Mecanismos de seguridad en las aplicaciones Aitor Cubo Contreras
Contenidos Registros electrónicos Firma electrónica DNI Electrónico Auditorías y sistemas de seguridad Encriptación y transmisiones electrónicas seguras Archivado y conservación de la informacióna largoplazo Esquema Nacional de Interoperabilidad Esquema Nacional de Seguridad
Registros electrónicos Definición y funcionamiento (1/2) Registros electrónicos y registro telemático. o Registro electrónico en esta presentación se entiende como aquel sistema que se pone a disposición del ciudadano para que los trámites que se pueden hacer en el mundo papel en una oficina, se hagan a través de internet. o Para diferenciar, registro telemático es la aplicación que, integrada con los registros generales del organismo, ofrece servicios de registro para el resto de aplicaciones En ambos casos, el objetivo es cumplir los requisitos legales de registro de entrada o de salida, que tienen los procedimientos administrativos, pero a través de medios telemáticos
Registros electrónicos Definición y funcionamiento (2/2) Se permiten dos modos de funcionamiento: A través de formularios web y firma electrónica reconocida de la persona física o jurídica permite obtener un justificante de firma sellado electrónicamente con los datos pasados por registro con toda la seguridad normativa y de datos que la firma electrónica proporciona. A través de aplicaciones integradas con el Registro Telemático. De manera análoga, a través de firma electrónica reconocida de la persona física o jurídica permite, vía aplicación, obtener los mismos resultados: un justificante sellado por el Departamento que proporciona las mismas garantías.
Registros electrónicos Base legal asociada La Ley 11/2007, en su artículo 24.4, especifica que en el ámbito de la Administración General del Estado se automatizarán las oficinas de registro físicas, a fin de garantizar la interconexión de todas sus oficinas y posibilitar el acceso por medios electrónicos a los asientos registrales y a las copias electrónicas de los documentos presentados. En este sentido, y en el marco del Esquema Nacional de Interoperabilidad, la Dirección General parael Impulsode laadministraciónelectrónica (DGIAE) ha promovido: La elaboración lb y aprobación de una nueva versión de la norma de intercambio registral, SICRES 3.0, para normalizar la interoperabilidad entre las distintas oficinas de registro. La puesta en marcha del Sistema de Interconexión de Registros (en adelante, SIR), enel marco de trabajo anterior, y con una filosofía esencialmente colaborativa.
Registros electrónicos Proyecto ORVE sobre Red SARA A través del Registro Electrónico Común, el ciudadano puede presentar ante la Administración cualquier solicitud, escrito o comunicación, en formato electrónico. SISTEMA DE INTERCONE XIÓN DE REGISTROS Administraci ón General del Estado SIR intercambia registros entre los organismos de la AGE. DIGITALIZACIÓN Las entidades locales pueden Oficina de intercambiar Registro de la registros a la AGE, Entidad Local atravésdeorvey el Portal de Entidades Locales N.T.I. SICRES 3.0
Registros electrónicos Sistema de Intercambio de Registros
Firma electrónica Definición y funcionamiento Correspondiente, bajo ciertas condiciones, alafirmamanuscritaenla sociedad de la información 2 diferencias con la firma manuscrita La firma electrónica debe ser función del documento electrónico al que acompaña No puede ser constante, para evitar que por su naturaleza electrónica pueda ser cortada y pegada posteriormente en cualquier otro documento La firma electrónica proporciona adicionalmente integridad Permite verificar si el documento al que acompaña ha sido modicado o no, algo que no permite la firma manuscrita Surge como evolución de los sistemas criptográficos Uso como método independiente o en combinación con otros que hacen mássegurosuuso Por ejemplo, el DNI electrónico es una prenda que se posee, y que incluye una firma electrónica accesible mediante clave, para identificar digitalmente al usuario
Firma electrónica Definición y funcionamiento Autenticación Confirmación de la identidad de las entidades comunicantes y protección frente a suplantaciones de identidad Confidencialidad Protección frente a divulgación de los datos sin autorización y garantía de que la información solo es entendible por su destinatario Integridad d Garantía de exactitud y veracidad de los datos y protección contra modificaciones, supresiones, creaciones y reactuaciones no autorizadas sobre los datos No repudio Evitación de la negación sobre la realización de una acción y garantía de disponibilidad de las pruebas de autoría de una acción
