Posts Tagged ‘Seguridad’

CloudTrust – Zona Segura

marzo 12, 2013

Una vez más, desde creativ IT apostamos por la innovación y el desarrollo mediante la investigación, la mejora de las tecnologías y la cooperación entre socios. De esta manera nace CloudTrust un proyecto financiado por el Ministerio de Economía y Competitividad en el Subprograma INNPACTO 2012.

El mundo tecnológico se ha expandido tan rápidamente que el éxito de medianos y pequeños comercios depende en gran parte de su visibilidad en la Web. Sin embargo, estos comercios no suelen contar con recursos necesarios para mantener viva su imagen en Internet, invertir en redes sociales que expandan su visibilidad en Internet y mucho menos preocuparse de la seguridad Web más allá de las transacciones y pagos seguros.

En CloudTrust, un proyecto en colaboración con Alcatel-Lucent Spain y la Universidad Politécnica de Madrid, se pretende dar solución a esta problemática ofreciendo un hosting seguro a pequeñas y grandes empresas con virtualización de la navegación web.

CloudTrust plantea la creación de un entorno de ejecución donde se cargará un conjunto de navegadores Web que serán instanciados bajo demanda aprovechando las características del cloud y los sistemas en grid. De este modo, los navegadores recibirán un conjunto de parámetros de control que obligarán a realizar una navegación controlada hacia un entorno aislado. Así, un usuario que acceda a un navegador virtualizado solo podrá acceder a través de él a un servidor web concreto que hospede la Web a la que queremos navegar.

La solución de CloudTrust es una solución que aporta confianza bidireccional, es decir, ambos extremos están seguros en la navegación. La empresa puede ofrecer una imagen en Internet sabiendo que el usuario final verá lo que realmente se oferta y no es víctima de ningún ataque.

Sin duda un planteamiento innovador como CloudTrust es difícil de tratar con simples objetivos generales, es por ello que a continuación mostramos una imagen ilustrativa y una pequeña descripción del funcionamiento de la idea planteada:

CloudTrust - Arquitectura Funcional

Como se puede observar en la imagen, el usuario utilizará su propio navegador del mismo modo que lo hace habitualmente. Se trata de un factor crucial en el proyecto, pues el éxito de los sistemas tecnológicos residen en la aceptación del usuario y la fácil integración.

“Financiado por el Ministerio de Economía y Competitividad, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011, expediente (IPT-430000-2011-1721) y por el Fondo Europeo de Desarrollo Regional (FEDER)”

FEDER + Miniterio de Economía y Competitividad

Firma electrónica. Valor legal y beneficios para las empresas

marzo 1, 2012
A la firma electrónica reconocida, le otorga la ley, la equivalencia funcional con la firma manuscrita respecto a los datos consignados en forma electrónica.

Desda la publicación de la ley en 2.003, ha habido un gran incremento del uso de certificados digitales, especialmente de CERES (FNM), para trámites con Hacienda y otras entidades públicas. Además, ya son más de 23 Millones, los ciudadanos que cuentan con un DNI electrónico. Este contiene un certificado digital de identificación, y otro para firma electrónica de documentos.

Firma manuscritaTodo esto nos situa en un contexto donde cada vez más empresas y ciudadanos están en disposición de realizar trámites y firmar documentos, mediante su certificado digital. Los documentos firmados usando certificados digitales reconocidos, tienen la misma validez legal que los firmados a mano (tal como queda claro en la cita de la Ley 59/2003 mencionada anteriormente).

¿Qué beneficios tiene la firma electrónica?

Los beneficios de firmar documentos electrónicamente son indiscutibles:
Se evitan desplazamientos y colas de las personas involucradas en los procesos de firma

Los documentos firmados pueden recogerse y archivarse en formato digital, sin tener que trasladarse nunca al papel.

La distancia deja de ser un problema, por lo que cualqueir documento quedará firmado por todas las partes, mucho más rápidamente, y de forma más eficiente que si se firmara a mano.

Al quedar archivados en formato digital, su posterior localización también es mucho más fácil y rápida, gracias a las herramientas informáticas de búsqueda.

Es una tecnología más segura que la firma manuscrita, por lo que suplantar una identidad resulta mucho más complejo
Ahorros de costes tangibles, evitando envíos, o reduciendo el consumo de tinta o papel.

Siendo las ventajas de la firma electrónica respecto a la firma manuscrita tan evidentes, cualquier sector que haga un uso intensivo de la firma manuscrita, puede obtener grandes beneficios en ahorro de costes y mejora de servicio, a través de su aplicación.
isigma
La buena noticia es que la instauración de la firma electrónica en los procesos de las organizaciones no tiene por que ser complicado. Incluso sin tener un sistema de gestión se pueden utilizar aplicaciones como PortaSigma o ClickSign para incluir la firma digital en los procesos existentes.

Gracias al acuerdo alcanzado, ahora es posible integrar estas herramientas en las aplicaciones de gestión ya existentes, o desarrollados expresamente, dentro de los servicios proporcionados por creativ IT.

Si te ha gustado el contenido difúndelo y enlázalo (URL corta: http://wp.me/pQZ8k-dr)

Nuestro a gradecimiento a Chema López González (@chemalogo) autor del POST

¿Cómo aplicar la LAECSP en un pequeño organismo público?

octubre 30, 2010

La ley 11/2007 y el resto de la legislación obliga a las administraciones públicas a (y a otro montón de organizaciones) a dar el servicio a los ciudadanos/usuarios/clientes de forma telemática.

Esto implica cambios en muchos procesos y sistemas y el problema es que en muchas ocasiones las propias corporaciones no saben muy bien como llevar a cabo un cambio tan grande ¿por dónde empezar?

La respuesta no es fácil y dependerá de la importancia que tenga para el organismo cada uno de los servicios que presta así como la necesidad de adecuación a la legislación. En general, se debe empezar por la creación de una plataforma que permita gestionar la seguridad, debido a los componentes legales de las actividades realizadas va a ser necesaria una plataforma de firma electrónica.

Autoridades de certificación reconocidas legalmente

Autoridades de certificación reconocidas legalmente

Con esta plataforma se debe poder generar, gestionar y validar los certificados y firmas para todos los  procesos que se desarrollen después en cada aplicación. Para una entidad pública se gestionarán certificados como los siguientes:

  • Certificados del portal: este certificado, que en algún caso podremos llamar Certificado de Sede (refiriéndonos a la Sede Electrónica, tal y como la define la legislación). Este certificado garantiza que las comunicaciones con el ciudadano se realizan de forma confidencial y segura, evitando la suplantación del portal por parte de terceros.
  • Certificados de funcionario: estos certificados permiten que los funcionarios puedan realizar las acciones necesarias en cualquier proceso como un expediente dejando una evidencia legal de la acción. En algunos casos podremos hablar de certificados orgánicos con idéntico fin, pero con la particularidad de que no irán asociados a una persona, estos últimos certificados tienen cierta complejidad e incertidumbre legal puesto que no se adaptan a las directrices europeas.
  • Certificados de sello: estos certificados permiten, de forma automática que se validen acciones o documentos, se incluirá información sobre el momento en que se firma creando una evidencia con validación temporal.
  • Entidades externas: la plataforma de firma es capaz de reconocer y validar las firmas realizadas con certificados externos con validez legal. Para ello debe reconocer los certificados raíz de los prestadores admitidos legalmente.

Con esta plataforma ya es posible avanzar en la creación de los servicios que se quieran poner al servicio del ciudadano.

Es recomendable que lo que se pueda centralizar se centralice. Estos nos lleva a que antes de realizar cualquier aplicación se debería realizar un sistema de portafirmas digital, de esta manera conseguiremos dos grandes objetivos:

  • Las aplicaciones y servicios que se desarrollen no van a tener que preocuparse por los procesos de firma, descargando los desarrollos.
  • Los usuarios (ya sean los funcionarios, ciudadanos o proveedores) tendrán siempre la misma interfaz para realizar el proceso de firma aumentando la usabilidad y disminuyendo el mantenimiento y soporte.

Los siguientes pasos ya son ir creando las diferentes aplicaciones y servicios para el ciudadano. Esta plataforma permite tanto la identificación y autenticación de cada uno de los actores en un proceso como la firma y verificación de los diferentes documentos y datos pertenecientes a este proceso. El uso del DNI digital, las firmas de CERES, etc. ahora es automático en las diferentes aplicaciones.

Funcionalidades de una plataforma genérica de Admon. Elca.

Administración Electrónica

Dentro de los sistemas a realizar, se debería empezar por la creación de un registro electrónico que permita el intercambio de documentación de forma segura, autenticada y con la correspondiente evidencia jurídica para las partes (emisor y receptor del documento).

Registro Electrónico

Registro Electrónico

Por otro lado, es importante que toda la documentación se quede adecuadamente almacenada. Casi todas las entidades dispondrán ya de un gestor documental, si es así la Plataforma de Firma Electrónica deberá integrarse plenamente con é, en otro caso se deberá crear este gestor documental. El objetivo es que todos los documentos y las evidencias de las transacciones queden adecuadamente archivadas.

