seguridad y protección de datos en las aa.pp. - … · nico del consejo superior de informática...

A seguridad de la informacióny de los sistemas que lamanejan ocupa, cada vez con

mayor prioridad, a responsablespúblicos y profesionales, de formapareja a la trascendencia que laseguridad de las TIC tiene para quelas organizaciones puedan cumplirsu propia misión. A juicio del Jefede Área de Sistemas Telemáticosdel Ministerio de AdministracionesPúblicas, Francisco López Crespo,las actuaciones en este ámbitoestán teniendo reflejo en la regu-lación, en la creación de productosy servicios de utilidad común, y enpolíticas y acuerdos internaciona-les.

En nuestro país, se ha producidouna serie de hitos importantes enrelación con la seguridad de lossistemas de información y la pro-tección de los datos. En concreto,a partir de 1992, con la Ley30/1992 (de 26 de noviembre), deRégimen Jurídico de las Adminis-traciones Públicas y del Procedi-miento Administrativo Común,comenzó el impulso de la utiliza-ción por parte de las administra-ciones públicas de técnicas ymedios electrónicos, informáticosy telemáticos en la actividadadministrativa.

Ese mismo año, se reguló el tra-tamiento automatizado de losdatos de carácter personal, a tra-

vés de la Ley Orgánica 5/1992,derogada posteriormente por laley de Protección de Datos deCarácter Personal (RD 994/1999).

En 1995, se creó el comité téc-nico del Consejo Superior deInformática de Seguridad de losSistemas de Información yProtección de Datos Personali-zados Automatizados (SSITAD),con el fin de preparar, elaborar,desarrollar y aplicar la política deseguridad de los sistemas de infor-mación y de seguridad de los

datos en la AdministraciónPública. El SSITAD produce reco-mendaciones y promueve y de-sarrolla proyectos de interés gene-ral. Entre otros asuntos, produce lametodología de análisis y gestiónde riesgos MAGERIT y elabora losCriterios de Seguridad, Normali-zación y Conservación, previstospor el Real Decreto 263/1996, de16 de febrero, de utilización de losmedios electrónicos, informáticosy telemáticos por la AGE.Asimismo, la Ley 66/1997, de 30

de diciembre, de Medidas fiscales,administrativas y del orden social,en su artículo 81, habilita a laFábrica Nacional de Moneda yTimbre-Real Casa de la Monedapara la prestación de los serviciostécnicos y administrativos necesa-rios para garantizar la seguridad,validez y eficacia de las comunica-ciones de las administracionespúblicas y de los organismospúblicos, a través de técnicas ymedios electrónicos, informáticosy telemáticos. A raíz de esta dispo-sición, se desarrolló el Proyecto deCertificación Electrónica Española(CERES).

INICIATIVAS

Como recuerda Francisco LópezCrespo, el Consejo Superior

COVER

La seguridad y protección de datos es una cuestión vital para el desarrollo dela Sociedad de la Información y para la consecución plena de la Administraciónelectrónica. Organismos como los Ministerios de Administraciones Públicas oel de Trabajo y Asuntos Sociales son muy conscientes de ello. Mientras, lasAgencias de Protección de Datos (estatal, madrileña, catalana y vasca), y lasagencias de certificación, juegan un papel de primer orden. Por Javier Labiano.

SSeegguurriiddaadd yy pprrootteecccciióónnddee ddaattooss eenn llaass AAAA..PPPP..

L

Joseba García Celada.Francisco López Crespo.

El Consejo Superior deInformática ha impulsadola realización sistemática

de análisis y gestión de riesgosde los sistemas de información.

José Luis Piñar.

8 SOCIEDAD DE LA INFORMACION. MARZO 2005

de Informática acordó llevar acabo una serie de iniciativas enmateria de seguridad. Entre otras,destaca la implantación de laIntranet Administrativa de laAdministración General del Esta-do, la potenciación de la realiza-ción sistemática de análisis y ges-tión de riesgos de los sistemas deinformación, y la suscripción delArreglo sobre el Reconocimientode los Certificados de CriteriosComunes, en el campo de laSeguridad de la Tecnología de laInformación. Esta suscripción serealizó el 23 de mayo de 2000 y,"desde esa fecha, España, repre-sentada por el MAP y por elCentro Criptológico Nacional, esun miembro muy activo delArreglo".

En 2003, un real decreto regulólos registros y las notificacionestelemáticas, así como la utiliza-ción de medios telemáticos para lasustitución de la aportación decertificados por los ciudadanos."En su disposición final primera,dispone que se establecerán (en elmarco de los criterios de seguri-dad, normalización y conserva-ción) los requisitos de autentici-dad, integridad, disponibilidad yconfidencialidad de los dispositi-vos y aplicaciones de registro ynotificación, así como los proto-colos y criterios técnicos a los quedeben sujetarse".

Más recientemente, en septiem-bre de 2004, se anunció el PlanConecta, "un plan estratégico demodernización que contempla laseguridad, tanto en su marcodirector como en los proyectos deque se compone". Finalmente, en2005, se asignan los recursos parael despliegue paulatino del e-DNI.

A juicio de López Crespo, todaactuación en materia de seguri-dad, técnica u organizativa, debeir precedida de un riguroso análi-sis de riesgos para garantizar quese tienen en cuenta todas las ame-nazas y vulnerabilidades, y que lassalvaguardas que se decidan apli-car están justificadas económica-mente, en función del impacto.Afirma que esto es particularmen-te importante en la Administra-

ción electrónica y para cualquierclase o tipo de tecnología, comocentros de back-up y planes decontingencia, seguridad de lasaplicaciones web y nuevos riesgosde la movilidad (PDAs, Wi-Fi, etc).

ACTUACIONES DEL MAPEl jefe del Área de Sistemas

Telemáticos del Ministerio deAdministraciones Públicas explicaalgunas actuaciones que ha lleva-do a cabo el MAP en el ámbito dela seguridad y protección dedatos.

En primer lugar, se refiere a laMetodología de Análisis y Gestiónde Riesgos para la seguridad de lossistemas de información (MAGE-RIT). Este modelo propone unmodo ordenado de analizar yadministrar el estado de la seguri-dad de los sistemas de informa-ción, "imprescindible para que lasorganizaciones puedan cumplir sumisión".

Los procesos y técnicas de losque consta proporcionan una eva-luación del riesgo para, a conti-nuación, gestionarlo. "Esto es,reducirlo mediante salvaguardas,hasta alcanzar un nivel que se estéen condiciones de asumir"(http://www.csi.map.es/csi/pg5m20.htm).

En segundo lugar, explica, losCriterios de Seguridad, Normaliza-ción y Conservación de las aplica-ciones utilizadas para el ejerciciode potestades. "Se trata de unaserie de criterios (obligatorios) orecomendaciones para la adopciónde un conjunto de medidas orga-nizativas y técnicas, necesariaspara garantizar la validez y efica-cia de los procedimientos adminis-trativos en los que se utilicenmedios electrónicos, informáticosy telemáticos, y para asegurar laprotección de la información de

los ciudadanos en sus relacionescon la Administración.

Estos Criterios son de seguridadpara la implantación de las medi-das de seguridad en las aplicacio-nes utilizadas; Criterios de norma-lización, orientados a facilitar lacompatibilidad técnica y la intero-perabilidad de las aplicaciones; yCriterios de conservación de lainformación en soporte electróni-co, durante todo el ciclo de vidade la tramitación electrónicaadministrativa, desde su creaciónhasta su archivo o destrucción.

La tercera actuación comprendeel Generador de declaracionessobre políticas de protección dedatos de carácter personal. "Esuna herramienta didáctica, cuyo

objeto es ofrecer orientaciónsobre cómo realizar una revisióninterna de las prácticas existentessobre datos de carácter personal, ycómo elaborar una correcta decla-ración sobre políticas de protec-ción de estos datos, adaptada a lalegislación española".

López Crespo indica que se pre-tende que el uso del Generadorayude a una serie de cuestiones:"fomentar el conocimiento de lostemas relativos a la protección dedatos de carácter personal, entrelos propietarios de páginas web;aumentar el conocimiento, entrelos visitantes, sobre las prácticasde protección de datos de carácterpersonal en las páginas web quevisiten; conocer y divulgar la nor-mativa española vigente en cues-tiones de protección de datos decarácter personal; y animar ausuarios y consumidores a confiaren las redes mundiales y el comer-cio electrónico".

