Juan Carlos Huertas Amaya. M.Sc., MBA(c) Validez de la seguridad informática en el tiempo: …un enfoque documental seguro en el tiempo… Hoy... Mañana ? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail: jhuertam@banrep.gov.co

Qué buscamos responder… Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos “seguros” en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de “informatización” del papel?

Agenda Problemática actual: un enfoque hacia los paradigmas, Paradigma actual de la seguridad: seguridad en “línea”, Propuestas de seguridad en el tiempo: un enfoque PKI-documental, Existe un modelo óptimo documental seguro en el tiempo, Reflexiones finales.

Problemática actual: paradigmas de la seguridad

Problemática actual: paradigmas de la seguridad Ninguna seguridad: en la primera era computacional no era tenida en cuenta. Ejm.: Internet, DOS, etc. Funcionalidad luego seguridad: primero se pensaba y desarrollaba en cómo debería funcionar un servicio; luego se pensaba en seguridad como algo adicional.

Problemática actual: paradigmas de la seguridad Seguridad en línea: la seguridad se aplica en función de las transacciones y/o servicios del día a día. Ejm.: seguridad en la red (lo que sale llegue OK a su destino), autenticación en una BD y/o SO, control de acceso (perfiles), etc. Seguridad en el tiempo: seguridad en línea + seguridad en temas documentales en el tiempo. Es vital el valor probatorio de la información electrónica.

Problemática actual: paradigmas de la seguridad Hoy cuál es la tendencia? Definitivamente seguridad en línea, Lo grave del asunto es que la “informatización del papel” no ha parado ni puede parar: sería como decirle no a la tecnología. Papel + Procedimientos: Su evolución natural es la

Problemática actual: paradigmas de la seguridad Pero por qué? Son varias las razones: La tecnología no para y no depende de nosotros, La tecnología es una tentación inevitable, Inconscientemente pasamos del papel a la información electrónica, La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc., …y, sencillamente evolucionamos por instinto y necesidad de sobrevivir.

El gran interrogante: Qué hacer? Problemática actual: paradigmas de la seguridad El gran interrogante: Qué hacer? + - Seguridad Tiempo Modelos obsoletos y quedados con respecto a la industria: pérdida de competitividad Problemas de disponibilidad de información en el tiempo

Paradigma actual: seguridad en línea

Paradigma actual: seguridad en línea Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día, Se busca tecnología del mañana para resolver la seguridad del hoy, Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la información electrónica olvidando los procedimientos y normatividades vigentes para el papel.

Paradigma actual: seguridad en línea Otros servidores Públicos Otros accesos externos Servidor WEB FW Internet SSL U1 VPN Internet DMZ - Internet U2 Red Desarrolladores externos Plano U3 MZ - Internet VPN Red Interna Cliente X VPN DMZ - FW Corp. Cliente Y Cripto Cripto Cliente Z Soft. VPN MZ - FW Corp. Servidores Corporativos Esquema redundante, Seguridad de aplicación, Single-Sign-On (SSO). FW Corporativo

Paradigma actual: seguridad en línea Grave problema: la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica “insegura” para el futuro sin que seamos concientes de ello… Ejemplo: Seguridad: Verificación de firma manuscrita, Verificación del logo en el papel, Autenticación notarial de firmas, Papel se puede recuperar en el tiempo. Actualmente con el papel… Memorando Físico Pedro Ana Actualmente con la información electrónica… Seguridad: Hay? Memorando Electrónico: correo Pedro Ana

Propuesta de seguridad en el tiempo: un enfoque PKI-Documental

Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-, PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI), Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave, Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves simétricas.

Cómo garantizo 50 años después sobre D que: Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Simplificación de la problemática de la seguridad documental en el tiempo: Sea D un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por A en la fecha F, Cómo garantizo 50 años después sobre D que: Fue originado por A en la fecha F, D no ha sido modificado en el tiempo, D está disponible (visible claramente).

Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Antes veamos módulos principales de un PKI. PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit. Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos. PKI gestionado y no gestionado. Encripción: garantiza confidencialidad. Firma digital: Autenticación, Integridad y No Repudio.

