1 / 28

Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo…

Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo…. Mañana ?. Hoy. Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail: jhuertam@banrep.gov.co. Qué buscamos responder…. Somos concientes de para qué usamos nuestra seguridad hoy?

pelham
Télécharger la présentation

Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo…

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Validez de la seguridad informática en el tiempo: …un enfoque documental seguro en el tiempo… Mañana ? Hoy... Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail: jhuertam@banrep.gov.co

  2. Qué buscamos responder… • Somos concientes de para qué usamos nuestra seguridad hoy? • Estaremos “seguros” en el mañana con la seguridad del hoy? • De la seguridad podría derivarse la inseguridad? • Podemos detener el proceso de “informatización” del papel?

  3. Agenda • Problemática actual: un enfoque hacia los paradigmas, • Paradigma actual de la seguridad: seguridad en “línea”, • Propuestas de seguridad en el tiempo: un enfoque PKI-documental, • Existe un modelo óptimo documental seguro en el tiempo, • Reflexiones finales.

  4. Problemática actual: paradigmas de la seguridad

  5. Problemática actual: paradigmas de la seguridad • Ninguna seguridad: en la primera era computacional no era tenida en cuenta. Ejm.: Internet, DOS, etc. • Funcionalidad luego seguridad: primero se pensaba y desarrollaba en cómo debería funcionar un servicio; luego se pensaba en seguridad como algo adicional.

  6. Problemática actual: paradigmas de la seguridad Seguridad en línea: la seguridad se aplica en función de las transacciones y/o servicios del día a día. Ejm.: seguridad en la red (lo que sale llegue OK a su destino), autenticación en una BD y/o SO, control de acceso (perfiles), etc. Seguridad en el tiempo: seguridad en línea + seguridad en temas documentales en el tiempo. Es vital el valor probatorio de la información electrónica.

  7. Problemática actual: paradigmas de la seguridad • Hoy cuál es la tendencia? Definitivamente seguridad en línea, • Lo grave del asunto es que la “informatización del papel” no ha parado ni puede parar: sería como decirle no a la tecnología. Papel + Procedimientos: Su evolución natural es la

  8. Problemática actual: paradigmas de la seguridad • Pero por qué? • Son varias las razones: • La tecnología no para y no depende de nosotros, • La tecnología es una tentación inevitable, • Inconscientemente pasamos del papel a la información electrónica, • La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc., • …y, sencillamente evolucionamos por instinto y necesidad de sobrevivir.

  9. Problemática actual: paradigmas de la seguridad El gran interrogante: Qué hacer? + - Seguridad Tiempo Problemas de disponibilidad de información en el tiempo Modelos obsoletos y quedados con respecto a la industria: pérdida de competitividad

  10. Paradigma actual: seguridad en línea

  11. Paradigma actual: seguridad en línea • Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día, • Se busca tecnología del mañana para resolver la seguridad del hoy, • Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la información electrónica olvidando los procedimientos y normatividades vigentes para el papel.

  12. Cripto Cripto VPN VPN VPN Paradigma actual: seguridad en línea Otros servidores Públicos Otros accesos externos Servidor WEB FW Internet SSL U1 DMZ - Internet Internet Red Desarrolladores externos U2 Plano U3 MZ - Internet Red Interna Cliente X DMZ - FW Corp. Cliente Y Cliente Z Soft. VPN Servidores Corporativos MZ - FW Corp. • Esquema redundante, • Seguridad de aplicación, • Single-Sign-On (SSO). FW Corporativo

  13. Paradigma actual: seguridad en línea • Grave problema: la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica “insegura” para el futuro sin que seamos concientes de ello… • Ejemplo: Seguridad: Verificación de firma manuscrita, Verificación del logo en el papel, Autenticación notarial de firmas, Papel se puede recuperar en el tiempo. Actualmente con el papel… Memorando Físico Pedro Ana Actualmente con la información electrónica… Seguridad: Hay? Memorando Electrónico: correo Pedro Ana

  14. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

  15. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-, • PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI), • Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave, • Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves simétricas.

  16. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Simplificación de la problemática de la seguridad documental en el tiempo: • Sea D un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por A en la fecha F, • Cómo garantizo 50 años después sobre D que: • Fue originado por A en la fecha F, • D no ha sido modificado en el tiempo, • D está disponible (visible claramente).

  17. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Antes veamos módulos principales de un PKI. • PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit. • Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos. • PKI gestionado y no gestionado. • Encripción: garantiza confidencialidad. • Firma digital: Autenticación, Integridad y No Repudio.

  18. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Futuro Hoy Gestión del PKI en el Tiempo Requiere: DF + CO + PKI Firma: F(D) = DF Sea K la llave privada y CO el certificado Basado en PKI Requiere: DT + CAT+ PKI (AT) Time Stamping: T(D) = DT Basado en llaves privadas y públicas del PKI (CAT)

  19. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Futuro Hoy Gestión del PKI en el Tiempo Requiere: DE + K+ PKI Encripción: E(D) = DE Sea K la llave privada y CO el certificado Basado en PKI Problemas de gestión: llaves duales (Firma y Encripción). Cómo manejo historial privado de llaves privadas de A ?

  20. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • PKI Gestionado: tiene en cuenta características de seguridad en el tiempo, • PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo.

  21. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Problemas por resolver: • Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en estándares y líderes de la industria, • El PKI no resuelve el tema de almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en el tiempo, etc.

  22. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Problemas por resolver: • Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word? • Más perlas: supongamos que el formato que promete la industria que sea perdurable es XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar todo a XML en tiempos “humanos”: !!!!imposible.

  23. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Problemas por resolver: • Qué hacer ? Propuestas: • Evite guardar en el tema documentos encriptados, • Apúntele a las PKI gestionadas, • Firme, y si es del caso encripte, pensando en una ventana documental del tiempo definida (por ejemplo 6 años),

  24. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental • Problemas por resolver: • Qué hacer ? Propuestas: • Ningún proveedor de tecnología podría garantizar el tiempo infinito, • Lo que requiera más de 6 años, déjelos en papel, • Tratemos de cambiar el paradigma de guardar todo para siempre.

  25. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Servicios Corportativos Ciclo de Vida Proyectos, Calidad Servicios Informáticos PKI, Políticas, Mecanismos, Medios Seguros Informática Modelo de Seguridad Seguridad en Línea Servidores de almacenamiento, Robots Políticas Almacenamiento Almacenamiento ON-LINE - Históricos Interfaz: Técnica y Operativa (entrega del servicio a Documentación) DOCS, PKI, Gestión buzones, etc. Generación, Distribución, Seguimiento, Recuperación Gestión Documental PKI, Políticas, Mecanismos, Medios Seguros No Repudiación, Autenticación, Privacidad, Disponibilidad, Integridad, Control de Acceso, Observancia Seguridad en el Tiempo Documentación Medio Masivo y Robusto de Almacenamiento Almacenamiento Políticas Documentales

  26. Existe un modelo óptimo documental seguro en el tiempo ?

  27. Existe un modelo óptimo documental seguro en el tiempo ? • No, • Ni siquiera la industria lo tiene claro, • Pero algo hay que hacer porque la tecnología no nos permite frenar, • Pensar mucho ahora para no tener problemas en un futuro (nueva generación), • Si no lo hacemos la seguridad podría verse como inseguridad: encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta afirmación.

  28. Reflexionemos • Somos concientes de para qué usamos nuestra seguridad hoy? • Estaremos “seguros” en el mañana con la seguridad del hoy? • De la seguridad podría derivarse la inseguridad? • Podemos detener el proceso de “informatización” del papel? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail: jhuertam@banrep.gov.co

More Related