NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD ÍNDICE 1. IDN SERVICIOS INTEGRALES .............................................................- 1 2. NECESIDADES DE SEGURIDAD INFORMÁTICA EN LA ADMINISTRACIÓN . 3ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIÓN .....................................- 3 GESTIÓN DE INCIDENCIAS ...................................................................................- 5 IDENTIFICACIÓN Y AUTENTICACIÓN ......................................................................- 7 CONTROL DE ACCESO ..........................................................................................- 9 GESTIÓN DE SOPORTES ..................................................................................... - 11 COPIAS DE SEGURIDAD ...................................................................................... - 13 CIFRADO DE DATOS ........................................................................................... - 15 - ANEXO: SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS ............................................................................................. - 18 1. SOLUCIÓN IMPLANTADA EN EL AYUNTAMIENTO DE VÍTORIA- GASTEIZ ............... - 18 2. SOLUCIONES LLEVADAS A CABO EN CASTILLA-LA MANCHA ................................ - 20 3. SOLUCIONES LLEVADAS A CABO EN BARCELONA ............................................... - 20 4. SOLUCIONES LLEVADAS A CABO EN ALCOBENDAS ............................................. - 21 5. ACTUACIONES DEL MINISTERIO DE ADMINISTRACIONES PÚBLICAS .................... - 22 6. ACTUACIONES DEL MINISTERIO DE TRABAJO .................................................... - 23 7. AEPD ............................................................................................................ - 23 8. AGENCIA CATALANA ....................................................................................... - 24 9. ACTUACIONES LLEVADAS A CABO EN CANARIAS ............................................... - 24 10. ACTUACIONES LLEVADAS A CABO EN MURCIA ................................................. - 25 11. ACTUACIONES LLEVADAS A CABO EN LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA DE LA SEGURIDAD SOCIAL ................................................................................. - 25 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD 1. IDN SERVICIOS INTEGRALES IDN Servicios Integrales se caracteriza por ser una empresa especializada en consultoría, diseño, gestión e implantación de Soluciones de Seguridad Informática y Redes de Comunicaciones, con una gran capacidad para abordar soluciones tecnológicas complejas relacionadas con las Tecnologías de la Información. La empresa centra su actividad en el sector de nuevas tecnologías e innovación, calificado como proyecto empresarial I+E por el Ministerio de Trabajo y Asuntos Sociales. En la actualidad, IDN Servicios Integrales está inmersa en el desarrollo de numerosos proyectos para el sector empresarial e institucional, siendo socio tecnológico del Centro Europeo de Empresas e Innovación de Albacete, para la puesta en marcha de dos sistemas de conectividad securizada con el apoyo de las Consejerías de Ciencia y Tecnología e Industria y Trabajo. En los últimos años hemos pretendido acometer proyectos ambiciosos tecnológicamente, desempeñando todo el esfuerzo en la investigación de nuevos productos y servicios de seguridad y confianza en los sistemas de información desarrollados íntegramente por los profesionales del Departamento de Seguridad Informática de IDN Servicios Integrales. La base para ofrecer servicios confiables y de calidad está en la aplicación del conocimiento y experiencia adquirida día tras día, generando soluciones de seguridad a medida para cada uno de nuestros clientes, de forma cercana y personalizada. Nuestro compromiso, siempre en constante evolución y mejora, se fundamenta en el estudio de necesidades e implantación de soluciones integrales de seguridad a medida, poniendo a disposición de nuestros clientes servicios y soluciones acordes a sus requerimientos: Planes de Continuidad y Alta disponibilidad, Auditoria y Consultoría de Seguridad Informática, Certificado y Firma digital, Conectividad de Redes, Protección de Contenidos, Securización de redes, Implantación de SGSI, etc. IDN Servicios Integrales S.L. pone a disposición de sus clientes a los profesionales más cualificados y los medios técnicos más avanzados para ofrecerle servicios de calidad, generando soluciones a medida de cada uno de nuestros clientes. La estructura de la empresa se divide en distintos departamentos: Administración, Infraestructuras y proveedores, Seguridad y Conectividad, Consultoría, Auditoria, Comercial y Marketing, cada uno orientado a conseguir los objetivos acordados en los planes -1- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD estratégicos empresariales, y que de forma conjunta hacen posible alcanzar las metas fijadas a corto y largo plazo. IDN Servicios Integrales ha reforzado su posición como empresa en el mercado al convertirse en la primera empresa de Castilla-La Mancha, proveedora de servicios integrales gestionados, de comunicación y seguridad informática, en conseguir la certificación de su Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE 71502:2004 de AENOR. Esta certificación pone en marcha el motor del ciclo de mejora continuo de nuestro sistema, para gestionar de una manera eficaz, la protección de la seguridad de nuestra información y la de nuestros clientes frente a posibles riesgos existentes dentro y fuera de IDN Servicios Integrales. Se puede decir que es un privilegio ser los promotores y ejecutores de nuestro propio SGSI, lo cual nos ha permitido conocer en mayor profundidad nuestro sistema de información. La Dirección de IDN Servicios Integrales, ha sido pieza clave en el proceso de implantación del Sistema de Gestión de Seguridad de la Información, aportando todos los recursos necesarios con el objetivo de mejorar la gestión de la seguridad de la información, siendo consciente de la importancia de proteger sus activos internos, mejorando sus expectativas de negocio y aportando una clara ventaja competitiva para la empresa. -2- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD 2. NECESIDADES DE SEGURIDAD INFORMÁTICA EN LA ADMINISTRACIÓN ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIÓN NIVEL BÁSICO Artículo 5. Acceso a datos a través de redes de comunicaciones. Las medidas de seguridad exigibles a los accesos a datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local. Artículo 9. Funciones y obligaciones del personal. 1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas, de acuerdo con lo previsto en el artículo 8.2.c). 2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. AMENAZAS RECOMENDACIONES - Controlar el acceso a redes internas y externas. ACCESO NO AUTORIZADO A LA INFORMACIÓN DESDE EL EXTERIOR - Aislar aplicaciones en subredes. - Proteger los sistemas o servidores mediante cortafuegos, que permitan la autenticación de la conexión, control de acceso, ocultación de la estructura interna de la red, inspección del tráfico, y registro de eventos. - Análisis de vulnerabilidades. - Implantar mecanismos que permitan conexiones seguras. - Autentificar el acceso de usuarios a los distintos recursos de la red. - Definir en cada sistema y aplicación los usuarios que pueden acceder a través de conexiones externas. - Controlar el acceso a puertos de diagnóstico remotos. - Acceso remoto a través de redes privadas virtuales. -3- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD - Uso de antivirus. INFECCIÓN MEDIANTE VIRUS - Control de dispositivos para evitar la instalación de software. - Formación del personal en medidas de seguridad. HERRAMIENTAS PROPUESTAS POR IDN FORTIGATE FIREWALL Esta herramienta ofrece: - Antivirus - Filtrado de contenidos Web y de e-mail - Firewalls de inspección detallada - IPSec VPN - Detección y prevención de intrusiones y funciones de desvío de tráfico. FORTICLIENT Protección de redes en tiempo real. Esta solución está diseñada para: - Proveer de acceso remoto seguro a recursos de base operativa móvil, y acceso de sitios remotos de socios de la empresa. FortiClient tiene capacidad IPSec que incluye: - Firewall personal - NAT y NAT Traversal, - Administración de políticas centralizadas - Múltiples políticas para acceder a diferentes dispositivos - Encriptación robusta, y - Una serie de herramientas para troubleshooting. FortiAnalyzer minimiza el esfuerzo requerido para: FORTIANALYZER - Monitorear y mantener políticas de uso aceptables - Identificar patrones de ataques y - Procesar al atacante y descubrir brechas de seguridad. -4- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS Implantación de la Intranet Administrativa de la Administración General del Estado. Las Comunidades Autónomas cuentan con Intranet en su Administración. El Hospital Son Llatzer, de la Consejería de Salud y Consumo de la Comunidad Autónoma y Gobierno de las Islas Baleares, implantaron una solución que consta seguras mediante VPN IP-SEC, uso de tecnologías de tercera de conexiones generación GPRS/ UMTS, utilización de entorno centralizado que no sobrecargue las conexiones (CITRIX), y securización del acceso al dispositivo y a la conexión mediante Tokens USB. GESTIÓN DE INCIDENCIAS NIVEL BÁSICO Artículo 10. Registro de incidencias. El procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma. NIVEL MEDIO Artículo 21. Registro de incidencias. 1. En el registro regulado en el artículo 10 deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. 2. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. AMENAZAS RECOMENDACIONES PERIODOS LARGOS CON EL SISTEMA FUERA - Registrar las incidencias y las soluciones DE SERVICIO llevadas a cabo. IMPACTO DE LAS INCIDENCIAS SOBRE LA ORGANIZACIÓN - Formación de los usuarios respecto del registro de incidencias. -5- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD HERRAMIENTAS PROPUESTAS POR IDN SERVICE DESK - Registra la incidencia: quién informa del problema, síntomas, equipo involucrado, etc. - Clasifica la incidencia y asigna el trabajo a realizar a un grupo de soporte o a un técnico. - Investiga la causa de la incidencia y la compara con otras parecidas. Documenta la solución, anexa ficheros con información relacionada y cierra la incidencia. - Comunica automáticamente al usuario el estado de su solicitud a través del e-mail y/o portal de soporte. - Elabora informes, que ayuden a conocer qué está sucediendo y a mejorar el proceso. SOLUCIONES IMPLANTADAS La Subdirección General de Informática de la Seguridad Social ha implantado, entre otras medidas: - Configuración, evolución y resolución de incidencias hardware/software de los equipos de la red tanto SNA como IP. Gestión de incidencias en el acceso a través de la red troncal y de la red de acceso. Soporte a la operación, mantenimiento de redes y atención a usuarios. El CiberCentro de atención al usuario del Gobierno de Canarias ha sido dotado de una solución de gestión de incidencias que acelera la localización y solución de fallos y optimiza el servicio de atención al cliente. -6- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD IDENTIFICACIÓN Y AUTENTICACIÓN NIVEL BÁSICO Artículo 11. Identificación y autenticación. 1. El responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso. 2. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 3. Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y mientras estén vigentes se almacenarán de forma ininteligible. NIVEL MEDIO Artículo 18. Identificación y autenticación. 1. El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado. 2. Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. AMENAZAS ACCESOS INDEBIDOS A LA INFORMACIÓN RECOMENDACIONES - de mecanismos de identificación y autenticación para acceder a los datos. - ROBO DE INFORMACIÓN Establecimiento Generación de listados de usuarios y claves y renovación periódica de los mismos. - Uso del protector de pantalla. - Registro de usuarios y accesos permitidos para el desempeño de sus funciones. - Uso de identificadores únicos para cada usuario. SOLUCIONES IMPLANTADAS Autenticación basada en técnicas de criptografía asimétrica y en el uso de certificados digitales. -7- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD HERRAMIENTAS PROPUESTAS POR IDN CONTROL DE DIRECCIONES ACCESO IP, NOMBRE POR - Permitir el acceso a todos los ordenadores excepto a DE los que tengan un dirección IP o nombre de host determinados. HOST O DOMINIO - Denegar el acceso a todos los ordenadores excepto a los que tengan un dirección IP o nombre de host determinados. AUTENTICACIÓN MEDIANTE Los usuarios introducen un nombre y una contraseña como medio de asegurar su identidad. Todos los USUARIO/ CONTRASEÑA servidores proporcionan esta forma de autenticación, con distintas posibilidades y niveles de seguridad. CONTROL DE ACCESO POR CERTIFICADOS Permite: - Autenticar al servidor frente a los clientes, - Identificación de clientes mediante certificado. TARJETAS - Vincula la seguridad física e informática. - Unifica distintas aplicaciones de identificación en una sola plataforma centralizada. - Permite proporcionar y denegar los servicios a los usuarios de forma inmediata, reduciendo así el riesgo de que antiguos empleados consigan acceder a datos o sistemas. IDENTIFICADORES BIOMETRICOS La biometría seguridad. La puede aportar tecnología soluciones funciona de mediante alta la comparación de un identificador biométrico contra una nueva muestra que se captura al momento. Este es un proceso que cuenta con tres pasos (capturar, procesar y registrar) seguidos de un cuarto paso de verificación o identificación. SLUCIONES IMPLANTADAS El Ayuntamiento de Vitoria-Gasteiz ha implantado: Para accesos a la red y autenticación, Smart Card Logon con tarjeta ciudadana; Radius y VPN (conexiones externas); HTTP´s; y certificación digital. Como medidas de seguridad en -8- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD equipos, Firewall de Checkpoint, Sondas IDS y estudio de accesos a red (interna y externa) con empresas externas expertas en esta materia. El Gobierno canario instala terminales para fichar con la huella dactilar. Además del control horario sobre su jornada laboral, la implantación del nuevo sistema supondrá un valor añadido para los empleados públicos de la Administración de Justicia, ya que mediante su código personal podrán gestionar a través del sitio web del Gobierno de Canarias los permisos y licencias a que tienen derecho, así como los períodos vacacionales, teniendo un control exhaustivo de los días utilizados y disponibles. CONTROL DE ACCESO NIVEL BÁSICO Artículo 12. Control de acceso. 1. Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. 3. La relación de usuarios a la que se refiere el artículo 11.1 de este Reglamento contendrá el acceso autorizado para cada uno de ellos. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero. NIVEL MEDIO Artículo 19. Control de acceso físico. Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal. NIVEL ALTO -9- NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Artículo 24. Registro de accesos. 1. De cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. 2. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. 3. Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos. 4. El período mínimo de conservación de los datos registrados será de dos años. 5. El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes. AMENAZAS ACCESO RECOMENDACIONES INDEBIDOS A LA INFORMACIÓN ACCESO DE AUTORIZADAS - Listado actualizado de usuarios con acceso a información restringida. PERSONAS NO - Definición de mecanismos que identifiquen a cualquier usuario que acceda a datos restringidos y comprobación de su autorización para ello. Limitar el tiempo máximo de conexión a aplicaciones, así como la franja horaria de acceso. - Mantener un registro de eventos relativos al control de acceso. - Controlar el acceso a los programas de utilidades. - Bloquear las cuentas que no sean utilizadas durante un período de tiempo fijado. - Implantar control de acceso físico y lógico. Control de acceso físico a los locales donde se encuentren los datos a proteger. - Implantar procesos de autenticación. - Gestión de claves. HERRAMIENTAS PROPUESTAS POR IDN - 10 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD FORTIMANAGER Es una herramienta integrada de administración y monitoreo que permite administrar fácilmente gran cantidad de Firewalls Antivirus FortiGate. Minimiza el esfuerzo administrativo requerido para implementar, configurar, monitorear, y mantener el rango completo de los servicios de protección de red provistos por los dispositivos FortiGate instalados en ubicaciones locales y remotas. SANTUARY DEVICE CONTROL - Controla el acceso de usuarios a los dispositivos físicos del sistema - Impide la introducción de código malicioso, software ilícito y otros programas contraproducentes - Proporciona un sistema de Log. SOLUCIONES IMPLANTADAS Firma electrónica avanzada basada en certificados reconocidos. GESTIÓN DE SOPORTES NIVEL BÁSICO Artículo 13. Gestión de soportes. 1. Los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad. 2. La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en los que esté ubicado el fichero, únicamente podrá ser autorizada por el responsable del fichero. NIVEL MEDIO - 11 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Artículo 20. Gestión de soportes. 1. Deberá establecerse un sistema de registro de entrada de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción que deberá estar debidamente autorizada. 2. Igualmente, se dispondrá de un sistema de registro de salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. 3. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario. 4. Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos. NIVEL ALTO Artículo 23. Distribución de soportes. La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte. AMENAZAS RECOMENDACIONES PERDIDA DE DATOS - Mantener un registro de salida y entrada DIFUSIÓN DE LA INFORMACIÓN de soportes. - Establecimiento de métodos de inventariado y clasificación de los soportes informáticos en dónde se almacenan los datos con acceso restringido a los mismos. - Etiquetar transportable cada con soporte el máximo electrónico nivel de seguridad de la información que contenga. - Aplicar cifrado integral del disco duro para la protección de la confidencialidad de la información contenida en equipos portátiles - 12 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD y en otros equipos que puedan contener información que requiera confidencialidad. SOLUCIONES IMPLANTADAS Fujitsu España, ha dotado al CiberCentro de atención al usuario del Gobierno de Canarias de una solución de gestión de incidencias que acelera la localización y solución de fallos y optimiza el servicio de atención al cliente. El software implementado integra el inventario completo de todos los equipos atendidos por el CiberCentro y registra la totalidad de las solicitudes de servicios. COPIAS DE SEGURIDAD NIVEL BÁSICO Artículo 14. Copias de respaldo y recuperación. 1. El responsable de fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. 2. Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberá garantizar su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. 3. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. NIVEL MEDIO Artículo 22. Pruebas con datos reales. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado. NIVEL ALTO - 13 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Artículo 25. Copias de respaldo y recuperación. Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan cumpliendo en todo caso, las medidas de seguridad exigidas en este Reglamento. AMENAZAS RECOMENDACIONES PERDIDA DE - Etiquetar cada soporte electrónico transportable con el INFORMACIÓN máximo nivel de seguridad de la información que contenga. - Incluir en las copias de respaldo los ficheros de registros de eventos (trazas de audit, logs) y diario de incidencias. - Emplear en las copias de respaldo formatos no propietarios que garanticen su accesibilidad en el tiempo. - Realización de copias de seguridad que garanticen la reconstrucción de los datos en el momento en que se produzca la pérdida o destrucción de los mismos. - Definición de un calendario de realización de copias de seguridad (una semanalmente al mínimo). HERRAMIENTAS PROPUESTAS POR IDN AUTOMATED Permite enviar archivos a los destinos deseados, haciendo copias DISTRIBUTION UTILITY de seguridad que pueden ser recuperadas. EASEBACKUP Soporta infinidad de dispositivos donde efectuar la copia. También PROFESSIONAL permite utilizar el correo electrónico o un sitio FTP para almacenar las copias creadas. Incorpora tecnología que permite compresiones de hasta un 90 % con respecto al tamaño original de los archivos. EVERYDAY Permite realizar copias de seguridad automatizadas, después de AUTOBACK añadir o modificar un backup proyectado, este software puede generar inmediatamente la lista de tareas diarias acordadas según la configuración. NOVABACKUP Crea copias de seguridad de servidores, pequeñas redes, discos duros, etc. Posee una gran variedad de opciones y una interfaz muy simple. - 14 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD COBIAN BACKUP Permite realizar copias de seguridad de ficheros y carpetas, y guardarla en el disco duro local o en alguna otra unidad de red. Además permite: - Realizar copias periódicas - Soporta protocolos de compresión de archivos, mediante el uso del algoritmo ZIP y se puede proteger con contraseña. - Permite copias progresivas. SOLUCIONES IMPLANTADAS La Diputación de Barcelona dispone en todas las oficinas de una línea de back-up integrada al router. CIFRADO DE DATOS NIVEL ALTO Artículo 26. Telecomunicaciones. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. AMENAZAS RECOMENDACIONES ACCESO A LA - Intercambio de una clave simétrica de cifrado por un canal seguro o INFORMACIÓN después de cifrarla con criptografía asimétrica. - Proteger la confidencialidad de las claves privadas frente a su divulgación no deseada y su modificación o destrucción. - Proteger las claves públicas frente a su modificación o destrucción. - Generar y obtener certificados de clave pública. - Distribuir las claves a los distintos usuarios incluyendo la forma de activación de claves cuando se reciben. - Almacenar las claves incluyendo la forma en que los usuarios autorizados pueden acceder a ellas. - Cambiar y actualizar las claves incluyendo las normas relativas a la - 15 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD forma de realizar los cambios. - Actuar ante situaciones en las que se ha violado una clave privada. - Revocar las claves incluyendo su desactivación y anulación. - Archivar las claves para la información respaldada en distintos medios de almacenamiento. - Crear un diario de actividades relacionadas con la administración de claves, para su utilización con fines de auditoría. - Aplicar cifrado integral del disco duro para la protección de la confidencialidad de la información contenida en equipos portátiles y en otros equipos que puedan contener información que requiera confidencialidad. - Aplicar cifrado en los soportes removibles. - Utilizar algoritmos que permitan una longitud mínima de 128 bits: 3DES, IDEA, RC4, RC5, AES, o equivalentes. - Utilizar el protocolo SSL v3/TLS v1 o superior con cifrado simétrico de al menos 128 bits, para el establecimiento de sesión Web cifrada. - Utilizar el estándar S/MIME v2 o superior con correo electrónico seguro. - Utilizar SSH en sesiones de administración. HERRAMIENTAS PROPUESTAS POR IDN AUTOCRIPT Características: - Encripta y desencripta ficheros y carpetas. - Diversos métodos de encriptamiento. - Administración de llaves de encriptamiento. - Copia, comprime, descomprime, sincroniza y monitorea ficheros. CRYPT2000 - Permite programar funciones. - Interfaz intuitiva y fácil de usar Descripción: Es una solución de Seguridad contra terceros que garantiza el Control de Acceso a la máquina, y preserva la confidencialidad de la Información, mediante el cifrado del disco duro y de las carpetas de Red. - 16 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD - Impide el acceso a la máquina por personal no autorizado - Protege la Información ante robos, ya que resulta ilegible Dependiendo de la modalidad de Cryt2000 se obtienen las siguientes ventajas: - Control de Acceso - Cifrado del Disco Duro - Cifrado de Carpetas de Red - Arranque con Tarjeta SOLUCIONES IMPLANTADAS Entre las tecnologías utilizadas destaca el Ayuntamiento de Vitoria-Gasteiz utilizando: Para intercambio de información con otras entidades, AXCRIPT (cifrado de los datos) y EDITRAN (vía líneas X.25 de forma segura). - 17 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD ANEXO: SOLUCIONES IMPLANTADAS EN LAS ADMINISTRACIONES PÚBLICAS 1. SOLUCIÓN IMPLANTADA GASTEIZ EN EL AYUNTAMIENTO DE VÍTORIA- Para dar respuesta a sus necesidades, el Ayuntamiento de Vitoria-Gasteiz cuenta con: Sistema de información. Redundancia de los recursos más críticos, para mayor seguridad de los datos ante posibles pérdidas de información, se han implantado filtros, firewalls, etc., para evitar accesos indebidos al sistema, que afecten a la seguridad e integridad de los datos y de las infraestructuras. Entre los principales proyectos que se han llevado acabo con relación a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) y a la securización en la infraestructura de sistemas y de redes de comunicaciones, cabe destacar: La instauración de reglas para las contraseñas de acceso a los sistemas, La adecuación del registro de soportes magnéticos y la creación de BD de accesos físicos al CPD". En tercer lugar, se han llevado a cabo diagnósticos de seguridad y pruebas de vulnerabilidad, con la realización periódica de diagnósticos sobre protección de datos de carácter personal y sobre el estándar ISO/IEC 17799, con el propósito de determinar el grado del cumplimiento de la normativa relativa a la LOPD; Reconocer y analizar el estado de vulnerabilidad de la instalación frente a las amenazas, y evaluar el grado de exposición, atendiendo a la probabilidad de materialización de la amenaza; Determinar el nivel de riesgo asumido, en función de las medidas de control y contención implantadas por cada amenaza detectada; y Valorar la oportunidad de adoptar un conjunto de contramedidas adecuado a las amenazas presentes, considerando la relación coste-beneficio entre el esfuerzo de adecuación y el control obtenido". Asimismo, se han implantado medidas preventivas: La adecuación de las aplicaciones y ficheros municipales a la LOPD; La protección perimetral desde Internet al ayuntamiento y el filtrado de lo enviado desde el ayuntamiento hacia el exterior; - 18 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD La protección periférica de los accesos desde y hacia entes asociados; la protección interna, empezando desde el nodo principal; La protección y política de accesos remotos; y La instauración y extensión de las políticas de seguridad. Otras actuaciones han sido: La elaboración del Documento de Instrucciones TICs; La gestión de las incidencias de seguridad para identificarlas, registrarlas, tratarlas e identificar y resolver sus causas; Las acciones orientadas a mejorar la seguridad en la red municipal se realizan trabajos de securización de red, con mejoras en los firewall, configuración de VPNs, así como en redes periféricas). Por último mencionar también la instalación de líneas ADSL con router y conexión VPN, con el objeto de Además, establecer un nexo seguro de comunicación entre los centros municipales. en la aplicación de seguridad y control de accesos, se realizaron mejoras para permitir trabajar con tarjetas de identificación digital. Con objeto de salvaguardar los datos de carácter personal, en 2002 se elaboró un plan de acción, el Proyecto Integral de Mejora en el Tratamiento de Datos de Carácter Personal por el Ayuntamiento de Vitoria-Gasteiz. En este marco, el departamento trabaja en dos ámbitos: protección de datos de carácter personal y el estándar internacional ISO/IEC 17799, de buenas prácticas para preservar la confidencialidad de la información, su integridad y disponibilidad. Las iniciativas más destacadas son: Normativa y organización de seguridad; Principio de información en la recogida de datos y consentimiento del interesado; Deber de secreto; acceso a datos por terceros y comunicación de datos; y Ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Como tecnologías utilizadas, se encuentran las siguientes: Para intercambio de información con otras entidades, AXCRIPT (cifrado de los datos) y EDITRAN (vía líneas X.25 de forma segura). Para accesos a la red y autenticación, Smart Cari Logon con tarjeta ciudadana; Radius y VPN (conexiones externas); HTTP´s; y certificación digital. Como medidas de seguridad en equipos, Firewall de Checkpoint, Sondas IDS y estudio de accesos a red (interna y externa) con empresas externas expertas en esta materia. - 19 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD 2. SOLUCIONES LLEVADAS A CABO EN CASTILLA-LA MANCHA En Castilla-La Mancha los dos principales proyectos que se han desarrollado enfocados al cumplimiento de la Ley de Protección de Datos de Carácter Personal son: LOPD-JCCM, para la gestión de los ficheros públicos dentro de la propia administración autonómica; y ProtegeteCLM, para la gestión de los ficheros privados de las pymes de la región. Además, cuentan con una herramienta AINCO-CRU, de desarrollo propio, que es el punto de entrada de consultas e incidencias de usuarios a distintos servicios TIC de la Administración, y que se ha adaptado para que cumpla con los requisitos que exige la serie de normas ISO 27000, para que el sistema de gestión de seguridad sea certificable. 3. SOLUCIONES LLEVADAS A CABO EN BARCELONA Los desarrollos realizados por la Diputación de Barcelona se orientan a: La seguridad y disponibilidad de la infraestructura tecnológica; La seguridad en el almacenamiento de datos; La seguridad y confidencialidad en el acceso a la base de datos; Las garantías de integridad y fiabilidad en los documentos electrónicos gestionados por el ORGT. Para conseguir estos objetivos los criterios seguidos son: Redundancia en la mayoría de los equipos que componen la infraestructura tecnológica, desde los servidores de aplicaciones hasta la red de comunicaciones. Esta infraestructura consta de: o Servidor de EMC, modelo Symmetrix DMX800, dedicado a la gestión del almacenamiento en disco, formando con el resto de servidores una red en tecnología SAN. o Dos servidores de HP, modelo rx600 y rx3600, con procesadores Itanium2 y sistema operativo gestión tributaria, HP-UX, en los que reside la aplicación corporativa de funcionando en modo cluster, con el software MC/ServiceGuard de HP. o Dos servidores de HP modelo Proliant DL380, con Windows 2003, en la modalidad cluster, para soporte al correo electrónico; o Dos servidores de HP Proliant DL740, con el software de virtualización VMWARE, funcionado en cluster, en el que se han implementado varios - 20 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD servidores Windows 2003 para distintos aplicativos de gestión, entre ellos la Web del ORGT. o Un servidor de EMC Celerra NS40G, con dos unidades de control, actuando como servidor de ficheros corporativo en tecnología NAS; o Un servidor de back-up, en disco de EMC Calriion DL210, con la unidad de cintas robotizada ADIC Scalar, y o Una granja de servidores para Citrix sobre un sistema de servidores en tecnología blade de HP. Otro componente básico de la infraestructura es la red de comunicaciones, que consta de líneas MacroLan en las oficinas con más de tres puestos y líneas ADSL en las de tres o menos puestos de trabajo, disponiendo todas las oficinas de una línea de back-up integrada al router. En cuanto a seguridad y confidencialidad en el acceso a la base de política de accesos al sistema informático del ORGT se ha basado datos, la en la identificación del usuario con un nombre de usuario personalizado; es decir, no existen nombres de usuario genéricos, ni departamentales. En el Ayuntamiento de Barcelona, las grandes líneas de actuación contemplan: La continuidad del negocio y los planes de contingencia respecto a catástrofes; La política de seguridad (organización de la seguridad, normativas y procedimientos); el control de acceso y conectividad con el exterior; la arquitectura de red, los servicios y las protecciones específicas de seguridad; los mecanismos de gestión, control y revisión de la seguridad; y La legalidad (cumplimiento de la LOPD). 4. SOLUCIONES LLEVADAS A CABO EN ALCOBENDAS El Ayuntamiento de Alcobendas ha reorganizado los procesos administrativos y fijado un modelo de los mismos en su apuesta por la evolución hacia una administración electrónica, poniendo en marcha las siguientes iniciativas: Implantación de una plataforma de gestión de expedientes para el intercambio de datos interdepartamental o con el exterior (un ejemplo sería la posibilidad de acceder al sistema de compras por catálogo de Patrimonio, del Ministerio de Hacienda). Incorporación de la firma digital para asegurar la integridad de las comunicaciones telemáticas y la autenticidad de la identidad de los usuarios. - 21 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Con todo ello, se han establecido los pasos previos al objetivo final del Plan de Estratégico de Sistemas de la entidad municipal: la tramitación electrónica. 5. ACTUACIONES PÚBLICAS DEL MINISTERIO DE ADMINISTRACIONES A continuación explicamos algunas actuaciones que ha llevado a cabo el MAP en el ámbito de la seguridad y protección de datos. Utilización de la Metodología de Análisis y Gestión de Riesgos para la seguridad de los sistemas de información (MAGERIT) para calcular los riesgos. Evaluar el riesgo y gestionarlo mediante salvaguardas para reducirlo, hasta alcanzar un nivel que se esté en condiciones de asumir. Fijar unos Criterios de Seguridad, Normalización y Conservación de las aplicaciones utilizadas para el ejercicio de potestades. Se trata de una serie de criterios para la adopción de un conjunto de medidas organizativas y técnicas, necesarias para garantizar la validez y eficacia de los procedimientos administrativos en los que se utilicen medios electrónicos, informáticos y telemáticos, y para asegurar la protección de la información de los ciudadanos en sus relaciones con la Administración. o Criterios de normalización, orientados a facilitar la compatibilidad técnica y la interoperabilidad de las aplicaciones; Criterios de conservación de la información en soporte electrónico, durante o todo el ciclo de vida de la tramitación electrónica administrativa, desde su creación hasta su archivo o destrucción. La tercera actuación comprende el Generador de declaraciones sobre políticas de protección de datos de carácter personal. Es una herramienta didáctica, cuyo objeto es ofrecer orientación sobre cómo realizar una revisión interna de las prácticas existentes sobre datos de carácter personal, y cómo elaborar una correcta declaración sobre políticas de protección de estos datos, adaptada a la legislación española. Con el uso del Generador se pretende: Fomentar el conocimiento de los temas relativos a la protección de datos de carácter personal, entre los propietarios de páginas Web; Aumentar el conocimiento, entre los visitantes, sobre las prácticas de protección de datos de carácter personal en las páginas Web que visiten; Conocer y divulgar la normativa española vigente en cuestiones de protección de datos de carácter personal; Animar a usuarios y consumidores a confiar en las redes mundiales y el comercio electrónico". - 22 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Entre los retos de futuro que se ha planteado, se encuentra desarrollar de forma coordinada con las otras Administraciones Públicas (españolas y europeas) y otros actores (por ejemplo, del sector privado) ciertas actuaciones de infraestructura tecnológica (como las relacionadas con la certificación de la seguridad de la tecnología de la información o de verificación del cumplimiento de los requisitos de las infraestructuras de clave pública). Además, contempla el desarrollo del soporte organizativo, para la promoción e implantación de la cultura de la seguridad y para la ordenación de la seguridad de la información y de las tecnologías que la manejan. 6. ACTUACIONES DEL MINISTERIO DE TRABAJO El Ministerio de Trabajo y Asuntos Sociales también mantiene una especial sensibilidad sobre la seguridad y protección de datos. En el MTAS se gestionan datos personales, incluso con protección alta, para los cuales se establecen: Protecciones en base a autenticación con X509, Cifrado de datos, Redundancia de los sistemas y auditoria de los accesos. Dispone de extranet, incluso con dispositivos móviles, que acceden vía VPN. Además de cumplir con las obligaciones de la LOPD, se ha adjudicado recientemente el rediseño y reforzamiento de la seguridad perimetral. La tecnología que se utiliza en los desarrollos se centra en certificados X509v3, IPSEC, SSL, doble firewall, detección de vulnerabilidades, auditoria centralizada, cifrado hardware, etc. Para su implementación, cuentan con la colaboración de diversas empresas tecnológicas, como Da Vinci, Telefónica España, SIA, Unisys y SUN. 7. AEPD Entre las empresas que colaboran con la agencia destacan: - Safelayer, para el servicio de Time Stamping y los certificados digitales de los empleados públicos; - Da Vinci, para el certificado digital del ciudadano; - Netfocus y T-Systems, para el Validador; - GyD, para las tarjetas xip; - Telefónica, para el hosting; - Cap Gemini para Call Center; e - InetSecur y S21sec, para auditoria informática y tests de intrusión. - 23 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD 8. AGENCIA CATALANA Durante 2006, la Agencia Catalana de Protección de Datos comenzó dos proyectos relacionados con la protección y seguridad de los datos: El diseño e implantación parcial de un proyecto de uso de tarjetas criptográficas, con el objetivo de la utilización de tarjetas criptográficas por parte de todos los miembros de la agencia en la realización de diferentes tareas: identificación/autenticación de usuario para el uso de las estaciones de trabajo y recursos de red; firma/cifrado de mensajes de correo electrónico; cifrado de los discos de las estaciones de trabajo con datos de especial sensibilidad; y apertura de puertas y uso de fotocopiadoras El diseño de un nuevo sistema de copias de seguridad. 9. ACTUACIONES LLEVADAS A CABO EN CANARIAS Fujitsu España, ha dotado al CiberCentro de atención al usuario del Gobierno de Canarias de una solución de gestión de incidencias que acelera la localización y solución de fallos y optimiza el servicio de atención al cliente. El CiberCentro del Gobierno de Canarias presta servicio a 70.000 funcionarios y recoge y gestiona más de 146.000 solicitudes de servicios y solución de incidencias relativas a la infraestructura tecnológica del Gobierno de Canarias. El software implementado integra el inventario completo de todos los equipos atendidos por el CiberCentro y registra la totalidad de las solicitudes de servicios. Además, incorpora una búsqueda rápida de usuarios, por lo que ofrece al operador una identificación completa que incluye el histórico de fallos con sus soluciones. El operador puede utilizar esta información tanto para resolver su solicitud de forma inmediata como para ofrecer un trato más personalizado y mayor calidad al usuario. Además de estas mejoras, la herramienta dispone de categorización de incidencias y permite cruzar solicitudes de distintos usuarios generadas por un mismo error. También posee un completo sistema de notificaciones que controla el proceso de resolución de incidencias y mantiene informados a los usuarios del estado de su solicitud. Por otro lado, la solución perfecciona la gestión de los Acuerdos de Nivel de Servicio (SLAs) y proporciona varios tipos de informes. La solución está basada en una herramienta desarrollada por uno de los partners de Fujitsu, Remedy. Fujitsu España ha realizado una parametrización total de la herramienta para ajustarse a los requerimientos de funcionamiento del Gobierno de Canarias y se ha - 24 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD encargado de la traducción al español tanto de la herramienta como de la documentación. Para completar el proyecto, se ha implementado el acceso vía Web a la aplicación. 10. ACTUACIONES LLEVADAS A CABO EN MURCIA En Murcia, se han llevado a cabo proyectos de varios tipos: Proyectos para garantizar a los funcionarios y trabajadores accesos y conexiones seguras a los sistemas y servicios de la comunidad autónoma: los proyectos IdeCor y DAR_FE destacan en esta categoría. Proyectos que tienen como objetivo incrementar los niveles de seguridad y protección de los sistemas y los datos, así como mejorar los sistemas de gestión de la seguridad corporativa: destacando los proyectos ASA, CopiCor y SGSI 11. ACTUACIONES LLEVADAS A CABO EN LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA DE LA SEGURIDAD SOCIAL Asistencia Técnica en el área de comunicaciones de la Seguridad Social. Los aspectos desarrollados en este proyecto son, entre otros: Configuración, evolución y resolución de incidencias hardware/software de los equipos de la red tanto SNA como IP. Gestión de incidencias en el acceso a través de la red troncal y de la red de acceso. Soporte a la operación, mantenimiento de redes y atención a usuarios. Evolución de la red. Asesoría e implantación de nuevas tecnologías. Realización de pilotos de nuevas tecnologías en la red: voz sobre IP, web caching, redes privadas virtuales,… Creación del entorno seguro de Conexiones Externas para interconexión con entidades ajenas a la SGI. Implantación de la red local de alta velocidad con tecnología DWDM para el entorno central. Definición e implantación de las políticas de priorización de tráfico y control de accesos. Definición e implantación de las políticas de routing. - 25 - NECESIDADES DE SEGURIDAD EN LA ADMINISTRACIÓN PÚBLICA PARA EL CUMPLIMIENTO DE LA LOPD Elaboración de documentación y herramientas de soporte para la ampliación de la red y nuevas instalaciones. Creación de procedimientos de actuación ante contingencias,… Desarrollo y mantenimiento del cliente del Sistema RED (X.400 e INTERNET), y de la conectividad entre los diferentes canales y el Sistema Central. Mantenimiento correctivo, evolutivo, normativo, y perfectivo, de las diferentes versiones de la WinSuite (Cliente del Sistema RED), soporte técnico y funcional a Unidades de Atención a Usuarios, y usuarios finales del Sistema, y gestión y mantenimiento del software de tratamiento de mensajes entre los diferentes canales de recepción (X.400, EDITRAN, EDIFACT, Internet) y los Sistemas Centrales de la TGSS. - 26 -