Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
Confianza y Administración electrónica.La protección del documento electrónico
Francisco López Crespo
2
• ¿Qué añade “electrónica” a Administración?
• La protección del documento electrónico y laCultura de la seguridad y confianza
• Construcción de la eAdministración
• Retos y perspectivas
Índice
3
• ¿Qué añade “electrónica” a Administración?
• La protección del documento electrónico y laCultura de la seguridad y confianza
• Construcción de la eAdministración
• Retos y perspectivas
Índice
4
eGovernment is the use of Information andCommunication Technologies in publicadministrations combined with organisationalchange and new skills in order to improve publicservices and democratic processes and strengthensupport to public policies
5
Concepto de e-Administración
Utilización TIC
+
Cambio organizacional
+
Nuevas habilidades
Mejora de Serviciospúblicos
+
Mejora del Procesodemocrático
+
Fortalecimiento y apoyo
a las políticas públicas
Infraestructurapara la
confianza
6
La constante introducción de TI y su progresivamejor utilización en las últimas décadas conducea que en nuestros días, sin su concurso no seaposible concebir el funcionamiento ordinario dela Administración.
Cómo se consigue la “e” parala Administración
A partir de este punto, la Tecnología de laInformación se convierte en el catalizador deun cambio cuyo alcance solo se vislumbra, y enel que participa la sociedad en su conjunto.
En la gestión de este cambio, el esfuerzo quecorresponde a TI no es la de mayor peso.
7
• No hay elección del cliente
• Además de la eficacia, se ha de perseguir laequidad (no limitación de derechos legítimos),neutralidad en las adquisiciones y cumplir con losmandatos de jerarquía, descentralización,desconcentración y coordinación.
• Efectos duraderos de los procesosadministrativos sobre los derechos y obligaciones delos ciudadanos.
La aplicación de TI para lae-Administración tiene
exigencias propias:
8
• Rediseñar los procesos administrativos y romperlas barreras interdepartamentales para poner elcentro en el ciudadano tiene aspectos tecnológicos(por ejemplo conectar el “back office” aislado), perotambién complejas interrelaciones organizativas(competencias, poder) o de regulación.
La aplicación de TI para lae-Administración tiene
exigencias propias:
EducaciónMecanismos de impulso, coordinación y seguimientoEsquemas de evaluación, certificación y acreditación
Infraestructuras y servicios de utilidad común o reutilizables
Criterios de Seguridad, Normalización yConservación
Medida del riesgo respecto de laMedida del riesgo respecto de laseguridad,seguridad, MageritMagerit
ConfianzaConfianza
10
• ¿Qué añade “electrónica” a Administración?
• La protección del documento electrónico y laCultura de la seguridad y confianza
• Construcción de la eAdministración
• Retos y perspectivas
Índice
11
Requisitos complejos(p.e. expresión devoluntad)
Ubicuidad y generalidadde usuarios y de usos
Nuevas responsabilidades(p.e. Identidad electrónica,
ciclo de vida de documentoselectrónicos)
OrganizaciónLegislación
Tecnología
Ciber-delincuencia
Seguridad delas redes y de
la información
Protección de los datos/Marco
“telecomunicaciones” Fuente: Seguridad redes einformación. Enfoque político.CE, junio 2001
Retos de la automatización
Intrusión Retención dedatos
Piratería
Suplantación deidentidad
Amenazas y riesgosasociados a los diferentesámbitos de la informaciónelectrónica
12
MEDIO
MENSAJE
FIRMA
PlataformaHW+SW
Datosconformato
Firmaelectronica +certificado
DisponibilidadIntegridad
Autenticidad
Confidencialidad
Expresión devoluntad
Normas, métodos e info-estructuras pararecomponer la disociación del e-documento:preservar, invocar y utilizar física, funcional yorganizativamente el e-documento
Documento papel vs electrónico
13
Preservación física. Amenazas de origenbiológico
14
Condiciones para confianza en lae-Administración
Prestar atención simultánea a
• Liderazgo político
• Legislación/Regulación
• Tecnología/Normas/Infraestructura
• Organización
• Entorno social/Difusión
Ley de Firma electrónica
59/2003Firma electrónica, Firma
electrónica avanzada y Firmaelectrónica reconocida
- DNI electrónico- Certif. Personas Jurídicas- Responsabilidad- Requisitos adicionales paraAAPP previo informe de CSI-IAEy Propuesta MAP-MITyC- Inspecciones administrativas
Directiva 1999/93
Marco comunitario paraFirma electrónica.
FIRMA ELECTRONICA MARCO EUROPEO
Ordenación PKI- Condiciones
adicionalesgenerales
- Condiciones de losprestadores y de laprestación delservicio
R.D. 263/1996Desarrollo art 45
Regulación del uso medios EIT
CSAER.D. 589/2005, órganosresponsables Administraciónelectrónica
- Criterios Seguridad, Normalización yConservación (R.D. 263/96)
- Utilización medios telemáticos (R.D.209/03)
Requisitos adicionales generalesfirma electrónica (Ley 59/03 )
CRITERIOS Seguridad,Normalización yConservación
MARCO GENERALTécnicas EIT
PKI Administración
CERES
Proyecto interésprioritarioLey (acompañamiento)66/1997 (30/12/97)
Art. 81, modificado porLey55/1999 (29/12/99), art 51
R.D. 1317/2001; desarrollodel art. 81 66/97
Esquema Normativo
Decisión 2004/387/CE
relativa a la prestacióninteroperable de serviciospaneuropeos de administraciónelectrónica al sector público, lasempresas y los ciudadanos(IDABC)
Prestación interoperable deservicios paneuropeos deadministración electrónica al sectorpúblico, las empresas y losciudadanos (IDABC)
R.D. 994/1999
Reglamento de Medidasde Seguridad
LEY ORGANICA 15/1999
Protección de datos decarácter personal.
LRJPAC 30/1992-art 45 Técnicas EIT-art 38.9 Registros telemáticos (RD24/2001)
-art 59.3 Notificación (RD 24/2001)
R.D. 209/2003
Registros y NotificacionesTelemáticas, Certificados
Desarrollado por O.M. 1551/2003
Decisión de la Comisiónde 14-07-2003 (art.35 de la
Directiva de Firma electrónica)-CWA 14167-1 (marzo 2003)Registros Seguridad para sistemasconfiables que gestionancertificados de firma electrónica-CWA 14167-2 (marzo 2002) Perfilde protección del módulocriptográfico para las operacionesde firma de los PSC.-CWA 14169 (marzo 2002)Dispositivos seguros de creación defirma
(EESSI)
IDABCInteroperabilidad
certificadosETSI TSL
DEU
Decisión 6/11/2000Criterios mínimos delos organismos deconformidad conartículo 3.4
R.D 421/2004Regulación delCentroCriptológicoNacional
-EsquemaCertificación
-Criptografía
MARCO GENERALProtección de Datos
Dire
ctiv
asd
elP
arla
men
t oy
laC
om
isió
n:
88/3
4/C
Ed
e2
6/0
698
y9
8/48
/CE
de
20/0
7/9
8C
onfo
rmid
add
eM
inis
terio
spa
rain
icio
del
trá
mite
i nfo
rma
ción
deno
rma
sy
reg
lam
ento
sté
cnic
osde
las
dire
c tiv
asR
.D.
1337
/19
993
1/0
7/99
16
¿Qué son?¿Por qué?¿Contenido?
También disponible On-Line
También disponible On-Line
http://www.csi.map.es/csi/pg5c10.htm
17
Criterios de normalización:
NORMAS PARA LOSSERVICIOS ELECTRÓNICOSDE LA ADMINISTRACIÓN
Criterios de normalización:
NORMAS PARA LOSSERVICIOS ELECTRÓNICOSDE LA ADMINISTRACIÓN
18
Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministración (I)Administración (I)
• LAS NORMAS PARA LA ADMINISTRACIÓN ELECTRÓNICANecesidad y objetivos de las normasLas normas en las telecomunicacionesMedidas de acompañamientoGrupos de normas
• INTEROPERABILIDADInterconexión de redesServicios básicosIntegración de datosAcceso a la información
• LAS NORMAS PARA LA ADMINISTRACIÓN ELECTRÓNICANecesidad y objetivos de las normasLas normas en las telecomunicacionesMedidas de acompañamientoGrupos de normas
• INTEROPERABILIDADInterconexión de redesServicios básicosIntegración de datosAcceso a la información
19
SEGURIDAD
INFRAESTRUCTURA DE CLAVE PÚBLICA
CONSERVACIÓN DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO
METADATOS
DESARROLLO DE SISTEMAS DE INFORMACIÓN
REQUISITOS DE ACCESIBILIDAD PARA PERSONAS CON DISCAPACIDAD
PROGRAMAS Y APLICACIONES DE FUENTE ABIERTA
DISEÑO DE PÁGINAS Y SITIOS WEB
A1: REQUISITOS DE ACCESIBILIDAD PARA PERSONAS CON DISCAPACIDAD
Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministración (II)Administración (II)
20
Recomendaciones en la aplicación de las normas
Normas aplicables
Ampliación técnica
Recomendaciones en la aplicación de las normas
Normas aplicables
Ampliación técnica
Fuentes de autoridad:- Normas de derecho y de hecho- IDA Architecture Guidelines- Actuaciones otros Estados miembros- Otras referencias.
Fuentes de autoridad:- Normas de derecho y de hecho- IDA Architecture Guidelines- Actuaciones otros Estados miembros- Otras referencias.
Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministraciónAdministración
21
22
Documentos administrativos y de los ciudadanosAlmacenamiento de la información en soporte electrónicoAnálisis y gestión de riesgos
CICLO DE VIDA DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO
Ciclo de vidaAnálisis del documento electrónicoDiseño de la estrategia de gestiónCreación de la información en soporte electrónicoGestión de la información en soporte electrónicoTraspaso de la información al archivoAcceso y difusión a la información de soporte electrónico
FORMATO DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO
Tipos de formatos de ficheros Juego de caracteresSOPORTES
Tipos de soportes de almacenamiento de la informaciónMEDIDAS DE ALMACENAMIENTO Y CONSERVACIÓN
Reescritura de los archivos en soporte electrónicoProtección contra el deterioro físicoSeguridad de la informaciónProgramas y aplicaciones de fuente abierta
SISTEMA DE ARCHIVOS
Archivo de oficina, Archivo central , Archivo intermedio, Archivo histórico
CONSERVACIÓN DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO
Criterios de conservaciónCriterios de conservación
23
¿Qué información se ha de conservar/proteger?¿De qué tipo es?
¿Cuáles son los plazos de conservación?
¿En qué soportes y formatos está?¿Qué problemas de durabilidad, longevidad ydegradación se plantean?
¿Quién tiene acceso, a qué, para qué, cuándo y cómo?
¿Qué amenazas afectan a la información?¿Cuáles son las consecuencias si se materializan?
¿Qué medidas organizativas y técnicas se debenadoptar?
¿Qué información se ha de conservar/proteger?¿De qué tipo es?
¿Cuáles son los plazos de conservación?
¿En qué soportes y formatos está?¿Qué problemas de durabilidad, longevidad ydegradación se plantean?
¿Quién tiene acceso, a qué, para qué, cuándo y cómo?
¿Qué amenazas afectan a la información?¿Cuáles son las consecuencias si se materializan?
¿Qué medidas organizativas y técnicas se debenadoptar?
Criterios de conservaciónCriterios de conservación
• Nuevas versiones de plataformas, sistemas operativos y programas.• Cambios en características físicas de soportes: forma, tamaños, densidad, etc.• Mayor vida útil pero rápida obsolescencia, vigencia reducida.• Nuevas formas de documentos electrónicos: compuestos, hipertexto, multimedia.• Capacidad de procesamiento sin medios de control adecuado de documentos.• SIs no orientados a la gestión de documentos, que no satisfacen requisitos.
• Acumulación incontrolada de documentos.• Destrucción accidental de documentos.• Manipulación acceso y alteración no autorizada de documentos.• Falta de documentación, metadatos, e información contextual.• Ineficiencias en el acceso.• Factores agresivos que facilitan el deterioro de los soportes: campos magnéticos,oxidación y degradación de los materiales.
En caso de desastre no es aceptable ningún nivel de pérdida.
Impacto tecnológico
Amenazas
Espacio de amenazasEspacio de amenazas
25
Los criterios para la conservación de los soportes, su custodia ysu accesibilidad deben ser incluidos en los planes de seguridady en los planes de contingencia.
Los dispositivos y soportes informáticos de almacenamientodeben estar adecuadamente controlados y protegidos.
Se deben establecer procedimientos operativos de seguridadpara proteger de daño, robo o acceso no autorizado a soportesde almacenamiento, datos de entrada y de salida del sistema,documentación del sistema, etc.
Criterios de conservación deCriterios de conservación dela informaciónla información
26
Ayuda en la adopción de medidas proporcionadas a cada situación:Garantía de cumplimiento de legalidadLenguaje comúnConjunto de buenas prácticas del ejercicio profesionalRacionalidad: ΔEficacia - ΔProductividadOrientación a la industria del sector en base a estándaresMarco de interoperabilidadEconomía en desarrollo, mantenimiento y formaciónConfianza de los ciudadanosEvolución y perfeccionamiento constante y transparente
¿Qué aportan los Criterios SNC?
27
El MAP se ocupa, junto con otras Administraciones, Industria,Empresas, Universidades, en la creación de normas técnicas, elseno de AENOR CTN71 SC27 y del W3C
• Código de buenas prácticas para la gestión de la seguridad de lainformación: UNE ISO/IEC 17799:2002• Guías para la gestión de la seguridad de las tecnologías de lainformación: ISO/IEC 13335 (UNE 71501 -1, 2 y 3 ):2001• Especificaciones de un sistema de gestión de la seguridad de lainformación: UNE 71502:2004• Criterios Comunes para la certificación de la seguridad de laTecnología de la Información, ISO/IEC 15408
Contribuciones regulares y significativas a los órganosinternacionales. En ocasiones por iniciativa española:
• La norma ISO/IEC 18014 partes 1, 2 y 3, Time stampingservices
Los Criterios SNC y lasNormas técnicas
28
-Método- Catálogo de Elementos- Guía de Técnicas
-Método- Catálogo de Elementos- Guía de Técnicas
Magerit: el Análisis y la Gestión delos Riesgos
La buena gestión tiene uno de sus pilares en lacuantificación, y el seguimiento de su evolución:
la seguridad de la información no es una excepción.Magerit es la “vara de medir” el
estado de la seguridad de nuestras organizaciones.
29
Magerit: Objetivos
• Concienciar a los responsables de los sistemasde información de la existencia de riesgos y de lanecesidad de atajarlos a tiempo
• Ofrecer un método sistemático para analizartales riesgos
• Ayudar a descubrir y planificar las medidasoportunas para mantener los riesgos bajocontrol
• Apoyar la preparación a la Organización paraprocesos de evaluación, auditoría,certificación o acreditación, según correspondaen cada caso
30
Definición: Procedimiento o mecanismo tecnológico que reduce el riesgo.
activosactivos
amenazasamenazas
frecuenciaresidual
frecuenciaresidual
impactoresidual
impactoresidual
valorvalor
riesgoresidual
riesgoresidual
están expuestos a
Interesan por su
degradaciónresidual
degradaciónresidual
causan una cierta
con una cierta
tipo de activodimensiónamenaza
nivel de riesgosalvaguardassalvaguardas
Las salvaguardas actúan sobre el riesgo:
• Reduciendo la frecuencia de las amenazas:(preventivas). Las ideales llegan a impedir que laamenaza se materialice.
• Limitando el daño causado: Unas limitan laposible degradación; otras permiten detectar el ataquepara frenar que la degradación avance. Otras permitenla pronta recuperación del sistema cuando la amenazalo destruye. En cualquiera de las versiones, la amenazase materializa; pero las consecuencias se limitan.
Salvaguardas
31
ReferenciaAcción Producto
Análisis y gestiónde riesgos
Análisis y gestiónde riesgos
Escenarios de riesgoEscenarios de riesgo
Plan de continuidadde la actividadadministrativa
Plan de continuidadde la actividadadministrativa
MAGERITMAGERIT
Criterios de seguridad de lasaplicaciones utilizadas para el
ejercicio de potestades.
Criterios de seguridad de lasaplicaciones utilizadas para el
ejercicio de potestades.
Análisis y gestión deriesgos
Análisis y gestión deriesgos
Elaboración de lapolítica de seguridad
Elaboración de lapolítica de seguridad
Plan de contingenciasPlan de contingencias
Política de seguridadPolítica de seguridad
+
ReferenciaAcción Producto
Análisis y gestiónde riesgos
Análisis y gestiónde riesgos
Escenarios de riesgoEscenarios de riesgo
Plan de continuidadde la actividadadministrativa
Plan de continuidadde la actividadadministrativa
MAGERITMAGERIT
Criterios de seguridad de lasaplicaciones utilizadas para el
ejercicio de potestades.
Criterios de seguridad de lasaplicaciones utilizadas para el
ejercicio de potestades.
Análisis y gestión deriesgos
Análisis y gestión deriesgos
Elaboración de lapolítica de seguridad
Elaboración de lapolítica de seguridad
Plan de contingenciasPlan de contingencias
Política de seguridadPolítica de seguridad
+
AccionesAcciones propuestas en los CriteriosCriterios dedeSeguridadSeguridad hacen referenciareferencia aa MAGERITMAGERITpara la obtenciobtencióónn dede los productosproductoscorrespondientes.
Magerit versión 2 y losCriterios SNC
La aplicación de Magerit versión 2 mediante laherramienta PILAR contempla los CriteriosSNC (colaboración MAP y CNI/CCN)
!
32
La utilización de Magerit versión 2 enla Administración
MAGERIT versión 2 identifica y selecciona losmecanismos de salvaguarda en el marco definidopor los Criterios SNC.(http://www.csi.map.es/csi/pg5m20.htm)
Los Criterios de seguridad, normalización yconservación recogen los requisitos, criterios, yrecomendaciones relativos a la implantación de las medidasde seguridad organizativas y técnicas para asegurar ACID dela información en el diseño, desarrollo, implantación yexplotación de las aplicaciones que la Administración Generaldel Estado utiliza para el ejercicio de sus potestades
(http://www.csi.map.es/csi/pg5c10.htm)
33
La Herramienta PILAR, desarrollada por elCentro Nacional de Inteligencia – CentroCriptológico Nacional, con la colaboración delMAP, tiene librerías que permiten aplicar Mageritversión 2 y realizar el análisis y la gestión de losriesgos en el marco de los Criterios.
La utilización de Magerit versión 2 enla Administración
34
Herramienta PILAR:PROCEDIMIENTO INFORMÁTICO Y
LÓGICO DE ANÁLISIS DE RIESGOS
–FACILIDAD DE USO. Realización asistida del análisis y lagestión de los riesgos, de manera intuitiva y rápida .
–FLEXIBILIDAD. Utilizable a diferentes niveles deprofundidad y de conocimiento de los ususrios.
–ADAPTACIÓN ENTORNO. Posibilidad de generación yadaptación de bibliotecas (AAPP, OTAN, EMPRESAS).
–PRIORIZACIÓN SELECCIÓN SALVAGUARDAS.
35
• ¿Qué añade “electrónica” a Administración?
• La protección del documento electrónico y laCultura de la seguridad y confianza
• Construcción de la eAdministración
• Retos y perspectivas
Índice
36
Plan de Acción eEurope 2005:una Sociedad de la Información para todos.Aprobado en el Consejo Europeo de Sevilla, 21/22 de junio de 2002Servicios públicos en línea:• Administración electrónica (eGovernment)• e-Educación (eLearning)• e-Salud (eHealth)
Plan de Acción eEurope 2005:una Sociedad de la Información para todos.Aprobado en el Consejo Europeo de Sevilla, 21/22 de junio de 2002Servicios públicos en línea:• Administración electrónica (eGovernment)• e-Educación (eLearning)• e-Salud (eHealth)
eEurope 2005 se apoya en el Programa IDABC para:• Interoperabilidad de los procedimientos de back-office.• Prestación de servicios pan-europeos.• Portal de la Administración de la UE:
punto de acceso multilingüe para servicios a ciudadanos y empresas enapoyo de la libre circulación.
eEurope 2005 se apoya en el Programa IDABC para:• Interoperabilidad de los procedimientos de back-office.• Prestación de servicios pan-europeos.• Portal de la Administración de la UE:
punto de acceso multilingüe para servicios a ciudadanos y empresas enapoyo de la libre circulación.
Liderazgo político: eEurope 2005
37
Decisión 2004/387/CE: para la prestación interoperablede servicios paneuropeos de administración electrónicaal sector público, las empresas y los ciudadanos.
2005-2009. Objetivo: definir, apoyar y promover el desarrolloy establecimiento de servicios paneuropeos de administraciónelectrónica y de sus redes telemáticas interoperables queayuden a aplicar las políticas y acciones comunitarias yobtener así importantes beneficios.
Decisión IDABC
38Fuente: http://europa.eu.int/ida
Acciones y medidas horizontalesAcciones y medidas horizontales
39
MoReq
Modelo de Requisitos para la gestión dedocumentos electrónicos de archivo
http://www.csi.map.es/csi/pg5m52.htm
http://www.csi.map.es/csi/pg3315.htm
40
El Comité de Telemática entre Administraciones, de 25 EE.MM., gestor de IDA, respalda lasrecomendaciones relativas a la promoción de la utilización de los formatos abiertos dedocumentos, elevadas por su grupo de expertos en la materia (25 de mayo de 2004).
A la Industria:Que se involucre en la normalización de los formatos de documentos.Que proporcione filtros de conversión entre formatos.Que aporte herramientas y servicios para que el sector público pueda migrar sus
documentos a formatos XML.
A Microsoft:Que se comprometa a publicar las especificaciones de Word XML.Que eleve sus formatos a organismos de normalización.Que elimine los componentes no XML de WordML.
A OASIS:Que eleve el Formato Abierto de Documento (ODF: Open Document Format) a
ISO/IEC.
Al Sector Público:Que utilice diversos formatos en la publicación de información.
Recomendaciones IDABC sobreformatos abiertos de documentos
41
ComunidadesAutónomas
CorporacionesLocales
MAPMinisterios oCentrosDirectivos
Direcciones
Provinciales
Red Territorial
Centro de ServiciosComunes y Acceso
Remoto
Intranets de:- Comisión Europea- Consejo de la UE- Agencias europeas- Estados Miembros- Otros Org. UE
Intranets de:- Comisión Europea- Consejo de la UE- Agencias europeas- Estados Miembros- Otros Org. UE
Proyectos de Interés Común (Servicios transeuropeos):- Soporte a actos comunitarios (aplicaciones sectoriales).- Apoyo a comunicación interinstitucional en la UE.- Apoyo al proceso de decisión comunitario.
Proyectos de Interés Común (Servicios transeuropeos):- Soporte a actos comunitarios (aplicaciones sectoriales).- Apoyo a comunicación interinstitucional en la UE.- Apoyo al proceso de decisión comunitario.
INTRANET ADMINISTRATIVA
ComunidadesAutónomas
CorporacionesLocales
MAPMinisterios oCentrosDirectivos
Direcciones
Provinciales
Red Territorial
Centro de ServiciosComunes y Acceso
Remoto
Intranets de:- Comisión Europea- Consejo de la UE- Agencias europeas- Estados Miembros- Otros Org. UE
Intranets de:- Comisión Europea- Consejo de la UE- Agencias europeas- Estados Miembros- Otros Org. UE
Proyectos de Interés Común (Servicios transeuropeos):- Soporte a actos comunitarios (aplicaciones sectoriales).- Apoyo a comunicación interinstitucional en la UE.- Apoyo al proceso de decisión comunitario.
Proyectos de Interés Común (Servicios transeuropeos):- Soporte a actos comunitarios (aplicaciones sectoriales).- Apoyo a comunicación interinstitucional en la UE.- Apoyo al proceso de decisión comunitario.
INTRANET ADMINISTRATIVA
• Facilita la integración efectiva de la Administración en los servicios transeuropeos.• El acceso de la Administración a los servicios transeuropeos se canaliza a través de la IntranetAdministrativa y TESTA II.• El enlace IA-TESTA II se financia por la Comisión Europea con cargo a fondos del Programa IDA.• Supera el modelo anterior de conexiones ad hoc.• Tecnología y protocolos TCP/IP: configuración de encaminadores y cortafuegos.
Enlace de la Intranet Administrativa conEnlace de la Intranet Administrativa conTESTA II (operativo junio 2000)TESTA II (operativo junio 2000)
42
Ejemplo de tarjeta electrónica de identidad
• LEY 59/2003, de 19de diciembre, defirma electrónica.artículos 15 y 16.
• Plan EstratégicoCONECTA:Metaproyecto eDNI
© F. López Crespo
• Alemania• Australia• Austria• Canadá• Chequia• Corea• España• Estados Unidos• Finlandia• Francia• Grecia• India• Israel• Italia• Japón• Noruega• Nueva Zelanda• Países Bajos• Reino Unido• Singapur• Turquía
El Arreglo significa para los paísesque lo hemos suscrito:
Compartir un lenguajetransparente y riguroso de seguridad
Métodos comunes para laevaluación de la seguridad TI
Reconocimiento mutuo de loscertificados certificación .
Repositorio de productoscertificados fácilmente accesiblespara los usuarios
España es Miembro de los órganos dedirección del Arreglo:
Comité de Gestión (MAP)Subcomité Ejecutivo (CNI/CCN).
Arreglo de Reconocimiento mutuoArreglo de Reconocimiento mutuo
44
Generador de Declaraciones dePolíticas de Protección de Datos de Carácter Personal
¿Qué es el “Generador”?¿Qué es el “Generador”?Una herramienta DIDÁCTICA deaplicación PRÁCTICA
www.csi.map.es/ocde_map/www.csi.map.es/ocde
Basado en FORMULARIOS WEB queguían al usuario en la:Identificación de las prácticas deprotección de datos de carácterpersonal de la organización o servicio.Redacción de una declaraciónformal para informar a los clientes delservicio.
Incluye Extracto Práctico de la regulaciónvigente asociada con la Protección de datosde carácter personal
45
• ¿Qué añade “electrónica” a Administración?
• La protección del documento electrónico y laCultura de la seguridad y confianza
• Construcción de la eAdministración
• Retos y perspectivas
Índice
1) Concienciación
Los participantes deberán ser conscientes de la necesidad de contarcon sistemas y redes de información seguros, y tener conocimiento
de los medios para ampliar la seguridad.
2) Responsabilidad
Todos los participantes son responsables de la seguridad de lossistemas y redes de información.
3) Respuesta
Los participantes deben actuar de manera adecuada y conjuntapara prevenir, detectar y responder a incidentes que afecten la
seguridad.
4) Ética
Los participantes deben respetar los intereses legítimos de terceros.5) Democracia
La seguridad de los sistemas y redes de información debe sercompatible con los valores esenciales de una sociedad democrática.
6) Evaluación del riesgo
Los participantes deben llevar a cabo evaluaciones de riesgo.7) Diseño y realización de la seguridad
Los participantes deben incorporar la seguridad como un elementoesencial de los sistemas y redes de información.
8) Gestión de la Seguridad
Los participantes deben adoptar una visión integral de laadministración de la seguridad.
9) Reevaluación
Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redesde información, y realizar las modificaciones pertinentes sobre sus políticas,
prácticas, medidas y procedimientos de seguridad.
Cultura de la seguridad
CULTURA DE LA SEGURIDADCULTURA DE LA SEGURIDAD(ACID)(ACID)
TecnologíaOrganización
LegislaciónCooperación
Educación
ProtecciónSatisfacción derechos legítimos
Disuasión
ConfianzaConfianza
48
1. Liderazgo político
Al más alto nivel; presupuestos acordes,compromiso de innovación.
2. Administración abierta.
Aumento de la transparencia, lucha contra lacorrupción y participación ciudadana enconsultas y asuntos públicos.
3. Giro al exterior.
Foco en la interacción, participación ynecesidades de ciudadanos y empresas;servicios públicos multicanal personalizados.
Retos
49
4. Administración inclusiva. Promoción de lacultura tecnológica (superación de la “brechadigital”).
5. Protección de los datos de carácter personal.Acorde a los riesgos a los que estén expuestos.Sensibilización acerca de la autoprotección.
6. Confianza y Administración segura.
Promover la cultura de la seguridad. Establecerla Identidad Personal Electrónica. Gestión delriesgo y promoción de la certificación de laseguridad.
Retos
50
7. Interfaz único de la Administración comoente proveedor de servicios a losciudadanos y empresas.
• Intercambio interno de información (“backoffice”), previo consentimiento del interesado.Construir infraestructuras (intranet, portalesinteractivos, conservación del documentoelectrónico).
• Mejorar la cooperación y la concertaciónentre instituciones, públicas o privadas.
Retos
51
Retos
8. Mejora de la calidad, la productividad yde la racionalidad.
• Revisar los procesos para evitar reproducircondicionantes de tecnologías previas, osin merma de los mecanismos de garantía ode control.
•Establecer marcos de interoperabilidad yesquemas comunes de datos basados enestándares que faciliten la reutilización.
52
9. Promover la investigación y la innovaciónen el ámbito específico de la e-Administración.
10. Formación de los empleados públicoscomo “trabajadores del conocimiento”.
Es condición para el éxito de la asimilación dela innovación, por los recursos humanos o porlas organizaciones.
Retos
53
La seguridad, entendida como proceso complejo,proporcionada al riesgo, forma parte de lasocupaciones proactivas de la Administración, enactuaciones regulatorias, métodos y criterios yproyectos, horizontales o sectoriales.
Las administraciones públicas participan yfomentan la Cultura de la Seguridad, junto a laInvestigación y Docencia, Industria y Empresa, yUsuarios las CC.AA´s y las EE.LL´s y demás partesinteresadas, como componente inseparable de lainteroperabilidad y de la construcción de la confianza
Conclusiones
54