Your SlideShare is downloading. ×
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Neus Bellavista
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Neus Bellavista

478

Published on

Published in: Travel, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
478
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. AjuntamentdeBarcelona-InstitutMunicipald’Informàtica Autenticació i signatura en l’Ajuntament de Barcelona
  • 2. AjuntamentdeBarcelona-InstitutMunicipald’Informàtica Índex – Introducció – Riscos Generals – Autenticacions emprades a l’Ajuntament de Barcelona – Signatures emprades a l’Ajuntament de Barcelona – Conclusions
  • 3. Per cada tipus de sistema o servei a implantar, s’ha de realitzar un anàlisis de riscos que per trobar el punt d’equilibri (proporcional) entre la comoditat d’us i la protecció de la informació. La repercussió que té en la organització per assolir els seus objectius  La protecció dels actius de la organització Les legislacions que apliquen a l’activitat imposen els seus requeriments referents a la protecció de la informació que deriven en requeriments d’autenticació i signatura  Les necessitats de estandarditzar processos: polítiques i mecanismes d’autenticació / signatura corporatives.  i els drets dels ciutadans. Introducció Els mecanismes d’autenticació han de comprovar la identitat de l’usuari que intenta accedir de manera inequívoca i personalitzada. Però cada tipus d’autenticació te condicionants:  la robustesa i la fiabilitat dels mecanismes d’autenticació  la complexitat de generació i gestió de la identitat i la facilitat d’utilització d’aquesta La signatura digital és autocontinguda, tot està entre el document i la signatura: necessita certificat Factors a tenir en compte per decidir un mecanisme concret per autenticar o signar:
  • 4. Operacions especials: webcrossing La situació Interoperabilitata: Consorci AOC/AEAT/DGT./Col.legis/... etc AEAT, RELI, Via Oberta, DGT Col·lectius conveniats / extranets Teletreball: Personal municipal i empreses Expedient Documents Signats BBDD Personal intern Autenticació Signatura Carpetes: ciutadà, empresa professional Tràmits ciutadà empresa Institut Municipal d’hisenda Gerència de Serveis Generals i Coordinació Territorial Gerència de Medi Ambient Gerència de Prevenció, Seguretat i Mobilitat Gerències dels Districtes Gerència d'Educació, Cultura i Benestar Gerència de Promoció Econòmica Institut Municipal de Persones amb Discapacitat Gerència d'Acció Social i Ciutadania Gerència d'Urbanisme i Infraestructures Gerència de Recursos Humans i Organització Institut Municipal d'Urbanisme BAGURSA Institut Municipal Parcs i Jardins OACs
  • 5. Per organitzacions de certa mida, el risc més gran es no tenir establert “ordre”:  Tipificar i tenir solucions organitzatives, operatives i tècniques per les necessitats de la organització en matèria d’autenticació i signatura.  Establir i que es compleixin les normatives de Seguretat  La Gestió d’usuaris és també crítica per determinar una solució d’autenticació.  Una única signatura. Factors favorables en l’Ajuntament:  Les TIC en l’ajuntament són un servei de base: centralització de la informàtica per tota la Organització. Això proporciona: reducció de costos, economia d’escala i seguretat.  Eines centralitzades d’autenticació i de signatura. Polítiques úniques.  Rols establerts per l’Autenticació  Una única eina de signatura per tots els projectes d’e-administració, que treu al desenvolupament de preocupar-se de tecnicismes propis de la signatura digital. Riscos Generals
  • 6. Tipus d’autenticacions emprades a l’Ajuntament de Barcelona Pel Ciutadà / empresa que tramita a la web Els certificats digitals no són necessaris sempre: Per carpetes de professionals, empresa i ciutadà Extranets: Aplicatius restringits sota conveni • Certificat digital acceptats per l’Ajuntament: DNI-e, Catcert, Col·legiats, fnmt,.... Operacions especials: delegar autenticacions ciutadà/ empresa a terceres entitats Per els processos corporatius interns • Usuari / contrasenya corporativa • Usuari / contrasenya especial proporcionat per l’Ajuntament • Sistema autenticació extern Per teletreball de personal municipal i empreses externes • Certificat digital emès per l’Ajuntament • Usuari i Contrasenya corporativa Personal Municipal per accedir a altres administracions i interoperabilitats: RELI, Via Oberta CAOC, AEAT, DGT.. • Certificat digital CATCERT de personal Ajuntament
  • 7. Tipus signatures emprades en l’Ajuntament de Barcelona Pel Ciutadà / empresa que tramita a la web Operacions especials: proporcionar signatura personal autenticat externament Per els processos corporatius interns • Pre-generació certificats Firma a altres entitats Personal Municipal • Certificat digital CATCERT de personal Ajuntament: e-expedients, certificacions, notificacions,..etc • Vist i plau • Certificat digital acceptats per l’Ajuntament: DNI-e, Catcert, Col·legiats, fnmt,.... • Certificat digital CATCERT de personal Ajuntament Proporcionar signatura al ciutadà per certs tràmits • Certificat digital Ajuntament signa per assegurar integritat. Sistemes transaccionals tradicionals • Usuari / contrasenya corporativa i traça de l’acció. Els certificats digitals no són necessaris sempre:
  • 8. Situació • Dels 158 tràmits existents a la web de l’Ajuntament de Barcelona, 90 tràmits requereixen autenticació. • En la majoría, no hi ha llistes d’autoritzacions, les polítiques d’accés es basen segons el tipus de certificat i les BBDD de negoci: de contribuents / padró,... Anàlisis de riscos per tràmit • Hi ha tràmits que es fa autenticació perquè no son finalistes i hi ha un acte presencial o s’acaben resolent enviant documentació per correu. • Hi ha tràmits que hi ha un pagament telemàtic i on les legislacions i ordenances fan que no es requereixi autenticació (autoliquidacions). • Hi ha serveis que amb l'anàlisi de riscos, es determina que és millor facilitar la tramitació i on el risc de no autenticar és nul pel ciutadà i petit per a l’Ajuntament: queixes i suggeriments. • Hi ha tràmits que la legislació explicita que s’ha d’identificar la persona • Solució: • Mòdul d’autenticació de la web. • L’autenticació és amb certificat digital. • Política d’ús de Certificats en la web. Pel Ciutadà / empresa que tramita a la web • Certificat digital acceptats per l’Ajuntament: DNI-e, Catcert, Col·legiats, fnmt,.... Autenticació
  • 9. Per carpetes de professionals, empresa i ciutadà Situació • Carpetes ciutadà : Es realitzen una mitjana de 1.400 accessos mensuals • Carpetes Empresa; Es realitzen una mitjana de 250 accessos mensuals • Carpeta del Professional: el Institut Municipal d’Hisenda té signats convenis amb els col·legis professionals d’advocats, administradors i altres col·lectius, aquests tenen uns col·legiats adherits que poden usar la Carpeta del Professional: Mes de 2000 professionals donats d'alta a la carpeta Anàlisis de riscos per tràmit • L’accés a 3 carpetes mostra informació confidencial del ciutadà /empresa i ha d’estar protegit l’accés i la informació és confidencial. • Solució: • Mòdul d’autenticació de la web. • L’autenticació és amb certificat digital. • Política d’ús de Certificats en la web. • Certificat digital acceptats per l’Ajuntament: DNI-e, Catcert, Col·legiats, fnmt,.... Autenticació
  • 10. Situació •35 tràmits / serveis restringits a col·lectius /empreses que necessiten grans volums de tramitacions amb l’Ajuntament (realitzen tasques de client) •S’han de mantenir els usuaris: 3000 usuaris a gestionar Anàlisi de riscos per servei •Protecció dels aplicatius restingits en internet • Agilitzen tramitacions de grans volums •Solució: •Autenticació amb usuari contrasenya •Hi ha convenis signats i clàusules de seguretat amb les empreses •Eina de mercat específica de seguretat. • Cada servei s’ha de realitzar anàlisis de riscos. • Procediment d’entrega d’usuari i credencials Extranets: Aplicatius restringits sota conveni • Usuari / contrasenya especial proporcionat per l’Ajuntament Autenticació
  • 11. INTRANET ENTITAT COL·LABORADORA WEBCROSSING Tràmit Autenticació • ID: NIF, NIE o nº de passaport • LANG: indica l’idioma • TIMESTAMP: per definir el la data/hora en que es genera la petició • BANK ID: clau secreta aleatòria de 256 bits compartida entre Ajunt. i l’entitat • Validació dades. • Comprovació si el l’usuari pot tramitar • Generació enllaç. • Generació del missatge de credencials del ciutadà Operacions especials: delegar autenticacions ciutadà/ empresa a terceres entitats • Sistema autenticació extern Autenticació
  • 12. Operacions especials: delegar autenticacions ciutadà/ empresa a terceres entitats • Sistema autenticació extern Situació • Sistema en que els ciutadans usuaris de banca electrònica, intranets universitàries o d’administracions públiques puguin tenir accés directe a un tràmit o servei municipal, de manera que accedeixen al tràmit ja autenticats per aquestes entitats externes. • Els ens col·laboradors posen a disposició del sistema els mecanismes d’autenticació dels portals privats dels que són titulars, i mitjançant els quals proporcionen la identitat dels ciutadans. • És un canal de difusió extra al potenciar la participació des d’un sistema usualment emprat per cert col·lectiu de ciutadans. Anàlisi de riscos • Es delega totalment la identificació dels participants en terceres entitats. • Només pot ser emprada per ciutadans amb accés a aquestes terceres entitats. • La gestió de convenis amb terceres entitats • Cada nova entitat aporta nous riscos a la disponibilitat i seguretat, i incrementa la dedicació a integració i gestió d’incidències. Autenticació
  • 13. Per els processos corporatius interns • Usuari / contrasenya corporativa Situació • Son els usuaris que realitzen les tasques internes de gestió en l’Ajuntament. • 14.000 usuaris Anàlisi de riscos • Per necessitats del desenvolupament de les tasques del personal intern, tenen accessos a informació crítica i confidencial. • La Gestió d’usuaris i qualitat dels repositoris d’usuaris és estratègica • Les intranets són cada cop menys tancades • Solució: • Projecte de Gestió d’identitats • Un únic usuari i contrasenya amb control estricte intern • Normes de Personal Autenticació
  • 14. Situació • El teletreball i el personal de les empreses que realitzen serveis per a l’Ajuntament des de les oficines de la seva empresa • 620 usuaris externs d’empreses que realitzen serveis • 339 usuaris personal Ajuntament • 46 xarxes connectades (amb empreses de serveis i altres administracions) • El personal Municipal te accés als seus tràmits de Personal (RRHH) a través d’internet i accés al correu corporatiu. Anàlisi de riscos • Es molt crític l’accés des de l’exterior a la xarxa interna corporativa i a serveis interns. • Es te de tenir acotat els accessos de personal extern realitzat des de les seves instal·lacions. • Accés a informació de personal intern. • Solució: • S’han implantat 2 tipus d’accés: VPN i VPN-SSL • L’ajuntament te una PKI interna (imiCA) que s’empra per donar accés remot a la xarxa corporativa. • Utilitzen dues autenticacions: certificat per l’accés a la xarxa (VPN) i usuari/contrasenya corporatiu. • Hi ha un catàleg de serveis que esta disponibles (120 serveis) . • Procediment segur d’entrega de certificat. • Contractes de servei: Normativa de clàusules • Revoquen a l’any pel personal extern Per teletreball de personal municipal i empreses externes • Certificat digital emès per l’Ajuntament • Usuari i Contrasenya corporativa Autenticació
  • 15. Situació • Necessitat de que el personal municipal s’autentiqui a serveis externs a l’ajuntament (altres administracions,..etc) amb certificat digital • Accés EACAT (Portal de l’Administració Pública Catalana): 110 empleats municipals amb accés per fer tràmits a través de l’EACAT • Via Oberta: accés a RELI, (Registre de Licitadors) , SARA (xarxa de l’Admó. Pública estatal) per accés a la DGT, a AEAT,... :100 empleats de l’Ajuntament autoritzats a accedir al Via Oberta • Accés al BOP,..etc Anàlisi de riscos • Tasques que el personal municipal realitza en el desenvolupament de la seva feina en altres entitats corporatives. • Tenir control dels accessos a l’exterior. • Moltes entitats exigeixen ús de certificat . • Solució: • Dotar al treballador que ho necessiti del certificat • L’ajuntament empra certificats digitals de personal de Municipal per autenticació a serveis externs 1.409 certificats TCAT (Catcert ECAL) . • El certificat és propietat de l’Ajuntament: el pot revocar quan la persona deixa de necessitar el certificat. • Cada servei extern ha de tenir un responsable que gestioni la llista de persones autoritzades Firma a altres entitats Personal Municipal • Certificat digital CATCERT de personal Ajuntament Autenticació
  • 16. • Utilitzem certificats TCAT de Catcert d’administració local (EC-AL) (1.409 certificats): realitzem actualment una mitjana de • => 2.500 firmes mensuals de signatures d’expedients interns • => 1409 certificats • Projectes: Revisar quines signatures realment és necessiten (actes administratius) • S’ha incorporat el concepte de vist-i-plau • El ciutadà signa l’entada del Registre • En el tràmit de selecció de personal, l’Ajuntament signa per mantenir la integritat de la informació entregada (evitem de requerir certificat) • Pre-generació de certificats per ciutadans per operacions especials. Signatura • Recepció de factures signades electrònicament: e-factura Processos interns: e-expedient, Taulell edictes, ...etc Processos externs: ciutadà, empreses
  • 17. Ús del certificat de l’empleat públic: Signatures Corporatives Signatura
  • 18.  Organització i ordre  Cost de Gestió  Encara no tenim un mecanisme universal: complexitat d´us i de gestió de la identitat és el què condiciona Conclusions
  • 19. Moltes gràcies Responsable Seguretat TIC – IMI Ajuntament de Barcelona Institut Municipal d’Informàtica Tecnologia i Seguretat Oficina Seguretat TIC nbellavista@bcn.cat

×