3. Per cada tipus de sistema o servei a implantar, s’ha de realitzar un anàlisis de riscos que per
trobar el punt d’equilibri (proporcional) entre la comoditat d’us i la protecció de la informació.
La repercussió que té en la organització per assolir els seus objectius
La protecció dels actius de la organització
Les legislacions que apliquen a l’activitat imposen els seus requeriments referents a la
protecció de la informació que deriven en requeriments d’autenticació i signatura
Les necessitats de estandarditzar processos: polítiques i mecanismes d’autenticació /
signatura corporatives.
i els drets dels ciutadans.
Introducció
Els mecanismes d’autenticació han de comprovar la identitat de l’usuari que intenta accedir de
manera inequívoca i personalitzada. Però cada tipus d’autenticació te condicionants:
la robustesa i la fiabilitat dels mecanismes d’autenticació
la complexitat de generació i gestió de la identitat i la facilitat d’utilització d’aquesta
La signatura digital és autocontinguda, tot està entre el document i la signatura: necessita certificat
Factors a tenir en compte per decidir un mecanisme concret per autenticar o signar:
4. Operacions
especials:
webcrossing
La situació Interoperabilitata: Consorci AOC/AEAT/DGT./Col.legis/... etc
AEAT,
RELI,
Via
Oberta,
DGT
Col·lectius
conveniats /
extranets
Teletreball:
Personal
municipal i
empreses
Expedient
Documents
Signats
BBDD
Personal
intern
Autenticació
Signatura
Carpetes:
ciutadà, empresa
professional
Tràmits
ciutadà
empresa
Institut Municipal d’hisenda
Gerència de Serveis Generals i
Coordinació Territorial
Gerència de Medi Ambient
Gerència de Prevenció,
Seguretat i Mobilitat
Gerències dels Districtes
Gerència d'Educació,
Cultura i Benestar
Gerència de Promoció Econòmica
Institut
Municipal de
Persones amb
Discapacitat
Gerència d'Acció Social i
Ciutadania
Gerència d'Urbanisme
i Infraestructures
Gerència de Recursos
Humans i Organització
Institut Municipal
d'Urbanisme
BAGURSA
Institut Municipal Parcs i Jardins
OACs
5. Per organitzacions de certa mida, el risc més gran es no tenir establert “ordre”:
Tipificar i tenir solucions organitzatives, operatives i tècniques per les necessitats de la
organització en matèria d’autenticació i signatura.
Establir i que es compleixin les normatives de Seguretat
La Gestió d’usuaris és també crítica per determinar una solució d’autenticació.
Una única signatura.
Factors favorables en l’Ajuntament:
Les TIC en l’ajuntament són un servei de base: centralització de la informàtica per tota la
Organització.
Això proporciona: reducció de costos, economia d’escala i seguretat.
Eines centralitzades d’autenticació i de signatura. Polítiques úniques.
Rols establerts per l’Autenticació
Una única eina de signatura per tots els projectes d’e-administració, que treu al
desenvolupament de preocupar-se de tecnicismes propis de la signatura digital.
Riscos Generals
6. Tipus d’autenticacions emprades a l’Ajuntament de Barcelona
Pel Ciutadà / empresa que tramita a la web
Els certificats digitals no són necessaris sempre:
Per carpetes de professionals, empresa i ciutadà
Extranets: Aplicatius restringits sota conveni
• Certificat digital acceptats per
l’Ajuntament: DNI-e, Catcert, Col·legiats,
fnmt,....
Operacions especials: delegar autenticacions ciutadà/
empresa a terceres entitats
Per els processos corporatius interns • Usuari / contrasenya corporativa
• Usuari / contrasenya especial
proporcionat per l’Ajuntament
• Sistema autenticació extern
Per teletreball de personal municipal i empreses externes
• Certificat digital emès per l’Ajuntament
• Usuari i Contrasenya corporativa
Personal Municipal per accedir a altres administracions i
interoperabilitats: RELI, Via Oberta CAOC, AEAT, DGT..
• Certificat digital CATCERT de personal
Ajuntament
7. Tipus signatures emprades en l’Ajuntament de Barcelona
Pel Ciutadà / empresa que tramita a la web
Operacions especials: proporcionar signatura
personal autenticat externament
Per els processos corporatius interns
• Pre-generació certificats
Firma a altres entitats Personal Municipal
• Certificat digital CATCERT de personal Ajuntament:
e-expedients, certificacions, notificacions,..etc
• Vist i plau
• Certificat digital acceptats per l’Ajuntament: DNI-e,
Catcert, Col·legiats, fnmt,....
• Certificat digital CATCERT de personal Ajuntament
Proporcionar signatura al ciutadà per certs tràmits
• Certificat digital Ajuntament signa per assegurar
integritat.
Sistemes transaccionals tradicionals • Usuari / contrasenya corporativa i traça de l’acció.
Els certificats digitals no són necessaris sempre:
8. Situació
• Dels 158 tràmits existents a la web de
l’Ajuntament de Barcelona, 90 tràmits
requereixen autenticació.
• En la majoría, no hi ha llistes d’autoritzacions, les
polítiques d’accés es basen segons el tipus de
certificat i les BBDD de negoci: de contribuents /
padró,...
Anàlisis de riscos per tràmit
• Hi ha tràmits que es fa autenticació perquè no
son finalistes i hi ha un acte presencial o s’acaben
resolent enviant documentació per correu.
• Hi ha tràmits que hi ha un pagament telemàtic i
on les legislacions i ordenances fan que no es
requereixi autenticació (autoliquidacions).
• Hi ha serveis que amb l'anàlisi de riscos, es
determina que és millor facilitar la tramitació i on
el risc de no autenticar és nul pel ciutadà i petit
per a l’Ajuntament: queixes i suggeriments.
• Hi ha tràmits que la legislació explicita que s’ha
d’identificar la persona
• Solució:
• Mòdul d’autenticació de la web.
• L’autenticació és amb certificat digital.
• Política d’ús de Certificats en la web.
Pel Ciutadà / empresa que tramita a la web • Certificat digital acceptats per l’Ajuntament: DNI-e,
Catcert, Col·legiats, fnmt,....
Autenticació
9. Per carpetes de professionals, empresa i ciutadà
Situació
• Carpetes ciutadà : Es realitzen una mitjana de
1.400 accessos mensuals
• Carpetes Empresa; Es realitzen una mitjana de
250 accessos mensuals
• Carpeta del Professional: el Institut Municipal
d’Hisenda té signats convenis amb els col·legis
professionals d’advocats, administradors i altres
col·lectius, aquests tenen uns col·legiats adherits
que poden usar la Carpeta del Professional: Mes
de 2000 professionals donats d'alta a la carpeta
Anàlisis de riscos per tràmit
• L’accés a 3 carpetes mostra informació
confidencial del ciutadà /empresa i ha d’estar
protegit l’accés i la informació és confidencial.
• Solució:
• Mòdul d’autenticació de la web.
• L’autenticació és amb certificat digital.
• Política d’ús de Certificats en la web.
• Certificat digital acceptats per l’Ajuntament: DNI-e,
Catcert, Col·legiats, fnmt,....
Autenticació
10. Situació
•35 tràmits / serveis restringits a col·lectius
/empreses que necessiten grans volums de
tramitacions amb l’Ajuntament (realitzen
tasques de client)
•S’han de mantenir els usuaris: 3000 usuaris a
gestionar
Anàlisi de riscos per servei
•Protecció dels aplicatius restingits en internet
• Agilitzen tramitacions de grans volums
•Solució:
•Autenticació amb usuari contrasenya
•Hi ha convenis signats i clàusules de seguretat
amb les empreses
•Eina de mercat específica de seguretat.
• Cada servei s’ha de realitzar anàlisis de
riscos.
• Procediment d’entrega d’usuari i credencials
Extranets: Aplicatius restringits sota conveni
• Usuari / contrasenya especial
proporcionat per l’Ajuntament
Autenticació
11. INTRANET ENTITAT
COL·LABORADORA
WEBCROSSING Tràmit
Autenticació
• ID: NIF, NIE o nº de passaport
• LANG: indica l’idioma
• TIMESTAMP: per definir el la data/hora
en que es genera la petició
• BANK ID: clau secreta aleatòria de 256
bits compartida entre Ajunt. i l’entitat
• Validació dades.
• Comprovació si el
l’usuari pot tramitar
• Generació enllaç.
• Generació del missatge
de credencials del
ciutadà
Operacions especials: delegar autenticacions ciutadà/
empresa a terceres entitats
• Sistema autenticació extern
Autenticació
12. Operacions especials: delegar autenticacions ciutadà/
empresa a terceres entitats
• Sistema autenticació extern
Situació
• Sistema en que els ciutadans usuaris de banca
electrònica, intranets universitàries o
d’administracions públiques puguin tenir accés
directe a un tràmit o servei municipal, de
manera que accedeixen al tràmit ja autenticats
per aquestes entitats externes.
• Els ens col·laboradors posen a disposició del
sistema els mecanismes d’autenticació dels
portals privats dels que són titulars, i mitjançant
els quals proporcionen la identitat dels ciutadans.
• És un canal de difusió extra al potenciar la
participació des d’un sistema usualment emprat
per cert col·lectiu de ciutadans.
Anàlisi de riscos
• Es delega totalment la identificació dels
participants en terceres entitats.
• Només pot ser emprada per ciutadans amb accés
a aquestes terceres entitats.
• La gestió de convenis amb terceres entitats
• Cada nova entitat aporta nous riscos a la
disponibilitat i seguretat, i incrementa la
dedicació a integració i gestió d’incidències.
Autenticació
13. Per els processos corporatius interns • Usuari / contrasenya corporativa
Situació
• Son els usuaris que realitzen les tasques internes
de gestió en l’Ajuntament.
• 14.000 usuaris
Anàlisi de riscos
• Per necessitats del desenvolupament de les
tasques del personal intern, tenen accessos a
informació crítica i confidencial.
• La Gestió d’usuaris i qualitat dels repositoris
d’usuaris és estratègica
• Les intranets són cada cop menys tancades
• Solució:
• Projecte de Gestió d’identitats
• Un únic usuari i contrasenya amb control estricte
intern
• Normes de Personal
Autenticació
14. Situació
• El teletreball i el personal de les empreses que
realitzen serveis per a l’Ajuntament des de les oficines
de la seva empresa
• 620 usuaris externs d’empreses que realitzen serveis
• 339 usuaris personal Ajuntament
• 46 xarxes connectades (amb empreses de serveis i
altres administracions)
• El personal Municipal te accés als seus tràmits de
Personal (RRHH) a través d’internet i accés al correu
corporatiu.
Anàlisi de riscos
• Es molt crític l’accés des de l’exterior a la xarxa
interna corporativa i a serveis interns.
• Es te de tenir acotat els accessos de personal extern
realitzat des de les seves instal·lacions.
• Accés a informació de personal intern.
• Solució:
• S’han implantat 2 tipus d’accés: VPN i VPN-SSL
• L’ajuntament te una PKI interna (imiCA) que s’empra
per donar accés remot a la xarxa corporativa.
• Utilitzen dues autenticacions: certificat per l’accés a
la xarxa (VPN) i usuari/contrasenya corporatiu.
• Hi ha un catàleg de serveis que esta disponibles (120
serveis) .
• Procediment segur d’entrega de certificat.
• Contractes de servei: Normativa de clàusules
• Revoquen a l’any pel personal extern
Per teletreball de personal municipal i empreses externes
• Certificat digital emès per l’Ajuntament
• Usuari i Contrasenya corporativa
Autenticació
15. Situació
• Necessitat de que el personal municipal
s’autentiqui a serveis externs a l’ajuntament
(altres administracions,..etc) amb certificat digital
• Accés EACAT (Portal de l’Administració Pública
Catalana): 110 empleats municipals amb accés
per fer tràmits a través de l’EACAT
• Via Oberta: accés a RELI, (Registre de Licitadors) ,
SARA (xarxa de l’Admó. Pública estatal) per accés
a la DGT, a AEAT,... :100 empleats de
l’Ajuntament autoritzats a accedir al Via Oberta
• Accés al BOP,..etc
Anàlisi de riscos
• Tasques que el personal municipal realitza en el
desenvolupament de la seva feina en altres
entitats corporatives.
• Tenir control dels accessos a l’exterior.
• Moltes entitats exigeixen ús de certificat .
• Solució:
• Dotar al treballador que ho necessiti del certificat
• L’ajuntament empra certificats digitals de
personal de Municipal per autenticació a serveis
externs 1.409 certificats TCAT (Catcert ECAL) .
• El certificat és propietat de l’Ajuntament: el pot
revocar quan la persona deixa de necessitar el
certificat.
• Cada servei extern ha de tenir un responsable
que gestioni la llista de persones autoritzades
Firma a altres entitats Personal Municipal
• Certificat digital CATCERT de personal Ajuntament
Autenticació
16. • Utilitzem certificats TCAT de Catcert d’administració local (EC-AL) (1.409
certificats): realitzem actualment una mitjana de
• => 2.500 firmes mensuals de signatures d’expedients interns
• => 1409 certificats
• Projectes: Revisar quines signatures realment és necessiten (actes administratius)
• S’ha incorporat el concepte de vist-i-plau
• El ciutadà signa l’entada del Registre
• En el tràmit de selecció de personal, l’Ajuntament signa per mantenir la integritat
de la informació entregada (evitem de requerir certificat)
• Pre-generació de certificats per ciutadans per operacions especials.
Signatura
• Recepció de factures signades electrònicament: e-factura
Processos interns:
e-expedient,
Taulell edictes, ...etc
Processos externs:
ciutadà,
empreses
17. Ús del certificat de l’empleat públic: Signatures Corporatives
Signatura
18. Organització i ordre
Cost de Gestió
Encara no tenim un mecanisme universal:
complexitat d´us i de gestió de la identitat és el què condiciona
Conclusions
19. Moltes gràcies
Responsable Seguretat TIC – IMI
Ajuntament de Barcelona
Institut Municipal d’Informàtica
Tecnologia i Seguretat
Oficina Seguretat TIC
nbellavista@bcn.cat