Confianza y Administración electrónica. La protección del …€¦ · - DNI electrónico - Certif. Personas Jurídicas - Responsabilidad - Requisitos adicionales para AAPP previo

Confianza y Administración electrónica.La protección del documento electrónico

Francisco López Crespo

[email protected]

2

• ¿Qué añade “electrónica” a Administración?

• La protección del documento electrónico y laCultura de la seguridad y confianza

• Construcción de la eAdministración

• Retos y perspectivas

Índice

3





Índice

4

eGovernment is the use of Information andCommunication Technologies in publicadministrations combined with organisationalchange and new skills in order to improve publicservices and democratic processes and strengthensupport to public policies

5

Concepto de e-Administración

Utilización TIC

+

Cambio organizacional

+

Nuevas habilidades

Mejora de Serviciospúblicos

+

Mejora del Procesodemocrático

+

Fortalecimiento y apoyo

a las políticas públicas

Infraestructurapara la

confianza

6

La constante introducción de TI y su progresivamejor utilización en las últimas décadas conducea que en nuestros días, sin su concurso no seaposible concebir el funcionamiento ordinario dela Administración.

Cómo se consigue la “e” parala Administración

A partir de este punto, la Tecnología de laInformación se convierte en el catalizador deun cambio cuyo alcance solo se vislumbra, y enel que participa la sociedad en su conjunto.

En la gestión de este cambio, el esfuerzo quecorresponde a TI no es la de mayor peso.

7

• No hay elección del cliente

• Además de la eficacia, se ha de perseguir laequidad (no limitación de derechos legítimos),neutralidad en las adquisiciones y cumplir con losmandatos de jerarquía, descentralización,desconcentración y coordinación.

• Efectos duraderos de los procesosadministrativos sobre los derechos y obligaciones delos ciudadanos.

La aplicación de TI para lae-Administración tiene

exigencias propias:

8

• Rediseñar los procesos administrativos y romperlas barreras interdepartamentales para poner elcentro en el ciudadano tiene aspectos tecnológicos(por ejemplo conectar el “back office” aislado), perotambién complejas interrelaciones organizativas(competencias, poder) o de regulación.

La aplicación de TI para lae-Administración tiene

exigencias propias:

EducaciónMecanismos de impulso, coordinación y seguimientoEsquemas de evaluación, certificación y acreditación

Infraestructuras y servicios de utilidad común o reutilizables

Criterios de Seguridad, Normalización yConservación

Medida del riesgo respecto de laMedida del riesgo respecto de laseguridad,seguridad, MageritMagerit

ConfianzaConfianza

10





Índice

11

Requisitos complejos(p.e. expresión devoluntad)

Ubicuidad y generalidadde usuarios y de usos

Nuevas responsabilidades(p.e. Identidad electrónica,

ciclo de vida de documentoselectrónicos)

OrganizaciónLegislación

Tecnología

Ciber-delincuencia

Seguridad delas redes y de

la información

Protección de los datos/Marco

“telecomunicaciones” Fuente: Seguridad redes einformación. Enfoque político.CE, junio 2001

Retos de la automatización

Intrusión Retención dedatos

Piratería

Suplantación deidentidad

Amenazas y riesgosasociados a los diferentesámbitos de la informaciónelectrónica

12

MEDIO

MENSAJE

FIRMA

PlataformaHW+SW

Datosconformato

Firmaelectronica +certificado

DisponibilidadIntegridad

Autenticidad

Confidencialidad

Expresión devoluntad

Normas, métodos e info-estructuras pararecomponer la disociación del e-documento:preservar, invocar y utilizar física, funcional yorganizativamente el e-documento

Documento papel vs electrónico

13

Preservación física. Amenazas de origenbiológico

14

Condiciones para confianza en lae-Administración

Prestar atención simultánea a

• Liderazgo político

• Legislación/Regulación

• Tecnología/Normas/Infraestructura

• Organización

• Entorno social/Difusión

Ley de Firma electrónica

59/2003Firma electrónica, Firma

electrónica avanzada y Firmaelectrónica reconocida

- DNI electrónico- Certif. Personas Jurídicas- Responsabilidad- Requisitos adicionales paraAAPP previo informe de CSI-IAEy Propuesta MAP-MITyC- Inspecciones administrativas

Directiva 1999/93

Marco comunitario paraFirma electrónica.

