Seguridad Informática Septiembre 2005

Transcripción

1 Seguridad Informática Septiembre 2005

2 Retos sobre el acceso a la información: Permitir a los usuarios el acceso a la información que precisen en el momento en que la necesiten A través de múltiples dispositivos Evitando el acceso de los datos de los ciudadanos y empresas a las personas no autorizadas Con un coste razonable que no haga la seguridad inviable

3 Herramientas para conseguirlo: Definiendo una estrategia de seguridad global Plataforma tecnológica adecuada Garantizando la conformidad con los estándares de las aplicaciones Seguridad y control en las aplicaciones Gestión de la identidad

4 Gestión de la identidad: Solución integral para múltiples plataformas y aplicaciones Herramientas de administración centralizada de seguridad Permite mejorar la seguridad de las plataformas y aplicaciones claves de la empresa Disminuye costos de administración y provisioning.

5 Mecanismos para conseguirlo: Autenticación: comprobar la identidad de los usuarios (palabras de paso, PIN, certificados digitales, tarjetas inteligentes, rasgos biométricos...) Control de acceso (Administración de privilegios) Single Sign On Administración de usuarios fácil para dar/quitar privilegios de manera fácil y rapida Directorio de usuarios

6 Ventajas de la Gestión de la Identidad: Reducción de costes Incremento de la productividad Mayor facilidad de gestión Mayor seguridad

7 Problemas detectados: No hay una política de seguridad común en la organizaciones Falta de cultura de seguridad Los empleados públicos no tienen certificados digitales en su gran mayoría Un gran número de altos cargos no utilizan la tecnología y por tanto delegan sus identidades en el personal auxiliar

8 Propuestas ASTIC: Dotar a todos los empleados públicos de identidad digital con certificado directorios de la AGE interconectados definición y adopción de estándares comunes seguridad coherente en toda la organización

9 Legislación aplicable Real Decreto 263/1996 de 16 de febrero que regula las técnicas electrónicas, informáticas y telemáticas en la AGE Real Decreto 209/2003 de 21 de febrero que regula los registros y notificaciones telemáticas, así como la utilización de medios telemáticos para la sustitución de certificados Ley Orgánica 15/1999 de Protección de Datos de carácter personal y el Real Decreto 994/1999 de 11 de junio que aprueba el Reglamento de ficheros automatizados Comunicación de la Comisión Europea sobre seguridad de las redes y de la información

10 Medidas organizativas y técnicas a tomar por la AGE 1 Identificar, autenticar y, en su caso, autorizar el acceso a los sistemas de información Identificar fidedignamente a remitente y destinatario en las comunicaciones electrónicas Controlar el acceso para restringir la utilización y el acceso a datos e informaciones a las personas autorizadas y proteger los procesos informáticos frente a manipulaciones no autorizadas Mantener la integridad de la información y elementos del sistema, para prevenir alteraciones o pérdidas de los datos e informaciones

11 Medidas organizativas y técnicas a tomar por la AGE 2 Garantizar la disponibilidad de la información y de las aplicaciones Prevenir la interceptación, alteración y acceso no autorizado a la información Gestionar las incidencias de seguridad Auditar y controlar la seguridad

12 Principio de proporcionalidad Ha de tenerse en cuenta que la aplicación de las medidas de seguridad organizativas y técnicas expuestas en este documento debe realizarse atendiendo al principio de proporcionalidad que relaciona la naturaleza de los datos y de los tratamientos con los riesgos a los que estén expuestos y el estado de la tecnología, y, en particular, a las medidas exigidas en relación con la protección de los datos de carácter personal.

13 Claves de la seguridad Autenticación Confidencialidad Integridad Disponibilidad

14 Recomendaciones sobre Autenticación La identificación y la autenticación basada en certificados sobre tarjeta inteligente criptográfica es recomendable: 1) para identificación y autenticación con efecto jurídico en las comunicaciones entre ciudadanos y Administración; 2) en el ámbito donde haya datos a los que haya que aplicar medidas de protección denominadas de nivel medio o alto La autenticación basada en identificador de usuario y contraseña dinámica o de un solo uso puede ser recomendable en el ámbito donde haya datos a los que haya que aplicar medidas hasta las denominadas de nivel medio (contraseñas sólo validas una vez y mayor de 6 caracteres)

15 Recomendaciones sobre Confidencialidad El intercambio de una clave simétrica de cifrado debe realizarse bien por un canal seguro o bien después de cifrarla con criptografía asimétrica Un sistema de gestión de claves criptográficas debe basarse en un conjunto de estándares, procedimientos y métodos. Aplicar cifrado integral del disco duro para la protección de la confidencialidad de la información contenida en equipos portátiles Aplicar cifrado en los soportes removibles que puedan contener información que requiere salvaguarda de la confidencialidad

16 Recomendaciones sobre Integridad Aplicar técnicas de comprobación de la identidad de las aplicaciones contra código dañino Aplicar procedimientos para evitar la instalación de software no autorizado por la organización Utilización de estándares como ISO/IEC 15408

17 Recomendaciones sobre Disponibilidad En función de la naturaleza de los datos y de los tratamientos recurrir a la redundancia de equipos y a sistemas tolerantes a fallos En la medida en que el mercado los proporciones, conviene utilizar mecanismos que comprueben la integridad del software Utilización de estándares como ISO/IEC 15408

18 Recomendaciones sobre Control de Acceso Interrumpir automáticamente la sesión después de un periodo de tiempo en que el usuario no ha realizado ninguna acción Limitar el tiempo máximo de conexión para aplicaciones, así como la franja horaria de acceso Mantener un registro de eventos relativos al control de acceso Controlar el acceso a los programas de utilidades Bloquear las cuentas que no sean utilizadas durante un período de tiempo fijado Exigir estándares, ISO/IEC 15408

19 Recomendaciones sobre Acceso a través de redes Definir sistemas de control de ruta, para requisitos de confidencialidad muy exigentes Utilizar estándares, preferentemente ISO/IEC 15408

20 Recomendaciones sobre Firma Electrónica La firma electrónica avanzada basada en certificados reconocidos o los dispositivos seguros de creación de la firma electrónica se utilizarán cuando el correspondiente análisis y gestión de los riesgos así lo aconseje Utilización de estándares, ISO/IEC 15408

21 Muchas gracias por su atención