Pero las actuaciones del MAP,para las que se está utilizando "latecnología propia de apoyo detoma de decisiones y las encua-dradas en 'web services'", no ter-minan aquí. Entre los retos defuturo que se ha planteado, seencuentra desarrollar de formacoordinada con las otras Admi-nistraciones Públicas (españolas yeuropeas) y otros actores (porejemplo, del sector privado) cier-tas actuaciones de infraestructuratecnológica (como las relaciona-das con la certificación de la segu-ridad de la tecnología de la infor-mación o de verificación del cum-plimiento de los requisitos de lasinfraestructuras de clave pública).Además, contempla el desarrollodel soporte organizativo, para lapromoción e implantación de la'cultura de la seguridad' y para laordenación de la seguridad de lainformación y de las tecnologíasque la manejan.

MINISTERIO DE TRABAJO

El Ministerio de Trabajo yAsuntos Sociales también mantie-ne una especial sensibilidad sobrela seguridad y protección dedatos. El Subdirector General

Toda actuación en materia deseguridad, técnica u organizativa,debe ir precedida de un riguroso

análisis de riesgos.

Análisis y gestión de riesgos Magerit.

MARZO 2005. SOCIEDAD DE LA INFORMACIÓN 9


COVER

de Proceso de Datos de esteministerio, Joseba García Celada,califica de medio-alto el nivel deaplicación de las TIC en este ámbi-to por parte del conjunto de lasadministraciones públicas españo-las. Este responsable afirma que elritmo con el que se ha avanzadoen esta materia en los últimosaños ha sido creciente, "aumen-tando la sensibilidad por el temamuy rápidamente en los últimosdos años".

García Celada explica que en elMTAS "se gestionan datos perso-nales, incluso con protección alta,para los cuales se establecen pro-tecciones en base a autenticacióncon X509, cifrado de ese tipo dedatos, redundancia de los sistemasy auditoría de los accesos”.Además, apunta que se dispone deextranet, "incluso con dispositivosmóviles, que acceden vía VPN".

En cuanto a actuaciones con-cretas que ha llevado a cabo elministerio en este campo, Celadaseñala que, además de cumplircon las obligaciones de la LOPD, seha adjudicado recientemente elrediseño y reforzamiento de laseguridad perimetral. "El futuroconcurso de comunicaciones me-tropolitanas, provinciales e inter-provinciales contemplará impor-tantes requerimientos de seguri-dad, a partir de la experiencia deestos años".

La tecnología que se utiliza enlos desarrollos se centra en certifi-cados X509v3, IPSEC, SSL, doblefirewall, detección de vulnerabili-dades, auditoría centralizada,cifrado hardware, etc. Para suimplementación, cuentan con lacolaboración de diversas empresastecnológicas, como Da Vinci,Telefónica España, SIA, Unisys ySUN.

AEPDEl Director de la Agencia

Española de Protección de Datos,José Luis Piñar Mañas, pone demanifiesto que "con el esfuerzo detodos, la cultura de la protecciónde datos va arraigándose en losresponsables de los tratamientosde datos personales en las

Administraciones Públicas, queson conscientes de la importanciade la protección de las informa-ciones relativas, tanto a los ciuda-danos, como a los propios funcio-narios".

Según su experiencia, los trata-mientos de la AdministraciónGeneral del Estado, las adminis-traciones autonómicas, y los enteslocales importantes, se adaptan,de un modo más que aceptable, ala legislación sobre protección dedatos. Sin embargo, señala que"en los pequeños ayuntamientos,

se percibe cierta dificultad paralograrlo, debido en parte a susespeciales características, si bienexisten notables diferencias deunas provincias a otras".

Piñar resalta también el hechode que la creación de algunasAgencias Autonómicas de Pro-tección de Datos (en este momen-to, Madrid, Cataluña y País Vasco),con específicas competencias enlos ficheros creados por las comu-nidades autónomas, y por laadministración local de su ámbitoterritorial, "supone una gran con-tribución al conocimiento y cum-plimiento de la normativa de pro-tección de datos en el ámbito dela administración pública".

"Todo ello, advierte, no debehacernos bajar la guardia, ya quees precisa una continua revisiónde los procedimientos, ante losnuevos riesgos y retos que plantea

el uso de las nuevas tecnologías, alobjeto de conseguir el respetonecesario al derecho fundamentala la protección de datos".

Durante los últimos años, elavance ha sido importante. Lascifras de inscripción de ficheros detitularidad pública en el RegistroGeneral de Protección de Datosreflejan una subida muy acentua-da, sobre todo desde 2002, llegan-do a finales de enero de 2005 a los48.272 ficheros inscritos. "Es claroel efecto que en ello ha tenidotanto la Ley Orgánica 15/1999 de

Protección de Datos, que estable-cía un periodo transitorio paraadaptar a sus nuevas previsioneslas disposiciones de regulación delos ficheros que deben publicarseen los boletines oficiales, como elReglamento de Medidas deSeguridad, aprobado por el RealDecreto 994/1999, que obliga alos responsables de fichero aponer en marcha medidas técnicasy organizativas, entre las que seencuentra la elaboración delDocumento de Seguridad y, en losficheros con tipos de datos mássensibles, a la realización de audi-torías periódicas".

El Reglamento de Medidas deSeguridad prevé la obligación dedefinir y aplicar procedimientosde realización de copias de respal-do y de recuperación de datos, porlo que siempre que estemoshablando de sistemas de informa-

ción que traten datos personales,existe la obligación de ponerlos enmarcha. "Sin embargo, esta medi-da, como todas las contenidas enel Reglamento, tiene la condiciónde mínimo exigible, y en este casoconcreto, es posible que muchosde los sistemas de las Administra-ciones Públicas requieran procedi-mientos de obtención de copiasde seguridad más sofisticados".

En cuanto a la aparición denuevos dispositivos y tecnologías(algunas no tan nuevas como lasaplicaciones web), Piñar subrayaque la LOPD, el Reglamento deMedidas de Seguridad, y las demásnormas relativas a la protecciónde datos personales, han de serrespetadas, con las adaptacionesprecisas. "Nuevamente, es precisocitar la importancia de la concien-ciación, ya que generalmente losdispositivos móviles y las redesinalámbricas están dotadas desuficientes mecanismos de seguri-dad, que muchas veces no son uti-lizadas por desconocimiento".

La Agencia Española deProtección de Datos, como entepúblico independiente encargadode velar por el cumplimiento de lalegislación sobre protección dedatos, tiene como uno de sus prin-cipales objetivos conseguir lamáxima difusión posible de lanormativa afectada, por lo queparticipa en multitud de eventos,jornadas y foros. También, disponede una página web (www.agpd.es), que renueva constantemente,para conseguir que está informa-ción llegue, tanto a los responsa-bles de los ficheros, como a losciudadanos.

En el ámbito de laAdministración Pública, la AEPDparticipa en los cursos selectivosde diferentes cuerpos, ya sean ono especializados en TIC, y en cur-sos de formación destinados afuncionarios públicos.

Web www.agpd.es.

La Administración central quiere desarrollar conotras Administraciones Públicas y el sector privadoinfraestructuras tecnológicas, como las relacionadas

con la certificación de la seguridad de las TI.

SSeemmiinnaarriioo

PPllaanneess ddee SSeegguurriiddaaddyy pprrootteecccciióónn ddee ddaattooss

Evento TIC

09:30 BienvenidaD. José García Méndez. Director de la revista "Sociedad de la Información".

09:40 Políticas y herramientas de seguridad en la Administración Generaldel EstadoD. Domingo Laborda. Director General de Modernización Administrativa. MAP.

10:10 El Plan Director de Seguridad del Gobierno de NavarraD. Angel Sanz. Director General para la Sociedad de la Información. Gobierno de Navarra.

10:40 La Protección de Datos en la JusticiaD. Pedro Alberto González. Consejo General del Poder Judicial.

11:10 La seguridad de las aplicaciones webD. Juan Miguel Ramos. Socio. Deloitte.

11:20 Puntos clave a la hora de abordar un plan de continuidad de negocioDª Carolina de Oro. Responsable Área de Seguridad. Siemens.

11:30 Turno de preguntas. 11:40 Pausa café

12:00 Los nuevos riesgos de seguridad introducidos por la movilidad D. Juan José Gilsanz. Director Mobile Solutions. T-Systems.

12:10 El Plan de Seguridad en la Diputación Foral de GuipúzcoaD. Javier Gómez. Director General. Sociedad Foral de Servicios Informáticos (IZFE) de Guipúzcoa.

12:40 Hacia un sistema de gestión de la seguridad de la información: La experiencia de la Universitat Jaume ID. Vicent Andreu.Técnico Superior de Organización. Universidad Jaime I.

13:10 Certificación de Sistemas de Gestión de la Seguridad de la InformaciónD. Carlos Fernández. Responsable de Seguridad de Sistemas de Información. AENOR.

13:40 Turno de preguntas. 13:50 Clausura.

En preparación

5 DE ABRIL

Educación y NuevasTecnologías26 DE ABRIL

Gobierno electrónicoen el área de Sanidad

24 DE MAYO

Ciudades Digitales14 de Junio

Gestión de RecursosHumanos en las AA.PP.

5 de JulioOrganismos informáticos

del sector público

Cuota de inscripciónFuncionarios Sector público: Gratis.Sector privado*. 250 euros (+ 16% IVA).Suscriptores*: 225 euros (+ 16% IVA). (*) Sujeto a aceptación por patrocinadores.

Forma de pagoTransferencia, mencionando nombre del

inscrito, a favor de: Socinfo SL.Cajamadrid. 2038.2490.06.6000.209153.

Cheque nominativo a la entrada. Tarjeta de crédito Visa o Master Card.Nº _ _ _ _ . _ _ _ _ . _ _ _ _ . _ _ _ _.Fecha caducidad _ _ / _ _.

Información inscripciones Tel./fax: 916-319-696.

[email protected] www.socinfo.info

Inscripción Evento TIC: “Seguridad y Protección de Datos”Deseo que me inscriban como asistente a este evento:D: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Cargo: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Empresa: . . . . . . . . . . . . . . . . . . . . Ciudad: . . . . . . . . . . . . . . . . . . . .CIF/DNI: . . . . . . . . . . . . . . . . . . . . . . . . C.P.: . . . . . . . . . . . . . . . . . . . .Domicilio: . . . . . . . . . . . . . . . . . . . . . . . . . . .Teléfono: . . . . . . . . . . . . . . . . . . . . . . Firmae-mail: . . . . . . . . . . . . . . . . . . . . . . . . .

(*) Enviar e-mail ([email protected]) o fax (916-319-696) para recibir confirmación.De conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, Ud. quedainformado de que sus datos de carácter personal van a formar parte de un fichero automatizado del que es responsableSOCINFO. Asimismo, al facilitar los datos solicitados, Ud. presta su consentimiento para poder llevar a cabo el tratamientode los datos personales para las siguientes finalidades: a) Envío de publicidad de actividades promovidas por SOCINFO yde las empresas patrocinadoras. b) Asistencia al evento para el que se envían los datos y otros futuros que puedan organi-zarse. Del mismo modo, le informamos que otorga su consentimiento para la cesión de sus datos a las personas que inter-vengan en los actos organizados por SOCINFO, y a sus patrocinadores, pudiendo ejercitar sus derechos de acceso, rectifi-cación o cancelación, así como revocar su consentimiento enviando una comunicación a la dirección arriba indicada.

MARZO 2005. SOCIEDAD DE LA INFORMACION 11

Madrid, 15 marzo de 2005Instituto de la Ingeniería.

General Arrando, 38. 28010 Madrid.


COVER

Otra de las actividadesrealizadas por la Agencia son losPlanes Sectoriales de Oficio, quetienen como resultado la posteriorformulación de unas recomenda-ciones, en función de los resulta-dos del Plan. En lo que se refiere aAdministraciones Públicas, desta-ca los realizados al InstitutoNacional de AdministraciónPública (2004), a petición del pro-pio Instituto, o al InstitutoNacional de Estadística, respecto alos Censos de población y vivienda(2003).

La Agencia también tiene lafunción de informar, con carácterpreceptivo, de los proyectos dedisposiciones generales que de-sarrolla la LOPD y, además, con elobjetivo de atender en las cues-tiones relativas al derecho de pro-tección de datos, emite informesjurídicos relativos a las consultasplanteadas. Junto a todo lo ante-rior, ejerce la potestad sanciona-dora, por lo que también instruyey resuelve estos procedimientos.

Como responsable de trata-miento de datos de carácter per-sonal, la Agencia Española tieneimplantadas las medidas de segu-ridad correspondientes. "No obs-tante, siempre se ha pretendidomantener una 'neutralidad' conrespecto a las tecnologías a utili-zar por los responsables de losficheros. El Reglamento de Medi-das de Seguridad establece cuálesson necesarias, pero no indica, nidebe hacerlo, cuál es la tecnologíaconcreta que ha de emplearse yaque existen diferentes que se ade-cúan perfectamente a los requisi-tos establecidos y, además, evolu-cionan constantemente".

Aunque, la agencia cuenta conla colaboración de diversas em-presas tecnológicas para el de-sarrollo de sus proyectos, en loque respecta a las obligacionesque la LOPD y el Reglamento deMedidas de Seguridad imponen alos responsables de ficheros detitularidad pública, "generalmen-te, se puede optar por su desarro-llo dentro de la propia entidad opor la colaboración con empresasexternas". Un ejemplo es la audi-

toría a la que deben sometersecada dos años los sistemas contratamiento de datos personalesde nivel medio y alto, en la que elReglamento indica textualmenteque puede ser "interna o externa"."Tampoco hay que olvidar que,cuando el responsable del ficherose apoye en empresas externaspara la prestación de servicios querequieran el acceso de éstas a losdatos personales, la realización deltratamiento deberá estar regulada

en un contrato con las condicio-nes que recoge el artículo 12 de laLOPD".

Piñar indica que, en lo relativo aTIC, a la Agencia Española deProtección de Datos le han sidoatribuidas nuevas competencias.Entre ellas, se encuentra tutelarlos derechos reconocidos a losusuarios de servicios de comuni-caciones electrónicas, recogida enla Ley 32/2003 General de Teleco-municaciones (LGT), y las incluidasen la modificación de la Ley34/2002, de Servicios de laSociedad de la Información y delComercio Electrónico (LSSI), quecambia el régimen jurídico aplica-ble a las comunicaciones publici-tarias o promocionales, por correoelectrónico u otro medio de co-municación electrónica equiva-

lente, así como a los dispositivosde almacenamiento y recupera-ción de la información en equiposterminales, correspondiendo a laAgencia Española de Protecciónde Datos la competencia paraaplicar las garantías sobre ambosaspectos."

AGENCIA DE MADRID

Según Francisco José LópezCarmona, subdirector general deRegistro de Ficheros y Consultoría

de la Agencia de Protección deDatos de la Comunidad de Madrid,la aplicación de las TIC en la pro-tección y la seguridad de datos enlas administraciones públicasespañolas se encuentra en unasituación relativamente másavanzada que la organización dela seguridad. "Es decir, la tecnolo-gía aplicada a la seguridad va pordelante de las medidas organizati-vas y del cambio cultural en lagestión de información". Aunque,añade, requiere de "un aumentosustancial en su alcance".

López Carmona explica que,durante los últimos años, el avan-ce que se ha hecho en este ámbi-to ha sido importante. "Especialsignificación ha tenido la apertu-ra de servicios interactivos, o detramitación electrónica, que afec-

tan a componentes sustancialesde los sistemas de información delas administraciones públicas yque, por tanto, han producido unareflexión sobre la seguridad desdelos puntos de vistas técnico, ope-rativo y jurídico".

El subdirector señala que tec-nologías como centros de back-upy planes de contingencia, seguri-dad de las aplicaciones web ynuevos riesgos de la movilidad(PDAs, Wi-Fi, etc), plantean, enmateria de protección de datospersonales, desafíos emergentesde seguridad y requieren de unaactualización de la normativavigente y, muy en particular, delReal Decreto 994/1999, de 11 dejunio, por el que se aprueba elReglamento de Medidas deSeguridad de los Ficheros Auto-matizados que contengan DatosPersonales.

López Carmona se hace eco delas principales actuaciones de laAgencia de Protección de Datosde la Comunidad de Madrid en elámbito de las nuevas tecnologías,como la elaboración y puesta adisposición pública y gratuita demodelos de documentos de segu-ridad, disponibles en el sitio webde la Agencia www.apdcm.es, y lapromoción de la designación deresponsables de seguridad y de larealización de auditorías de segu-ridad en su ámbito de competen-cia.

Por otra parte, destaca que laagencia organizó en 2004 un totalde siete jornadas informativassobre protección de datos, conmás de 1.500 asistentes, así comomás de 300 sesiones informativasy cursos, que alcanzaron a unnúmero superior a 3.000 emplea-dos públicos.

Igualmente, la agencia ha lan-zado en los últimos meses "publi-caciones prácticas, destinadas aapoyar los esfuerzos en protecciónde datos de distintas institucionespúblicas, incluyendo en particularlas Guías de Protección de DatosPersonales para colegios profesio-nales, universidades públicas, ser-vicios sociales públicos, ayunta-mientos y servicios sanita-

Trabajo gestiona datos con altaprotección, autenticación conX509, cifrado, redundancia de

sistemas y auditoría de accesos.

Antonio Troncoso, director de la Agencia de Protección deDatos de Madrid, y Francisco López, subdirector general.


PUNTO DE VISTA

L mundo de la seguridad informáti-ca está tomando desde hace algu-

nos años una importancia cada vezmayor. La omnipresencia de Internet essu primer impulsor pero en España tam-bién hay que reconocer el papel que laLey Orgánica de Protección de Datos decarácter personal (LOPD) ha representa-do como el otro gran acicate para eldesarrollo de la seguridad informática.

Sin embargo, muchas veces el enfo-que con el que se aborda el robusteci-miento de la seguridad informática deuna organización es a través de unacierta improvisación, adquiriendo (api-lando dicen algunos) tecnología deseguridad sin una finalidad clara, sinunos planteamientos alineados con laactividad de la organización y enfoca-dos a obtener dicha seguridad de unmodo coherente. Ello puede producirdos efectos indeseables:

1. Por una parte, una falsa sensaciónde seguridad tras haber adquiridoherramientas tecnológicas, más omenos disjuntas, con dificultades derelacionarse entre sí, con funcionalida-des de seguridad parcialmente solapa-das y con ritmos de introducción demejoras diferentes. No hay que olvidarque las soluciones tecnológicas de segu-ridad informática están en constanteevolución debido a los cambios de latecnología subyacente y a las caracterís-ticas inherentes de las amenazas a laseguridad.

2. Por otra parte, el riesgo de que nose protejan correctamente y con unnivel de seguridad acorde a su valor, losdistintos activos de información. Y aquíse puede actuar por defecto o por exce-so. En el primer caso, no se habrá alcan-zado el objetivo: proteger adecuada-mente la información; y, en el segundo,se estarán dilapidando los siempre esca-sos recursos.

De lo anterior, se pueden deducirfácilmente las ventajas de realizar unaadecuada planificación a la hora deencarar la mejora en la seguridad de lossistemas informáticos de una organiza-

ción y reflejarlo en un Plan Director deSeguridad Informática. El objetivo debeser identificar un conjunto de accionesa realizar en un plazo de tiempo razona-ble (se suele considerar de uno a tresaños).

En su realización, hay que huir de unerror muy común que es considerar laseguridad informática como una cues-tión exclusivamente tecnológica y que,por lo tanto, debe ser resuelta por medi-das de índole tecnológica exclusiva-mente. Ello no es así. La tecnología-específica de seguridad, que es de laque estamos hablando- ayuda, y es has-ta aceptable que pueda ser el factor másimportante de la solución, pero desdeluego no es el único. Como todo proble-ma delicado en las organizaciones dehoy en día, tiene una solución basada enel adecuado equilibrio de una combina-ción de personas, procesos y tecnología.Una vez identificados los componentesde la solución en estos tres ámbitos, seagrupan en proyectos homogéneoscuya ejecución se plasma en unasecuencia temporal que conforma elPlan Director de Seguridad.

PROTECCIÓN DE DATOS PERSONALES

Puede ser uno de los proyectos estre-lla de un Plan Director de SeguridadInformática aunque, obviamente, puedetener vida por sí solo. De todos es cono-cido el requerimiento de la LOPD: "Elresponsable del fichero... deberá adoptarlas medidas de índole técnica y organi-zativa necesarias que garanticen laseguridad de los datos de carácter per-sonal...". En el ámbito que nos ocupa,dichas medidas están enfocadas a pro-teger adecuadamente los ficheros infor-máticos que contienen datos de carác-

ter personal. Cumpliendo el requisitolegal, se avanza en el robustecimientode la seguridad de los sistemas informá-ticos de una organización. La inversatambién es cierta pero hay que prestaratención para que el Plan Director deSeguridad Informática contemple todoel abanico de medidas para adaptarse ala LOPD ya que, estrictamente hablando,no todas las acciones necesarias paracumplir con dicha legislación están rela-cionadas con la seguridad informática.Existen otras actuaciones de índole jurí-dica y organizativa que, asimismo, esnecesario poner en marcha para realizaruna adaptación correcta a la normativade protección de datos. Un Plan Directoradecuadamente enfocado debe con-templar todas ellas.

VIGILANCIA PERMANENTE

Y un comentario final. De todos essabido que las tecnologías de la infor-mación son el ejemplo perfecto de unsector en el que el cambio es consustan-cial al mismo. Y la seguridad no es nin-guna excepción: la propia tecnología deseguridad informática está en rápida

evolución y consolidación, todos los díasaparecen nuevas vulnerabilidades en lossistemas informáticos que los dejan másdesprotegidos, los parches no siempreson la solución y los piratas informáticosno cesan en su actividad investigadora.Todo ello obliga a mantener a lo largodel tiempo la atención y el foco y dedi-car a la seguridad informática recursosadecuados y correctamente formados yequipados.

La seguridad no es un estado que unoalcanza si no que hay que luchar paramantenerlo.

E

Plan Director de Seguridad Informática

Por Juan MiguelRamos. Socio.Deloitte.

“Muchas veces se aborda la seguridadinformática ‘apilando’ tecnología sin unafinalidad, ni planteamientos claros”.

Juan Miguel Ramos. Tel. [email protected]. www.deloitte.es.

rios públicos; un 'Cuadernode protección de datos personalespara empleados públicos', y el'Manual de Protección de DatosPersonales para las Administra-ciones Públicas', todas ellas dispo-nibles en el canal Publicaciones dela web institucional www.apdcm.es".

En esta web, "se ha producidoun incremento significativo en elnúmero de páginas vistas, tantoen el sitio web institucional (conuna media superior a las 30.000páginas mensuales), como en larevista digital www.datospersona-les.org (media superior a las50.000 páginas mensuales), cuyaaudiencia ha crecido un 130%respecto al segundo semestre de2003.

AGENCIA CATALANA

La Agencia Catalana de Pro-tección de Datos fue creada por laley 5/2002 (de 19 de abril) delParlamento de Cataluña, mientrasque el estatuto de la Agencia fueaprobado el 20 de febrero de2003. Para el nacimiento de estaautoridad de control, fue necesa-rio constituir el Consejo Asesor deProtección de Datos de Cataluña.

Según su director, Josep XavierHernández i Moreno, el objeto dela agencia es velar por el respetode los derechos fundamentales yde las libertades públicas de losciudadanos, en todo lo concer-niente a las operaciones hechasmediante procesos automatizadoso manuales de datos personales.

Según Hérnandez, el gran de-sarrollo de las tecnologías de lainformación y de la comunicación,la utilización masiva y habitual dela informática para gestionar múl-tiples ámbitos de la vida moderna,y la progresiva implantación deestas tecnologías en las adminis-traciones públicas, ha situado enun punto crítico el respeto a laprivacidad, "ya que el individuo, lapersona concreta, puede perder elcontrol de la información quehace referencia a sí misma".

A su juicio, ha sido fundamentalel desarrollo de "una nueva admi-nistración, la Administración

Electrónica, que presenta grandesexpectativas para permitir unmejor y mayor servicio público alos ciudadanos y, a la vez, grandesretos". "No tiene porqué existir,apunta, ninguna contradicciónentre el desarrollo de la adminis-tración electrónica y la preserva-ción del derecho a la protecciónde los datos personales. Precisa-mente, la solución a este aparentedilema la aporta la propia tecno-logía. Y, por otra parte, la adminis-tración electrónica no debe plan-tearse como una opción entre

todo o nada, sino que debe hallarsoluciones complementarias. Así,dejando aparte aquellos supuestosen que un interés público superiorlo justifique, habrá que recabar elconsentimiento de los ciudadanospara la cesión de datos. Y ello por-que el edificio de la protección delos datos personales descansasobre el consentimiento o la habi-litación legal".

Este nuevo escenario "ha plan-teado la cuestión de si la legisla-ción tradicional podía afrontarestos nuevos fenómenos que, porun lado, comportan un avancenotable en las posibilidades decomunicación, oferta y prestación

de servicios; pero que, por otrolado, posibilitan el uso abusivo, oilegítimo, de los datos personalesde cada uno".

Según Hernández, en el ámbitointernacional, se ha configuradoel reconocimiento de un nuevoderecho de la personalidad: elderecho a la protección de losdatos personales, que viene asumarse a los ya consolidadosderechos a la intimidad, la privaci-dad y la dignidad. "Ha sido en elcontexto europeo donde la regu-lación de la protección de los

datos personales ha comenzado alimitar el papel preponderanteque tenían las tecnologías y elmercado".

Para este experto, tres han sidolos mecanismos principales que sehan considerado imprescindiblespara velar por la efectividad delrespeto al derecho a la protecciónde los datos personales. "El prime-ro es la aprobación de una legisla-ción comunitaria, traspuesta a lanormativa estatal, reconocedora ypreservadora de este derecho fun-damental. En segundo lugar, lainformación a los ciudadanos yciudadanas de la existencia de talderecho y su exigibilidad. Y, el ter-

cero, la creación de autoridadesde control independientes, conmedios y competencias suficientespara procurar el cumplimiento delas leyes y exigir su respetomediante las agencias de protec-ción de datos (también llamadascomisionados o garantes de laprotección de datos)".

Así, en el marco de la Directiva95/46/CE y de la Ley Orgánica15/1999, de 13 de diciembre deProtección de Datos de CarácterPersonal, se ha creado la AgenciaCatalana de Protección de Datos"como un instrumento funda-mental para velar por el buen fun-cionamiento de la recopilación ytratamiento de los datos persona-les y del respeto de los derechosfundamentales de los ciudadanosde Cataluña en el ámbito queestablece la Ley".

Según Hernández, la AgenciaCatalana se caracteriza, en primerlugar, por ser una autoridad decontrol, con facultades de regis-tro, control, inspección, sanción yresolución, así como de adopciónde propuestas e instrucciones. Ensegundo lugar, es una instituciónde derecho público, con personali-dad jurídica propia y plena capa-cidad de obrar para el cumpli-miento de sus fines. Por último,

actúa con objetividad y plenaindependencia de las administra-ciones públicas en el ejercicio desus funciones.

El ámbito de actuación de laAgencia Catalana de Protecciónde Datos comprende los trata-mientos de datos y los ficheros. Enconcreto, los tratamientos dedatos personales realizados por laGeneralitat de Cataluña, por losentes locales y entes que integranla Administración Local, por susorganismos y entidades autóno-mas, por los consorcios de los queformen parte, y por las universi-dades en el ámbito territorial deCataluña.

Web www.datospersonales.org.

Según la AEPD, es precisa una continua revisión delos procedimientos, ante los nuevos riesgos y retos

que plantea el uso de las nuevas tecnologías.


COVER


PUNTO DE VISTA

NA información segura y unas

comunicaciones corporativas

confidenciales son dos pilares básicos

para conseguir el éxito de una organi-

zación. Por ello, es cada vez más nece-

sario establecer un Sistema de Gestión

de la Seguridad de la Información, SGSI.

Siemens Comunicaciones integra

una unidad de negocio especializada en

seguridad que ayuda a las organizacio-

nes a identificar y gestionar el riesgo

que afecta a sus infraestructuras TI y a

su negocio, desde el desarrollo de la

política, la estrategia o la conciencia-

ción de usuarios hasta el suministro de

soluciones completas.

Para la realización de estos análisis,

hemos elegido CRAMM, la metodología

y herramienta de análisis y gestión de

riesgos más completa, premiada y utili-

zada en el mundo.

GESTIÓN DE LA SEGURIDAD

El conjunto de normas UNE-ISO/IEC

17799 y UNE 71502 constituyen una

referencia sólida para que las organiza-

ciones mejoren la eficacia de sus proce-

sos de seguridad de la información.

La norma UNE-ISO/IEC 17799 reco-

ge, en 127 controles, buenas prácticas

para garantizar la seguridad de la infor-

mación, prácticas que no son sólo tec-

nológicas, sino también organizativas,

físicas o jurídicas.

Por otra parte, la norma certificable

UNE 71502 (similar a la también certifi-

cable norma británica BS7799-2) defi-

ne una serie de requisitos para estable-

cer un Sistema de Gestión de la

Seguridad de la Información, SGSI.

Entre las actividades básicas para

obtener la certificación del SGSI, es

necesario realizar un Análisis de Riesgos

y una Gestión de Riesgos. Estas dos

actividades, en conjunto, se suelen

también denominar Valoración de

Riesgos.

El Análisis nos va a responder a la

pregunta sobre qué amenazas afectan

al sistema y el grado de vulnerabilidad

del mismo, y establecerá cuál es el nivel

de riesgo de cada sistema frente a las

distintas amenazas

Por otra parte, la Gestión de Riesgos

seleccionará las contramedidas o salva-

guardas adecuadas a las amenazas ana-

lizadas y los riesgos identificados.

Pero no sólo en la norma certificable

71502 se habla de Valorar los riesgos. En

numerosos puntos de la 17799, se indi-

ca la conveniencia de realizar este ejer-

cicio para determinar los niveles de

contramedidas apropiados.

Sin embargo, nos encontramos

con que es extremadamente com-

pleja la realización práctica de una

Valoración de Riesgos sin el apoyo de

una metodología sólida y una herra-

mienta de apoyo que sirva como repo-

sitorio de información y motor de cál-

culo de contramedidas.

METODOLOGÍA CRAMMDespués de una selección exhaustiva

de las diferentes metodologías existen-

tes, Siemens se decantó por CRAMM.

CRAMM, con más de 20 años de his-

toria, es una metodología de origen bri-

tánico (al igual que las normas BS7799

o las librerías ITIL). Por esa razón, está

perfectamente alineada con los requisi-

tos para obtener la certificación

BS7799-2 y, por extensión, también la

UNE 71502.

Con más de 500 copias en 23 países

y en 20 sectores de negocio, CRAMM es

una metodología sobradamente proba-

da. Un gran número de autoridades

nacionales de seguridad la respaldan

como Mejor Práctica en Gestión de la

Seguridad de la Información.

Entre las características de CRAMM,

cabe destacar:

- Más de 400 tipos de activos.

- Más de 25 tipos diferentes de

impacto.

- Más de 12 formas de valorar los

impactos.

- 38 tipos de amenaza.

- Más de 150 combinaciones posibles

de impacto, amenaza y vulnerabilidad.

- 7 niveles de riesgo.

- Más de 3.000 contramedidas.

En el gráfico adjunto se resume el

funcionamiento de CRAMM:

En primer lugar, se determinan qué

activos componen el sistema de infor-

mación de la organización y qué valor

tienen éstos en términos de disponibili-

dad, integridad y confidencialidad.

A continuación, de entre las amena-

zas posibles, se decide cuáles deben ser

investigadas y contra qué activos. Se

mide su nivel, así como el de la vulnera-

bilidad de los activos frente a ellas.

En base a una matriz de riesgos, se

establece, en una escala del 1 al 7, los

niveles de riesgo de la organización.

Finalmente, y partiendo de la base de

datos de 3.000 contramedidas, CRAMM

selecciona aquellas apropiadas para

combatir los riesgos. Esta selección se

realiza en base a 3 criterios:

- Nivel de riesgo.

- Tipo de amenaza.

- Tipo de activo.

CRAMM Y LA CERTIFICACIÓN

Entre otras funciones, CRAMM gene-

ra automáticamente el Documento de

Selección de Controles (Statement ofApplicability, en la norma inglesa). Este

es uno de los documentos requeridos

para la certificación, y uno de los más

complejos de obtener. Esto es posible

gracias a que todas las contramedidas

de CRAMM están indexadas a alguno

de los 127 controles de la 17799.

U

Avances en la Gestión de la Seguridadde la Información

Por César Peñacoba.Consultor Senior deSeguridad. Div. Comu-nicaciones. Siemens.

“Con más de 500 copias en 23 paísesdel mundo y en 20 sectoresde negocio, CRAMM es una

metodología sobradamente conocida”.

César Peñacoba. [email protected]. 900-100-566. www.siemens.com.

Funcionamiento del CRAMM.

Asimismo, los ficheroscreados por la Generalidad deCataluña o por los entes localesque sean gestionados por entida-des públicas o privadas en la pres-tación de servicios públicos; y lasasociaciones, fundaciones, socie-dades civiles o mercantiles, en lasque la Generalitat, o los enteslocales, tengan la participaciónmayoritaria del capital, cuandolleven a cabo actividades porcuenta de una administraciónpública.

Una de las primeras actuacionesllevadas a cabo por la AgenciaCatalana fue solicitar a la AgenciaEspañola de Protección de Datostoda la información respecto a losficheros inscritos en el RegistroGeneral que eran titularidad de lasentidades que integran su ámbitode competencia. En total, habíaunos 528 ficheros declarados de laGeneralidad de Cataluña, 3.221 dela Administración local y 43 rela-tivos a Universidades. Durante2004, se inscribieron en el Regis-tro de Protección de Datos deCataluña un total de 840 ficheros:241 de la Generalidad deCataluña, 571 de la Administra-ción Local y 28 de Universidades.

Por otra parte, la agencia estállevando a cabo una actuacióninformativa y formativa dirigida alas administraciones públicas,mediante el portal de Internetwww.apdcat.net, así como me-diante la organización de cursosde formación y la organización yparticipación en jornadas y semi-narios que promueven el conoci-miento y las soluciones a la pro-blemática de la protección dedatos personales. Durante el pasa-do año, el portal de internet de laAgencia Catalana recibió más de12.000 visitantes que han accedi-do en unas 68.000 ocasiones.

Josep Xavier Hernández afirmaque la consolidación de la culturade la protección de los datos per-sonales exige tanto la sensibiliza-ción y actuaciones decididas porparte de las administracionespúblicas, en el establecimiento depolíticas de seguridad y de respe-to a la protección de los datos

personales, como una mayorinformación de los ciudadanos.

En este sentido, aparte del lugardestacado que se reserva a lainformación sobre derechos de losciudadanos, a los que se ofrecenformularios para el ejercicio de los

derechos de acceso, rectificación,cancelación y oposición, así comopara denuncias y reclamacionesen caso de incumplimiento, se haneditado dípticos de informaciónciudadana, que se distribuyen através de las propias administra-ciones públicas y universidades.

También se ha establecido unservicio de atención permanente,mediante el número telefónico902-011-710 y el email consul-

[email protected]. Durante2004, se realizó un total de 1.147consultas (976 telefónicas y 171por correo electrónico), aparte delas consultas formales que hanremitido a la agencia las entidadespúblicas y universidades (27 con-sultas que giran en torno al ejerci-cio de los derechos y cesión dedatos y, en menor volumen, a lasmedidas de seguridad).

La puesta en marcha de laagencia y la ubicación en la nuevasede, el año pasado, han determi-nado la implantación de sistemas

de información que se han cons-truido sobre tres ejes: la ofimáticay gestión de proyectos, y la activi-dad productiva propia de laAgencia; el ejercicio de compe-tencias de registro, control, ins-pección, sanción y adopción depropuestas e instrucciones; y elarchivo y repositorio "documedia"Servicios de extranet, como siste-mas orientados a facilitar el acce-so a la aplicación y sistemas de

información internos, desde fuerade la red de área local.

Como criterio general, "se haestablecido siempre un nivel deseguridad por encima de la mediaque correspondería a una organi-zación de las dimensiones tecno-lógicas de la Agencia". Además, seha prestado una especial atencióna la seguridad de los sistemas deinformación y plataformas tecno-lógicas utilizadas.

"Esta especial sensibilidad se hapuesto de manifiesto en la fase dediseño de los sistemas de informa-

ción y las plataformas, así comoen el día a día y en la verificaciónde los controles de seguridad,mediante auditorías de sistemas yaplicaciones".

El director apunta que se hanejecutado tests de intrusión en lossistemas de información públicosde la agencia, se han utilizadocertificados digitales (CatCert) enlos servidores de Internet y se hanestablecido cortafuegos en las

infraestructuras, y antivirus yantiprogramario no deseado, enlas estaciones de trabajo.Finalmente, se ha cifrado la infor-mación, para preservar la confi-dencialidad "allí donde se ha con-siderado necesario".

En cuanto al modelo tecnológi-co utilizado en la construcción delsistema de información, se habasado íntegramente en el pro-gramario de código abierto, tantopor lo que respecta al sistemaoperativo, gestor de bases dedatos, y servidores de aplicacio-

Para la Agencia Catalana de Protección de Datosno tiene porqué existir ninguna contradicción

entre administración electrónica y preservación delderecho a la protección de los datos personales.


COVER

Josep Xavier Hernández, director de la Agencia Catalana de Protección de Datos, y web.

nes, como a los lenguajes de pro-gramación.

AGENCIA DE CERTIFICACIÓN

Según Jordi Masias i Muntada,director general de la AgenciaCatalana de Certificaciò (CATCert),"desde mi punto de vista y orien-tado a la seguridad, y en concretoal uso de la certificación digital,debo decir que, aunque su usoaún es muy pequeño, sí es ciertoque el ámbito de las administra-ciones públicas españolas es don-de se utiliza más. En el sector pri-vado, su uso es mucho menor".

Pero añade que "también escierto que, en los últimos meses, almenos en Catalunya, este uso seha visto incrementado de formamuy importante. Son ya varias lasadministraciones catalanas que loestán requiriendo en sus trámites:Generalitat de Catalunya, diputa-ciones, ayuntamientos (Barcelona,Sabadell, Santa Coloma, Castellàdel Vallés, etc) y empresas públicas(Agència Catalana de l'Aigua,GISA, etc), y otras muchas las quetienen proyectos donde requeri-rán de su uso".

Masias opina que, en los últi-mos dos años, el crecimiento eneste ámbito ha sido espectacular,con respecto a los años anteriores."Estamos hablando de una tecno-logía que está disponible desdehace más de ocho años, pero querealmente se está empezando aaplicar en los últimos ejercicios.En Cataluña, este uso es muyreciente. El año 2004 fue en el queparticipamos en más proyectoscon las administraciones públicas,más de 80, con uso de identidaddigital y firma electrónica".

Para el director general de laAgencia Catalana de Certificación,la protección de datos y los planesde seguridad son aspectos básicos."Ser entidad de certificación nosobliga a cumplir unos niveles deseguridad muy importantes. Dehecho, disponemos de un centrode alta seguridad que cumple dis-tintas normas de seguridad, conplanes de contingencia, etc.Intentamos que las administracio-nes públicas también sean sensi-

bles a estos aspectos y detectamoscada día una mayor receptividad".

La Agencia Catalana de Certifi-cación ha llevado a cabo, básica-mente, seis actuaciones parapotenciar la aplicación de las nue-vas tecnologías en la seguridad yprotección de datos.

En primer lugar, la emisión decertificados digitales para losempleados públicos. "Entendemosque la seguridad debe partir de lasadministraciones públicas y, por lotanto, los trabajadores públicos,sean funcionarios o laborales,deben disponer de identidad digi-tal y de firma electrónica. Hoy endía, en Catalunya, tanto laGeneralitat, como todas las dipu-taciones y todos los consejoscomarcales, así como más del 70%de los ayuntamientos, disponen yade firma electrónica".

En segundo lugar, la emisión decertificados digitales para los ciu-dadanos. "La identidad del ciuda-dano es básica en la puesta enmarcha de nuevos trámites. Estaidentidad es proporcionada desdelas administraciones públicas

catalanas". En tercer lugar, elServicio de Validación de identi-dades digitales. "No sólo las admi-nistraciones catalanas aceptancertificados de la AgénciaCatalana de Certificació, sino quela relación con ellas está habilita-da para certificados digitales de

otras entidades de certificación,previamente clasificadas porCATCert. Para validar dichos certi-ficados, utilizan el servicio de vali-dación de CATCert".

Otras actuaciones son el Servi-cio de Time Stamping, así como elasesoramiento y formación; "bási-co para generar confianza y dar alas administraciones catalanas elconocimiento necesario para quepuedan habilitar nuevos trámitesa través de la red".

Una sexta actuación la consti-tuye el Archivo seguro. "Estamostrabajando en un sistema dearchivo de documentos firmados,garantizando la validez tecnológi-ca y legal de estos documentospúblicos".

Un gran número de empresascolabora con la agencia. Masias

destaca a Safelayer, para el servi-cio de Time Stamping y los certifi-cados digitales de los empleadospúblicos; Da Vinci, para el certifi-cado digital del ciudadano;Netfocus y T-Systems, para elValidador; GyD, para las tarjetasxip; Telefónica, para el hosting;Cap Gemini para Call Center; eInetSecur y S21sec, para auditoriainformática y tests de intrusión.Las instalaciones están ubicadasen Telefónica.

PUESTA EN MARCHA DEL SIDIR

El pasado mes noviembre, laAgencia Española de Protecciónde Datos y las agencias autonómi-cas firmaron un protocolo decolaboración para la puesta enmarcha del Sistema de Informa-ción de Intercambio Registral(SIDIR), rubricado por el directorde la AEPD, José Luis Piñar, y losdirectores de las agencias autonó-micas creadas hasta la fecha,Antonio Troncoso (Madrid), XavierHernández (Cataluña) e IñakiVicuña (País Vasco).

Este protocolo, que podrá ser

suscrito por las AgenciasAutonómicas de Protección deDatos que se creen en un futuro,tiene por objeto establecer un sis-tema que facilite la comunicaciónde la información de las inscrip-ciones de los tratamientos dedatos personales, entre los regis-tros de ficheros creados al amparodel artículo 41.2 por las AgenciasAutonómicas y el Registro Generalde Protección de Datos, de unaforma automatizada, ágil y segu-ra, en la que se garantice el prin-cipio de neutralidad tecnológica.

Una vez constituido el grupo detrabajo del SIDIR, los participantesmanifestaron su decidido apoyo alproyecto y realizaron una distri-bución de las tareas a desarrollar,además de definir un calendariode actuaciones.

Web www.catcert.net.


La AGPD y las agencias de Madrid, Cataluña yPaís Vasco han firmado un protocolo de

colaboración, para la puesta en marcha delSistema de Información de Intercambio Registral.

COVER


El Servicio de NotificacionesTelemáticas Seguras es un servicioque ofrece el Ministerio deAdministraciones Públicas, en cola-boración con Correos, para la ges-tión de notificaciones telemáticasentre las administraciones públicasy los ciudadanos. Posibilita el cum-plimiento de la práctica de notifi-cación fehaciente de los actosadministrativos hacia los ciudada-nos y empresas, a través de mediostelemáticos y manteniendo plenovalor jurídico.

Como explica Alfonso BerralLópez, Jefe de Servicio deDesarrollo del MAP, la puesta a dis-posición de los interesados de lasnotificaciones se produce en unúnico buzón electrónico, identifica-do a través de la Dirección Electró-nica Única del ciudadano, cuales-quiera que sean los emisores de lasmismas. El servicio se encuentraoperativo desde octubre de 2003 yes accesible a través del Portal delCiudadano, siendo la SociedadEstatal Correos y Telégrafos la res-ponsable de desarrollo y explota-ción.

Se descompone en dos subsiste-mas claramente definidos. Por unlado, se dispone del Sistema deGestión de Direcciones ElectrónicasÚnicas y los procedimientos suscri-tos por los ciudadanos. Este serviciose designa Dirección ElectrónicaÚnica (DEU). Mientras que, por otrolado, se encuentra el buzón elec-trónico o servicio que gestiona lasnotificaciones recibidas por losemisores, las presenta a los ciuda-danos y recoge los eventos corres-pondientes (puesta a disposición,lectura, rechazo, etc) para comuni-carlo a los emisores. Este servicio sedenomina Notificaciones Telemá-ticas (NT).

COMPONENTES DEL SISTEMA

El Servicio de NotificacionesTelemáticas Seguras y la DirecciónElectrónica Única constan de unaserie de componentes. En primerlugar, los emisores, que son losórganos, organismos públicos,ministerios, CCAA, entidades loca-les, etc. Publican y establecen losprocedimientos a los que los ciuda-danos se pueden suscribir para larecepción de las notificacionestelemáticas; preguntan al sistema

sobre los ciudadanos suscritos a susprocedimientos; emiten las notifi-caciones telemáticas al prestadordel servicio, Correos, para su poste-rior puesta a disposición de los ciu-dadanos a través del Portal delCiudadano; reciben la acreditaciónde la entrega de sus envíos; yrequieren de información de retor-no, acerca del acceso de los ciuda-danos al contenido de sus notifica-ciones telemáticas.

A continuación, vienen los ciu-dadanos. Solicitan la creación de suDEU en el Portal del Ciudadano, yasea directamente o encaminado através de la web del organismo quegestiona dicho procedimientoadministrativo; se suscriben a losprocedimientos asociados a órganosu organismos públicos, de los quedeseen recibir notificaciones porvía telemática, por los mecanismosque éstos habiliten; y acceden alcontenido de las notificacionestelemáticas, a través del buzónelectrónico personal que proporcio-na Correos. Las notificaciones sepresentan ordenadas en carpetasque se corresponden con los órga-nos y organismos públicos, a lasque han dado su consentimientopara la recepción de notificaciones,por vía telemática, los ciudadanos yempresas que se adhieren volunta-

riamente al servicio y sin costealguno. Éstos requieren estar enposesión de un certificado digitalX.509 v.3 individual o de empresapara acceder a los servicios deNotificaciones Telemáticas.

En tercer lugar, tenemos el Portaldel Ciudadano. Ofrece informacióngeneral del servicio, inclusive des-carga de SW y enlace para la solici-tud del certificado de la Autoridadde Certificación, que genera loscertificados admisibles; así comocreación, modificación o revocaciónde una DEU; suscripción voluntariaa los procedimientos publicados poremisor determinado; informaciónacerca de la suscripción a los pro-cedimientos de los órganos y orga-

nismos públicos; y acceso al buzónelectrónico particular de la DEUcorrespondiente.

En cuarto lugar, está Correos,SNTS y DEU. Gestiona el directoriodel MAP con todas las DireccionesElectrónicas Únicas de los ciudada-nos; proporciona un buzón electró-nico a cada ciudadano a partir desu solicitud de la DEU; recibe lasnotificaciones telemáticas y laspone a disposición del destinatarioen su buzón y remite a cada órga-no notificador certificación elec-trónica de los eventos producidos:recepción de la notificación delórgano notificador, puesta a dispo-sición en buzón, lectura o rechazode la notificación por el interesado,posibles incidencias y caducidad dela notificación telemática dentrodel plazo de diez días señalados porley. Correos-Soporte desarrolla lasfunciones de soporte operativo alciudadano y a los órganos u orga-nismos públicos emisores de notifi-caciones telemáticas.

Otras entidades que intervienenen el proceso son las Autoridadesde Certificación, que generan loscertificados digitales de componen-tes, empresas o particulares em-pleados por emisores, Correos yusuarios finales. El sistema basa losprocesos de seguridad en la aplica-

ción de certificados X.509 v.3 de lasCAs integradas en el servicio.

El Real Observatorio de laArmada (ROA) interviene comoproveedor de referencias para sella-do de tiempo aplicable en las dife-rentes transacciones del sistema.

SOLUCIÓN TÉCNICA

La solución técnica del sistemase basa en una arquitectura, contecnología Microsoft .NET, en trescapas; presentación con ServidoresWeb Microsoft IIS; Aplicación conServidores COM+ (se ha incluido elservicio de Fechado electrónico);datos con Buzones Exchange, SQLServer 2000, Microsoft Biztalk;Sistema OperativoWindows 2000Advanced Server y DirectorioActivo de Microsoft; e intercambiode información entre Emisores ySistema de NotificacionesTelemáticas basado en XML, conprotocolo de comunicación HTTPS.

En cuanto a seguridad del siste-ma, la firma electrónica avanzadade ciudadanos y emisores, basadaen PKCS#7, proporciona integridad,autenticación y no repudio. Seemplea certificado digital particularX.509. v.3. La confidencialidad serealiza mediante el cifrado yempleo de canales seguros SSL1 a128 bits, con HTTPS entre SNTS y elemisor, y entre SNTS y el ciudada-no. Y el fechado electrónico de losmensajes que lo requieran se realizavía ROA (Real Observatorio de laArmada).

Los requisitos que han de tenerlos puestos de los usuarios son lossiguientes: Navegador MS InternetExplorer versión 5.5 o superior,Netscape 6.x o superior y Mozilla1.6 o superior, así como tener acti-vadas las opciones de seguridadpara https; Acrobat Reader 5.0 osuperior, para leer las notificacionesen formato PDF; descarga e instala-ción de los módulos de seguridad ycertificado digital estándar X.509v.3.

El organismo emisor genera unanotificación a un usuario, que hamanifestado su voluntad para reci-bir notificaciones por medios tele-máticos. Éstas son cifradas con unaclave simétrica única y remitidas alServicio de Notificaciones cifradas,mediante mecanismos de clavepública.

"Se pone a disposición de losinteresados un único buzón

electrónico: la DirecciónElectrónica Única del ciudadano”.

Servicio de notificaciones telemáticas seguras

Alfonso Berral López.

MMiinniisstteerriioo ddee AAddmmiinniissttrraacciioonneess PPúúbblliiccaass..

Los productos y sistemas de TIdeben llevar a cabo sus funciones,ejerciendo un control apropiado dela información que manejan, paraasegurar su protección contra suce-sos, como revelación no deseada,modificación o pérdida. El términoseguridad de TI se utiliza, general-mente, para referirse tanto a laprevención como a la reducción deeste tipo de sucesos.

Jaime Gotor, subdirector generaladjunto del Centro CriptológicoNacional, explica que la Seguridadde las TIC agrupa al conjunto demedidas de seguridad (controles,salvaguardas, servicios o funciones,y mecanismos) para proteger lainformación almacenada, procesadao transmitida (manejada), por pro-ductos o sistemas de las tecnolo-gías de la información. Tambiénincluye aquellas medidas que per-miten la detección, documentacióny contabilidad de las amenazas a lainformación y a los sistemas, demanera que no sólo se permitadetectar los ataques sino tambiénoponerse activamente o, en últimocaso, recuperarse de ellos.

Así, la seguridad de las TIC abar-ca los productos o sistemas de tec-nologías de la información utiliza-dos en los sistemas de comunica-ciones y en los sistemas de infor-mación. También se incluye otrotipo de sistemas electrónicos como,por ejemplo, sensores, equipos demedida, sistemas de identificación,de navegación, etc, que manejaninformación muy específica.

La Seguridad de las TIC puedeconseguirse protegiendo, adecua-damente, cada uno de los recursosy componentes de la configuraciónde los sistemas de información ycomunicaciones. "La seguridad delos productos y sistemas de TI, porafectar y preocupar a diversos sec-tores de la sociedad, dispone deuna amplia oferta de soluciones.Sin embargo, lo que es difícil, real-mente, es saber si las soluciones deseguridad que existen son adecua-das. Pocas personas o entidades tie-nen la posibilidad de llegar a valo-rar la calidad de un sistema deseguridad. De la misma forma quelos sistemas que manejan la infor-mación, los productos y sistemas deseguridad se han convertido en ele-mentos populares pero, en general,

no se conoce gran cosa de su com-posición, ni de su fiabilidad".

Gotor indica que muchos usua-rios de TI carecen del conocimiento,experiencia y, sobre todo, de losmedios necesarios para juzgar si suconfianza en la seguridad de losproductos o sistemas está justifica-da y pueden no querer confiar sóloen las afirmaciones de los fabrican-tes. "Los usuarios necesitan, cadavez más, incrementar su confianzaen las propiedades de seguridad deun producto o sistema de TI, orde-nando un análisis de su seguridad,es decir, una Evaluación de Seguri-dad". Una Evaluación de laSeguridad de las TI es un análisis,realizado mediante un procesometodológico, de la capacidad deun producto o sistema de las tec-nologías de la información, para

proteger las condiciones de lainformación, de acuerdo a unos cri-terios establecidos, todo ello conobjeto de determinar si puede sercertificado.

Una Certificación de la Seguri-dad de las TI es la determinación,realizada mediante un procesometodológico, de la capacidad deun producto o sistema de las tec-nologías de la información paraproteger en profundidad las condi-ciones de la información, de acuer-do a unos criterios preestablecidos.

CERTIFICACIONES

Gotor señala que, en este ámbi-to, se pueden distinguir cuatrotipos de certificaciones: Certifica-ción de la Seguridad funcional delas TI, Certificación de la SeguridadCriptológica, Certificación de laSeguridad de Emanaciones (TEM-PEST) y Certificación de la Seguri-dad Física de los propios productosde seguridad de las TI.

La Certificación de la Seguridadde un producto o sistema de TIpodrá requerir, dependiendo de lafinalidad del propio producto, laobtención de una o varias certifica-ciones. Aquellos productos que

deban ser certificados y no inclu-yan componentes criptológicasentre sus elementos, no requeriránla obtención de la certificación dela seguridad criptológica. Sinembargo, los productos que inclu-yan componentes criptológicasdeberán obtener ambos certificadosy en el orden correlativo en el quese han relacionado. En los casos enque se considere necesario, la certi-ficación de la Seguridad de Emana-ciones es requerida de forma explí-cita.

La certificación de la SeguridadCriptológica determina la capaci-dad de un sistema de cifra paraproteger la información, con elnivel de seguridad adecuado, entodo momento de su vida útil. Estacertificación incluye verificar que elsistema de cifra implementa unalgoritmo de cifra de robustez con-trastada, que se manejan claves decalidad adecuada, que el sistemamaneja correctamente el algoritmoy las claves, y que el sistema man-tendrá estas características durantetoda su vida útil.

La certificación de la Seguridadde Emanaciones (Tempest) determi-na la capacidad de un producto o

sistema de TI de proteger la infor-mación que maneja contra la ame-naza que supone la captación delas emanaciones electromagnéticasque cualquier producto de TI emitede forma involuntaria en su normalfuncionamiento. Esta certificaciónsupone verificar que las emanacio-nes del producto o sistema de TIestán dentro de unos márgenes deseguridad establecidos en los crite-rios o normas de evaluación y, ade-más, que el entorno físico, donde elproducto o sistema es instalado,ofrece una atenuación de dichaemanación, dentro de unos márge-nes de seguridad.

La certificación de la seguridadFísica de los productos de las TIproporciona las evidencias necesa-rias sobre la seguridad del diseño eimplementación hardware de los

mecanismos de seguridad. "Dichasevidencias son fundamentales parala integridad de los mecanismos deseguridad, pilar clave en todo eledificio de seguridad asociado a unproducto o sistema de TI." Uno delos estándares de referencia parallevar a cabo la evaluación de esteaspecto específico de la STI es lanorma americana FIPS Pub. 140-2(ISO 19790, en desarrollo).

Luis Jiménez, responsable de laUnidad de Políticas de Seguridad delas TI del Centro CriptológicoNacional, explica que España tiene,razonablemente, buenas capacida-des técnicas: evaluación CommonCriteria de la seguridad, evaluacióny certificación de la seguridad crip-tológica, evaluación y certificaciónde la seguridad de emisiones yvaloración y acreditación de la STI

Básicamente, estas capacidadesse concentran en el INTA, la prime-ra de ellas, y en el Centro Criptoló-gico Nacional (CCN) del CentroNacional de Inteligencia (CNI) elresto. "Sin embargo, la aplicaciónde estas capacidades y el uso delbeneficio que pueden y debengenerar en nuestro país no es tanamplio como sería deseable".

Existen cuatro posibles certificaciones: Seguridadfuncional de las TIC, Seguridad Criptológica,

Seguridad de Emanaciones y Seguridad Física delos propios productos de seguridad de las TIC.

Certificación de la seguridad de las TIC

CCeennttrroo CCrriippttoollóóggiiccoo NNaacciioonnaall..

Jaime Gotor.


seguridad y protección de datos en las aa.pp. - … · nico del consejo superior de informática...

Documents