FIRMA ELECTRONICA MARCO EUROPEO

Ordenación PKI- Condiciones

adicionalesgenerales

- Condiciones de losprestadores y de laprestación delservicio

R.D. 263/1996Desarrollo art 45

Regulación del uso medios EIT

CSAER.D. 589/2005, órganosresponsables Administraciónelectrónica

- Criterios Seguridad, Normalización yConservación (R.D. 263/96)

- Utilización medios telemáticos (R.D.209/03)

Requisitos adicionales generalesfirma electrónica (Ley 59/03 )

CRITERIOS Seguridad,Normalización yConservación

MARCO GENERALTécnicas EIT

PKI Administración

CERES

Proyecto interésprioritarioLey (acompañamiento)66/1997 (30/12/97)

Art. 81, modificado porLey55/1999 (29/12/99), art 51

R.D. 1317/2001; desarrollodel art. 81 66/97

Esquema Normativo

Decisión 2004/387/CE

relativa a la prestacióninteroperable de serviciospaneuropeos de administraciónelectrónica al sector público, lasempresas y los ciudadanos(IDABC)

Prestación interoperable deservicios paneuropeos deadministración electrónica al sectorpúblico, las empresas y losciudadanos (IDABC)

R.D. 994/1999

Reglamento de Medidasde Seguridad

LEY ORGANICA 15/1999

Protección de datos decarácter personal.

LRJPAC 30/1992-art 45 Técnicas EIT-art 38.9 Registros telemáticos (RD24/2001)

-art 59.3 Notificación (RD 24/2001)

R.D. 209/2003

Registros y NotificacionesTelemáticas, Certificados

Desarrollado por O.M. 1551/2003

Decisión de la Comisiónde 14-07-2003 (art.35 de la

Directiva de Firma electrónica)-CWA 14167-1 (marzo 2003)Registros Seguridad para sistemasconfiables que gestionancertificados de firma electrónica-CWA 14167-2 (marzo 2002) Perfilde protección del módulocriptográfico para las operacionesde firma de los PSC.-CWA 14169 (marzo 2002)Dispositivos seguros de creación defirma

(EESSI)

IDABCInteroperabilidad

certificadosETSI TSL

DEU

Decisión 6/11/2000Criterios mínimos delos organismos deconformidad conartículo 3.4

R.D 421/2004Regulación delCentroCriptológicoNacional

-EsquemaCertificación

-Criptografía

MARCO GENERALProtección de Datos

Dire

ctiv

asd

elP

arla

men

t oy

laC

om

isió

n:

88/3

4/C

Ed

e2

6/0

698

y9

8/48

/CE

de

20/0

7/9

8C

onfo

rmid

add

eM

inis

terio

spa

rain

icio

del

trá

mite

i nfo

rma

ción

deno

rma

sy

reg

lam

ento

sté

cnic

osde

las

dire

c tiv

asR

.D.

1337

/19

993

1/0

7/99

16

¿Qué son?¿Por qué?¿Contenido?

También disponible On-Line

También disponible On-Line

http://www.csi.map.es/csi/pg5c10.htm

17

Criterios de normalización:

NORMAS PARA LOSSERVICIOS ELECTRÓNICOSDE LA ADMINISTRACIÓN

Criterios de normalización:

NORMAS PARA LOSSERVICIOS ELECTRÓNICOSDE LA ADMINISTRACIÓN

18

Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministración (I)Administración (I)

• LAS NORMAS PARA LA ADMINISTRACIÓN ELECTRÓNICANecesidad y objetivos de las normasLas normas en las telecomunicacionesMedidas de acompañamientoGrupos de normas

• INTEROPERABILIDADInterconexión de redesServicios básicosIntegración de datosAcceso a la información

• LAS NORMAS PARA LA ADMINISTRACIÓN ELECTRÓNICANecesidad y objetivos de las normasLas normas en las telecomunicacionesMedidas de acompañamientoGrupos de normas