Modelo Hoy Futuro Gestión del PKI en el Tiempo Firma: F(D) = DF Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Hoy Futuro Gestión del PKI en el Tiempo Firma: F(D) = DF Sea K la llave privada y CO el certificado Basado en PKI Requiere: DF + CO + PKI Time Stamping: T(D) = DT Basado en llaves privadas y públicas del PKI (CAT) Requiere: DT + CAT + PKI (AT)

Modelo Hoy Futuro Gestión del PKI en el Tiempo Encripción: E(D) = DE Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Modelo Hoy Futuro Gestión del PKI en el Tiempo Encripción: E(D) = DE Sea K la llave privada y CO el certificado Basado en PKI Requiere: DE + K + PKI Problemas de gestión: llaves duales (Firma y Encripción). Cómo manejo historial privado de llaves privadas de A ?

Propuesta de seguridad en el tiempo: un enfoque PKI-Documental PKI Gestionado: tiene en cuenta características de seguridad en el tiempo, PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo.

Problemas por resolver: Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en estándares y líderes de la industria, El PKI no resuelve el tema de almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en el tiempo, etc.

Problemas por resolver: Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word? Más perlas: supongamos que el formato que promete la industria que sea perdurable es XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar todo a XML en tiempos “humanos”: !!!!imposible.

Problemas por resolver: Qué hacer ? Propuestas: Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Qué hacer ? Propuestas: Evite guardar en el tema documentos encriptados, Apúntele a las PKI gestionadas, Firme, y si es del caso encripte, pensando en una ventana documental del tiempo definida (por ejemplo 6 años),

Ningún proveedor de tecnología podría garantizar el tiempo infinito, Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Problemas por resolver: Qué hacer ? Propuestas: Ningún proveedor de tecnología podría garantizar el tiempo infinito, Lo que requiera más de 6 años, déjelos en papel, Tratemos de cambiar el paradigma de guardar todo para siempre.

Propuesta de seguridad en el tiempo: un enfoque PKI-Documental Servicios Corportativos Ciclo de Vida Proyectos, Calidad Servicios Informáticos Informática PKI, Políticas, Mecanismos, Medios Seguros Modelo de Seguridad Seguridad en Línea Servidores de almacenamiento, Robots Políticas Almacenamiento Almacenamiento ON-LINE - Históricos Interfaz: Técnica y Operativa (entrega del servicio a Documentación) DOCS, PKI, Gestión buzones, etc. Generación, Distribución, Seguimiento, Recuperación Gestión Documental KM = People + Process + Technology + Content Content in Context: content is organized by practice, industry, and geography, in that order. Previously, content was organized by country and often inaccessible to practices in other geographies. Global technology fabric is based on MS technology. Process is reinforced by the Global Knowledge Exchange (GKE), located in Boston. People: easy learning curve with familiar user interface. PKI, Políticas, Mecanismos, Medios Seguros No Repudiación, Autenticación, Privacidad, Disponibilidad, Integridad, Control de Acceso, Observancia Documentación Seguridad en el Tiempo Medio Masivo y Robusto de Almacenamiento Políticas Documentales Almacenamiento

Existe un modelo óptimo documental seguro en el tiempo ?

Ni siquiera la industria lo tiene claro, Existe un modelo óptimo documental seguro en el tiempo ? No, Ni siquiera la industria lo tiene claro, Pero algo hay que hacer porque la tecnología no nos permite frenar, Pensar mucho ahora para no tener problemas en un futuro (nueva generación), Si no lo hacemos la seguridad podría verse como inseguridad: encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta afirmación.

Juan Carlos Huertas Amaya. M.Sc., MBA(c) Reflexionemos Somos concientes de para qué usamos nuestra seguridad hoy? Estaremos “seguros” en el mañana con la seguridad del hoy? De la seguridad podría derivarse la inseguridad? Podemos detener el proceso de “informatización” del papel? Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail: jhuertam@banrep.gov.co