administracion electronica y cloud computing - carlos galan - cloud day 15 feb 2011
DESCRIPTION
Cautelas y exigencias técnico-jurídicasTRANSCRIPT
![Page 1: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/1.jpg)
Seguridad Legal y Tecnológica
Administración electrónicay Cloud Computing:
1st Cloud Day – 15/02/2011
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
Seguridad
Legal & Tecnológica
y Cloud Computing:
Cautelas y exigenciastécnico-jurídicas
Dr. Carlos Galán ([email protected])
![Page 2: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/2.jpg)
Seguridad Legal y Tecnológica
ContenidoContenido
• Marco de la arquitectura del CC.• Modelos de Servicio: SaaS, PaaS y IaaS.• Modelos de Despliegue: Público, Privado, Comunidad.
• Esquema de Relaciones.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
2
• Esquema de Relaciones.• Cautelas en la elección del Proveedor.• Marco jurídico habilitante AE.• Marco tecnológico.• Seguridad: Normas de Conformidad.• Ámbito de aplicación de los Planes de Adecuación al ENI y al ENS.
• Conclusiones.
![Page 3: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/3.jpg)
Seguridad Legal y Tecnológica
Consultor y Presidente de ATL Agencia de Tecnología Legal
Carlos Galán es Doctor en Informática, Abogado especialista en Derecho de las Tecnologías de la Información, Certified Information Security Manager (CISM) por ISACA y Consultor Homologado de la EOI.
Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y publicaciones especializadas.Vinculado desde 1985 al Grupo Telefónica, ha desarrollado parte de su carrera profesional en esta compañía, ocupando diversos cargos y desarrollando importantes proyectos nacionales e internacionales. Ha sido Vocal Asesor y Director de la Oficina de Modernización del Ministerio del Interior, donde, entre otras actividades, dirigió el Plan de Modernización de las FF. Y CC. de Seguridad del Estado y presidió la Comisión de Informática y Comunicaciones de la Seguridad de los Juegos Olímpicos de Barcelona ’92.
Semblanzadel ponente
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
3
de la Seguridad de los Juegos Olímpicos de Barcelona ’92.Ha sido profesor de la Facultad de Informática de la Universidad Politécnica de Madrid, de la Escuela Técnica Superior de Ingenieros Industriales de la UNED, de la licenciatura de Administración y Dirección de Empresas de la Universidad Complutense de Madrid y del Instituto de Postgrado de la Universidad Pontificia de Comillas.Ha sido Director General de la Agencia de Certificación Electrónica ACE (primera Autoridad de Certificación de España), Vicepresidente de la Asociación de Entidades de Confianza Digital AECODI, Director General de Desarrollo y Tecnología de la Fundación General de la Universidad de Málaga y Presidente del Comité de Nuevas Tecnologías de Hispajuris, la mayor red de despachos de abogados de España.En la actualidad, en su calidad de especialista en Administración Electrónica, Seguridad y Firma Electrónica, es Profesor de Derecho de las TIC en el Grado de Derecho de la Facultad de Ciencias Sociales y Jurídicas, en el Máster de Derecho de las Telecomunicaciones y Tecnologías de la Información de la Universidad Carlos III de Madrid, siendo profesor igualmente de Calidad, Seguridad y Protección de la Información y Derecho Informático, de la Ingeniería de Informática y el Máster de Ingeniería de Software, respectivamente, de la Universidad Pontificia de Salamanca, actividades que compagina con la escritura de monografías y artículos y el dictado de conferencias y cursos donde es ponente habitual en las materias relativas al Derecho de las Tecnologías de la Información y las Comunicaciones, la Firma Electrónica, Certificación Digital y Seguridad IT.
![Page 4: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/4.jpg)
Seguridad Legal y Tecnológica
El Marco de la Arquitectura Cloud ComputingEl Marco de la Arquitectura Cloud Computing
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
4
![Page 5: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/5.jpg)
Seguridad Legal y Tecnológica
Modelos de ServicioModelos de Servicio
Se utilizan las aplicaciones del proveedor , que se ejecutan en una infraestructura de nube.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
5
Servicios de procesamiento, almacenamiento, redes y otros recursos computacionales de forma que el consumidor pueda desplegar y ejecutar cualquier software , que puede incluir sistemas operativos y aplicaciones.
Se despliegan en la infraestructura de nube aplicaciones del consumidor/cliente (adquiridas o creadas).
![Page 6: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/6.jpg)
Seguridad Legal y Tecnológica
Modelos de DespliegueModelos de Despliegue
La infraestructura de nube se pone a disposición de l público en general o de un gran grupo industrial y es propiedad de una organización que vende los servicios en la nube.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
6
La infraestructura de nube la comparten diversas or ganizaciones y soporta una comunidad específica que tiene preocupa ciones similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre cumplimiento normativo). Puede ser gestionada por l as organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas.
La infraestructura de nube se gestiona únicamente p ara una organización . Puede gestionarla la organización o un tercero y p uede existir tanto en las instalaciones como fuera de el las.
vende los servicios en la nube.
![Page 7: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/7.jpg)
Seguridad Legal y Tecnológica
Antes de “irse a la nube” hay que pensar en…Antes de “irse a la nube” hay que pensar en…
• Aspectos tecnológicos.• Aspectos económicos y de financiación.• Impacto en los servicios y en nuestra institución.• Aspectos relativos al nuevo modelo de gestión.• Aspectos jurídicos.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
7
• Aspectos jurídicos.
![Page 8: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/8.jpg)
Seguridad Legal y Tecnológica
Esquema de RelacionesEsquema de Relaciones
Proveedor
Control
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
8
Consumidor
ServiciosControl
deGestión
![Page 9: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/9.jpg)
Seguridad Legal y Tecnológica
Esquema de RelacionesEsquema de Relaciones
Proveedor
Control
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
Consumidor
9
ServiciosControl
deGestión
Convenio(ANS)
![Page 10: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/10.jpg)
Seguridad Legal y Tecnológica
Esquema de RelacionesEsquema de Relaciones
Proveedor
Control
-Externo-AA.PP.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
10
Consumidor
ServiciosControl
deGestión
Convenio(ANS)
-AA.PP.
![Page 11: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/11.jpg)
Seguridad Legal y Tecnológica
Esquema de RelacionesEsquema de Relaciones
Proveedor N2
ServiciosControl de
Gestión
Convenio 2(ANS)
-Externo-AA.PP.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
11
Consumidor
Proveedor N1
ServiciosDelegaciónConvenio 1
(ANS)
Gestión
-AA.PP.
-Externo-AA.PP.
![Page 12: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/12.jpg)
Seguridad Legal y Tecnológica
Cautelas en la elección del Proveedor Cautelas en la elección del Proveedor
1. Observancia de la normativa legal aplicable.
- Procedimiento Administrativo:- Genérica.- Específica, sobre la materia concreta.
- Administración Electrónica.- Genérica.- Específica:
• Por razón de competencias.
LAECSP
RDLAECSP
ENS ENI
LOPD
RDLOPD
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
12
• Por razón de competencias.• Por razón de especialidad.
2. Observancia de garantías adicionales:
- ¿Servicio adecuado a los fines perseguidos?- ¿Cubre todas las etapas de la e-contratación?- ¿Garantiza la seguridad?- ¿Garantiza la interoperabilidad?- ¿Atención al cliente?, ¿Reputación?,
¿experiencia?, ¿certificaciones?, ¿futuro?...
PLIEGOS
PUBLICA
OFERTAS
ADJUDICA
EVALUA
PEDIDO
FACTURA
PAGO
LSSICE
![Page 13: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/13.jpg)
Seguridad Legal y TecnológicaPara muestra… una LOPD Para muestra… una LOPD
• El Proveedor del Servicio Cloud como Encargado del Tratamiento.
• Ojo a las transferencias internacionales de datos.• Garantía de los derechos ARCO.• Implantación de las medidas de seguridad.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
13
• Implantación de las medidas de seguridad.• Auditorías.• Análisis de riesgos.• Subcontrataciones.• Ubicaciones.• Certificación del Sw.• Conservación, destrucción y bloqueo de datos.• Etc.
![Page 14: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/14.jpg)
Seguridad Legal y Tecnológica
Ley 11/2007 Acceso Electrónico de los Ciudadanos a los
Servicios Públicos
RD 3/2010
Marco Jurídico Habilitante AEMarco Jurídico Habilitante AE
RD 1671/2009 Rgto. Desarrollo LAECSP
RD 4/2010
Ley 30/1992 LRJAPPAC
Ley 6/1997 LOFAGE
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
RD 3/2010 ENS
Planes Directores (Acuerdo Consejo Gobierno)
RD 4/2010ENI
Ley 7/1985 LrBRL
RD 2568/1986 RDLrBRL
Ordenanzas Reguladoras del Uso de los Medios Electró nicos
![Page 15: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/15.jpg)
Seguridad Legal y Tecnológica
Marco TecnológicoMarco Tecnológico
1. Exigencias de Interoperabilidad:
• Infraestructuras y Servicios Comunes (ENI, 12 – ENS, 28)• Nodos de Interoperabilidad (ENI, 13-15)• Interoperabilidad de documentos y formatos (ENI, 22-23)• Control de la interoperabilidad (ENI, 25-28)• Normas Técnicas de Interoperabilidad (D.A. 1ª)
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
15
• Normas Técnicas de Interoperabilidad (D.A. 1ª)
2. Exigencias de Seguridad:
• Principios básicos de seguridad (ENS, 4)• Requisitos mínimos de seguridad (ENS, 11 y ss.)
![Page 16: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/16.jpg)
Seguridad Legal y Tecnológica
Seguridad: Normas de ConformidadSeguridad: Normas de Conformidad(ENS, 38(ENS, 38--41)41)
Sedes, Registros y
Ciclo de vida de Servicios y
El ENS se aplicaráobligatoriamente a…
Las especificaciones deseguridad se incluirán en…
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
16
Registros y Acceso
Electrónicos
de Servicios y Sistemas
Cada órgano de las AA.PP. establecerá mecanismos
de control
Las AA.PP. publicarán
declaraciones de conform.,
distintivos, etc.
![Page 17: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/17.jpg)
Seguridad Legal y TecnológicaÁmbito de aplicación delÁmbito de aplicación del
Plan de Adecuación a ENS/ENIPlan de Adecuación a ENS/ENI
• Sedes electrónicas.
• Registros electrónicos.
• SI accesibles electrónicamente
por los ciudadanos.Cualquiera quesea la forma de
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
17
por los ciudadanos.
• SI para el ejercicio de derechos.
• SI para el cumplimiento de deberes.
• SI para recabar información y estado
del procedimiento administrativo.
• …
sea la forma deprestación delservicio
![Page 18: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/18.jpg)
Seguridad Legal y Tecnológica
- Puede usarse el modelo de Cloud Computing en el ambiente de la Administración Electrónica.
- A los proveedores de servicios “en la nube “ les es exigible todo lo que es exigible a las AA.PP.
- Por tanto, conviene que los Proveedores de Servicios:
Conclusiones:Conclusiones:
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
18
- Por tanto, conviene que los Proveedores de Servicios:
- Posean las acreditaciones precisas/convenientes.- Superen las Auditorías pertinentes (en Interoperabilidad y en Seguridad, especialmente).
- Se formalicen adecuadamente los contratos de prestación de los servicios “en la nube”.
- La formación/concienciación de las AA.PP. Es fundamental para llevar todo ello adelante.
![Page 19: Administracion electronica y Cloud Computing - Carlos Galan - Cloud Day 15 feb 2011](https://reader033.vdocuments.us/reader033/viewer/2022060115/557ab927d8b42a89258b4836/html5/thumbnails/19.jpg)
Seguridad Legal y Tecnológica
Muchas gracias.
© ATL, 2003 -2011 -www.atl.es –Seguridad Legal y Tecnológica
19
ATL – Agencia de Tecnología Legal [email protected]
c/ Arzobispo Morcillo, 34 – 5C Tel. +34 91 735 07 55
28029 Madrid – España (Spain) www.atl.es