La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Juan Carlos Huertas Amaya. M.Sc., MBA(c)

Publicada porAntonia Chica Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Juan Carlos Huertas Amaya. M.Sc., MBA(c)"— Transcripción de la presentación:

1 Juan Carlos Huertas Amaya. M.Sc., MBA(c)
Validez de la seguridad informática en el tiempo: …un enfoque documental seguro en el tiempo… Hoy... Mañana ? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)

2 Qué buscamos responder…
Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos “seguros” en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de “informatización” del papel?

3 Agenda Problemática actual: un enfoque hacia los paradigmas,
Paradigma actual de la seguridad: seguridad en “línea”, Propuestas de seguridad en el tiempo: un enfoque PKI-documental, Existe un modelo óptimo documental seguro en el tiempo, Reflexiones finales.

4 Problemática actual: paradigmas de la seguridad

5 Problemática actual: paradigmas de la seguridad
Ninguna seguridad: en la primera era computacional no era tenida en cuenta. Ejm.: Internet, DOS, etc. Funcionalidad luego seguridad: primero se pensaba y desarrollaba en cómo debería funcionar un servicio; luego se pensaba en seguridad como algo adicional.

6 Problemática actual: paradigmas de la seguridad
Seguridad en línea: la seguridad se aplica en función de las transacciones y/o servicios del día a día. Ejm.: seguridad en la red (lo que sale llegue OK a su destino), autenticación en una BD y/o SO, control de acceso (perfiles), etc. Seguridad en el tiempo: seguridad en línea + seguridad en temas documentales en el tiempo. Es vital el valor probatorio de la información electrónica.

7 Problemática actual: paradigmas de la seguridad
Hoy cuál es la tendencia? Definitivamente seguridad en línea, Lo grave del asunto es que la “informatización del papel” no ha parado ni puede parar: sería como decirle no a la tecnología. Papel + Procedimientos: Su evolución natural es la

8 Problemática actual: paradigmas de la seguridad
Pero por qué? Son varias las razones: La tecnología no para y no depende de nosotros, La tecnología es una tentación inevitable, Inconscientemente pasamos del papel a la información electrónica, La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc., …y, sencillamente evolucionamos por instinto y necesidad de sobrevivir.

9 El gran interrogante: Qué hacer?
Problemática actual: paradigmas de la seguridad El gran interrogante: Qué hacer? + - Seguridad Tiempo Modelos obsoletos y quedados con respecto a la industria: pérdida de competitividad Problemas de disponibilidad de información en el tiempo

10 Paradigma actual: seguridad en línea

11 Paradigma actual: seguridad en línea
Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día, Se busca tecnología del mañana para resolver la seguridad del hoy, Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la información electrónica olvidando los procedimientos y normatividades vigentes para el papel.

12 Paradigma actual: seguridad en línea
Otros servidores Públicos Otros accesos externos Servidor WEB FW Internet SSL U1 VPN Internet DMZ - Internet U2 Red Desarrolladores externos Plano U3 MZ - Internet VPN Red Interna Cliente X VPN DMZ - FW Corp. Cliente Y Cripto Cripto Cliente Z Soft. VPN MZ - FW Corp. Servidores Corporativos Esquema redundante, Seguridad de aplicación, Single-Sign-On (SSO). FW Corporativo

13 Paradigma actual: seguridad en línea
Grave problema: la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica “insegura” para el futuro sin que seamos concientes de ello… Ejemplo: Seguridad: Verificación de firma manuscrita, Verificación del logo en el papel, Autenticación notarial de firmas, Papel se puede recuperar en el tiempo. Actualmente con el papel… Memorando Físico Pedro Ana Actualmente con la información electrónica… Seguridad: Hay? Memorando Electrónico: correo Pedro Ana

14 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

15 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental
Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-, PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI), Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave, Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves simétricas.

16 Cómo garantizo 50 años después sobre D que:
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Simplificación de la problemática de la seguridad documental en el tiempo: Sea D un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por A en la fecha F, Cómo garantizo 50 años después sobre D que: Fue originado por A en la fecha F, D no ha sido modificado en el tiempo, D está disponible (visible claramente).

17 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental
Antes veamos módulos principales de un PKI. PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit. Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos. PKI gestionado y no gestionado. Encripción: garantiza confidencialidad. Firma digital: Autenticación, Integridad y No Repudio.

18 Modelo Hoy Futuro Gestión del PKI en el Tiempo Firma: F(D) = DF
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Hoy Futuro Gestión del PKI en el Tiempo Firma: F(D) = DF Sea K la llave privada y CO el certificado Basado en PKI Requiere: DF + CO + PKI Time Stamping: T(D) = DT Basado en llaves privadas y públicas del PKI (CAT) Requiere: DT + CAT + PKI (AT)

19 Modelo Hoy Futuro Gestión del PKI en el Tiempo Encripción: E(D) = DE
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Hoy Futuro Gestión del PKI en el Tiempo Encripción: E(D) = DE Sea K la llave privada y CO el certificado Basado en PKI Requiere: DE + K + PKI Problemas de gestión: llaves duales (Firma y Encripción). Cómo manejo historial privado de llaves privadas de A ?

20 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental
PKI Gestionado: tiene en cuenta características de seguridad en el tiempo, PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo.

21 Problemas por resolver:
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en estándares y líderes de la industria, El PKI no resuelve el tema de almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en el tiempo, etc.

22 Problemas por resolver:
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word? Más perlas: supongamos que el formato que promete la industria que sea perdurable es XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar todo a XML en tiempos “humanos”: !!!!imposible.

23 Problemas por resolver: Qué hacer ? Propuestas:
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Qué hacer ? Propuestas: Evite guardar en el tema documentos encriptados, Apúntele a las PKI gestionadas, Firme, y si es del caso encripte, pensando en una ventana documental del tiempo definida (por ejemplo 6 años),

24 Ningún proveedor de tecnología podría garantizar el tiempo infinito,
Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Qué hacer ? Propuestas: Ningún proveedor de tecnología podría garantizar el tiempo infinito, Lo que requiera más de 6 años, déjelos en papel, Tratemos de cambiar el paradigma de guardar todo para siempre.

25 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental
Servicios Corportativos Ciclo de Vida Proyectos, Calidad Servicios Informáticos Informática PKI, Políticas, Mecanismos, Medios Seguros Modelo de Seguridad Seguridad en Línea Servidores de almacenamiento, Robots Políticas Almacenamiento Almacenamiento ON-LINE - Históricos Interfaz: Técnica y Operativa (entrega del servicio a Documentación) DOCS, PKI, Gestión buzones, etc. Generación, Distribución, Seguimiento, Recuperación Gestión Documental KM = People + Process + Technology + Content Content in Context: content is organized by practice, industry, and geography, in that order. Previously, content was organized by country and often inaccessible to practices in other geographies. Global technology fabric is based on MS technology. Process is reinforced by the Global Knowledge Exchange (GKE), located in Boston. People: easy learning curve with familiar user interface. PKI, Políticas, Mecanismos, Medios Seguros No Repudiación, Autenticación, Privacidad, Disponibilidad, Integridad, Control de Acceso, Observancia Documentación Seguridad en el Tiempo Medio Masivo y Robusto de Almacenamiento Políticas Documentales Almacenamiento

26 Existe un modelo óptimo documental seguro en el tiempo ?

27 Ni siquiera la industria lo tiene claro,
Existe un modelo óptimo documental seguro en el tiempo ? No, Ni siquiera la industria lo tiene claro, Pero algo hay que hacer porque la tecnología no nos permite frenar, Pensar mucho ahora para no tener problemas en un futuro (nueva generación), Si no lo hacemos la seguridad podría verse como inseguridad: encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta afirmación.

28 Juan Carlos Huertas Amaya. M.Sc., MBA(c)
Reflexionemos Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos “seguros” en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de “informatización” del papel? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)

Descargar ppt "Juan Carlos Huertas Amaya. M.Sc., MBA(c)"

Presentaciones similares

el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes

el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes
Ubicuidad en el manejo de los datos

Ubicuidad en el manejo de los datos
CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
CERTIFICACIÓN DIGITAL

CERTIFICACIÓN DIGITAL
Certificados X.509 Federico García

Certificados X.509 Federico García
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
Ministerio de Comercio, Industria y Turismo República de Colombia Ministerio de Comercio, Industria y Turismo República de Colombia Ventanilla Unica de.

Ministerio de Comercio, Industria y Turismo República de Colombia Ministerio de Comercio, Industria y Turismo República de Colombia Ventanilla Unica de.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005. Resumen. 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.

Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Venda sus productos por Internet

Venda sus productos por Internet
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.
Curso de Seguridad Informática

Curso de Seguridad Informática
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
I Definición Una ventanilla única es definida como una facilidad que permite a las partes involucradas en el comercio, presentar información y documentación.

I Definición Una ventanilla única es definida como una facilidad que permite a las partes involucradas en el comercio, presentar información y documentación.
INFRAESTRUCTURA DE CLAVE PÚBLICA

INFRAESTRUCTURA DE CLAVE PÚBLICA
Base de Datos Distribuidas Bases de Datos II Universidad Argentina J. F. Kennedy - Año 2008 Maletin Yahoo => briefcase.yahoo.com Usuario => bd2_jfk Pssw.

Base de Datos Distribuidas Bases de Datos II Universidad Argentina J. F. Kennedy - Año 2008 Maletin Yahoo => briefcase.yahoo.com Usuario => bd2_jfk Pssw.
Hacia un sistema institucional de costos 04 / 12 / 09 Sitio Web para descarga de productos SC Dirección General de Planeación y Desarrollo en Salud.

Hacia un sistema institucional de costos 04 / 12 / 09 Sitio Web para descarga de productos SC Dirección General de Planeación y Desarrollo en Salud.

Presentaciones similares

Anuncios Google