Es importante incluir en el siguiente paso del despliegue de los servicios, las funcionalidades necesarias para la custodia documental con total validez legal en el largo plazo. Esto es un proceso simple consistente en el refirmado de todos los documentos almacenados antes de que las firmas con las que fueron creados caduquen.

Ahora ya es posible crear la carpeta ciudadana con los datos, expedientes y procesos de los ciudadanos. Esta carpeta para cada uno de los ciudadanos y organizaciones que se relacionan con la administración debe recoger toda la información de los distintos procesos que se vayan informatizando. Estos procesos formarán toda la estructura de la Sede Electrónica del organismo en cuestión. A modo de ejemplo los servicios pueden ser:

  • Quejas, peticiones, etc: Aplicación de ticketing que permite la gestión de las reclamaciones y peticiones de los ciudadanos.
  • Licitaciones: Aplicación para los procesos de licitación.
  • Notificaciones: gestión de los procesos de notificación y comparecencia.
  • Adjudicaciones: gestión de los contratos adjudicados.
  • Etc.
Funciones de la carpeta ciudadana

Carpeta Ciudadana

La carpeta ciudadana contendrá los datos del ciudadano (o la organización) que posee la administración de tal forma que puedan consultarse, agregarse a expedientes y modificarse adecuadamente. Esto permitirá la creación de certificados (empadronamiento, estar libre de deudas con el organismo, etc.) de forma automática e inmediata.

La carpeta permitirá el acceso a los diferentes expedientes del ciudadano, permitiendo realizar las acciones que este considere adecuadas o añadir aquella documentación que considere oportuna.

El último paso es crear aplicaciones para todos los procesos que la administración lleve a cabo (desde la expedición del carné de socio de la biblioteca municipal hasta la gestión de una licitación) y agruparlos en un portal único y ordenado que consolide la Sede Electrónica.

Estas posibilidades y algunas otras aplicaciones que se ofrecen desde creativIT pueden consultarse en la presentación de empresa para Ayuntamientos y pequeños organismos públios:

En futuras entradas esperamos poder concretar un poco más cual es el papel de cada una de las cajitas que aquí se han esbozado, dando una idea tanto de sus implicaciones tecnológicas como de los procesos necesarios para construirlas con unos presupuestos limitados.

El objetivo de esta publicación es abrir un espacio a la reflexión sobre las TIC y la sociedad y dejar un espacio público para las inquietudes así como ser un punto de entrada para aquellos que tengan dudas sobre como llevar estos procesos a cabo. Por lo tanto cualquier comentario en este sentido será bienvenido y si te parece interesante el contenido se agradecerá la difusión.

creativ IT no se hace responsable de las opiniones vertidas por sus colaboradores.

Publicado por Carlos Prades el 30/10/2010

¿Pondrías la mano en el fuego por tu web?

abril 21, 2010

Logo OWASP

Obviamente si alguien nos para y nos pregunta si hacemos Webs seguras, responderemos sin dudarlo un sí rotundo.

Sin embargo para que a larga nunca nos quedemos atrás frente a las amenazas, cada vez más imaginativas, todos deberíamos tener claro los típicos fallos de seguridad que nos podemos encontrar para vigilar que a nosotros no nos pase. Hoy la OWASP(Open Web Application Security Project) actualizaba el TOP 10 de amenazas. En el podio de amenazas tenemos las siguientes.

  1. Inyecciones.
    Vulnerabilidades de inyección de código tipo SQL, comandos del sistema, etc.
  2. Cross-site Scripting.
    Una de las vulnerabilidades más extendidas y qué en un rápido escáner podemos encontrar en más de una web.
  3. Gestión defectuosa de sesiones y autenticación.
    Errores y fallos en las funciones de gestión de sesiones y autenticación, envío en claro de contraseñas, etc.

Sin duda merece la pena tener en cuenta el TOP 10 en cada desarrollo Web. Si queréis mas información de estas vulnerabilidades podéis pasaros por la OWASP y ver el informe completo.

Para aquellos que hayan temblado al descubrir estas vulnerabilidades y se pregunten cómo pueden evitarlas les ofrecemos algunas de las herramientas de código libre que les ayudarán en este tarea, sin embargo algunas funcionalidades de estas solo están habilitadas en versiones de pago.

En sistemas Windows podéis probar algunas como:

Para Linux o Multiplataforma también podéis probar los siguientes:

Publicado por Francisco Abril en 21/04/2010


A %d blogueros les gusta esto: