Buenas Prácticas en la Seguridad Social

Documentos relacionados
ANEXO APLICACIÓN DE FIRMA

SICRES 3.0 Presentación Ejecutiva

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

PLIEGO DE CONDICIONES TÉCNICAS SERVICIO DE DESARROLLO DE APLICACIONES INFORMÁTICAS PARA TPA EXPTE: 62/11 TPA

DESCRIPCIÓN ESPECÍFICA NÚCLEO: COMERCIO Y SERVICIOS SUBSECTOR: INFORMÁTICA

Buenas Prácticas en Gestión Hospitalaria

Elaboración de documentos Web mediante Lenguaje de Marcas

CONFIANZA Uno de los principales desafíos a que se enfrentan los medios telemáticos es asegurar la identidad de las partes que intervienen en cualquie

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

Anexo 10. Pruebas verificadas

Norma ISO 9001:2000. Espacio empresarial Ltda.

REPÚBLICA DE PANAMÁ FISCALÍA GENERAL DE CUENTAS UNIDAD DE INFORMÁTICA

SISTEMAS INTEGRADO DE GESTIÓN E INDICADORES DE GESTIÓN

FUNCIONES Y PERFIL DE CARGO

TÉCNICO SUPERIOR UNIVERSITARIO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN ÁREA SISTEMAS INFORMÁTICOS.

Modelo de los reactores de la tecnología HDHPLUS como componentes de simulación interoperables

Noticias RED Remisión electrónica de documentos

Gestión por Competencias

RESOLUCION NUMERO 3104 DE 2005

MODELO Y SISTEMA DE GESTIÓN DE LA I+D+i

ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR

OPERADOR EN VENTAS POR INTERNET en el marco del Programa Empleartec PROGRAMA DE FORMACION EN

libreriadelagestion.com

Para líderes y organizaciones de alto potencial.

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

EVALUACIÓN Y ANÁLISIS DE

VENTAJAS COMPETITIVAS DE LA INSCRIPCIÓN EN EL REGISTRO EMAS

FICHA PÚBLICA DEL PROYECTO. ASPEL DE MÉXICO, S.A. DE C.V. ASPEL-TECH Arquitectura de aplicaciones ubicua NUMERO DE PROYECTO EMPRESA BENEFICIADA

Grupo Tecnologías de Información XVII Edición Cumbre Judicial BORRADOR DE GUÍA DE INTEROPERABILIDAD Y SEGURIDAD DE EXPEDIENTE JUDICIAL ELECTRÓNICO

Medellín, Abril 13 de 2016 CIRCULAR 01 DE: GERENCIA DE SISTEMAS DE GESTIÓN CIDET.

Proyecto de Gestión FCT

LISTA DE VERIFICACIÓN

Un Sistema de Gestión Integrado para PYME Cómo y para qué?

PROGRAMA DE ESTÍMULOS A LA INNOVACIÓN

Formación de Auditores Internos para Organismos de Certificación de Personas

Diplomado Administración de la Construcción

RECURSOS DIGITALES SM EN ENTORNOS VIRTUALES DE APRENDIZAJE

INTEROPERABILIDAD Un gran proyecto

Programa Integral de Acompañamiento para la guía vocacional, académica y profesional de los y las estudiantes del American Junior College

Arquero Control de Horarios tiene como principales características: Configuración de la estructura organizativa de la corporación.

La etapa de Ejecución

PROCESO DE CALIDAD PARA LOS RECURSOS HUMANOS PC DF 04

SECRETARIA DE DESARROLLO E INCLUSION SOCIAL

Colegio Profesional de Ingenieros en Informática de la Comunidad de Madrid

SEGUIMIENTO DE LOS ACUERDOS DE NIVEL DE SERVICIO DE INTERNET. Paloma Sánchez López Subdirección General de Informática TGSS

SISTEMA DE GESTIÓN INTEGRAL ITBOY Código: PD-CDG-01 PROCESO Versión: 4 CONTROL DE GESTIÓN Pág.: 1 de 4 AUDITORÍAS INTERNAS DE CALIDAD Y DE GESTION

CURSO DE FORMULACION Y PREPARACION DE PROGRAMAS DE INVERSION PUBLICA 2015

OFS Órgano de Fiscalización Superior

ISO SERIE MANUALES DE CALIDAD GUIAS DE IMPLEMENTACION. ISO 9001:2008 Como implementar los cambios parte 1 de 6

COMPETENCIA Procesar los datos recolectados de acuerdo con requerimientos del proyecto de investigación.

