administracion electronica y cloud computing - carlos galan - cloud day 15 feb 2011

Seguridad Legal y Tecnológica

Administración electrónicay Cloud Computing:

1st Cloud Day – 15/02/2011

© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica

Seguridad

Legal & Tecnológica

y Cloud Computing:

Cautelas y exigenciastécnico-jurídicas

Dr. Carlos Galán ([email protected])


ContenidoContenido

• Marco de la arquitectura del CC.• Modelos de Servicio: SaaS, PaaS y IaaS.• Modelos de Despliegue: Público, Privado, Comunidad.

• Esquema de Relaciones.


2

• Esquema de Relaciones.• Cautelas en la elección del Proveedor.• Marco jurídico habilitante AE.• Marco tecnológico.• Seguridad: Normas de Conformidad.• Ámbito de aplicación de los Planes de Adecuación al ENI y al ENS.

• Conclusiones.


Consultor y Presidente de ATL Agencia de Tecnología Legal

Carlos Galán es Doctor en Informática, Abogado especialista en Derecho de las Tecnologías de la Información, Certified Information Security Manager (CISM) por ISACA y Consultor Homologado de la EOI.

Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y publicaciones especializadas.Vinculado desde 1985 al Grupo Telefónica, ha desarrollado parte de su carrera profesional en esta compañía, ocupando diversos cargos y desarrollando importantes proyectos nacionales e internacionales. Ha sido Vocal Asesor y Director de la Oficina de Modernización del Ministerio del Interior, donde, entre otras actividades, dirigió el Plan de Modernización de las FF. Y CC. de Seguridad del Estado y presidió la Comisión de Informática y Comunicaciones de la Seguridad de los Juegos Olímpicos de Barcelona ’92.

Semblanzadel ponente


3

de la Seguridad de los Juegos Olímpicos de Barcelona ’92.Ha sido profesor de la Facultad de Informática de la Universidad Politécnica de Madrid, de la Escuela Técnica Superior de Ingenieros Industriales de la UNED, de la licenciatura de Administración y Dirección de Empresas de la Universidad Complutense de Madrid y del Instituto de Postgrado de la Universidad Pontificia de Comillas.Ha sido Director General de la Agencia de Certificación Electrónica ACE (primera Autoridad de Certificación de España), Vicepresidente de la Asociación de Entidades de Confianza Digital AECODI, Director General de Desarrollo y Tecnología de la Fundación General de la Universidad de Málaga y Presidente del Comité de Nuevas Tecnologías de Hispajuris, la mayor red de despachos de abogados de España.En la actualidad, en su calidad de especialista en Administración Electrónica, Seguridad y Firma Electrónica, es Profesor de Derecho de las TIC en el Grado de Derecho de la Facultad de Ciencias Sociales y Jurídicas, en el Máster de Derecho de las Telecomunicaciones y Tecnologías de la Información de la Universidad Carlos III de Madrid, siendo profesor igualmente de Calidad, Seguridad y Protección de la Información y Derecho Informático, de la Ingeniería de Informática y el Máster de Ingeniería de Software, respectivamente, de la Universidad Pontificia de Salamanca, actividades que compagina con la escritura de monografías y artículos y el dictado de conferencias y cursos donde es ponente habitual en las materias relativas al Derecho de las Tecnologías de la Información y las Comunicaciones, la Firma Electrónica, Certificación Digital y Seguridad IT.


El Marco de la Arquitectura Cloud ComputingEl Marco de la Arquitectura Cloud Computing


4


Modelos de ServicioModelos de Servicio

Se utilizan las aplicaciones del proveedor , que se ejecutan en una infraestructura de nube.


5

Servicios de procesamiento, almacenamiento, redes y otros recursos computacionales de forma que el consumidor pueda desplegar y ejecutar cualquier software , que puede incluir sistemas operativos y aplicaciones.

Se despliegan en la infraestructura de nube aplicaciones del consumidor/cliente (adquiridas o creadas).


Modelos de DespliegueModelos de Despliegue

La infraestructura de nube se pone a disposición de l público en general o de un gran grupo industrial y es propiedad de una organización que vende los servicios en la nube.


6

La infraestructura de nube la comparten diversas or ganizaciones y soporta una comunidad específica que tiene preocupa ciones similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre cumplimiento normativo). Puede ser gestionada por l as organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas.

La infraestructura de nube se gestiona únicamente p ara una organización . Puede gestionarla la organización o un tercero y p uede existir tanto en las instalaciones como fuera de el las.

vende los servicios en la nube.


Antes de “irse a la nube” hay que pensar en…Antes de “irse a la nube” hay que pensar en…

• Aspectos tecnológicos.• Aspectos económicos y de financiación.• Impacto en los servicios y en nuestra institución.• Aspectos relativos al nuevo modelo de gestión.• Aspectos jurídicos.


7

• Aspectos jurídicos.


Esquema de RelacionesEsquema de Relaciones

Proveedor

Control


8

Consumidor

ServiciosControl

deGestión



Proveedor

Control


Consumidor

9

ServiciosControl

deGestión

Convenio(ANS)



Proveedor

Control

-Externo-AA.PP.


10

Consumidor

ServiciosControl

deGestión

Convenio(ANS)

-AA.PP.



Proveedor N2

ServiciosControl de

Gestión

Convenio 2(ANS)

-Externo-AA.PP.


11

Consumidor

Proveedor N1

ServiciosDelegaciónConvenio 1

(ANS)

Gestión

-AA.PP.

-Externo-AA.PP.


Cautelas en la elección del Proveedor Cautelas en la elección del Proveedor

1. Observancia de la normativa legal aplicable.

- Procedimiento Administrativo:- Genérica.- Específica, sobre la materia concreta.

- Administración Electrónica.- Genérica.- Específica:

• Por razón de competencias.

LAECSP

RDLAECSP

ENS ENI

LOPD

RDLOPD


12

• Por razón de competencias.• Por razón de especialidad.

2. Observancia de garantías adicionales:

- ¿Servicio adecuado a los fines perseguidos?- ¿Cubre todas las etapas de la e-contratación?- ¿Garantiza la seguridad?- ¿Garantiza la interoperabilidad?- ¿Atención al cliente?, ¿Reputación?,

¿experiencia?, ¿certificaciones?, ¿futuro?...

PLIEGOS

PUBLICA

OFERTAS

ADJUDICA

EVALUA

PEDIDO

FACTURA

PAGO

LSSICE

Seguridad Legal y TecnológicaPara muestra… una LOPD Para muestra… una LOPD

• El Proveedor del Servicio Cloud como Encargado del Tratamiento.

• Ojo a las transferencias internacionales de datos.• Garantía de los derechos ARCO.• Implantación de las medidas de seguridad.


13

• Implantación de las medidas de seguridad.• Auditorías.• Análisis de riesgos.• Subcontrataciones.• Ubicaciones.• Certificación del Sw.• Conservación, destrucción y bloqueo de datos.• Etc.


Ley 11/2007 Acceso Electrónico de los Ciudadanos a los

Servicios Públicos

RD 3/2010

Marco Jurídico Habilitante AEMarco Jurídico Habilitante AE

RD 1671/2009 Rgto. Desarrollo LAECSP

RD 4/2010

Ley 30/1992 LRJAPPAC

Ley 6/1997 LOFAGE


RD 3/2010 ENS

Planes Directores (Acuerdo Consejo Gobierno)

RD 4/2010ENI

Ley 7/1985 LrBRL

RD 2568/1986 RDLrBRL

Ordenanzas Reguladoras del Uso de los Medios Electró nicos


Marco TecnológicoMarco Tecnológico

1. Exigencias de Interoperabilidad:

• Infraestructuras y Servicios Comunes (ENI, 12 – ENS, 28)• Nodos de Interoperabilidad (ENI, 13-15)• Interoperabilidad de documentos y formatos (ENI, 22-23)• Control de la interoperabilidad (ENI, 25-28)• Normas Técnicas de Interoperabilidad (D.A. 1ª)


15

• Normas Técnicas de Interoperabilidad (D.A. 1ª)

2. Exigencias de Seguridad:

• Principios básicos de seguridad (ENS, 4)• Requisitos mínimos de seguridad (ENS, 11 y ss.)


Seguridad: Normas de ConformidadSeguridad: Normas de Conformidad(ENS, 38(ENS, 38--41)41)

Sedes, Registros y

Ciclo de vida de Servicios y

El ENS se aplicaráobligatoriamente a…

Las especificaciones deseguridad se incluirán en…


16

Registros y Acceso

Electrónicos

de Servicios y Sistemas

Cada órgano de las AA.PP. establecerá mecanismos

de control

Las AA.PP. publicarán

declaraciones de conform.,

distintivos, etc.

Seguridad Legal y TecnológicaÁmbito de aplicación delÁmbito de aplicación del

Plan de Adecuación a ENS/ENIPlan de Adecuación a ENS/ENI

• Sedes electrónicas.

• Registros electrónicos.

• SI accesibles electrónicamente

por los ciudadanos.Cualquiera quesea la forma de


17

por los ciudadanos.

• SI para el ejercicio de derechos.

• SI para el cumplimiento de deberes.

• SI para recabar información y estado

del procedimiento administrativo.

• …

sea la forma deprestación delservicio


- Puede usarse el modelo de Cloud Computing en el ambiente de la Administración Electrónica.

- A los proveedores de servicios “en la nube “ les es exigible todo lo que es exigible a las AA.PP.

- Por tanto, conviene que los Proveedores de Servicios:

Conclusiones:Conclusiones:


18

- Por tanto, conviene que los Proveedores de Servicios:

- Posean las acreditaciones precisas/convenientes.- Superen las Auditorías pertinentes (en Interoperabilidad y en Seguridad, especialmente).

- Se formalicen adecuadamente los contratos de prestación de los servicios “en la nube”.

- La formación/concienciación de las AA.PP. Es fundamental para llevar todo ello adelante.


Muchas gracias.


19

ATL – Agencia de Tecnología Legal [email protected]

c/ Arzobispo Morcillo, 34 – 5C Tel. +34 91 735 07 55

28029 Madrid – España (Spain) www.atl.es

administracion electronica y cloud computing - carlos galan - cloud day 15 feb 2011

Documents

monografas y artculos

seguridad y proteccin

informtica y comunicacionesde

aspectos econmicos y

instalaciones y fuera

consultor y presidente

mlaga y presidente

desarrollo y tecnologa