• INTEROPERABILIDADInterconexión de redesServicios básicosIntegración de datosAcceso a la información

19

SEGURIDAD

INFRAESTRUCTURA DE CLAVE PÚBLICA

CONSERVACIÓN DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO

METADATOS

DESARROLLO DE SISTEMAS DE INFORMACIÓN

REQUISITOS DE ACCESIBILIDAD PARA PERSONAS CON DISCAPACIDAD

PROGRAMAS Y APLICACIONES DE FUENTE ABIERTA

DISEÑO DE PÁGINAS Y SITIOS WEB

A1: REQUISITOS DE ACCESIBILIDAD PARA PERSONAS CON DISCAPACIDAD

Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministración (II)Administración (II)

20

Recomendaciones en la aplicación de las normas

Normas aplicables

Ampliación técnica

Recomendaciones en la aplicación de las normas

Normas aplicables

Ampliación técnica

Fuentes de autoridad:- Normas de derecho y de hecho- IDA Architecture Guidelines- Actuaciones otros Estados miembros- Otras referencias.

Fuentes de autoridad:- Normas de derecho y de hecho- IDA Architecture Guidelines- Actuaciones otros Estados miembros- Otras referencias.

Normas para los servicios electrónicos de laNormas para los servicios electrónicos de laAdministraciónAdministración

21

22

Documentos administrativos y de los ciudadanosAlmacenamiento de la información en soporte electrónicoAnálisis y gestión de riesgos

CICLO DE VIDA DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO

Ciclo de vidaAnálisis del documento electrónicoDiseño de la estrategia de gestiónCreación de la información en soporte electrónicoGestión de la información en soporte electrónicoTraspaso de la información al archivoAcceso y difusión a la información de soporte electrónico

FORMATO DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO

Tipos de formatos de ficheros Juego de caracteresSOPORTES

Tipos de soportes de almacenamiento de la informaciónMEDIDAS DE ALMACENAMIENTO Y CONSERVACIÓN

Reescritura de los archivos en soporte electrónicoProtección contra el deterioro físicoSeguridad de la informaciónProgramas y aplicaciones de fuente abierta

SISTEMA DE ARCHIVOS

Archivo de oficina, Archivo central , Archivo intermedio, Archivo histórico

CONSERVACIÓN DE LA INFORMACIÓN EN SOPORTE ELECTRÓNICO

Criterios de conservaciónCriterios de conservación

23

¿Qué información se ha de conservar/proteger?¿De qué tipo es?

¿Cuáles son los plazos de conservación?

¿En qué soportes y formatos está?¿Qué problemas de durabilidad, longevidad ydegradación se plantean?

¿Quién tiene acceso, a qué, para qué, cuándo y cómo?

¿Qué amenazas afectan a la información?¿Cuáles son las consecuencias si se materializan?

¿Qué medidas organizativas y técnicas se debenadoptar?

¿Qué información se ha de conservar/proteger?¿De qué tipo es?

¿Cuáles son los plazos de conservación?

¿En qué soportes y formatos está?¿Qué problemas de durabilidad, longevidad ydegradación se plantean?

¿Quién tiene acceso, a qué, para qué, cuándo y cómo?

¿Qué amenazas afectan a la información?¿Cuáles son las consecuencias si se materializan?

¿Qué medidas organizativas y técnicas se debenadoptar?

Criterios de conservaciónCriterios de conservación

• Nuevas versiones de plataformas, sistemas operativos y programas.• Cambios en características físicas de soportes: forma, tamaños, densidad, etc.• Mayor vida útil pero rápida obsolescencia, vigencia reducida.• Nuevas formas de documentos electrónicos: compuestos, hipertexto, multimedia.• Capacidad de procesamiento sin medios de control adecuado de documentos.• SIs no orientados a la gestión de documentos, que no satisfacen requisitos.

• Acumulación incontrolada de documentos.• Destrucción accidental de documentos.• Manipulación acceso y alteración no autorizada de documentos.• Falta de documentación, metadatos, e información contextual.• Ineficiencias en el acceso.• Factores agresivos que facilitan el deterioro de los soportes: campos magnéticos,oxidación y degradación de los materiales.

En caso de desastre no es aceptable ningún nivel de pérdida.

Impacto tecnológico

Amenazas

Espacio de amenazasEspacio de amenazas

25

Los criterios para la conservación de los soportes, su custodia ysu accesibilidad deben ser incluidos en los planes de seguridady en los planes de contingencia.

Los dispositivos y soportes informáticos de almacenamientodeben estar adecuadamente controlados y protegidos.

Se deben establecer procedimientos operativos de seguridadpara proteger de daño, robo o acceso no autorizado a soportesde almacenamiento, datos de entrada y de salida del sistema,documentación del sistema, etc.

Criterios de conservación deCriterios de conservación dela informaciónla información

26

Ayuda en la adopción de medidas proporcionadas a cada situación:Garantía de cumplimiento de legalidadLenguaje comúnConjunto de buenas prácticas del ejercicio profesionalRacionalidad: ΔEficacia - ΔProductividadOrientación a la industria del sector en base a estándaresMarco de interoperabilidadEconomía en desarrollo, mantenimiento y formaciónConfianza de los ciudadanosEvolución y perfeccionamiento constante y transparente

¿Qué aportan los Criterios SNC?

27

El MAP se ocupa, junto con otras Administraciones, Industria,Empresas, Universidades, en la creación de normas técnicas, elseno de AENOR CTN71 SC27 y del W3C

• Código de buenas prácticas para la gestión de la seguridad de lainformación: UNE ISO/IEC 17799:2002• Guías para la gestión de la seguridad de las tecnologías de lainformación: ISO/IEC 13335 (UNE 71501 -1, 2 y 3 ):2001• Especificaciones de un sistema de gestión de la seguridad de lainformación: UNE 71502:2004• Criterios Comunes para la certificación de la seguridad de laTecnología de la Información, ISO/IEC 15408

Contribuciones regulares y significativas a los órganosinternacionales. En ocasiones por iniciativa española:

• La norma ISO/IEC 18014 partes 1, 2 y 3, Time stampingservices

Los Criterios SNC y lasNormas técnicas

28

-Método- Catálogo de Elementos- Guía de Técnicas

-Método- Catálogo de Elementos- Guía de Técnicas

Magerit: el Análisis y la Gestión delos Riesgos

La buena gestión tiene uno de sus pilares en lacuantificación, y el seguimiento de su evolución:

la seguridad de la información no es una excepción.Magerit es la “vara de medir” el

estado de la seguridad de nuestras organizaciones.

29

Magerit: Objetivos

• Concienciar a los responsables de los sistemasde información de la existencia de riesgos y de lanecesidad de atajarlos a tiempo

• Ofrecer un método sistemático para analizartales riesgos

• Ayudar a descubrir y planificar las medidasoportunas para mantener los riesgos bajocontrol

• Apoyar la preparación a la Organización paraprocesos de evaluación, auditoría,certificación o acreditación, según correspondaen cada caso

30

Definición: Procedimiento o mecanismo tecnológico que reduce el riesgo.

activosactivos

amenazasamenazas

frecuenciaresidual

frecuenciaresidual

impactoresidual

impactoresidual

valorvalor

riesgoresidual

riesgoresidual

están expuestos a

Interesan por su

degradaciónresidual

degradaciónresidual

causan una cierta

con una cierta

tipo de activodimensiónamenaza

nivel de riesgosalvaguardassalvaguardas

Las salvaguardas actúan sobre el riesgo:

• Reduciendo la frecuencia de las amenazas:(preventivas). Las ideales llegan a impedir que laamenaza se materialice.

• Limitando el daño causado: Unas limitan laposible degradación; otras permiten detectar el ataquepara frenar que la degradación avance. Otras permitenla pronta recuperación del sistema cuando la amenazalo destruye. En cualquiera de las versiones, la amenazase materializa; pero las consecuencias se limitan.

Salvaguardas

31

ReferenciaAcción Producto

Análisis y gestiónde riesgos


Escenarios de riesgoEscenarios de riesgo

Plan de continuidadde la actividadadministrativa


MAGERITMAGERIT

Criterios de seguridad de lasaplicaciones utilizadas para el

ejercicio de potestades.



