Más contenido relacionado Normativas de Seguridad2. 1. BARATZ
2. Antecedentes
3. Presente
4. Legislación
1. Moreq2010
2. ENS
5. PROYECTO BARATZ
2
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
3. Porqué BARATZ
Desde el día 1, gestionando conocimiento
10 años desarrollando soluciones de Archivo
I+D+i para cubrir las necesidades del cliente
Servicios de consultoría documental asociados a los proyectos
Presente en más de 25 países
3
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
4. BARATZ. Líneas de Negocio
Soluciones específicas para Archivos Soluciones para ID-ECM
Ministerios: Interior, Trabajo, MAP, …
Archivo Histórico del BBVA, Catedral de Orihuela Ministerio de Cultura Museo Bellas Artes de Bilbao
Institución Colombina, Real Maestraza de Ronda Congreso Diputados Antena 3
Juntas de CyL y de CLM, Generalitat, Xunta de Galicia Consejo de Estado Ayto. Palma de Mallorca
Museo del Prado, Archivo Histórico de Barcelona,.. UNILABS ICO
Archivo General de la Nación de la República Dominicana Patrimonio Nacional Boletín Oficial de Aragón
Administraciones Públicas México
Soluciones específicas para Bibliotecas Soluciones Servicios Gestión Documental
Servicios integrales de gestión y tratamiento
de documentación, digitalización, gestión
bibliotecaria y archivística, formación y
mantenimiento.
80 % Bibliotecas Públicas Españolas Bibliotecas Públicas, Parlamentarias y Ministeriales
Instituto Cervantes
Presentes en Bibliotecas Universitarias en Francia Universidad Pompeu i Fabra
Sistemas bibliotecarios de México y Colombia Archivo Municipal de Almería
EJIE
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
5. ANTECEDENTES
La seguridad y control al acceso de la documentación,
surge por diferentes razones:
1. Necesidad de conservar la documentación cuyo ciclo de
vida no finaliza por mantener valores y obligaciones legales,
históricas, fiscales,… .
2. Autenticidad y valor probatorio de los documentos
3. ...
Problemas:
Falsificaciones
Eliminación de documentos de importante valor
Acceso a información no autorizada
5
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
6. ANTEDECENTES
Arca de las 3 llaves
Control de acceso
Consulta en sala
OPAC
6
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
7. PRESENTE
Problemática:
Preservación y Almacenamiento seguro
Autenticidad
Legible
Íntegro
Gestión de acceso pasamos al libre acceso
7
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
8. LEGISLACIÓN
Consideramos como normas “de referencia” :
SEGURIDAD
MoReq2010
ENS
LIBRE ACCESO
Ley de Transparencia
Ley 11/2007
8
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
9. LEGISLACIÓN
Seguridad y acceso según
Seguridad y acceso se articulan a través de dos servicios:
Usuarios y Grupos
Funciones y Roles
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
10. LEGISLACIÓN
Usuarios y Grupos (I)
Son entidades MoReq
Llevan asociadas: un histórico de eventos, una serie de
MD y una ACL
Deben respetar el ciclo de vida de una entidad
Deben ser identificadas mediante una clave universal
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
11. LEGISLACIÓN
Usuarios y Grupos (II)
Relación n a n
La norma permite utilizar aplicaciones de directorio (LDAP
A/D, X500, etc) pero un MCRS debe guardar información
adicional estable sobre U y G
Como entidades que son, la “destrucción” de usuarios y
grupos deben dejar una “entidad residual” que se tiene que
conservar en el tiempo
La norma impone a un MCRS el cumplimiento de una serie
de requisitos:
Metadatos mínimos
Operaciones de Alta, Modificación, …
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
12. © Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
13. © Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
14. LEGISLACIÓN
Servicio de Roles
Los roles son agrupaciones de funciones
Mantienen también una relación n a n
Todas las entidades en MoReq llevan una ACL
Los roles son “heredables”
La herencia puede ser múltiples
14
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
15. LEGISLACIÓN: ENS
Seguridad y acceso según ENS:
Principios Básicos
Seguridad Integral
Gestión de riesgos
Prevención, reacción y recuperación
Líneas de defensa
Reevaluación periódica