Guía para el Diligenciamiento de la Matriz de Marco Lógico

1. Quién encomienda a los poderes Públicos, velar por la seguridad e higiene en el trabajo?

Figure 14-1: Phase F: Migration Planning

Carrera: Ingeniería en Tecnologías de la Información y Comunicaciones

Política de Seguridad de la Información de ACEPTA. Pública

DÍA A INTERNACIONAL DE LA METROLOGÍA: MEDICIONES PARA LA SEGURIDAD

Estándares EDI para ERPs

Proceso de Evaluación de Desempeño

CUESTIÓN 6/1. Información, protección y derechos del consumidor: leyes, reglamentación, bases económicas, redes de consumidores

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

Curso y Código SENCE 2008 CONTENIDOS

Tema II:Evaluación de los entornos virtuales CÓMO EVALUAR EL E-LEARNING?

Comercio electrónico entre empresas. Extranet B2B. Quieres saber cómo hacer crecer tu negocio sin incrementar tu equipo de ventas?

DISEÑO DEL SISTEMA DE INFORMACION (DSI)

Datos del sujeto obligado

Nombre de la asignatura: Algoritmos y Lenguajes de programación.

MEDICAMENTOS GENERICOS

GUÍA DE CONTENIDOS MÍNIMOS DEL PLAN DE TRANSICIÓN TÉCNICA DE LOS SISTEMAS ATM/ANS

SISTEMA DE INFORMACIÓN GEOGRÁFICA PARA LA PLANEACIÓN Y EL ORDENAMIENTO TERRITORIAL

Soluciones BYOD para el aula. 24.Febrero.2016

FEDERACIÓN INTERNACIONAL DE ESGRIMA. Pliego de condiciones

Recomendaciones sobre la política. Prevención de la delincuencia informática moderna

Guía de recomendaciones para la implantación de OI en PYME s

PLAN DE ORIENTACIÓN ACADÉMICA Y PROFESIONAL DE LAS ETAPAS DE EDUCACION SECUNDARIA OBLIGATORIA Y BACHILLERATO (CURSO )

Cristian Blanco

LA AUDITORÍA ENERGÉTICA COMO INSTRUMENTO PARA IDENTIFICAR OPORTUNIDADES DE AHORRO

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

Transferencia de Datos Estadísticos de Alemania a la Red Europea INSPIRE

Nueva aplicación para acceder a casilla electrónica en Internet

Datos Abiertos de Gobierno Estrategia de Uruguay. Segundo plan de acción nacional de datos abiertos de gobierno de Uruguay

Esta plataforma emplea el sistema de base de datos MysQL/MariaDB, el lenguaje PHP y elementos de Send Framework.

APLICACIÓN RESERVA DE ESPACIOS

TERMINOS DE REFERENCIA

La gestión por procesos

I. Introducción...3. II. Antecedente.3. III. Alcances y limitaciones. 4. IV. Procesos relacionados con el Diccionario. 5. V. Conceptos aplicados..

Manual de Procedimientos y Operaciones TABLA DE CONTENIDO

OHSAS CURSO ONLINE 1 INFORMACIÓN GENERAL 2 PRESENTACIÓN 3 OBJETIVOS 4 DIRIGIDO A:

Premio Nacional Excelencia en la Relación Empresa Cliente y Centros de Contacto. Décima Primera Edición 2016 FICHA TÉCNICA

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

Aprendizaje basado en estrategias y dinámicas de juego

Modelo PLAN DE NEGOCIO 2016

Administración de Proyectos de TI

IFCD0210 Desarrollo de Aplicaciones con Tecnologías Web

Proyecto Multimedia. Elio Sancristóbal Ruiz

I.E.F.P.S. REPÉLEGA G.L.H.B.I. ESPECIFICACIONES DE CURSOS DE CATÁLOGO MODULAR Pág. 1/3

ADMINISTRACIÓN DE LA PRODUCCIÓN

PROGRAMA DE ESTÍMULOS A LA INNOVACIÓN

FICHA PÚBLICA DEL PROYECTO MUSEO ZACATECANO NUMERO DE PROYECTO: EMPRESA BENEFICIADA:

En GSG Petroleum le brindamos soluciones tecnológicas personalizadas. de toma de decisiones.

Transcripción:

Buena práctica implementada desde: 2017 Buenas Prácticas en la Seguridad Social Generación automática de servicios web seguros para el intercambio de datos Una práctica de la Caja Nacional de Seguridad Social Caja Nacional de Seguridad Social Túnez Año de publicación: 2017 www.issa.int

