República Argentina Administración Federal de Ingresos Públicos Políticas de seguridad interna y externa Marzo 2006

2 AFIP recauda la totalidad de los impuestos federales. Esta actividad incluye la recaudación, la cobranza coactiva, los procesos de ejecución fiscal, regímenes promocionales, planes de facilidades, etc. AFIP recauda los impuestos locales de varias provincias AFIP controla en forma integral la totalidad del comercio exterior (Aduana), incluyendo las funciones de policía aduanera, control de tránsitos, recaudación de tasas, etc. AFIP recauda y distribuye a los efectores sociales la totalidad de los recursos económicos de la seguridad social AFIP posee empleados distribuidos en más de 320 edificios, incluidas las agencias impositivas, las aduanas, los edificios centrales y los resguardos fronterizos Alcance de la organización

3 Contexto informático Todas las áreas informáticas están concentradas en una única estructura cuya máxima autoridad (CIO) depende directamente del Administrador Federal El área informática de AFIP tiene 750 personas de las cuales un 50% están directamente relacionadas con el desarrollo y quality assurance de los sistemas El centro de cómputos central alberga la totalidad de los servidores y computadores centrales de AFIP Los computadores centrales son un mainframe de 350 Mips y un computador SUN 25K. En estos dos computadores reside el 100% de las bases de datos de la organización (Oracle en Solaris y DB2 en el mainframe)

4 Contexto informático El 70% de los programas interactivos y web services están implementados en Java, PHP u Oracle PL sobre Linux, 15% en PHP o ASP sobre Windows y el restante 15% en otros entornos (Powerbuilder sobre Solaris/Linux, Oracle Forms). 85% de los programas interactivos son WEB enable nativos, el 15% restante son cliente servidor o emulación terminal En estos programas interactivos reside la lógica de presentación y 50% de la lógica de negocio, el resto de la lógica de negocio reside en las bases de datos 100% de los desarrollos que se efectúan desde hace cinco años son WEB enable nativos, 60% de ellos en Java

5 El 95% de las transacciones del comercio exterior son electrónicas El 95% de las transacciones impositivas y de seguridad social son electrónicas, de ellas: –El 75% de las declaraciones juradas entran en nuestros sistemas en tiempo real a través de Internet (el resto a través de los bancos con un diferimiento de 24 horas) –El 85% de la recaudación impositiva, de seguridad social y aduanera entra en nuestros sistemas en tiempo real a través de Internet (el resto a través de los bancos con un diferimiento de 24 horas) Desde hace cuatro años el 100% de los sistemas se desarrollan con la mayoría de sus transacciones efectuadas directamente por el contribuyente a través de Internet Escenario informático/funcional

6 La mayoría de las bases de datos son accedidas en tiempo real y en forma simultánea por los contribuyentes, los operadores aduaneros y los empleados de AFIP pudiendo ser modificadas por todos ellos Todos los sistemas están disponibles 7x24. No existen ventanas de mantenimiento Todos los sistemas (impositivos, administrativos, aduaneros, seguridad social, administrativos, etc.) están totalmente integrados entre sí La integración se implementa a través del acceso en forma directa de un sistema a las bases de datos de los otros sistemas y en el uso de un message broker Escenario informático/funcional

7 Desafíos desde el punto de vista de la seguridad informática La gran mayoría de la información residente en la organización está protegida por el secreto fiscal, el secreto estadístico y/o el Habeas-Data Dada la complejidad y variedad de “negocios” de la organización es muy dificil definir la “sensibilidad” de ciertos datos La mayoría de las bases de datos son accedidas en tiempo real y en forma simultánea por usuarios externos e internos La gran mayoría de las transacciones usadas por los ciudadanos requieren autenticación En la mayoría de los casos, estas transacciones son efectuadas en nombre de personas jurídicas (empresas) Es necesario autenticar a más de de personas físicas que pueden actuar en nombre de más de empresas

8 La gran mayoría de los empleados de AFIP acceden en mayor o menor medida a datos sujetos a secreto fiscal y/o estadístico Una alta proporción de los empleados de AFIP utilizan en forma simultánea sistemas de varios “negocios” (empleados aduaneros que utilizan sistemas impositivos, empleados impositivos que utilizan sistemas aduaneros y de seguridad social, etc.) Los empleados de AFIP acceden a los sistemas desde las oficinas de la organización o desde Internet (por ejemplo, los aduaneros) Todos los empleados de AFIP, en mayor o menor medida, necesitan acceso a Internet Las diferentes arquitecturas informáticas usadas poseen criterios y metodologías de seguridad completamente diferentes Desafíos desde el punto de vista de la seguridad informática

