JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail:[email protected]

JCH-1

Validez de la seguridad informática en el tiempo: Validez de la seguridad informática en el tiempo:

…u…un enfoque documental seguro en el tiempo…n enfoque documental seguro en el tiempo…

Por:Por:Juan Carlos Huertas Amaya. M.Sc., MBA(c)Juan Carlos Huertas Amaya. M.Sc., MBA(c)

e-mail:e-mail:[email protected]@banrep.gov.co

JCH-2

Somos concientes de para qué usamos nuestra Somos concientes de para qué usamos nuestra

seguridad hoy?seguridad hoy?

Estaremos Estaremos “seguros”“seguros” en el mañana con la en el mañana con la

seguridad del hoy?seguridad del hoy?

De la seguridad podría derivarse la inseguridad?De la seguridad podría derivarse la inseguridad?

Podemos detener el proceso de Podemos detener el proceso de “informatización”“informatización”

del papel?del papel?

Qué buscamos responder…Qué buscamos responder…

JCH-3

Problemática actual: un enfoque hacia los Problemática actual: un enfoque hacia los

paradigmas,paradigmas,

Paradigma actual de la seguridad: seguridad en Paradigma actual de la seguridad: seguridad en

“línea”“línea”,,

Propuestas de seguridad en el tiempo: un enfoque Propuestas de seguridad en el tiempo: un enfoque

PKI-documental,PKI-documental,

Existe un modelo óptimo documental seguro en el Existe un modelo óptimo documental seguro en el

tiempo,tiempo,

Reflexiones finales.Reflexiones finales.

AgendaAgenda

JCH-4

Problemática actual: paradigmas de la seguridadProblemática actual: paradigmas de la seguridad

JCH-5

1.1. Ninguna seguridadNinguna seguridad: en la primera era : en la primera era

computacional no era tenida en cuenta. Ejm.: computacional no era tenida en cuenta. Ejm.:

Internet, DOS, etc.Internet, DOS, etc.

2.2. Funcionalidad luego seguridadFuncionalidad luego seguridad: primero se : primero se

pensaba y desarrollaba en cómo debería funcionar pensaba y desarrollaba en cómo debería funcionar

un servicio; luego se pensaba en seguridad como un servicio; luego se pensaba en seguridad como

algo adicional.algo adicional.


JCH-6

3.3. Seguridad en líneaSeguridad en línea: la seguridad se aplica en : la seguridad se aplica en

función de las transacciones y/o servicios del día a función de las transacciones y/o servicios del día a

día. Ejm.: seguridad en la red (lo que sale llegue OK día. Ejm.: seguridad en la red (lo que sale llegue OK

a su destino), autenticación en una BD y/o SO, a su destino), autenticación en una BD y/o SO,

control de acceso (perfiles), etc.control de acceso (perfiles), etc.

4.4. Seguridad en el tiempoSeguridad en el tiempo: seguridad en línea + : seguridad en línea +

seguridad en temas documentales en el tiempo. Es seguridad en temas documentales en el tiempo. Es

vital el valor probatorio de la información electrónica.vital el valor probatorio de la información electrónica.


JCH-7

Hoy cuál es la tendencia? Definitivamente seguridad Hoy cuál es la tendencia? Definitivamente seguridad

en línea,en línea,

Lo grave del asunto es que la Lo grave del asunto es que la “informatización del “informatización del

papel”papel” no ha parado ni puede parar: sería como no ha parado ni puede parar: sería como

decirle no a la tecnología.decirle no a la tecnología.


Papel + Procedimientos: Su evolución natural es la

JCH-8

Pero por qué?Pero por qué?

Son varias las razones:Son varias las razones:

La tecnología no para y no depende de nosotros,La tecnología no para y no depende de nosotros,

La tecnología es una tentación inevitable,La tecnología es una tentación inevitable,

Inconscientemente pasamos del papel a la información Inconscientemente pasamos del papel a la información electrónica,electrónica,

La normatividad y legislación nos la impone cada vez mas: La normatividad y legislación nos la impone cada vez mas: Agenda de Conectividad, Ley del Comercio Electrónico (Ley Agenda de Conectividad, Ley del Comercio Electrónico (Ley 527 de 1999), etc.,527 de 1999), etc.,

……y, sencillamente evolucionamos por instinto y necesidad de y, sencillamente evolucionamos por instinto y necesidad de sobrevivir.sobrevivir.