2 Resumen Los servicios de la Caja Nacional de Seguridad Social (Caisse nationale de sécurité sociale CNSS) interactúan entre sí, con los servicios de otras instituciones, con los cotizantes y con los asegurados. Entre otras cosas, intercambian datos suministrados o utilizados por el sistema de información de la CNNS. Estos intercambios plantean problemas de normalización y seguridad. Por ello, la Caja ha creado una herramienta informática que permite generar automáticamente y bajo demanda servicios web genéricos normalizados y seguros para cumplir sus diferentes funciones en estos intercambios. Se ha comenzado por desarrollar un servicio web genérico parametrado por una solicitud SQL y por la elección de una política de seguridad. La herramienta lo utiliza para crear, en un par de clics, un nuevo servicio para una funcionalidad comercial determinada. Asunto o desafío Qué asunto o desafío aborda su buena práctica? Por favor, descríbalo brevemente. La CNSS intercambia datos a nivel interno entre sus servicios y a nivel externo con sus asociados, esto es las demás Cajas sociales, las empresas cotizantes y los asegurados. Los intercambios se efectúan por diversos medios: puntos de acceso (ad hoc), correos electrónicos y soportes magnéticos, ópticos o en papel enviados por mensajero o por correo certificado. En sus intercambios, el sistema de información de la CNSS funciona alternativamente como proveedor y consumidor de los datos intercambiados. La utilización de los medios descritos plantea problemas de normalización. Sea cual sea el medio utilizado, la CNSS debe acordar de antemano, quizás con un asociado externo, cuál va a ser el formato del intercambio: la estructura (sintaxis) de los datos intercambiados y su significado (semántica). Esta tarea puede resultar muy compleja y en ocasiones genera un intercambio de documentación consecuente. Además, la mayoría de los medios utilizados plantean varios interrogantes en materia de seguridad: cómo identificar con certeza el origen del intercambio (autenticación)?; cómo demostrar a posteriori que el intercambio ha tenido lugar (trazabilidad)?; cómo garantizar que los datos intercambiados no han sido modificados durante el intercambio (integridad)?; cómo garantizar que únicamente el destinatario del intercambio está habilitado para leer el contenido (confidencialidad)? Abordar el desafío Cuáles eran los principales objetivos del plan o estrategia para resolver el asunto o desafío? Enumere y describa brevemente los principales elementos del plan o estrategia, con particular hincapié en sus características innovadoras y los efectos buscados o esperados. Para facilitar a la CNSS el cumplimiento de su cometido en relación con los intercambios de datos entre sus propios servicios y con sus asociados externos, se fijaron los siguientes objetivos: disponer de un marco estándar, independiente de tecnologías y plataformas, para los intercambios de datos tanto a nivel interno (entre los servicios de la CNSS) como a

3 nivel externo (con sus asociados). Este objetivo viene dado por la necesidad de apoyar los intercambios con sistemas de información heterogéneos, ya sea con los asociados externos de la CNSS o dentro del sistema de información interno, en aras de la interoperabilidad de las nuevas aplicaciones con las antiguas; garantizar propiedades tales como la autenticación, la integridad, la confidencialidad y la trazabilidad de los intercambios. Estas exigencias de seguridad son importantes tanto en los intercambios endógenos como en los exógenos, ya que permiten responsabilizar a los interesados e instauran un clima de confianza entre ellos; simplificar y reducir los costos del estudio y del desarrollo de las herramientas que posibilitan los intercambios de datos. Ello permite a la CNSS reforzar la colaboración con sus asociados externos y ejercer un mayor control sobre la integración y urbanización de su propio sistema de información. Para alcanzar estos objetivos, la CNSS optó por recurrir a los servicios web, que representan una buena solución de normalización y seguridad en cuanto a los intercambios. En primer lugar, permiten encapsular las funcionalidades comerciales existentes y su exposición por medio de interfaces normalizadas y auto-descritas (en el caso de la CNSS, la mayor parte de las competencias técnicas se implementa de manera uniforme en las bases de datos como funciones y procedimientos almacenados, lo que debería simplificar considerablemente la tarea). Además, la utilización de servicios web orientados SOAP permite aprovechar toda una serie de estándares (ampliamente reconocidos y utilizados) en materia de seguridad que aplican técnicas criptográficas (firma y codificación electrónicos) para garantizar la confidencialidad, la integridad y la autenticación de los intercambios. En este contexto, se planteó la posibilidad de desarrollar un generador automático de servicios web seguros. Concretamente, en un primer momento había que elaborar un modelo de servicio web cuya tarea fuera la ejecución de una consulta SQL determinada. Para utilizar un servicio de estas características, un cliente debe invocarlo especificando sus propios valores para los parámetros de la consulta. A continuación, el servicio ejecuta la solicitud con los parámetros facilitados por el cliente y devuelve una matriz que contiene los resultados. Se crearon varias versiones de este modelo, cada una de las cuales se corresponde con una política de seguridad determinada: autenticación mediante una ficha de seguridad: nombre de usuario/contraseña; firma del cuerpo de la solicitud (respectivamente de la respuesta) del servicio; codificación del cuerpo de la solicitud y de la respuesta del servicio; firma y codificación del cuerpo de la solicitud y de la respuesta del servicio. El siguiente paso era desarrollar un generador de servicios web que aceptase como entrada una consulta SQL, la elección de una política de seguridad determinada y un conjunto de parámetros de seguridad, y que generase el servicio web correspondiente, manipulando los modelos ya mencionados.

