reference to, an accountability framework for information security Are areas identified where clear accountability is essential (e.g.electronic commerce, shared information holdings or IT systems) La responsabilidad por la información o sistemas compartidos en una era con evolución de nuevas tecnologías, como la PKI, es de vital importancia : Si la estructura de gobernancia incluye o hace referencia a un marco de responsabilidad para la seguridad de la información Si hay areas identificadas en las cuales la responsabilidad clara es esencial (por ejemplo, comercio electrónico, tenedores de información compartida o sistemas IT) Rationalization Has provision been made to define protocols for transfer of accountability within partnership arrangements where information and IT system(s) are to be shared Will the governance structure and accountability framework allow for negotiation of best practices to meet the spirit of legislative & policy frameworks for privacy and access to personal information Si se han dado disposiciones para definir protocolos para la transferencia de responsabilidad dentro de los acuerdos de asociación en los que no se comparte la información y sistema(s) IT si permitiran la estructura de gobernancia y marco de responsabilidad la negociación de mejores prácticas para cumplir con el espíritu de los marcos legislativo/de políticas para privacidad y accesos a información personal 174

9 Steps To Early Resolution Pasos para una Temprana Resolución Determine PKI Governance Requirements by: Consulting TBS/PMA and CSE Guidance Reviewing Certificate policies and practices Considering the needs of existing interoperability agreements and planned partnership arrangements Confirming that service standards and operational needs can be met within existing structures Determinar los Requerimientos de Gobernancia PKI : Consultando los TBS/PMA y las Guías CSE Revisando las políticas y prácticas de certificación Considerando las necesidades de los acuerdos de interoperabilidad existentes y los acuerdos de asociación planificados Confirmando que se pueda cumplir con los estándares de servicio y las necesidades operativas dentro de las estructuras existentes Steps to Early Resolution Consulting provincial, federal and international level developments for impact on enterprise governance structures. This includes issues such as: legislative or statutory, legal, crosscertification, interoperability & CA certification standards Confirm that the Governance Structure includes provision for an accountability framework for information security or shared IT systems Pasos para una Temprana Resolución Consultar los desarrollos de nivel provincial, federal e internacional y su impacto en las estructuras de gobernancia de la empresa. Esto incluye temas como: aspectos legislativos o estatutarios, legales, certificación cruzada, interoperabilidad y normas de certificación CA Confirmar que la estrucrtura de Gobernancia incluya disposiciones en cuanto a un marco de responsabilidad para seguridad de la información o sistemas IT compartidos Steps To Early Resolution Determine adjustments to existing governance processes by: identifying shortcomings interviewing subject matter experts, relevant stakeholders and decision makers on workable adjustments negotiating the minimum requirements for governance where trading partners are involved Pasos para una Temprana Resolución Determinar los ajustes a los procesos de gobernancia existentes : Identificando las deficiencias Entrevistando expertos en los asuntos de importancia, interesados de relevancia y a quienes toman las decisiones sobre ajustes viables Negociando los requerimientos mínimos de gobernancia cuando los socios comerciales están involucrados 175

10 Steps To Early Resolution Pasos para una Temprana Resolución Formulating changes to existing governance structures/mechanisms Seeking management approval of recommended changes to governance structures/mechanisms Implementing changes to existing governance structures/mechanisms Formulando cambios a los mecanismos/estructuras de gobernancia existentes Buscando que la gerencia apruebe los cambios recomendados a los mecanismos/estructuras de gobernancia Implementando cambios a los mecanismos/estructuras de gobernacia existentes 176