Función diferenciada
15
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
16. LEGISLACIÓN: ENS
Requisitos mínimos
Organización e implantación del proceso de seguridad
Análisis y gestión de los riesgos
Gestión del personal
Profesionalidad
Autorización y gestión e accesos
Protección de las instalaciones
Adquisición de productos
Seguridad por defecto
Integridad y actualización del sistema
Protección de la información almacenada y en tránsito
Prevención ante otros sistemas de información interconectados
Registro de actividad
Incidentes de seguridad
Continuidad de la actividad y mejora continua del proceso de seguridad
16
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
17. LEGISLACIÓN: ENS
Comunicaciones electrónicas
Auditoría de la seguridad
Estado de seguridad de los sistemas
Respuestas a incidentes de seguridad
Normas de conformidad
Actualización
Categorización de los sistemas de información
17
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
18. PROYECTO BARATZ
18
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
19. © Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
20. © Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
21. PROYECTO BARATZ
Servicio de Búsqueda y Recuperación
Servicio de Usuarios y Grupos
Servicio de Roles
Servicio de Clasificación
Servicio de Archivo
Servicio de Metadatos
Servicio de Esquema de Ejecución de Servicios
Servicio de Eliminación
21
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
22. PROYECTO BARATZ
ACCESO
Código único por expediente, documento, objeto
Políticas de acceso a través de permisos a los usuarios:
LDAP
Integración con LOPD
Aplicación de LOPD:
Trazabilidad de documentos
Trazabilidad de accesos
Informes de Auditoría
Aplicar los diferentes niveles de acceso:
Datos
Usuarios
Aplicación
Niveles de protección de acceso a los registros:
Alto
Medio
Básico
Ninguno 22
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
23. PROYECTO BARATZ
INFORMES DE AUDITORÍA
Quién ha accedido
Cuándo ha accedido
Si se han realizado modificaciones en el documento
Quién las ha realizado
Cuándo se han realizado
Entradas/salidas de documentos
Número de Accesos al sistema
Histórico de los informes emitidos
Cambios en las políticas de conservación
Registro de autorizaciones y rechazos de transferencias
23
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
24. PROYECTO BARATZ
ROLES DE USUARIOS
Asignación de los usuarios a los diferentes perfiles
Individual
Grupos
Personalizar
Asignación de los accesos a datos de los diferentes perfiles
Políticas de Ciclo de vida.
Preservación de los metadatos de la documentación independientemente
del momento del ciclo de vida en el que se hayan generado
24
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
25. Gracias por su atención
www.baratz.es
25
© Copyright: Todos los derechos reservados. No se permite su reproducción sin el expreso consentimiento de Baratz. S.A.
Notas del editor Problemática: Documentación: Papel Híbrida Electrónica Implicación de todos Control total para disminuir riesgos Reducción riesgos, actuar antes ellos y garantizar la conservación de los datos. Estrategia Evaluación permanente del sistema Diferentes responsables dentro de la seguridad del sistema. Dentro de los requisitos mínimos estos son los que más nos aplican: Todos relaciones con el control de accesos, auditorías de actividad, copias de seguridad … Comunicaciones electrónicas: condiciones de seguridad, requerimientos técnicos de notificaciones y publicaciones electrónicas : fecha y hora de disposición, autenticidad del destinatario, firma electrónica Respuestas a incidentes de seguridad: Capacidad de respuesta, prestación de servicios ante incidentes Normas de conformidad : Seguridad de sedes y registros electrónicos, ciclo de vida de servicios y sistemas, mecanismos de control (establecidos por cada admon), Publicación de conformidad en las sedes electrónicas de declaraciones de conformidad y distintivos de seguridad de los que son acreedores. Actualización: esquema permanentemente actualizado Categorización: para ver cuales son las dimensiones se tendrá en cuenta: Disponibilidad, Autenticidad, Integridad, Confidencialidad Trazabilidad