Hernandez_Hernandez_Practica web de la sesion 12.pptx
08_22092010_1700_Presentacion
1. Seguridad Integral de la Información y su
Aplicación en Procesos Gubernamentales
Septiembre 22, 2010
2. Los Datos como un activo
Algún día, en los estados financieros,
habrá un rubro en los activos que se
leerá como “Información”; pues en la
mayoría de los casos, la información es
más valiosa que el hardware que la
procesa.
– Grace Murray Hopper, USN (Ret)
3. CONTENIDO
• Documento Electrónico Seguro (Creación y
Traslado)
• DLP & Archiving (Almacenamiento y Destrucción)
• Visión Integral – Aplicaciones/Beneficios
5. HAY UNA SERIE DE PREGUNTAS QUE NOS TENEMOS QUE HACER Y A LAS
CUALES DEBEMOS DAR RESPUESTA PARA CONSIDERAR UN
DOCUMENTO ELECTRONICO (MENSAJE DE DATOS) COMO VALIDO
• Qué se firmó ?
• Quiénes lo firmaron ?
• Cuándo lo firmaron ?
6. Qué se Firmó ? …
• El contenido del mensaje de datos, el conjunto de bits que forman el
mensaje
• Los participantes en un acuerdo negocian este contenido, y una vez
aceptado, proceden a firmarlo electrónicamente
Mensaje de
Datos Proceso de
Digestión (Hash)
Digestión Firma Electrónica
Avanzada (FEA)
Mensaje FirmadoEncripción
Llave Privada
7. Qué se Firmó ? …
• Al autenticar una FEA es posible determinar si ésta fue aplicada a un
mensaje de datos en particular
Mensaje de Datos Proceso de
Digestión (Hash)
Digestión (1)
Firma Electrónica
Avanzada (FEA)
Mensaje Firmado
Digestión (2)
Comparación de
Digestiones
No autentico<>
Autentico
=
Llave Pública
Desencripción
8. Quiénes lo firmaron ? …
• Son los participantes que aceptaron el contenido del mensaje de datos y
dieron su aceptación utilizando su Llave Privada para generar la FEA
• El Certificado Digital liga la identidad de los firmantes con su Llave
Pública, que por su relación con la Privada permite determinar el autor de
una FEA
Privada
Pública
Autoridad Certificadora
• Es un tercero confiable (Trusted Third
Party - TTP)
• Valida identidad de quien presenta
requerimiento
• Autentica requerimiento para
determinar que el dueño del mismo es
propietario de la Llave Privada que
corresponde a la Pública dentro del
requerimiento
• Agrega sus Datos a los datos del
requerimiento, agrega período de
validez, asigna número de serie y lo
Firma Electrónicamente generando el
Certificado Digital
Requerimiento de
Certificación
Certificado Digital
9. Quiénes lo firmaron ? …
• Al ser el Certificado Digital un mensaje firmado electrónicamente, este se
puede autenticar y determinar:
o Que el Certificado no ha sido alterado (es integro)
o Que el Certificado fue emitido por una Autoridad Certificadora
confiable (TTP)
o Que el Certificado se encuentra en su período de validez
• Teniendo el mensaje firmado electrónicamente por los diferentes
participantes y sus correspondientes Certificados Digitales, podemos
determinar:
o Que el mensaje no ha sido alterado desde el momento de su firma (es
integro)
o Que los participantes firmaron el mismo mensaje
o Que el mensaje se firmó con ciertas Llaves Privadas específicas (es
auténtico)
o Que una Tercero Confiable validó la identidad de los firmantes
avalando que estos son los poseedores de la Llave Privada con la
que se realizaron las firmas
Certificados Digitales
Mensaje Firmado
10. Cuándo lo firmaron ? …
• Es necesario determinar si el Certificado Digital del firmante era válido
al momento de realizar la firma del mensaje (No Revocado)
o Si se firmó antes del momento de la revocación, la firma es válida
o Si se firmó después del momento de la revocación, la firma se
considera inválida y se debe rechazar el mensaje
• Es necesario determinar si en su ámbito aplicativo el mensaje tenía
validez al momento de su firma (Ejemplo: Una subasta o un concurso
con fecha límite para entrega de propuestas)
• Es recomendable involucrar a una Autoridad de Tiempo Confiable (TSA)
también conocida como Oficialía de Partes, que de fe que una
transacción ocurre a cierta fecha y hora a través de la emisión de
estampillas de tiempo
11. Cuándo lo firmaron ? …
Mensaje firmado Proceso de
Digestión (Hash)
Digestión
Internet
Time Stamp
Authority (TSA)
Estampilla de
Tiempo
Receptores de
Mensajes
Firmantes
12. QUE ESTANDARES CONTEMPLAN ESTOS CONCEPTOS Y ME
PERMITEN DAR RESPUESTA AL QUE, QUIEN Y CUANDO ? …
• X.509 para Certificados Digitales
• OCSP (Online Certificate Status Protocol): Permite hacer consultas en línea a las
Autoridades Certificadoras sobre el estatus de revocación de un certificado.
• TSP (Time Stamp Protocol): Permite generar estampillas de tiempo que amparan la
existencia de un contenido a una determinada fecha y hora.
• PKCS (Public Key Cryptography Standards): Estándar que define la Sintaxis de Mensajes
Criptográficos, incluyendo mensajes firmados electrónicamente.
15. Necesidades del Mercado
• Las empresas están respondiendo a las necesidades del mercado en
cuestión de proteger la información sensible a las amenazas, abuso de
privilegios en la información y fugas de información.
• Las organizaciones que manejan datos sensibles, números de tarjetas de
crédito e información de la salud de pacientes deben implementar
medidas de seguridad.
o Las instituciones financieras deben protejer a sus clientes de fraudes y
robo de identidad.
o La perdida de información confidencial puede causar el cumplimiento
de infracciones, demandas con clientes y / o pacientes, potencial robo de
identidad y un significante daño en la reputación y credibilidad de la
organización.
o Cerca de un tercio de los clientes terminan su relación con la
organizacion despues de una brecha de seguridad. *
*Fuente : Ponemon study: “Consumer's Report Card on Data Breach
Notification” Abril 2008
16. Como sucede la perdida de datos
• En la industria, los empleados sin ninguna mala intención simplemente
pueden poner inadvertidamente la información en peligro, a veces dando por
resultado perdida de datos.
Situaciones de perdida de información
Transacciones
&Actividades de
Monitoreo
Almacenaje y
disposición
Desarrollos y
Accesos a
producción
TercerosBases de
Datos
Comunics.Medios Mobiles
17. Áreas claves
Cumplimiento
Auditoría
Operacional
Financiero
Marca
Estrategia de protección de datos
• Hallazgos de
auditoría contra
las políticas
corporativas
• Normatividad
emitida por el
Consejo
• IMPI
• Incremento en el interes
de protección de datos
de consumidores
(PROFECO)
• Evitar gastos
(honorarios por litigios)
• Notificaciones e
indemnizaciones
• Limitaciones
presupuestarias • Limitaciones
operacionales
• Separación
geográfica de las
unidades operativas
• Diferentes niveles de
madurez y
concientización entre
las unidades
operacionales
• Eficiencia operativa
• Mayor
reglamentación,
control y
cumplimiento
(p.e., CNBV)
• Lineamientos
para la
protección de
datos
personales
Areas clave para implementar una estrategia de
protección de datos
Con el establecimiento de nuevas regulaciones, el
incremento de amenazas internas y externas y el enfoque
de valor en los datos corpoativos, existe un nuevo enfoque
en proteger los datos más alla del tradicional control de
acceso
18. • Una estrategia de protección de datos corporativo comienza con la
comprensión de lo que son sus activos. No todos los datos se pueden
proteger por igual – debemos entender lo que necesita ser protegido
• El establecimiento de perfiles de riesgo ayuda a las organizaciones a
entender su panorama y contribuir al establecimiento de políticas de
seguridad para determinar cómo los sistemas / aplicaciones están
configurados, qué derechos tienen los usuarios, y qué mecanismos de
seguridad deben proteger los datos sensibles (datos de interés).
Consideraciones para la protección de
datos
19. 1 3
2
Contenido
descubierto
Monitoreo de
actividades
Monitoreo del
Punto Final
Monitoreo de
Red
Administración Central, Manejo de
Políticas y Flujo de Trabajo
Propietarios de los
datos del negocio
Administradores
DLP
Manejo de
Políticas
DLP Modelo de Solución Conceptual
Datos en MovimientoDatos en Uso Datos en Reposo
23. * * * * *
En el tema de Almacenamiento a Largo Plazo, no existen los mecanismos adecuados que permitan
garantizar la autenticidad e integridad de los mensajes de datos con el paso de los años.
La razón de esta problemática se debe a que los algoritmos criptográficos y la tecnología en general son
muy dinámicos, por ello, lo que se considera como seguro hoy día, no lo será en algunos años, por lo que
no se puede garantizar el responder a ciencia cierta el Qué ?, Quién ? Y Cuándo ? Con el paso del tiempo.
Un documento electrónico firmado hoy día usando SHA-1 y RSA 1024 bits, con el paso de los años podría
ser “falsificado”, ya que se tendrá el poder de cómputo para “romper” las llaves RSA y hacerse pasar por
el dueño de las mismas; dada esta situación, sería imposible garantizar en unos 3 años que un documento
que dice haberse firmando electrónicamente en el 2007 es Auténtico e Integro.
Para evitar esta situación, se requiere de un “Refrendo Electrónico” que permita utilizar nuevas
tecnologías tiempo antes de que las tecnologías originales utilizadas en la firma de los mensajes de datos
se consideren obsoletas o “atacables”, además de que se incorpora la figura de un tercero confiable que
pudiera “dar fe” que la información ha conservado sus atributos de Integridad y Autenticidad desde le
momento en que fue creada.
24. Refrendo Electrónico
Mensaje Firmado MD5 –
RSA 1024 bits
SHA-256
Documento + Refrendo
• Garantía de la Integridad y
Autenticidad del Documento en el
tiempo
Trusted Third
Party
Encripción –
ECDSA P-256
25. Estándares internacionales relacionados…
• OAIS : ISO-14721 reference model for Open Archival Information System
• NF Z42-013 AFNOR: technical and organizational requirements for data
conservation and guarantee of integrity over time
• Moreq 2 : Model Requirements Specification for the Management of Electronic
Records
26. Temas a considerar…
• Servicio de Refrendo Electrónico para garantizar la Integridad y Autenticidad de los documentos con
el paso del tiempo utilizando los Algoritmos y Llaves Electrónicas considerados como “fuertes” al
momento en el que se realiza el refrendo
• Dispositivos de almacenamiento con capacidades WORM (Write Once, Read Many) para evitar el
borrado de información
• Control de Acceso a la información
• Logs seguros para registrar las acciones realizadas sobre la información (Quién acceso la
información ? y Qué acciones realizó ?)
• Esquema de Alta Disponibilidad, respaldo y replicación
• Garantizar infraestructura para apertura de archivos en formatos específicos con el paso del tiempo
28. VISION INTEGRAL
Soluciones integrales de PKISubcomisión de Firma
Electrónica Avanzada
Infraestructura de PKI
Recursos Humanos
Infraestructura Física
Políticas y Procedimientos
Entorno Aplicativo
PKI
29. • Aplicar un marco metodológico para la implementación de “Gobierno Digital
y una Oficina sin papel” , contemplando la protección y seguridad de la
información según las mejores prácticas y estándares internacionales.
• Implementar de forma estructurada los modelos resultantes para el manejo
de la información desde el enfoque de todos los entes involucrados:
sistemas, gente, procesos, tecnología, legislación
• Ofrecer la tecnología necesaria que construya procesos robustos y seguros
de oficina sin papel con mecanismos de preservación de la información a
largo plazo, que contemple:
o Firma Electrónica.
o Almacenamiento y preservación a largo plazo
31. REGISTROS PUBLICOS DE LA PROPIEDAD Y DEL COMERCIO
La implementación de soluciones de Firma Electrónica aplicada a
procesos registrales dota de transparencia a sus acciones.
Con reglas y mecanismos actuales más eficientes en materia de
acceso a la información del Registro Público de la Propiedad y el
Comercio, se lleva a cabo un esfuerzo continuo de acercar y facilitar
al ciudadano la realización del trámite «Certificados de Libertad o
Gravamen» mediante la protección de la información con Firma
Electrónica, otorgando elementos de Autenticidad, Integridad y no
Repudio.
33. Certificados de Libertad o Gravamen
¿Qué es el Certificado de Gravamen?
El Certificado de Gravamen es el documento por medio del cual, el
registrador de la propiedad da fe sobre las cargas o limitaciones a la
propiedad de la que se pide la información, mediante la emisión de la
certificación del estado registral que guarda un bien.
¿Qué es el Certificado de Libertad de Gravamen?
El certificado de libertad de gravamen es el documento a través del
cual, el registrador da fe del estado de libertad absoluta que guarda
un bien en relación a cualquier situación concerniente a los
gravámenes o limitaciones de dominio.
35. BENEFICIOS
• Eficiencia de la gestión registral
• Reducción de burocracia
• Mayores beneficios, menores costos
• Transparencia en los trámites y servicios al ciudadano
• Agilidad en la resolución de trámites
• Combate a la corrupción
• Modernización de los procesos administrativos
• Resultados rápidos, en beneficio del ciudadano
Un REGISTRO PÚBLICO DE LA PROPIEDAD Y EL
COMERCIO eficaz, moderno y transparente
40. • Eficiencia de la gestión jurídica
• Procuración de justicia pronta y expedita.
• Resguardo seguro de información a largo plazo.
• Intercambio seguro de información entre instancias judiciales.
• Transparencia en los Procesos Judiciales
• Agilidad en la resolución de trámites
• Combate a la corrupción
• Modernización de los procesos administrativos
• Agilidad en la impartición de justicia hacia el ciudadano.
Un PODER JUDICIAL eficaz, moderno y
transparente
Beneficios de la Firma electrónica en la Procuración e
Impartición de Justicia
41. • Incorporar a los comprobantes de pagos realizados por la
ciudadanía un mecanismo que asegure la autenticidad, validez e
integridad de la información de los mismos.
• Incorporar en los sistemas de información contable del Gobierno
la funcionalidad de recepción de los Comprobantes Fiscales
Digitales por parte de sus proveedores.
• Generar una Addenda (información de uso particular para el
Gobierno del Estado) para poder intercambiar con los proveedores
información adicional y que sea de utilidad para el Gobierno.
Sello digital para Comprobantes de pago y Recepción
de Comprobante Fiscal Digital (CFD) - Objetivos
42. Certificados de Libre Gravamen Simple
Certificados de Libre Gravamen Notariado
Emisión de Actas de Nacimiento
Publicación del Diario Oficial
Apertura Rápida de Empresas
Aplicaciones de Gobierno digital en los Estados
4 Estados realizando estos procesos
3 Estados realizando estos procesos
43. Control de Presupuestos
Declaraciones patrimoniales
Control Presupuestal
Oficio Electrónico
Compras y Adquisiciones
Notificaciones Personales Electrónicas
Promociones Electrónicas
Oficio Electrónico Interno
Aplicaciones de Gobierno digital en los Estados
1 Estado realizando estos
3 procesos
1 Estado realizando estos
2 procesos
1 Estado realizando estos
2 procesos
1 Estado realizando este
proceso
46. Estimados de costos de elaboración y envío de oficios
Descripción Costos
Costo
Unitario
Paquete de 500 hojas $40.02 $0.08
Toner de impresión para
5000 hojas $3,108.00 $0.62
Gasolina por día
(5 oficios diario en promedio) $30.00 $6.00
Costo de envío
Hora-Hombre por día
(5 oficios diario en promedio) $118.00 $23.60
Total precio por oficio en papel $30.30
Nota: Estos costos son un estimado de lo que cuesta generar y enviar un oficio, los costos
de gasolina y hora hombre son aproximados por la variación que existe en volumen de
oficios y distancia de la entrega de los mismos. No se estimaron costos de luz y
mantenimiento de vehículos.
http://laip.sinaloa.gob.mx/ciapem2006/presentacion/MinervaOrtegaDuenas.ppt
47. Estimado de total de hojas
Estudio realizado en el período del 1 de enero al 24 de junio del
2004
603,311.00
$30.30
48. Proyección de Reducción de Costos
$ 10,479,944 M.N.Reducción en el gasto por Oficio Electrónico de $24.46
• Implementación de Oficio sin papel
• Gastos en Infraestructura
• Energía Eléctrica, sitio x 6 meses
Costo Total
$ 2,500,000 M.N.
Considerando 603,311 hojas impresas las diferentes Secretarías de
Gobierno (del 1 de enero al 24 de junio del 2004 ).
Costo por Oficio electrónico ($2,500,000/428,381) es $5.83 M.N.
En términos de Retorno de la Inversión del proyecto es de 400%.
En términos de Pay Back Period el proyecto se paga en menos de dos meses.
49. Impacto Ambiental
El riesgo de no invertir en proyectos de este tipo no es solo
financiero sino también ambiental.
Tomando en cuenta que de un árbol de 5 años de edad se
obtienen 10,000 hojas, evitaríamos cortar cientos de árboles
por semestre conservando nuestro ecosistema.
Incluso el ciclo de vida del papel es responsable de la
degradación del ambiente en diversos lugares del planeta.
Las estadísticas de consumo per cápita de papel se citan a
menudo como un indicador del nivel de vida de un país.
Desgraciadamente, también podría utilizarse como indicador de
la contribución a la contaminación de las aguas, la atmósfera y
el suelo; a la tala de bosques y a la generación de basura.
54. ES NECESARIO TENER UNA VISION INTEGRAL DE LO QUE
IMPLICA IMPLEMENTAR UNA SOLUCION CON INFORMACION
SEGURA Y LEGALMENTE VALIDA A TRAVES DEL TIEMPO…
• Tecnología para implantar la Infraestructura tecnológica de seguridad.
• Alineamiento con iniciativas gubernamentales (ITFEA, leyes estatales de firma,
Lineamientos para la protección de datos personales, NOM-151, etc.).
• SOLUCIONES soportadas por metodologías y regulaciones.
• Avalar la robustez y confiabilidad de la infraestructura tecnológica sobre la cual
está instalada la solución de PKI y de protección de la información.
• Incorporar seguridad en los procesos institucionales mediante el diseño de
procesos de seguridad.
• Normatividad.
• Administración del cambio para incorporar procesos con Firma Electrónica
Avanzada.
• Diseño y desarrollo de soluciones que incorporen objetivos de seguridad.
• Apoyo jurídico para regular el uso de las herramientas de protección de la
información (ej. firma electrónica avanzada)
55. EFICIENCIA , TRANSPARENCIA Y SEGURIDAD…
• Eficientar procesos y reducir costos
o Eliminación de gastos en papel
o Eliminación de gastos en toner o cartuchos para impresoras
o Eliminación de gastos de mensajería para traslado de documentos
o Eliminación de riesgos en el traslado de documentos confidenciales
(perdida, robo, apertura, alteraciones y maltratos)
o Eliminación de espacio físico para almacenamiento de los documentos
o Disminución dramática en los tiempos de gestión de firmas de
documentos (Una sola firma ampara todo el contenido del documento,
a diferencia del mundo en papel, donde cada hoja debe rubricarse y la
firma autógrafa aparece únicamente al final del documento. El proceso
de rubricar cada hoja y firma se debe realizar además en las copias del
documento)
o Disminución dramática en tiempos de búsqueda de documentos
o Disminución del riesgo en documentos ya almacenados (robo,
alteraciones y maltratos)
Notas del editor
Pionera en el mundo de la informatica, de las creadoras de COBOL, muere en el 92.