JCH-9

El gran interrogante: Qué hacer?El gran interrogante: Qué hacer?


Problemas de disponibilidad de información en el tiempo

Modelos obsoletos y quedados con respecto a la industria: pérdida de competitividad

+- Seguridad

Tiempo

JCH-10

Paradigma actual: seguridad en líneaParadigma actual: seguridad en línea

JCH-11

Se piensa, requiere, diseña y desarrolla en Se piensa, requiere, diseña y desarrolla en función de la seguridad del día a día,función de la seguridad del día a día,

Se busca tecnología del mañana para resolver la Se busca tecnología del mañana para resolver la seguridad del hoy,seguridad del hoy,

Muchas veces somos ajenos a los cambios Muchas veces somos ajenos a los cambios organizacionales: pasamos del papel a la organizacionales: pasamos del papel a la información electrónica olvidando los información electrónica olvidando los procedimientos y normatividades vigentes para procedimientos y normatividades vigentes para el papel.el papel.


JCH-12

FW Internet

FW Corporativo

U1

U2

Internet

Cliente X

VPN

VPN

SSL

DMZ - Internet

U3Plano

Servidor WEB

Otros servidores

Públicos

Servidores Corporativos

Cliente Y

Cliente Z

MZ - Internet

Red InternaVPN

DMZ - FW Corp.Cripto Cripto

Soft. VPN MZ - FW Corp.

•Esquema redundante,

•Seguridad de aplicación,

•Single-Sign-On (SSO).

Red Desarrolladores externos

Otros accesos externos


JCH-13

Grave problemaGrave problema:: la seguridad del hoy utilizando herramientas del la seguridad del hoy utilizando herramientas del mañana, está dejando evidencia electrónica “insegura” para el mañana, está dejando evidencia electrónica “insegura” para el futuro sin que seamos concientes de ello…futuro sin que seamos concientes de ello…

Ejemplo:Ejemplo:


Pedro AnaMemorando

Físico

Actualmente con el papel…Seguridad:Verificación de firma manuscrita,Verificación del logo en el papel,Autenticación notarial de firmas,Papel se puede recuperar en el tiempo.

Pedro AnaMemorando

Electrónico: correo

Actualmente con la información electrónica…

Seguridad:Hay?

JCH-14

Propuesta de seguridad en el tiempo: Propuesta de seguridad en el tiempo: un enfoque PKI-Documentalun enfoque PKI-Documental

JCH-15

Una propuesta fundamentada en tecnologías de Una propuesta fundamentada en tecnologías de Infraestructura de Llaves Públicas –PKI-,Infraestructura de Llaves Públicas –PKI-,

PKI en el fondo es: modelos de encripción simétrica y PKI en el fondo es: modelos de encripción simétrica y asimétrica (ESTA ES LA ESCENCIA DEL PKI),asimétrica (ESTA ES LA ESCENCIA DEL PKI),

Simétrico para encripción eficiente. Su debilidad está en Simétrico para encripción eficiente. Su debilidad está en la distribución de la llave,la distribución de la llave,

Asimétrico poderoso para encriptar información de Asimétrico poderoso para encriptar información de tamaño moderado. Perfecto para distribuir llaves tamaño moderado. Perfecto para distribuir llaves simétricas.simétricas.

Propuesta de seguridad en el tiempo: un enfoque PKI-DocumentalPropuesta de seguridad en el tiempo: un enfoque PKI-Documental

JCH-16

Simplificación de la problemática de la seguridad Simplificación de la problemática de la seguridad documental en el tiempo:documental en el tiempo:

Sea Sea D D un documento electrónico (archivo, correo, o un documento electrónico (archivo, correo, o cualquier otro mensaje de datos) generado por cualquier otro mensaje de datos) generado por A A en en la fecha la fecha FF,,

Cómo garantizo 50 años después sobre Cómo garantizo 50 años después sobre DD que: que:

Fue originado por Fue originado por AA en la fecha en la fecha FF,,

DD no ha sido modificado en el tiempo, no ha sido modificado en el tiempo,

DD está disponible (visible claramente). está disponible (visible claramente).


