Vigilancia y Privacidad en las Administraciones Públicas Administración Electrónica y Seguridad Sociedad Vigilada y Protec...
Temas a tratar <ul><li>Objetivos básicos de la seguridad en la Administración electrónica </li></ul><ul><li>Formas de iden...
Antecedentes <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (B.O.E....
Antecedentes <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (B.O.E....
Situación actual <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos </l...
Objetivos de la Seguridad en la e-Admon <ul><li>Aspecto clave en la e-Administración: </li></ul><ul><ul><li>Confidencial...
<ul><li>Autenticación </li></ul><ul><ul><li>Capacidad de verificar que: </li></ul></ul><ul><ul><ul><li>Un usuario convenie...
<ul><li>Integridad : </li></ul><ul><ul><li>Evita que un tercero pueda modificar la información enviada sin que lo advierta...
Sistemas de identificación y autenticación <ul><li>Aunque los conceptos de identificación y autenticación son distintos, a...
Sistemas de identificación y autenticación Factores de autenticación Sabe Tiene Es Rasgos biométricos PIN, contraseña… Cód...
La firma electrónica en Derecho <ul><li>Concepto y tipos: </li></ul><ul><ul><li>Firma electrónica (simple) </li></ul></ul...
Identificación y autenticación en la LAE <ul><li>Mecanismos no basados en certificados electrónicos : </li></ul><ul><ul><...
Identificación y autenticación de los ciudadanos <ul><li>Sistemas de firma electrónica que permitan garantizar la identif...
Certificados electrónicos o digitales <ul><li>Certificado electrónico : </li></ul><ul><ul><li>Documento firmado electrónic...
Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Disp...
Código Seguro de Verificación (CSV) <ul><li>Sistema de firma electrónica no basada en certificado electrónico que vincula ...
<ul><li>Ruta: </li></ul><ul><ul><li>Ciudadanos </li></ul></ul><ul><ul><li>Certificados, notificaciones y cotejo de documen...
<ul><li>Verificación: </li></ul><ul><li>https://ws050. juntadeandalucia.es / verificarFirma / </li></ul>Código Seguro Veri...
BARTOLOME BORREGO ZABALA - 22333444X GARCIA GARCIA JUAN GARCIA GARCIA JUAN
Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Disp...
e-Firma del personal al servicio de las AA.PP. GARCIA GARCIA JUAN - NIF 33444555Z JEFE SERVICIO D.G. AGRICULTURA
Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Disp...
DNI electrónico <ul><li>Concepto: </li></ul><ul><ul><li>Documento de identidad que prevé la incorporación de las capacidad...
Componentes básicos del DNIe <ul><li>Soporte físico </li></ul><ul><ul><li>Tarjeta de policarbonato, similar a las tarjeta...
Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Disp...
Identificación y autenticación de ciudadanos por funcionarios <ul><li>En los supuestos en se requiera la identificación o ...
Identificación y autenticación de ciudadanos por funcionarios Registro funcionarios habilitados AUTORIZACION EXPRESA Regis...
Muchas Gracias Bartolomé Borrego Zabala http://bartolomeborrego.wordpress.com [email_address] @bartolomebz
of 28

Ponencia sobre Seguridad y e-Administracion

Ponencia de fecha 24-9-2009 con mi participación en la mesa redonda celebrada en los Cursos de Verano de la Universidad Pablo de Olavide sobre Vigilancia y Privacidad en las Administraciones Públicas.
Published on: Mar 4, 2016
Published in: Education      
Source: www.slideshare.net


Transcripts - Ponencia sobre Seguridad y e-Administracion

  • 1. Vigilancia y Privacidad en las Administraciones Públicas Administración Electrónica y Seguridad Sociedad Vigilada y Protección de Datos Bartolomé Borrego Zabala [email_address] @bartolomebz Carmona, 24-Septiembre-2009
  • 2. Temas a tratar <ul><li>Objetivos básicos de la seguridad en la Administración electrónica </li></ul><ul><li>Formas de identificación y autenticación </li></ul><ul><li>Uso de la firma electrónica en la Administración Pública: </li></ul><ul><ul><li>Sistemas de firma electrónica para la actuación administrativa automatizada. </li></ul></ul><ul><ul><li>Firma electrónica del personal al servicio de las Administraciones Públicas. </li></ul></ul><ul><ul><li>Identificación y autenticación de los ciudadanos por funcionarios públicos. </li></ul></ul>
  • 3. Antecedentes <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (B.O.E. del 23) – (LAE) </li></ul><ul><li>Objetivo principal de la LAE: </li></ul><ul><ul><li>Derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos. (art. 6.1): </li></ul></ul><ul><ul><ul><li>Obtener informaciones </li></ul></ul></ul><ul><ul><ul><li>Realizar consultas y alegaciones </li></ul></ul></ul><ul><ul><ul><li>Formular solicitudes </li></ul></ul></ul><ul><ul><ul><li>Manifestar consentimiento </li></ul></ul></ul><ul><ul><ul><li>Entablar pretensiones </li></ul></ul></ul><ul><ul><ul><li>Efectuar pagos </li></ul></ul></ul><ul><ul><ul><li>Realizar transacciones </li></ul></ul></ul><ul><ul><ul><li>Oponerse a resoluciones y actos administrativos </li></ul></ul></ul>
  • 4. Antecedentes <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (B.O.E. del 23) – (LAE) </li></ul><ul><li>Objetivo principal de la LAE: </li></ul><ul><ul><li>Derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos. (art. 6.1) </li></ul></ul><ul><li>Principios generales de la LAE (art. 4): </li></ul><ul><ul><li>Respeto al derecho a la protección de datos de carácter personal, al derecho al honor y al derecho a la intimidad personal y familiar. </li></ul></ul><ul><ul><li>Principio de seguridad </li></ul></ul><ul><ul><ul><li>Al menos, el mismo nivel de garantías y seguridad que se requiere para la utilización de medios no electrónicos. </li></ul></ul></ul>Marco legal SEGURIDAD
  • 5. Situación actual <ul><li>Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos </li></ul><ul><li>Pendiente de desarrollo reglamentario: </li></ul><ul><ul><li>Proyecto de Real Decreto por el que se desarrolla parcialmente la LAE. </li></ul></ul><ul><ul><li>Proyecto de Real Decreto por el que se desarrolla la figura del Defensor del usuario de la Administración electrónica. </li></ul></ul><ul><ul><li>Proyecto de Real Decreto por el que se regula el Esquema Nacional de Interoperabilidad (ENI) </li></ul></ul><ul><ul><li>Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad (ENS) </li></ul></ul><ul><li>Otros proyectos: </li></ul><ul><ul><li>Proyecto de Resolución del Registro electrónico de la AEAT. </li></ul></ul><ul><ul><li>Proyecto de Ley de modificación de la LAE en la parte transaccional </li></ul></ul><ul><li>Varios temas relativos a Interoperabilidad y Seguridad, que quedan a resultas de la publicación del ENI y ENS </li></ul><ul><li>ENI y ENS tienen un alto nivel de abstracción, por lo que su desarrollo posterior dependerá de los trabajos y las conclusiones de diferentes grupos de trabajo y comités. </li></ul>
  • 6. Objetivos de la Seguridad en la e-Admon <ul><li>Aspecto clave en la e-Administración: </li></ul><ul><ul><li>Confidencialidad datos carácter personal y las transacciones C2A2C </li></ul></ul><ul><ul><li>Asegurar disponibilidad, continuidad y calidad de los e-Servicios </li></ul></ul><ul><li>Seguridad informática cada vez más compleja: </li></ul><ul><ul><li>Creación de sistemas de gestión de seguridad informática (SGSI): </li></ul></ul><ul><ul><ul><li>Gestión usuarios, control accesos, suministro eléctrico, medidas contra incendios, inundaciones y otros riesgos, control de copias y extractos, gestión de soportes informáticos, centros de respaldo, etc. </li></ul></ul></ul><ul><li>Objetivos básicos de los sistemas de seguridad en la Administración electrónica son: </li></ul><ul><ul><li>Autenticación </li></ul></ul><ul><ul><li>Confidencialidad </li></ul></ul><ul><ul><li>Integridad </li></ul></ul><ul><ul><li>No repudio </li></ul></ul>
  • 7. <ul><li>Autenticación </li></ul><ul><ul><li>Capacidad de verificar que: </li></ul></ul><ul><ul><ul><li>Un usuario convenientemente identificado en un sistema es quien dice ser. </li></ul></ul></ul><ul><ul><ul><li>Un usuario que ha generado un documento o información es quien dice ser. </li></ul></ul></ul><ul><ul><li>Permite asegurarse de que al otro lado de una comunicación está quien dice ser. </li></ul></ul><ul><ul><li>Tipos de autenticación: </li></ul></ul><ul><ul><ul><li>Simple : basada en mecanismos tradicionales (usuario y contraseña) </li></ul></ul></ul><ul><ul><ul><li>Fuerte o robusta : basada en utilización de técnicas de criptografía asimétrica y el uso de certificados electrónicos </li></ul></ul></ul><ul><li>Confidencialidad </li></ul><ul><ul><li>Evita que un tercero pueda acceder a la información enviada. </li></ul></ul><ul><ul><li>Persigue que los participantes en el intercambio de información estén seguros de que participan sólo ellos y nadie más tiene acceso a la información que se intercambia. </li></ul></ul><ul><ul><li>Exige medidas específicas también en su eliminación de los soportes en los que hubieren estado almacenada. </li></ul></ul>Objetivos de la Seguridad en la e-Admon
  • 8. <ul><li>Integridad : </li></ul><ul><ul><li>Evita que un tercero pueda modificar la información enviada sin que lo advierta el destinatario. </li></ul></ul><ul><ul><li>Persigue también que un tercero no pueda acceder a la información enviada, asegurándose que ésta no ha sufrido modificaciones y que contiene exactamente la información que envió el emisor. </li></ul></ul><ul><li>No repudio o irrefutabilidad : </li></ul><ul><ul><li>Permite a cada lado de una comunicación probar fehacientemente que el otro lado ha participado en la comunicación. </li></ul></ul><ul><ul><li>Se trata de evitar que un interlocutor niegue que ha participado en el intercambio de información. </li></ul></ul>Objetivos de la Seguridad en la e-Admon
  • 9. Sistemas de identificación y autenticación <ul><li>Aunque los conceptos de identificación y autenticación son distintos, ambos deben ser considerados conjuntamente en el proceso de autenticación de un usuario: </li></ul><ul><ul><li>Identificación : Procedimiento de reconocimiento de la identidad de un usuario (su nombre de usuario en el sistema) </li></ul></ul><ul><ul><li>Autenticación : Procedimiento de comprobación de la identidad del usuario (la contraseña de acceso asociada al nombre de usuario). </li></ul></ul><ul><ul><ul><li>Queda a resultas de la publicación del Esquema Nacional de Seguridad (ENS) </li></ul></ul></ul>
  • 10. Sistemas de identificación y autenticación Factores de autenticación Sabe Tiene Es Rasgos biométricos PIN, contraseña… Código de coordenadas Certificado de identidad Huella dactilar Rasgos faciales, Iris Factores de identidad Combinación de factores Sistema multifactorial Dispositivo criptográfico Auteticación fuerte (Robusta)
  • 11. La firma electrónica en Derecho <ul><li>Concepto y tipos: </li></ul><ul><ul><li>Firma electrónica (simple) </li></ul></ul><ul><ul><ul><li>“ Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante ”. (Art. 3.1 Ley 59/2003) </li></ul></ul></ul><ul><ul><li>Firma electrónica avanzada </li></ul></ul><ul><ul><ul><li>“ Aquella firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a los que se refiere, y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control ”. (Art. 3.2 Ley 59/2003). </li></ul></ul></ul><ul><ul><li>Firma electrónica reconocida </li></ul></ul><ul><ul><ul><li>“ Firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma ”. (Art. 3.3 Ley 59/2003) </li></ul></ul></ul>
  • 12. Identificación y autenticación en la LAE <ul><li>Mecanismos no basados en certificados electrónicos : </li></ul><ul><ul><li>Usuario y Password </li></ul></ul><ul><ul><li>Información conocida por ambas partes </li></ul></ul><ul><ul><li>Código Seguro de Verificación (CSV) </li></ul></ul><ul><li>Mecanismos basados en certificados electrónicos : </li></ul><ul><ul><li>Certificados electrónicos de software: </li></ul></ul><ul><ul><ul><li>Instalados en el PC </li></ul></ul></ul><ul><ul><li>Certificados electrónicos en dispositivos seguros: </li></ul></ul><ul><ul><ul><li>Tarjeta criptográfica (DNIe) </li></ul></ul></ul><ul><ul><ul><li>HSM </li></ul></ul></ul><ul><ul><ul><li>Token </li></ul></ul></ul>
  • 13. Identificación y autenticación de los ciudadanos <ul><li>Sistemas de firma electrónica que permitan garantizar la identificación de los participantes y, en su caso, la autenticidad e integridad de los documentos electrónicos (art.13) : </li></ul><ul><ul><li>Sistemas de firma electrónica incorporados en el DNIe. </li></ul></ul><ul><ul><li>Los sistemas de firma electrónica avanzada, incluyendo los basados en certificados electrónicos reconocidos. </li></ul></ul><ul><ul><li>Otros sistemas de firma electrónica no basados en la criptografía: </li></ul></ul><ul><ul><ul><li>Claves concertadas en un registro previo como usuario </li></ul></ul></ul><ul><ul><ul><li>Aportación de información conocida por ambas partes, y </li></ul></ul></ul><ul><ul><ul><li>Otros sistemas no criptográficos </li></ul></ul></ul>
  • 14. Certificados electrónicos o digitales <ul><li>Certificado electrónico : </li></ul><ul><ul><li>Documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. </li></ul></ul><ul><li>Certificado electrónico reconocido : </li></ul><ul><ul><li>Certificado electrónico expedido por un prestador de servicios de certificación que cumple los requisitos establecidos en la Ley de Firma Electrónica en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten </li></ul></ul>
  • 15. Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Dispositivo Seguro ( Firma electrónica avanzada ) </li></ul></ul><ul><li>En el intercambio de datos: </li></ul><ul><ul><li>Actuaciones automatizadas </li></ul></ul><ul><ul><ul><li>Certificado de Sello electrónico de Entidad de Derecho Público </li></ul></ul></ul><ul><ul><ul><li>Código Seguro de Verificación </li></ul></ul></ul>
  • 16. Código Seguro de Verificación (CSV) <ul><li>Sistema de firma electrónica no basada en certificado electrónico que vincula un código hexadecimal a: </li></ul><ul><ul><li>La Administración Pública </li></ul></ul><ul><ul><li>Al órgano o entidad y, </li></ul></ul><ul><ul><li>En su caso, a la persona firmante del documento (actuaciones no automatizadas) </li></ul></ul><ul><li>Permite la impresión del documento y, en todo caso, la comprobación de la integridad del documento mediante el acceso a la sede electrónica correspondiente. </li></ul>
  • 17. <ul><li>Ruta: </li></ul><ul><ul><li>Ciudadanos </li></ul></ul><ul><ul><li>Certificados, notificaciones y cotejo de documentos </li></ul></ul><ul><ul><li>Cotejo de documentos mediante código seguro de verificación </li></ul></ul>Código Seguro Verificación en la Agencia Tributaria
  • 18. <ul><li>Verificación: </li></ul><ul><li>https://ws050. juntadeandalucia.es / verificarFirma / </li></ul>Código Seguro Verificación en la Junta de Andalucía
  • 19. BARTOLOME BORREGO ZABALA - 22333444X GARCIA GARCIA JUAN GARCIA GARCIA JUAN
  • 20. Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Dispositivo Seguro ( Firma electrónica avanzada ) </li></ul></ul><ul><li>En el intercambio de datos: </li></ul><ul><ul><li>Actuaciones automatizadas </li></ul></ul><ul><ul><ul><li>Certificado de Sello electrónico de Entidad de Derecho Público </li></ul></ul></ul><ul><ul><ul><li>Código Seguro de Verificación </li></ul></ul></ul><ul><ul><li>Actuaciones no automatizadas ( Firma electrónica del personal al servicio de las Administraciones Públicas) </li></ul></ul><ul><ul><ul><li>Identificarán de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios (FNMT-RCM) </li></ul></ul></ul><ul><ul><ul><li>Podrán usar: </li></ul></ul></ul><ul><ul><ul><ul><li>Sistemas que provea cada Administración Pública. </li></ul></ul></ul></ul>
  • 21. e-Firma del personal al servicio de las AA.PP. GARCIA GARCIA JUAN - NIF 33444555Z JEFE SERVICIO D.G. AGRICULTURA
  • 22. Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Dispositivo Seguro ( Firma electrónica avanzada ) </li></ul></ul><ul><li>En el intercambio de datos: </li></ul><ul><ul><li>Actuaciones automatizadas </li></ul></ul><ul><ul><ul><li>Certificado de Sello electrónico de Entidad de Derecho Público </li></ul></ul></ul><ul><ul><ul><li>Código Seguro de Verificación </li></ul></ul></ul><ul><ul><li>Actuaciones no automatizadas ( Firma electrónica del personal al servicio de las Administraciones Públicas) </li></ul></ul><ul><ul><ul><li>Identificarán de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios (FNMT-RCM) </li></ul></ul></ul><ul><ul><ul><li>Podrán usar: </li></ul></ul></ul><ul><ul><ul><ul><li>Sistemas que provea cada Administración Pública. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>DNIe </li></ul></ul></ul></ul>
  • 23. DNI electrónico <ul><li>Concepto: </li></ul><ul><ul><li>Documento de identidad que prevé la incorporación de las capacidades de identificación y firma electrónicas para que pueda ser usado también en el ámbito digital. </li></ul></ul><ul><ul><li>Medio suficiente para acreditar, en un procedimiento administrativo, la identidad y demás datos personales que consten en el mismo, a los efectos previstos en arts. 45 y 70.1 de la LRJAP y PAC. </li></ul></ul><ul><li>Certificados: </li></ul><ul><ul><li>Certificado de autenticación </li></ul></ul><ul><ul><ul><li>Garantiza electrónicamente la identidad del ciudadano cuando realiza una transacción telemática. </li></ul></ul></ul><ul><ul><li>Certificado de firma reconocida </li></ul></ul><ul><ul><ul><li>Cuenta con dos componentes: </li></ul></ul></ul><ul><ul><ul><ul><li>Una clave pública que sólo conocen los posibles receptores </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Una clave privada que únicamente conoce el titular, a la que está asociada toda la información que cada propietario del documento envíe telemáticamente </li></ul></ul></ul></ul>
  • 24. Componentes básicos del DNIe <ul><li>Soporte físico </li></ul><ul><ul><li>Tarjeta de policarbonato, similar a las tarjetas de crédito (fabricada por FNMT). </li></ul></ul><ul><li>Soporte electrónico : </li></ul><ul><ul><li>Constituido por un chip criptográfico al objeto de posibilitar la utilidad informática: </li></ul></ul><ul><ul><ul><li>Información relativa a la filiación del ciudadano </li></ul></ul></ul><ul><ul><ul><li>Datos biométricos: fotografía y huella dactilar </li></ul></ul></ul><ul><ul><ul><li>Imagen digitalizada de la firma manuscrita </li></ul></ul></ul><ul><ul><ul><li>Certificados reconocidos de autenticación y de firma y Certificado de la entidad emisora (DGP) </li></ul></ul></ul><ul><ul><ul><li>Claves privadas necesarias para la activación (PIN: 8-16 caracteres) </li></ul></ul></ul>
  • 25. Identificación y autenticación de las AA.PP. <ul><li>De las Sedes electrónicas: </li></ul><ul><ul><li>Certificados de Dispositivo Seguro ( Firma electrónica avanzada ) </li></ul></ul><ul><li>En el intercambio de datos: </li></ul><ul><ul><li>Actuaciones automatizadas </li></ul></ul><ul><ul><ul><li>Certificado de Sello electrónico de Entidad de Derecho Público </li></ul></ul></ul><ul><ul><ul><li>Código Seguro de Verificación </li></ul></ul></ul><ul><ul><li>Actuaciones no automatizadas ( Firma electrónica del personal al servicio de las Administraciones Públicas) </li></ul></ul><ul><ul><ul><li>Identificarán de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios (FNMT-RCM) </li></ul></ul></ul><ul><ul><ul><li>Podrán usar: </li></ul></ul></ul><ul><ul><ul><ul><li>Sistemas que provea cada Administración Pública. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>DNIe </li></ul></ul></ul></ul><ul><li>En el intercambio electrónico de datos en entornos cerrados de comunicación sin firma electrónica. </li></ul>
  • 26. Identificación y autenticación de ciudadanos por funcionarios <ul><li>En los supuestos en se requiera la identificación o autenticación de un ciudadano por alguno de los sistemas previstos en la Ley 11/2007, dicha identificación o autenticación podrá realizarla un funcionario público mediante un sistema de e-firma del que se le haya dotado (art. 22 LAESP). </li></ul>
  • 27. Identificación y autenticación de ciudadanos por funcionarios Registro funcionarios habilitados AUTORIZACION EXPRESA Registro Autorizaciones Trámite Electrónico SISTEMA DE FIRMA ELECTRÓNICA 1 2 3 5 4
  • 28. Muchas Gracias Bartolomé Borrego Zabala http://bartolomeborrego.wordpress.com [email_address] @bartolomebz