Análisis de Esquema Nacional de Seguridad (ENS) de la ley 11/2007 y su aplicación en las Administraciones Públicas. Descripción de productos para la autenticación y auditoría de usuarios, validación de certificados y firma digital integral.
Ponencia "Perspectiva Jurídica del Esquema
Nacional de Seguridad". ALEJANDRO PADÍN VIDAL - J&A GARRIGUES, S.L.P.
2011
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
Ponencia "Perspectiva Jurídica del Esquema
Nacional de Seguridad". ALEJANDRO PADÍN VIDAL - J&A GARRIGUES, S.L.P.
2011
Dentro de las Jornadas de Difusión del Esquema Nacional de Seguridad Abril-Mayo 2011. XUNTA DE GALICIA-AGESTIC
En esta unidad veremos cómo funciona un sistemas de gestión de seguridad de la información y su integración con el esquema gubernamental de seguridad de la información.
Ponencia de Miguel Ángel Amutio, subdirector adjunto de la Subdirección General de Programa, Estudios e Impulso de la Administración Electrónica del Ministerio de Hacienda y AAPP, en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
En esta unidad veremos cómo funciona un sistemas de gestión de seguridad de la información y su integración con el esquema gubernamental de seguridad de la información.
Ponencia de Miguel Ángel Amutio, subdirector adjunto de la Subdirección General de Programa, Estudios e Impulso de la Administración Electrónica del Ministerio de Hacienda y AAPP, en la Jornada de Estrategia de Ciberseguridad Nacional, organizada por Ingenia, creadora de la herramienta IT GRC ePULPO (http://www.epulpo.com/).
Sevilla, 4 de junio de 2014.
El Almacen Central de Certificados DigitalesRames Sarwat
Desde la irrupción de los dispositivos móviles y el uso de los certificados digitales de empresa, se ha generado una necesidad de mejorar la gestión de los certificados digitales en las empresas y organismos públicos. El uso de un almacén central mejora la productividad, la seguridad y la usabilidad de los certificados para realizar todo tipo de tramites y operaciones.
Firma biométrica de Consentimientos Informados en HospitalesRames Sarwat
El Consentimiento Informado es el documento que más papel genera en hospitales y clínicas. Es una obligación legal y su conversión a un documento electrónico supone muchos beneficios en terminos de eficiencia, reducción de costes y cumplimiento normativo. El problema surge con la firma de estos documentos electrónicos, ya que requiere un método universal, socialmente aceptado y con plena validez legal. La firma manuscrita biométrica SealSign BioSignature de SmartAccess ayuda a implementar esta firma de forma integrada con los sistemas de gestión del hospital y clínica de forma rápida y sencilla sin costosas inversiones.
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
3. Organizadores:
sólo 4 meses
ES MUY RECIENTE
REAL DECRETO 3/2010 (29/1/2010)
4. El Esquema Nacional de Seguridad (I)
• La Ley 11/2007 o Ley de Acceso Electrónico de Organizadores:
los Ciudadanos a los Servicios Públicos (LAECSP)
indica :
– Artículo 42. Esquema Nacional de Interoperabilidad y
Esquema Nacional de Seguridad.
• 1. […] Esquema Nacional de Interoperabilidad […]
• 2. El Esquema Nacional de Seguridad tiene por objeto
establecer la política de seguridad en la utilización de
medios electrónicos en el ámbito de la presente Ley, y
está constituido por los principios básicos y requisitos
mínimos que permitan una protección adecuada de la
información.
5. El Esquema Nacional de Seguridad (II)
– Articulo 42 (Cont.)
Organizadores:
• 3. Ambos Esquemas se elaborarán con la participación
de todas las Administraciones y se aprobarán por Real
Decreto del Gobierno, a propuesta de la Conferencia
Sectorial de Administración Pública y previo informe de
la Comisión Nacional de Administración Local, debiendo
mantenerse actualizados de manera permanente.
• 4. En la elaboración de ambos Esquemas se tendrán en
cuenta las recomendaciones de la Unión Europea, la
situación tecnológica de las diferentes Administraciones
Públicas, así como los servicios electrónicos ya existentes.
A estos efectos considerarán la utilización de estándares
abiertos así como, en su caso y de forma
complementaria, estándares que sean de uso
generalizado por los ciudadanos.
7. Objetivos:
• Confianza en los Sistemas de Organizadores:
Información
– A través de medidas de seguridad de los
sistemas, los datos, las comunicaciones y
los servicios electrónicos.
– Que los Sistemas de Información cumplan
sus especificaciones funcionales, sin
interrupciones o modificaciones fuera de
control, y sin que la información pueda
llegar al conocimiento de personas no
autorizadas
8. ENS basado en el consenso
• Para su articulación se ha tenido en cuenta:
Organizadores:
– Normativa nacional sobre Administración electrónica
– Legislación de protección de datos de carácter personal
– Ley de firma electrónica
– Documento nacional de identidad electrónico
– Centro Criptológico Nacional
– Sociedad de la información
– Reutilización de la información en el sector público
– Órganos colegiados responsables de la Administración
Electrónica;
– Regulación de diferentes instrumentos y servicios de la
Administración
– Directrices y guías de la OCDE
– Disposiciones nacionales e internacionales sobre
normalización
9. Relaciones con otras leyes
Ley Organizadores:
11/2007
LAECSP
Ley
Ley
37/2007
59/2003
Reutiliza.
Firma-e
Info.
Esquema
Nacional
de
Seguridad
Ley
Ley
30/1992
56/2007
Reg. Jur.
LISI
AA.PP.
Ley
15/1998
LOPD
10. Alcance
• Establecer los principios básicos y Organizadores:
requisitos mínimos que permiten
una protección adecuada de la
información y los servicios de los
sistemas que tratan información de
las Administraciones públicas en el
ámbito de la Ley 11/2007
• No solo la web o la sede electrónica
11. Principios básicos
•Proceso integral, todos los elementos técnicos, humanos,
Seguridad integral. materiales y organizativos, relacionados con el sistema Organizadores:
•El análisis y gestión de riesgos. Siempre actualizado.
Gestión de riesgos Minimizar riesgos hasta niveles aceptables mediante medidas
de seguridad.
Prevención, reacción y •Contemplar prevención, detección y corrección, para
conseguir que las amenazas no se materialicen. La
recuperación. recuperación permitirá la restauración de la información.
•Estrategia de protección constituida por múltiples capas de
Líneas de defensa. seguridad. Las líneas de defensa constituidas por medidas de
naturaleza organizativa, física y lógica.
Reevaluación •Las medidas de seguridad se reevaluarán y actualizarán
periódicamente, para adecuar su eficacia a la constante
periódica. evolución de los riesgos y sistemas de protección.
• Se diferenciará el responsable de la información, el responsable del
Función diferenciada servicio y el responsable de la seguridad. La política de seguridad
detallará atribuciones y mecanismos de coordinación.
12. Requisitos mínimos
• Todos los órganos superiores de las Organizadores:
Administraciones públicas deberán
disponer formalmente de su política de
seguridad.
• Esta será aprobada por el titular del
órgano superior correspondiente.
• Se establecerá en base a los principios
básicos indicados y se desarrollará
aplicando los siguientes requisitos
mínimos.
13. Requisitos mínimos
Organización e
Análisis y Organizadores:
implantación del Gestión de
gestión de los Profesionalidad.
proceso de personal.
riesgos.
seguridad.
Autorización y Protección de
Adquisición de Seguridad por
control de los las
productos. defecto.
accesos. instalaciones.
Protección de la Prevención ante
Integridad y
información otros sistemas Registro de
actualización del
almacenada y de información actividad.
sistema.
en tránsito. interconectados.
Mejora continua
Incidentes de Continuidad de
del proceso de
seguridad. la actividad.
seguridad
14. Artículo 14. Gestión de personal
– 14.4) Para corregir, o exigir Organizadores:
responsabilidades en su caso, cada
usuario que acceda a la información
del sistema debe estar identificado de
forma única, de modo que se sepa,
en todo momento, quién recibe
derechos de acceso, de qué tipo son
éstos, y quién ha realizado
determinada actividad
15. • Artículo 16. Autorización y control Organizadores:
de los accesos.
– El acceso al sistema de información
deberá ser controlado y limitado a
los usuarios, procesos, dispositivos y
otros sistemas de información,
debidamente autorizados,
restringiendo el acceso a las
funciones permitidas.
16. Art 21. Protección de información
almacenada y en tránsito.
Organizadores:
– 21.2. Forman parte de la seguridad
los procedimientos que aseguren la
recuperación y conservación a largo
plazo de los documentos electrónicos
producidos por las Administraciones
públicas en el ámbito de sus
competencias.
17. Artículo 23. Registro de actividad.
– Con la finalidad exclusiva de lograr el cumplimiento
del objeto del presente real decreto, con plenas Organizadores:
garantías del derecho al honor, a la intimidad
personal y familiar y a la propia imagen de los
afectados, y de acuerdo con la normativa sobre
protección de datos personales, de función pública o
laboral, y demás disposiciones que resulten de
aplicación, se registrarán las actividades de los
usuarios, reteniendo la información necesaria para
monitorizar, analizar, investigar y documentar
actividades indebidas o no autorizadas, permitiendo
identificar en cada momento a la persona que actúa.
18. Categorización de Sistemas
• Equilibrio entre la información que maneja y el Organizadores:
esfuerzo de seguridad en función de sus riesgos.
• Determinar dimensiones de seguridad
relevantes y nivel
• Disponibilidad [D], Autenticidad [A], Integridad [I],
Confidencialidad [C] y Trazabilidad [T].
• Categorías Sistemas de Información
– BASICA, MÉDIA o ALTA
• Implantar medidas de seguridad para la
categoría del sistema (ver tabla).
19. MEDIDAS DE
Dimensiones
SEGURIDAD
Afectadas B M A
org Marco organizativo
categoría aplica = = org.1 Política de seguridad
categoría aplica = = org.2 Normativa de seguridad
categoría aplica = = org.3 Procedimientos de seguridad
categoría aplica = = org.4 Proceso de autorización
Organizadores:
op Marco operacional
op.pl Planificación
categoría n.a. + ++ op.pl.1 Análisis de riesgos
categoría aplica = = op.pl.2 Arquitectura de seguridad
categoría aplica = = op.pl.3 Adquisición de nuevos componentes
D n.a. aplica = op.pl.4 Dimensionamiento / Gestión de capacidades
categoría n.a. n.a. aplica op.pl.5 Componentes certificados
op.acc Control de acceso
AT aplica = = op.acc.1 Identificación
ICAT aplica = = op.acc.2 Requisitos de acceso
ICAT n.a. aplica = op.acc.3 Segregación de funciones y tareas
ICAT aplica = = op.acc.4 Proceso de gestión de derechos de acceso
ICAT aplica + ++ op.acc.5 Mecanismo de autenticación
ICAT aplica + ++ op.acc.6 Acceso local (local logon)
ICAT aplica + = op.acc.7 Acceso remoto (remote login)
op.exp Explotación
categoría aplica = = op.exp.1 Inventario de activos
categoría aplica = = op.exp.2 Configuración de seguridad
categoría n.a. aplica = op.exp.3 Gestión de la configuración
categoría aplica = = op.exp.4 Mantenimiento
categoría n.a. aplica = op.exp.5 Gestión de cambios
categoría aplica = = op.exp.6 Protección frente a código dañino
20. categoría n.a. aplica = op.exp.7 Gestión de incidencias
T n.a. n.a. aplica op.exp.8 Registro de la actividad de los usuarios
categoría n.a. aplica = op.exp.9 Registro de la gestión de incidencias
T n.a. n.a. aplica op.exp.10 Protección de los registros de actividad
categoría aplica = + op.exp.11 Protección de claves criptográficas
op.ext Servicios externos
Organizadores:
categoría n.a. aplica = op.ext.1 Contratación y acuerdos de nivel de servicio
categoría n.a. aplica = op.ext.2 Gestión diaria
D n.a. n.a. aplica op.ext.9 Medios alternativos
op.cont Continuidad del servicio
D n.a. aplica = op.cont.1 Análisis de impacto
D n.a. n.a. aplica op.cont.2 Plan de continuidad
D n.a. n.a. aplica op.cont.3 Pruebas periódicas
op.mon Monitorización del sistema
categoría n.a. n.a. aplica op.mon.1 Detección de intrusión
categoría n.a. n.a. aplica op.mon.2 Sistema de métricas
mp Medidas de protección
mp.if Protección de las instalaciones e infraestructuras
categoría aplica = = mp.if.1 Áreas separadas y con control de acceso
categoría aplica = = mp.if.2 Identificación de las personas
categoría aplica = = mp.if.3 Acondicionamiento de los locales
D aplica + = mp.if.4 Energía eléctrica
D aplica = = mp.if.5 Protección frente a incendios
D n.a. aplica = mp.if.6 Protección frente a inundaciones
categoría aplica = = mp.if.7 Registro de entrada y salida de equipamiento
D n.a. n.a. aplica mp.if.9 Instalaciones alternativas
mp.per Gestión del personal
categoría n.a. aplica = mp.per.1 Caracterización del puesto de trabajo
categoría aplica = = mp.per.2 Deberes y obligaciones
21. categoría aplica = = mp.per.3 Concienciación
categoría aplica = = mp.per.4 Formación
D n.a. n.a. aplica mp.per.9 Personal alternativo
mp.eq Protección de los equipos
categoría aplica + = mp.eq.1 Puesto de trabajo despejado
A n.a. aplica + mp.eq.2 Bloqueo de puesto de trabajo
Organizadores:
categoría aplica = + mp.eq.3 Protección de equipos portátiles
D n.a. aplica = mp.eq.9 Medios alternativos
mp.com Protección de las comunicaciones
categoría aplica = + mp.com.1 Perímetro seguro
C n.a. aplica + mp.com.2 Protección de la confidencialidad
IA aplica + ++ mp.com.3 Protección de la autenticidad y de la integridad
categoría n.a. n.a. aplica mp.com.4 Segregación de redes
D n.a. n.a. aplica mp.com.9 Medios alternativos
mp.si Protección de los soportes de información
C aplica = = mp.si.1 Etiquetado
IC n.a. aplica + mp.si.2 Criptografía
categoría aplica = = mp.si.3 Custodia
categoría aplica = = mp.si.4 Transporte
C n.a. aplica = mp.si.5 Borrado y destrucción
mp.sw Protección de las aplicaciones informáticas
categoría n.a. aplica = mp.sw.1 Desarrollo
categoría aplica + ++ mp.sw.2 Aceptación y puesta en servicio
mp.info Protección de la información
categoría aplica = = mp.info.1 Datos de carácter personal
C aplica + = mp.info.2 Calificación de la información
C n.a. n.a. aplica mp.info.3 Cifrado
IA aplica + ++ mp.info.4 Firma electrónica
T n.a. n.a. aplica mp.info.5 Sellos de tiempo
C aplica = = mp.info.6 Limpieza de documentos
D n.a. aplica = mp.info.9 Copias de seguridad (backup)
mp.s Protección de los servicios
categoría aplica = = mp.s.1 Protección del correo electrónico
categoría aplica = = mp.s.2 Protección de servicios y aplicaciones web
D n.a. aplica + mp.s.8 Protección frente a la denegación de servicio
D n.a. n.a. aplica mp.s.9 Medios alternativos
23. Control y auditoría de acceso
• Mediante certificados digitales Organizadores:
– Emitidos por un Prestador de Servicios de
Certificación o por la propia organización
• Mediante tarjetas inteligentes o RFID
– Tarjetas de contacto y de proximidad
• Mediante huella dactilar u otros sistemas de
reconocimiento biométrico
• Integrado con la infraestructura de seguridad
de la organización (Active Directory, LDAP,
BBDD, etc.)
• Independiente de los dispositivos empleados y
100% compatible con el DNI electrónico.
• Soporta acceso Web, Citrix/TS, VPN y VDI.
24. Plataforma de Validación de
certificados
Organizadores:
• Servidor central para la validación
del estado de certificados digitales
• Mejora el rendimiento y fiabilidad de
las aplicaciones de firma electrónica.
– Multi-PSC. DNIe compatible.
– Integración con aplicaciones Microsoft
(Office, Exchange, IIS, SharePoint, etc.)
– Funciones avanzadas
• Listas negras/blancas, caché inteligente,
descarga de CRLs
– Alta disponibilidad
– Auditoría y alertas configurables
– Integrado con @firma. Alto rendimiento.
25. Motor de firma digital integral
• Servidor de firma digital
Organizadores:
• Único motor de firma realizado Íntegramente
en plataforma .NET
• Arquitectura SOA
• Integrado con SharePoint Server
– Firma de documentos, formularios y portafirmas
– Integración con flujos de trabajo.
• Múltiples formatos
– CMS/PKCS7, CAdES, XMLDSig, XAdES, PDF,
PAdES,…
• Alto rendimiento y coste asequible
• Firma en cliente o en servidor.
• Soporte de la mayoría de smart cards y HSM.
26. Pero no te fíes de Organizadores:
nosotros…
Es mejor que lo pruebes
por ti mismo…
27. • Tienes en tu bolsa:
– Una tarjeta criptográfica TC-FNMT con su PIN y PUK
iniciales
Organizadores:
– Una dirección web y un código (en el anverso de la
tarjeta) para descargar todo el software necesario.
Incluye una licencia completa de nuestro software de
logon IDOne.
• Te invitamos a que lo pruebes y nos comentes tu
opinión
• Y además te regalamos un micro-lector de
tarjetas si nos entregas la encuesta rellena.