Firma electrónica Definición y funcionamiento La firma electrónica por sí sola tiene dos problemas que no es capaz de resolver La firma digital permite comprobar la relación existente entre un mensaje y la clave secreta utilizada para realizar la firma, pero se necesita adicionalmente una garantía de la relación entre la clave utilizada y la identidad real del poseedor Es decir, se necesita la seguridad de que la clave pública es propiedad realmente de quien dice poseerla. Debe existir una jerarquía de confianza Debe poder accederse a todas las claves públicas necesarias para verificar cualquier mensaje Es decir, debe existir una gestión de la información de común conocimiento Para solucionar estas cuestiones surgen las denominadas infraestructuras declave pública (PKI, Public Key Infrastructure) Y los certificados digitales como componente principal de las mismas
Firma electrónica Definición y funcionamiento
Firma electrónica DNI electrónico Tintas OVI Impresión con cambio de color Chip criptográfico Para autenticación mediante comparación biométrica almacenada en el chip Datos criptografiados Certificados digitales Imagen múltiple a láser (CLI) Elementos de información diferentes y específicos combinados en una estructura grabada a láser. Fotografía MLI Fondo de Seguridad idd Tintas UV / IR Formas de guilloches que pueden incorporar logotipos Impresión irisada Sólo visibles con luz ultravioleta o infrarroja Tintas Fluorescentes Estructura de superficie Policarbonato Guilloches y microimpresión Fácil verificación visual y táctil Fotografía Holograma /Kinegrama Estructura holográfica diseñada artísticamente Protegido por un overlay de 100 nm. Grabada con tecnología láser en el it interior i de la Tarjeta jt Protección contra falsificación Integración de la imagen en el fondo impreso de la tarjeta. Borde del retrato superpuesto y fondo de seguridad
Firma electrónica DNI electrónico Toda la información está firmada por la Autoridad de Certificación (CA) del DNI para garantizar su Integridad y su Autenticidad. Zona privada: Claves privadas del ciudadano Certificado de autenticación Certificado de firma Zona pública: Claves Públicas del ciudadano Certificados de la Autoridad de Certificación Zona de seguridad (accesible por DGP): Datos biométricos (plantilla de impresión dactilar) Datos de identidad del ciudadano (los mismos que están impresos en la tarjeta, incl. fotografía) Número de serie del soporte
Firma Electrónica Sistema @firma
Firma electrónica Portafirmas sobre Red SARA Contempla todas las posibilidades de firma y de flujo de los Esquemas Nacionales ([X,P,C]ADES en Cofirma y Contrafirma) Validación de Firmas Electrónicas. Generación de Justificantes para ser Impresos para el Ciudadano Recubrimiento de Servicios para Integración en Aplicaciones. Datos de Uso: Nº de Peticiones: 8237 peticiones. Nº de FIrmas. Más de 15.000 Usuarios: Apróx. 1.000 Sedes Organizativas: 54 Aplicaciones Integradas: 12
Auditorías y sistemas de seguridad Definición y funcionamiento Algunos objetivos de los Sistemas de Auditoría y Seguridad: Proporcionar garantías legales al solicitante. Han de garantizar un correcto seguimiento de las acciones efectuadas por el solicitante en relación con el marco legal (ej: (jvalidación de las firmas electrónicas efectuadas por la administración y por el solicitante, logging de aplicaciones y accesos, etc.) Proporcionar seguridad jurídica a la Administración. El uso de mecanismos de firma electrónica y su almacenamiento enlos sistemas it de logging proporcionan mecanismos de defensa ante acciones ilegítimas (no repudio, suplantación de la identidad, etc) Garantizar seguimiento de las acciones realizadas para proporcionar mejor servicio y atención al usuario, así como proporcionar conocimiento a la Administración para el seguimiento de los proyectos y para resolución de problemas. Ante incidencias permite clarificar lo que el usuario ha realizado con respecto a la aplicación y permite poner en conocimiento del soporte incluso antes de que el usuario se percate del problema mediante sistemas de notificación.