JCH-17

Antes veamos módulos principales de un PKI.Antes veamos módulos principales de un PKI.

PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad PKI = Autoridad de Certificación, Autoridad de Registro, Autoridad del Tiempo, Lista de Certificados Vigentes, Lista de Certificados del Tiempo, Lista de Certificados Vigentes, Lista de Certificados Revocados, Prácticas de Certificación y Tools Kit.Revocados, Prácticas de Certificación y Tools Kit.

Ley 527 de 1999 y las entidades de certificación abiertas y Ley 527 de 1999 y las entidades de certificación abiertas y cerradas en Colombia. Para firmas digitales los certificados cerradas en Colombia. Para firmas digitales los certificados emitidos en el exterior no son válidos.emitidos en el exterior no son válidos.

PKI gestionado y no gestionado.PKI gestionado y no gestionado.

Encripción: garantiza confidencialidad.Encripción: garantiza confidencialidad.

Firma digital: Autenticación, Integridad y No Repudio.Firma digital: Autenticación, Integridad y No Repudio.


JCH-18

ModeloModelo


Hoy Futuro

Firma: F(D) = DF

Sea K la llave privada y CO el certificado Basado en PKI

Requiere: DF + CO + PKI

Time Stamping: T(D) = DT

Basado en llaves privadas y públicas del PKI (CAT)

Requiere: DT + CAT + PKI (AT)

Gestión del PKI en el Tiempo

JCH-19

ModeloModelo


Hoy Futuro

Encripción: E(D) = DE

Sea K la llave privada y CO el certificado Basado en PKI

Requiere: DE + K + PKI

Gestión del PKI en el Tiempo

Problemas de gestión: llaves duales (Firma y Encripción). Cómo manejo historial privado de llaves privadas de A ?

JCH-20

PKI Gestionado: tiene en cuenta características PKI Gestionado: tiene en cuenta características de seguridad en el tiempo,de seguridad en el tiempo,

PKI no Gestionado: práctico en seguridad en PKI no Gestionado: práctico en seguridad en línea, no en seguridad en el tiempo.línea, no en seguridad en el tiempo.


JCH-21

Problemas por resolver:Problemas por resolver:

Existirá en el futuro la tecnología de PKI Existirá en el futuro la tecnología de PKI usada en el presente ? Basarse en usada en el presente ? Basarse en estándares y líderes de la industria,estándares y líderes de la industria,

El PKI no resuelve el tema de El PKI no resuelve el tema de almacenamiento y gestión documental: dónde almacenamiento y gestión documental: dónde guardo, cómo busco, backups, recuperación, guardo, cómo busco, backups, recuperación, organización, medios de almacenamiento en organización, medios de almacenamiento en el tiempo, etc.el tiempo, etc.


JCH-22


Una perla: en qué formato guardo el archivo Una perla: en qué formato guardo el archivo (Word, Exchange, Oracle, Texto, XML). Será (Word, Exchange, Oracle, Texto, XML). Será que dentro de 50 años puedo leerlos en las que dentro de 50 años puedo leerlos en las versiones viejas? Existirá Word?versiones viejas? Existirá Word?

Más perlas: supongamos que el formato que Más perlas: supongamos que el formato que promete la industria que sea perdurable es promete la industria que sea perdurable es XML, entonces podemos suponer que XML, entonces podemos suponer que nuestros servicios (TODOS) podrían migrar nuestros servicios (TODOS) podrían migrar todo a XML en tiempos “humanos”: !!!!todo a XML en tiempos “humanos”: !!!!imposible.imposible.


JCH-23


Qué hacer ? Propuestas:Qué hacer ? Propuestas:

Evite guardar en el tema documentos Evite guardar en el tema documentos encriptados,encriptados,

Apúntele a las PKI gestionadas,Apúntele a las PKI gestionadas,

Firme, y si es del caso encripte, pensando Firme, y si es del caso encripte, pensando en una ventana documental del tiempo en una ventana documental del tiempo definida (por ejemplo 6 años),definida (por ejemplo 6 años),


JCH-24


Qué hacer ? Propuestas:Qué hacer ? Propuestas:

Ningún proveedor de tecnología podría Ningún proveedor de tecnología podría garantizar el tiempo infinito,garantizar el tiempo infinito,

Lo que requiera más de 6 años, déjelos Lo que requiera más de 6 años, déjelos en papel,en papel,

Tratemos de cambiar el paradigma de Tratemos de cambiar el paradigma de guardar todo para siempre.guardar todo para siempre.


JCH-25

AlmacenamientoAlmacenamiento

Seguridad en el TiempoSeguridad en el Tiempo

Gestión DocumentalGestión Documental

Interfaz: Técnica y Operativa (entrega del servicio a Documentación)

Políticas DocumentalesPolíticas Documentales

No Repudiación, Autenticación, No Repudiación, Autenticación, Privacidad, Disponibilidad, Privacidad, Disponibilidad,

Integridad, Control de Acceso, Integridad, Control de Acceso, ObservanciaObservancia

Generación, Distribución,Generación, Distribución,Seguimiento, RecuperaciónSeguimiento, Recuperación

PKI, Políticas, PKI, Políticas, Mecanismos,Mecanismos,

Medios SegurosMedios Seguros

Medio Masivo y Medio Masivo y Robusto de Robusto de

AlmacenamientoAlmacenamiento

DOCS, PKI, Gestión DOCS, PKI, Gestión buzones, etc.buzones, etc.

Almacenamiento ON-LINE - Almacenamiento ON-LINE - HistóricosHistóricos

Do

cum

enta

ció

nD

ocu

men

taci

ón

Info

rmát

ica

Info

rmát

ica

Seguridad en LíneaSeguridad en Línea

Servicios InformáticosServicios Informáticos

Políticas Políticas AlmacenamientoAlmacenamiento

Modelo de SeguridadModelo de Seguridad

Ciclo de Vida Proyectos, CalidadCiclo de Vida Proyectos, Calidad Servicios CorportativosServicios Corportativos

PKI, Políticas, Mecanismos,PKI, Políticas, Mecanismos,Medios SegurosMedios Seguros

Servidores de Servidores de almacenamiento, almacenamiento,

RobotsRobots


JCH-26

Existe un modelo óptimo documental Existe un modelo óptimo documental seguro en el tiempo ?seguro en el tiempo ?

JCH-27

No,No,

Ni siquiera la industria lo tiene claro,Ni siquiera la industria lo tiene claro,

Pero algo hay que hacer porque la tecnología no nos Pero algo hay que hacer porque la tecnología no nos permite frenar,permite frenar,

Pensar mucho ahora para no tener problemas en un Pensar mucho ahora para no tener problemas en un futuro (nueva generación),futuro (nueva generación),

Si no lo hacemos la seguridad podría verse como Si no lo hacemos la seguridad podría verse como inseguridad: inseguridad: encriptar y firmar documentos hoy bajo la encriptar y firmar documentos hoy bajo la óptica de ser más seguros sin tener la precaución de óptica de ser más seguros sin tener la precaución de que éstos se puedan leer después equivaldría a esta que éstos se puedan leer después equivaldría a esta afirmación.afirmación.

Existe un modelo óptimo documental seguro en el tiempo ?Existe un modelo óptimo documental seguro en el tiempo ?

JCH-28

ReflexionemosReflexionemos Somos concientes de para qué usamos nuestra Somos concientes de para qué usamos nuestra

seguridad hoy?seguridad hoy?

Estaremos “seguros” en el mañana con la seguridad Estaremos “seguros” en el mañana con la seguridad del hoy?del hoy?

De la seguridad podría derivarse la inseguridad?De la seguridad podría derivarse la inseguridad?

Podemos detener el proceso de “informatización” del Podemos detener el proceso de “informatización” del papel?papel?

Por:Por:Juan Carlos Huertas Amaya. M.Sc., MBA(c)Juan Carlos Huertas Amaya. M.Sc., MBA(c)

e-mail:e-mail:[email protected]@banrep.gov.co

Documents

JCH-1 Validez de la seguridad informática en el tiempo: …u n enfoque documental seguro en el tiempo… Por: Juan Carlos Huertas Amaya. M.Sc., MBA(c) e-mail:[email protected]