Análisis y gestión deriesgos


Elaboración de lapolítica de seguridad


Plan de contingenciasPlan de contingencias

Política de seguridadPolítica de seguridad

+

ReferenciaAcción Producto



Escenarios de riesgoEscenarios de riesgo



MAGERITMAGERIT









Plan de contingenciasPlan de contingencias

Política de seguridadPolítica de seguridad

+

AccionesAcciones propuestas en los CriteriosCriterios dedeSeguridadSeguridad hacen referenciareferencia aa MAGERITMAGERITpara la obtenciobtencióónn dede los productosproductoscorrespondientes.

Magerit versión 2 y losCriterios SNC

La aplicación de Magerit versión 2 mediante laherramienta PILAR contempla los CriteriosSNC (colaboración MAP y CNI/CCN)

!

32

La utilización de Magerit versión 2 enla Administración

MAGERIT versión 2 identifica y selecciona losmecanismos de salvaguarda en el marco definidopor los Criterios SNC.(http://www.csi.map.es/csi/pg5m20.htm)

Los Criterios de seguridad, normalización yconservación recogen los requisitos, criterios, yrecomendaciones relativos a la implantación de las medidasde seguridad organizativas y técnicas para asegurar ACID dela información en el diseño, desarrollo, implantación yexplotación de las aplicaciones que la Administración Generaldel Estado utiliza para el ejercicio de sus potestades

(http://www.csi.map.es/csi/pg5c10.htm)

33

La Herramienta PILAR, desarrollada por elCentro Nacional de Inteligencia – CentroCriptológico Nacional, con la colaboración delMAP, tiene librerías que permiten aplicar Mageritversión 2 y realizar el análisis y la gestión de losriesgos en el marco de los Criterios.

La utilización de Magerit versión 2 enla Administración

34

Herramienta PILAR:PROCEDIMIENTO INFORMÁTICO Y

LÓGICO DE ANÁLISIS DE RIESGOS

–FACILIDAD DE USO. Realización asistida del análisis y lagestión de los riesgos, de manera intuitiva y rápida .

–FLEXIBILIDAD. Utilizable a diferentes niveles deprofundidad y de conocimiento de los ususrios.

–ADAPTACIÓN ENTORNO. Posibilidad de generación yadaptación de bibliotecas (AAPP, OTAN, EMPRESAS).

–PRIORIZACIÓN SELECCIÓN SALVAGUARDAS.

35





Índice

36

Plan de Acción eEurope 2005:una Sociedad de la Información para todos.Aprobado en el Consejo Europeo de Sevilla, 21/22 de junio de 2002Servicios públicos en línea:• Administración electrónica (eGovernment)• e-Educación (eLearning)• e-Salud (eHealth)

Plan de Acción eEurope 2005:una Sociedad de la Información para todos.Aprobado en el Consejo Europeo de Sevilla, 21/22 de junio de 2002Servicios públicos en línea:• Administración electrónica (eGovernment)• e-Educación (eLearning)• e-Salud (eHealth)

eEurope 2005 se apoya en el Programa IDABC para:• Interoperabilidad de los procedimientos de back-office.• Prestación de servicios pan-europeos.• Portal de la Administración de la UE:

punto de acceso multilingüe para servicios a ciudadanos y empresas enapoyo de la libre circulación.

eEurope 2005 se apoya en el Programa IDABC para:• Interoperabilidad de los procedimientos de back-office.• Prestación de servicios pan-europeos.• Portal de la Administración de la UE:

punto de acceso multilingüe para servicios a ciudadanos y empresas enapoyo de la libre circulación.

Liderazgo político: eEurope 2005

37

Decisión 2004/387/CE: para la prestación interoperablede servicios paneuropeos de administración electrónicaal sector público, las empresas y los ciudadanos.

2005-2009. Objetivo: definir, apoyar y promover el desarrolloy establecimiento de servicios paneuropeos de administraciónelectrónica y de sus redes telemáticas interoperables queayuden a aplicar las políticas y acciones comunitarias yobtener así importantes beneficios.