Auditorías y sistemas de seguridad Ejemplo de logging (1/3) De ACCESOS: Ejemplos de Registros de Accesos a las aplicaciones (IP, NIF Certificado, Timestamp, Usuario, representado )
Auditorías y sistemas de seguridad Ejemplo de logging (2/3) De ACCIONES: Ejemplos de Registros de Acciones o de Historial.
Auditorías y sistemas de seguridad Ejemplo de logging (3/3) De ERRORES: Ejemplos de Registros de Errores vía email para el equipo de atención de 3N. Proporciona toda la información de: Cliente, Servidor, Variables de configuración, datos en REQUEST, URI accedida, servidor con la sesión en el balanceo, etc
Encriptación y transmisión segura Definición y ejemplos Es el uso de algoritmos que permite ofuscar la información transmitida, de manera que la interceptación de los paquetes transmitidos no tenga significado alguno para el interceptador de la información. Existen múltiples métodos: Algoritmos Hash: Correspondencia entre contenido e identificador (MAC) Algoritmos Simétricos: Una única clave. Algoritmos Ai Asimétricos: éti Requiere dos claves, la pública, y la privada En la Administración Electrónica se usan todos con gran variedad y combinación. Ejemplos: Algoritmos Hash: Para la identificación de documentos, o reducción del peso de los mismos. Requiere un registro de relación entre documento original y su hash por motivos de auditoría. Permite la validación de la integridad de un documento. Algoritmos Simétricos: Usados ampliamente inter aplicaciones para la validación, por ejemplo, de los Servicios Web. Algoritmos Asimétricos: Como ejemplo primordial, la firma electrónica, pero también es la base g j p p,, p de los protocolos de comunicación SSL.
Archivado Conservación de la información a largo plazo El archivado de la documentación pretende abordar el problema la gestión documental con una buena preservación en el tiempo. Conceptos Importantes Crear documentos pensando en su archivado. Establecer distintas estrategias de archivado desde la concepción o creación del documento y pasando por sus distintas fases. Es importante la gestión y la clasificación de los archivos: colaboración con los archiveros. Conceptos a tener en cuenta: Accesibilidad Preservación Evidencia Seguridad
Archivado Proyecto InSiDE Permite la abstracción de la gestión de expedientes y documentos electrónicos para cualquier aplicación y gestor documental. InSide responde a Infraestructura y Sistemas de Documentación Electrónica
Archivado Proyecto InSiDE Es la base de una buena política de archivado, mediante la implementación de las normas técnicas del ENI y ENS en relación a: Expedientes Electrónicos y Documentos Electrónicos. Digitalización, políticas de firma, Procedimientos de copiado y conversión. Etc. Operaciones generales: Funcionalidades: F i d Abstracción de Servicios i Web Wbque contempla: Operaciones sobre los Expedientes electrónicos: Altas, Modificaciones de Estado, Versionado, obtención del índice, obtención del foliado, generación de firmas electrónicas, de sellado electrónico, etc. Operaciones sobre los Documentos Electrónicos: altas, bajas, modificaciones, versionado, etc. Operaciones de Consulta: Sobre metadatos, versiones de documentos.
Archivado Proyecto InSiDE Ejemplo de Ciclo de Vida:
RD 4/2010 Esquemanacional de Interoperabilidad La Ley 11/2007 reconoce la interoperabilidad como instrumento al servicio de la realización del derecho de los ciudadanos a relacionarse con las AA.PP. por medios e. Crea el Esquema Nacional de Interoperabilidad. Regulado por RD 4/2010, que desarrolla la Ley 11/2007, art. 42.1. Objeto: comprender el conjunto de criterios y recomendaciones de seguridad, normalización y conservación que deberán ser tenidos en cuenta por las AA.PP. para la toma de decisiones tecnológicas que garanticen la interoperabilidad. Ámbito de aplicación: Todas las AA.PP. (Ley 11/2007, art. 2). Adecuación: Lossistemasexistentes sistemas existentes enlos plazos establecidos; límite 29.01.2014. Los nuevos sistemas aplicarán lo establecido desde su concepción.
Esquema Nacional de Interoperabilidad Las normas técnicas deleni Normas técnicas de interoperabilidad (RD 4/2010, disp. ad. 1ª), necesarias para la aplicación del ENI: Catálogo de estándares. Documento electrónico. Digitalización de documentos. Expediente electrónico. Política de firma electrónica y de certificados. Protocolos de intermediación de datos. Relación de modelos de datos comunes. Política de gestión de documentos electrónicos. Requisitos de conexión a la Red de comunicaciones de las AA.PP. Españolas. Procedimientos de copiado auténtico y conversión. Modelo de datos para intercambio de asientos entre Entidades Registrales. Declaración de conformidad (art. 28). Reutilización de recursos de información (RD 1495/2011, D.F. 1ª).
Esquema Nacional de Interoperabilidad Las normas técnicas deleni Normas técnicas de interoperabilidad + Guías de aplicación disponibles en el publicadas en BOE 30.07.2011: Portal de la Administración Electrónica: Fuente: http://www.boe.es/boe/dias/2011/07/30/ Fuente: http://administracionelectronica.gob.es
Esquema Nacional de Seguridad Seguridad en la Ley 11 / 2007 La Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce el derecho de los ciudadanos a relacionarse a través de medios electrónicos con las AA.PP. Este reconocimiento implica la obligación de las AA.PP. de promoción de las condiciones de confianza y seguridad mediante laaplicación aplicación segura de lastecnologías. Diversos principios de la Ley 11/2007 se refieren a la seguridad: El principio de derecho a la protección de los datos de carácter personal. El principio de seguridad en la implantación y utilización de los medios electrónicos. El principio de proporcionalidad garan as y medidas de seguridad adecuadas a la naturaleza y circunstancias de los trámites y actuaciones. La seguridad figura también entre los derechos de los ciudadanos: Derecho a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las AA.PP. La Ley 11/2007 crea el Esquema Nacional de Seguridad.
Esquema Nacional de Seguridad Real Decreto del Esquema Nacional de Seguridad Es un instrumento legal Real Decreto 3/2010- que desarrolla lo previsto sobre seguridad en la Ley 11/2007. Establece la política de seguridad en los servicios de administración e. Está constituida por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Es de aplicación a todas las AA.PP. Están excluidos los sistemas que manejan la información clasificada. Establece un mecanismo de adecuación escalonado (fecha límite 29.01.2014). Resulta de un esfuerzo colectivo: AGE, CC.AA., CC.LL. FEMP, CRUE + Opinión Industria TIC.
Esquema Nacional de Seguridad Objetivos del Esquema Nacional de Seguridad Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad, que permita a los ciudadanos d y a las AA.PP., el ejercicio i de derechos y el cumplimiento i de deberes a través de estos medios. Promover la gestión continuada de la seguridad, al margen de impulsos puntuales, o de su ausencia. Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades. Proporcionar lenguaje y elementos comunes: Para guiar la actuación de las AA.PP. en materia de seguridad de las tecnologías de la información. Para facilitar la interacción y la cooperación de las AA.PP. Para facilitar la comunicación de los requisitos de seguridad de la información a la Industria. Estimular a la Industria del sector TIC.
Mecanismos de seguridad en las aplicaciones Muchas gracias Portal de la Administración Electrónica ENS: http://administracionelectronica.gob.es Portal t lccn CERT CERT ENS: https://www.ccn cert.cni.es/index.php?option=com_content&view=article&id=2420&itemid=211&lang=es