4 Metas Cuáles fueron las metas cuantitativas y/o cualitativas o indicadores clave del rendimiento que se establecieron para el plan o estrategia? Por favor, descríbalos brevemente. Para validar la solución obtenida se definieron las siguientes metas: utilizar la herramienta para llevar a cabo una nueva integración entre dos aplicaciones existentes en la cartera de aplicaciones de la CNSS; utilizar la herramienta para normalizar una integración (ya establecida) entre dos aplicaciones existentes en la cartera de aplicaciones de la CNSS; una meta cualitativa asociada al punto anterior consiste en demostrar que la eficacia, la fiabilidad y el costo del desarrollo de la nueva integración son mejores; utilizar la herramienta para exponer un punto de acceso a los datos destinado a un asociado externo (otra Caja de la seguridad social, por ejemplo); utilizar la herramienta para generar un servicio web que vaya a utilizar una aplicación móvil (para los asegurados sociales o los responsables de las empresas cotizantes, por ejemplo); una meta cualitativa asociada a los dos puntos anteriores consiste en someter los servicios web a un análisis de seguridad. En efecto, los servicios web de la CNSS están destinados a una implantación en extranet (internet); permitir la utilización del sistema por un administrador familiarizado con el sistema de información de la CNSS a fin de generar un servicio web que responda a una necesidad de su servicio. Evaluación de los resultados Se ha evaluado la buena práctica? Por favor, suministre datos sobre el impacto y los resultados de la buena práctica comparando los objetivos con el desempeño real, indicadores de antes y después y/u otros tipos de estadísticas o mediciones. La solución descrita en el presente documento fue evaluada con respecto a algunas de las metas enumeradas en la sección anterior. La herramienta se utilizó en el marco de un proyecto de implantación de un sistema de información médico en los policlínicos de la CNSS para llevar a cabo una nueva integración entre una aplicación informática existente (gestión de la farmacia, desarrollada con Oracle Forms) y una aplicación nueva (gestión del consultorio médico, desarrollado con Java JEE). que va a utilizar el servicio web generado automáticamente para consultar el stock de medicamentos. La generación automática del servicio web en cuestión permitió acortar plazos y reducir los costos de desarrollo. A fin de ofrecer a sus asegurados la posibilidad de consultar las informaciones sobre su trayectoria laboral y calcular su pensión, la CNSS ha desarrollado una serie de aplicaciones móviles que utilizan exclusivamente los servicios web generados por la herramienta. Se ha llevado a cabo un análisis de seguridad de los servicios web utilizados por estas aplicaciones móviles. Su resultado fue concluyente: no se pudo demostrar que se hubiera producido ningún ataque a la confidencialidad o la integridad de los datos.

5 En el marco de los intercambios de datos con la Caja Nacional del Seguro de Salud (Caisse nationale d assurance maladie CNAM), se utilizó la herramienta para crear servicios web relacionados con los datos necesarios para el reconocimiento del derecho a las prestaciones. Esta nueva modalidad de intercambio permitirá evitar los problemas detectados hasta la fecha en materia de plazos y fiabilidad de los datos. Las demás metas definidas que aún no han sido validadas lo serán a la mayor brevedad: ya se están estudiando posibles escenarios de validación. Lecciones aprendidas A partir de la experiencia de la organización, mencione hasta tres factores que considera indispensables para reproducir esta buena práctica. Cite hasta tres riesgos que surgieron o podrían surgir con la implementación de esta práctica. Por favor, explique brevemente estos factores y/o riesgos. Para reproducir la buena práctica descrita en el presente documento es indispensable: comprender la utilidad de los estándares, sobre todo en términos de seguridad, y mantenerse en la medida de lo posible dentro de un contexto normalizado: compartir las mismas referencias favorece la interoperabilidad; optar por reutilizar las herramientas existentes en vez de reinventar la rueda: ello permite disminuir costos y aprovechar la madurez del software ya existente en el mercado. Con todo, es preciso tener en cuenta ciertos riesgos antes de utilizar esta buena práctica: la utilización de los servicios web para normalizar los intercambios exige una motivación lúcida y debe responder a una necesidad auténtica. Por ejemplo, resultaría contraproducente utilizar los servicios web para integrar módulos de una misma aplicación informática; convendría prever una formación de los responsables técnicos para aplicar esta buena práctica. Los estándares, así como su implementación, están bastante bien documentados y se hallan disponibles en libre acceso, si bien no dejan de ser bastante difíciles de asimilar y dominar.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback