La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)

Presentaciones similares


Presentación del tema: "JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)"— Transcripción de la presentación:

1 JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)

2 JCH-2 Somos concientes de para qué usamos nuestra seguridad hoy? Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos seguros en el mañana con la seguridad del hoy? Estaremos seguros en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de informatización del papel? Podemos detener el proceso de informatización del papel? Qué buscamos responder…

3 JCH-3 Problemática actual: un enfoque hacia los paradigmas, Problemática actual: un enfoque hacia los paradigmas, Paradigma actual de la seguridad: seguridad en línea, Paradigma actual de la seguridad: seguridad en línea, Propuestas de seguridad en el tiempo: un enfoque PKI-documental, Propuestas de seguridad en el tiempo: un enfoque PKI-documental, Existe un modelo óptimo documental seguro en el tiempo, Existe un modelo óptimo documental seguro en el tiempo, Reflexiones finales. Reflexiones finales. Agenda

4 JCH-4 Problemática actual: paradigmas de la seguridad

5 JCH-5 1.Ninguna seguridad: en la primera era computacional no era tenida en cuenta. Ejm.: Internet, DOS, etc. 2.Funcionalidad luego seguridad: primero se pensaba y desarrollaba en cómo debería funcionar un servicio; luego se pensaba en seguridad como algo adicional. Problemática actual: paradigmas de la seguridad

6 JCH-6 3.Seguridad en línea: la seguridad se aplica en función de las transacciones y/o servicios del día a día. Ejm.: seguridad en la red (lo que sale llegue OK a su destino), autenticación en una BD y/o SO, control de acceso (perfiles), etc. 4.Seguridad en el tiempo: seguridad en línea + seguridad en temas documentales en el tiempo. Es vital el valor probatorio de la información electrónica. Problemática actual: paradigmas de la seguridad

7 JCH-7 Hoy cuál es la tendencia? Definitivamente seguridad en línea, Hoy cuál es la tendencia? Definitivamente seguridad en línea, Lo grave del asunto es que la informatización del papel no ha parado ni puede parar: sería como decirle no a la tecnología. Lo grave del asunto es que la informatización del papel no ha parado ni puede parar: sería como decirle no a la tecnología. Problemática actual: paradigmas de la seguridad Papel + Procedimientos: Su evolución natural es la

8 JCH-8 Pero por qué? Pero por qué? Son varias las razones: Son varias las razones: La tecnología no para y no depende de nosotros, La tecnología no para y no depende de nosotros, La tecnología es una tentación inevitable, La tecnología es una tentación inevitable, Inconscientemente pasamos del papel a la información electrónica, Inconscientemente pasamos del papel a la información electrónica, La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc., La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc., …y, sencillamente evolucionamos por instinto y necesidad de sobrevivir. …y, sencillamente evolucionamos por instinto y necesidad de sobrevivir. Problemática actual: paradigmas de la seguridad

9 JCH-9 El gran interrogante: Qué hacer? Problemática actual: paradigmas de la seguridad Problemas de disponibilidad de información en el tiempo Modelos obsoletos y quedados con respecto a la industria: pérdida de competitividad + - Seguridad Tiempo

10 JCH-10 Paradigma actual: seguridad en línea

11 JCH-11 Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día, Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día, Se busca tecnología del mañana para resolver la seguridad del hoy, Se busca tecnología del mañana para resolver la seguridad del hoy, Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la información electrónica olvidando los procedimientos y normatividades vigentes para el papel. Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la información electrónica olvidando los procedimientos y normatividades vigentes para el papel. Paradigma actual: seguridad en línea

12 JCH-12 FW Internet FW Corporativo U1 U2 Internet Cliente X VPN SSL DMZ - Internet U3 Plano Servidor WEB Otros servidores Públicos Servidores Corporativos Cliente Y Cliente Z MZ - Internet Red Interna VPN DMZ - FW Corp. Cripto Soft. VPN MZ - FW Corp. Esquema redundante, Seguridad de aplicación, Single-Sign-On (SSO). Red Desarrolladores externos Otros accesos externos Paradigma actual: seguridad en línea

13 JCH-13 Grave problema: la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica insegura para el futuro sin que seamos concientes de ello… Grave problema: la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica insegura para el futuro sin que seamos concientes de ello… Ejemplo: Ejemplo: Paradigma actual: seguridad en línea PedroAna Memorando Físico Actualmente con el papel… Seguridad: Verificación de firma manuscrita, Verificación del logo en el papel, Autenticación notarial de firmas, Papel se puede recuperar en el tiempo. PedroAna Memorando Electrónico: correo Actualmente con la información electrónica… Seguridad: Hay?

14 JCH-14 Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

15 JCH-15 Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-, Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-, PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI), PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI), Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave, Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave, Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves simétricas. Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves simétricas. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

16 JCH-16 Simplificación de la problemática de la seguridad documental en el tiempo: Simplificación de la problemática de la seguridad documental en el tiempo: Sea D un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por A en la fecha F, Sea D un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por A en la fecha F, Cómo garantizo 50 años después sobre D que: Cómo garantizo 50 años después sobre D que: Fue originado por A en la fecha F, Fue originado por A en la fecha F, D no ha sido modificado en el tiempo, D no ha sido modificado en el tiempo, D está disponible (visible claramente). D está disponible (visible claramente). Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

17 JCH-17 Antes veamos módulos principales de un PKI. Antes veamos módulos principales de un PKI. PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit. PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit. Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos. Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos. PKI gestionado y no gestionado. PKI gestionado y no gestionado. Encripción: garantiza confidencialidad. Encripción: garantiza confidencialidad. Firma digital: Autenticación, Integridad y No Repudio. Firma digital: Autenticación, Integridad y No Repudio. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

18 JCH-18 Modelo Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Hoy Futuro Firma: F(D) = D F Sea K la llave privada y C O el certificado Basado en PKI Requiere: D F + C O + PKI Time Stamping: T(D) = D T Basado en llaves privadas y públicas del PKI (C AT ) Requiere: D T + C AT + PKI (AT) Gestión del PKI en el Tiempo

19 JCH-19 Modelo Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Hoy Futuro Encripción: E(D) = D E Sea K la llave privada y C O el certificado Basado en PKI Requiere: D E + K + PKI Gestión del PKI en el Tiempo Problemas de gestión: llaves duales (Firma y Encripción). Cómo manejo historial privado de llaves privadas de A ?

20 JCH-20 PKI Gestionado: tiene en cuenta características de seguridad en el tiempo, PKI Gestionado: tiene en cuenta características de seguridad en el tiempo, PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo. PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

21 JCH-21 Problemas por resolver: Problemas por resolver: Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en estándares y líderes de la industria, Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en estándares y líderes de la industria, El PKI no resuelve el tema de almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en el tiempo, etc. El PKI no resuelve el tema de almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en el tiempo, etc. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

22 JCH-22 Problemas por resolver: Problemas por resolver: Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word? Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word? Más perlas: supongamos que el formato que promete la industria que sea perdurable es XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar todo a XML en tiempos humanos: !!!!imposible. Más perlas: supongamos que el formato que promete la industria que sea perdurable es XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar todo a XML en tiempos humanos: !!!!imposible. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

23 JCH-23 Problemas por resolver: Problemas por resolver: Qué hacer ? Propuestas: Qué hacer ? Propuestas: Evite guardar en el tema documentos encriptados, Evite guardar en el tema documentos encriptados, Apúntele a las PKI gestionadas, Apúntele a las PKI gestionadas, Firme, y si es del caso encripte, pensando en una ventana documental del tiempo definida (por ejemplo 6 años), Firme, y si es del caso encripte, pensando en una ventana documental del tiempo definida (por ejemplo 6 años), Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

24 JCH-24 Problemas por resolver: Problemas por resolver: Qué hacer ? Propuestas: Qué hacer ? Propuestas: Ningún proveedor de tecnología podría garantizar el tiempo infinito, Ningún proveedor de tecnología podría garantizar el tiempo infinito, Lo que requiera más de 6 años, déjelos en papel, Lo que requiera más de 6 años, déjelos en papel, Tratemos de cambiar el paradigma de guardar todo para siempre. Tratemos de cambiar el paradigma de guardar todo para siempre. Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

25 JCH-25 Almacenamiento Seguridad en el Tiempo Gestión Documental Interfaz: Técnica y Operativa (entrega del servicio a Documentación) Políticas Documentales No Repudiación, Autenticación, Privacidad, Disponibilidad, Integridad, Control de Acceso, Observancia Generación, Distribución, Seguimiento, Recuperación PKI, Políticas, Mecanismos, Medios Seguros Medio Masivo y Robusto de Almacenamiento DOCS, PKI, Gestión buzones, etc. Almacenamiento ON-LINE - Históricos Documentación Informática Seguridad en Línea Servicios Informáticos Políticas Almacenamiento Modelo de Seguridad Ciclo de Vida Proyectos, Calidad Servicios Corportativos PKI, Políticas, Mecanismos, Medios Seguros Servidores de almacenamiento, Robots Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

26 JCH-26 Existe un modelo óptimo documental seguro en el tiempo ?

27 JCH-27 No, No, Ni siquiera la industria lo tiene claro, Ni siquiera la industria lo tiene claro, Pero algo hay que hacer porque la tecnología no nos permite frenar, Pero algo hay que hacer porque la tecnología no nos permite frenar, Pensar mucho ahora para no tener problemas en un futuro (nueva generación), Pensar mucho ahora para no tener problemas en un futuro (nueva generación), Si no lo hacemos la seguridad podría verse como inseguridad: encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta afirmación. Si no lo hacemos la seguridad podría verse como inseguridad: encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta afirmación. Existe un modelo óptimo documental seguro en el tiempo ?

28 JCH-28 Reflexionemos Somos concientes de para qué usamos nuestra seguridad hoy? Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos seguros en el mañana con la seguridad del hoy? Estaremos seguros en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de informatización del papel? Podemos detener el proceso de informatización del papel? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)


Descargar ppt "JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c)"

Presentaciones similares


Anuncios Google