9 Política muy restrictiva respecto a la visualización de los datos sujetos a secreto fiscal o estadístico Muy fuerte limitación al acceso a los datos de los individuos por parte de terceras personas que no son empleados de la organización o no están explícitamente autorizados por dichos individuos Los restantes organismos del Estado solo pueden acceder a la información en la medida de que, a su vez, sean organismos de recaudación y siempre a través de convenios explícitos Aplicación intensiva de políticas ex-antes y ex-post (forenses) al acceso a los datos de los individuos por parte de los empleados de la organización Las políticas

10 Se desarrolló una arquitectura de sistemas y una topología de red que aísla en la medida de lo técnica y funcionalmente posible, las bases de datos de los usuarios internos y externos Esta arquitectura y topología está basada en un muy fuerte control perimetral del Data Center basado en el concepto de “bastiones” activos (modifican protocolo) La arquitectura implementada respeta la estrategia de un Data Center multiplataforma en el cual mainframe y sistemas abiertos están totalmente integrados La arquitectura y topología son relativamente sencillas y respetan el requerimiento funcional de acceso en tiempo real a las bases de datos desde dentro y fuera de la organización Que se hizo

11 Arquitectura de los sistemas dentro del data center

12 Se implementaron mecanismos de análisis de vulnerabilidades, firewalls y network sensors en todas las redes del Data Center Se implementaron sistemas de correlación en tiempo real entre los ataques y las vulnerabilidades de los servidores en todas las redes del Data Center Se están implementando WAF en los perímetros del Data Center Se está implementando un reservorio único de logs de actividad y auditoría de las aplicaciones Se desarrollaron sistemas de análisis forense de los logs El sistema de single sign-on interno desarrollado en AFIP utiliza controles ex-antes para permitir el acceso a los usuarios Que se hizo

13 Que se hizo Se definió e implementó una arquitectura de desarrollo y operación de sistemas única y homogénea que está siendo usada para todas las nuevas aplicaciones, independiente de la plataforma informática usada. Para la capa de presentación de los sistemas (Java, ASP, PHP y PL) se definieron y se están implementando metodologías que reducen las vulnerabilidades del tipo de las descriptas en el OWASP (Open Web Application Security Project) Se desarrolló e implementó un sistema masivo de registración, autenticación y autorización de usuarios externos que es utilizado por todos los sistemas tributarios, administrativos y aduaneros

14 Se re-empadronaron todos los usuarios (internos y externos) dándoles una única identificación y eliminando totalmente los usuarios “genéricos” Se eliminaron todos los accesos externos que no estuvieran avalados por convenios explícitos Se diseñó e implementó un modelo de autorización de los usuarios internos que opera en forma totalmente automática bajo criterios emanados de las áreas definidoras y utilizando datos del sistema de recursos humanos Se desarrolló una arquitectura de “web services” con mecanismos de autenticación/autorización similares a los usados en los servicios interactivos Que se hizo

15 La necesidad funcional de acceder en tiempo real a las bases de datos desde dentro y fuera de la organización y a través de transacciones interactivas o web services, impone un desafío tecnológico importante La multiplicidad de plataformas (mainframe, Linux, Java,.Net, etc.) complica las posibles soluciones La velocidad a la cual las organizaciones necesitan los nuevos desarrollos impide que los mismos tengan foco en el problema seguridad salvo que el mismo esté resuelto en forma estandard por la arquitectura utilizada. Los desafíos de seguridad aumentan a una velocidad que en ciertos momentos es difícil de contrarrestar (caso WAF) Resúmen

16 Implementar una arquitectura y topología única para todas las plataformas que asegure en sí misma un entorno de producción razonablemente seguro Implementar tecnologías de desarrollo que reduzcan en las transacciones WEB las vulnerabilidades descriptas en el OWASP Implementar mecanismos de logging completos, estándar y uniformes para todas las tecnologías Implementar mecanismos de autenticación/autorización comunes a todas las tecnologías y separados de la lógica de negocio Implementar políticas muy estrictas relativas a: –Separación de ambientes –Uso de UID con altos privilegios –Uso de configuraciones estándar –Acceso a información por parte de terceros –Download de información Nuestras sugerencias

17 República Argentina Administración Federal de Ingresos Públicos