Decisión IDABC

38Fuente: http://europa.eu.int/ida

Acciones y medidas horizontalesAcciones y medidas horizontales

39

MoReq

Modelo de Requisitos para la gestión dedocumentos electrónicos de archivo

http://www.csi.map.es/csi/pg5m52.htm

http://www.csi.map.es/csi/pg3315.htm

40

El Comité de Telemática entre Administraciones, de 25 EE.MM., gestor de IDA, respalda lasrecomendaciones relativas a la promoción de la utilización de los formatos abiertos dedocumentos, elevadas por su grupo de expertos en la materia (25 de mayo de 2004).

A la Industria:Que se involucre en la normalización de los formatos de documentos.Que proporcione filtros de conversión entre formatos.Que aporte herramientas y servicios para que el sector público pueda migrar sus

documentos a formatos XML.

A Microsoft:Que se comprometa a publicar las especificaciones de Word XML.Que eleve sus formatos a organismos de normalización.Que elimine los componentes no XML de WordML.

A OASIS:Que eleve el Formato Abierto de Documento (ODF: Open Document Format) a

ISO/IEC.

Al Sector Público:Que utilice diversos formatos en la publicación de información.

Recomendaciones IDABC sobreformatos abiertos de documentos

41

ComunidadesAutónomas

CorporacionesLocales

MAPMinisterios oCentrosDirectivos

Direcciones

Provinciales

Red Territorial

Centro de ServiciosComunes y Acceso

Remoto

Intranets de:- Comisión Europea- Consejo de la UE- Agencias europeas- Estados Miembros- Otros Org. UE


Proyectos de Interés Común (Servicios transeuropeos):- Soporte a actos comunitarios (aplicaciones sectoriales).- Apoyo a comunicación interinstitucional en la UE.- Apoyo al proceso de decisión comunitario.


INTRANET ADMINISTRATIVA

ComunidadesAutónomas

CorporacionesLocales

MAPMinisterios oCentrosDirectivos

Direcciones

Provinciales

Red Territorial

Centro de ServiciosComunes y Acceso

Remoto





INTRANET ADMINISTRATIVA

• Facilita la integración efectiva de la Administración en los servicios transeuropeos.• El acceso de la Administración a los servicios transeuropeos se canaliza a través de la IntranetAdministrativa y TESTA II.• El enlace IA-TESTA II se financia por la Comisión Europea con cargo a fondos del Programa IDA.• Supera el modelo anterior de conexiones ad hoc.• Tecnología y protocolos TCP/IP: configuración de encaminadores y cortafuegos.

Enlace de la Intranet Administrativa conEnlace de la Intranet Administrativa conTESTA II (operativo junio 2000)TESTA II (operativo junio 2000)

42

Ejemplo de tarjeta electrónica de identidad

• LEY 59/2003, de 19de diciembre, defirma electrónica.artículos 15 y 16.

• Plan EstratégicoCONECTA:Metaproyecto eDNI

© F. López Crespo

• Alemania• Australia• Austria• Canadá• Chequia• Corea• España• Estados Unidos• Finlandia• Francia• Grecia• India• Israel• Italia• Japón• Noruega• Nueva Zelanda• Países Bajos• Reino Unido• Singapur• Turquía

El Arreglo significa para los paísesque lo hemos suscrito:

Compartir un lenguajetransparente y riguroso de seguridad

Métodos comunes para laevaluación de la seguridad TI

Reconocimiento mutuo de loscertificados certificación .

Repositorio de productoscertificados fácilmente accesiblespara los usuarios

España es Miembro de los órganos dedirección del Arreglo:

Comité de Gestión (MAP)Subcomité Ejecutivo (CNI/CCN).

Arreglo de Reconocimiento mutuoArreglo de Reconocimiento mutuo

44

Generador de Declaraciones dePolíticas de Protección de Datos de Carácter Personal

¿Qué es el “Generador”?¿Qué es el “Generador”?Una herramienta DIDÁCTICA deaplicación PRÁCTICA

www.csi.map.es/ocde_map/www.csi.map.es/ocde

Basado en FORMULARIOS WEB queguían al usuario en la:Identificación de las prácticas deprotección de datos de carácterpersonal de la organización o servicio.Redacción de una declaraciónformal para informar a los clientes delservicio.

Incluye Extracto Práctico de la regulaciónvigente asociada con la Protección de datosde carácter personal

45





Índice

1) Concienciación

Los participantes deberán ser conscientes de la necesidad de contarcon sistemas y redes de información seguros, y tener conocimiento

de los medios para ampliar la seguridad.

2) Responsabilidad

Todos los participantes son responsables de la seguridad de lossistemas y redes de información.

3) Respuesta

Los participantes deben actuar de manera adecuada y conjuntapara prevenir, detectar y responder a incidentes que afecten la

seguridad.

4) Ética

Los participantes deben respetar los intereses legítimos de terceros.5) Democracia

La seguridad de los sistemas y redes de información debe sercompatible con los valores esenciales de una sociedad democrática.

6) Evaluación del riesgo

Los participantes deben llevar a cabo evaluaciones de riesgo.7) Diseño y realización de la seguridad

Los participantes deben incorporar la seguridad como un elementoesencial de los sistemas y redes de información.

8) Gestión de la Seguridad

Los participantes deben adoptar una visión integral de laadministración de la seguridad.

9) Reevaluación

Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redesde información, y realizar las modificaciones pertinentes sobre sus políticas,

prácticas, medidas y procedimientos de seguridad.

Cultura de la seguridad

CULTURA DE LA SEGURIDADCULTURA DE LA SEGURIDAD(ACID)(ACID)

TecnologíaOrganización

LegislaciónCooperación

Educación

ProtecciónSatisfacción derechos legítimos

Disuasión

ConfianzaConfianza

48

1. Liderazgo político

Al más alto nivel; presupuestos acordes,compromiso de innovación.

2. Administración abierta.

Aumento de la transparencia, lucha contra lacorrupción y participación ciudadana enconsultas y asuntos públicos.

3. Giro al exterior.

Foco en la interacción, participación ynecesidades de ciudadanos y empresas;servicios públicos multicanal personalizados.

Retos

49

4. Administración inclusiva. Promoción de lacultura tecnológica (superación de la “brechadigital”).

5. Protección de los datos de carácter personal.Acorde a los riesgos a los que estén expuestos.Sensibilización acerca de la autoprotección.

6. Confianza y Administración segura.

Promover la cultura de la seguridad. Establecerla Identidad Personal Electrónica. Gestión delriesgo y promoción de la certificación de laseguridad.

Retos

50

7. Interfaz único de la Administración comoente proveedor de servicios a losciudadanos y empresas.

• Intercambio interno de información (“backoffice”), previo consentimiento del interesado.Construir infraestructuras (intranet, portalesinteractivos, conservación del documentoelectrónico).

• Mejorar la cooperación y la concertaciónentre instituciones, públicas o privadas.

Retos

51

Retos

8. Mejora de la calidad, la productividad yde la racionalidad.

• Revisar los procesos para evitar reproducircondicionantes de tecnologías previas, osin merma de los mecanismos de garantía ode control.

•Establecer marcos de interoperabilidad yesquemas comunes de datos basados enestándares que faciliten la reutilización.

52

9. Promover la investigación y la innovaciónen el ámbito específico de la e-Administración.

10. Formación de los empleados públicoscomo “trabajadores del conocimiento”.

Es condición para el éxito de la asimilación dela innovación, por los recursos humanos o porlas organizaciones.

Retos

53

La seguridad, entendida como proceso complejo,proporcionada al riesgo, forma parte de lasocupaciones proactivas de la Administración, enactuaciones regulatorias, métodos y criterios yproyectos, horizontales o sectoriales.

Las administraciones públicas participan yfomentan la Cultura de la Seguridad, junto a laInvestigación y Docencia, Industria y Empresa, yUsuarios las CC.AA´s y las EE.LL´s y demás partesinteresadas, como componente inseparable de lainteroperabilidad y de la construcción de la confianza

Conclusiones

54

Documents

Confianza y Administración electrónica. La protección del …€¦ · - DNI electrónico - Certif. Personas Jurídicas - Responsabilidad - Requisitos adicionales para AAPP previo