Simulacro SCAN

Temas relacionados con supuesto práctico y defensa
jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Simulacro SCAN

Mensaje por jdiazgh »

Hola,

como ya dije en otro hilo, no he podido asistir presencialmente a la sesión de Preparatic, así que me he descargado la solución, que me ha parecido muy completa, y me han surgido algunas dudas:
- La primera es el análisis de riesgos, yo había supuesto que los activos tenían que reflejar parte del enunciado, sin embargo en la presentación aparecen de forma genérica: Entorno/Sistema/Funciones, etc. Yo como activo habría puesto: "Documento digitalizado" o algo así. Quizás en la presentación se detalló más el tema. Otra cosa es que siendo el sistema de nivel alto, el análisis de riesgos debe ser formal y siguiendo un lenguaje específico. Esto no creo que haya tiempo de hacerlo en un examen.
- La segunda es otra duda que me surge con todos los simulacros: ¿tenemos que reflejar el Area de Conexión a SARA en la arquitectura física (esto es, otra DMZ). Yo entiendo que no, tal y como se hace en la presentación, si especificamos una conexión a SARA, ya está implícito que cumple con la NTI de interconexión. Pero aquí surge la segunda. Si el sistema no tiene conexión a Internet, ¿Por qué mencionar una VPN?, lo dicen las medidas del ENS, pero si ya especificamos la conexión a SARA, la VPN está incluida en la misma. Lo mismo diría con el SSL ¿o se establece desde el cliente al servidor, dentro de la propia delegación?, pero eso no lo contemplaría yo como medida de protección de comunicaciones. Yo entendería la protección de las comunicaciones si es desde el exterior.
- Y por último, está la identificación de la administración. Si en un momento se hace referencia a que los empleados deben identificarse mediante el certificado de empleado público, y además, la dimensión de trazabilidad es de nivel alto, quizás la firma de estos empleados sería más útil para realizar la identificación de la administración, ya que además ayudaría a la trazabilidad. En el propio certificado de empleado público viene el organismo al que pertenece el empleado.


Gracias y un saludo,

Juanlu1983
PreparaTIC XXI
Mensajes: 17
Registrado: 18 Oct 2010, 19:07
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Juanlu1983 »

Hola Jdiazgh

Te contesto a las dudas, a ver si así se aclara:

1.- La tabla del análisis de riesgo, efectivamente es genérica. En la sesión se comentó que las filas de Entorno, Sistemas etc. habría que sustituirlas por los activos reales de nuestro ejercicio.

2.- En el segundo punto planteas varias cuestiones. La conexión a SARA sólo será obligatorio que lo plasmes si vas a comunicarte con otro Organismo o si vas a usar un servicio horizontal, pero es costumbre dibujarla siempre. La mención de la VPN fue porque es una medida de la guía que aplica el ENS, en el caso de las delegaciones, forman parte de mi red, pero eso no quita que tenga que tener dicha red securizada. Las comunicaciones, tal y como dices al final, no sólo hay que protegerlas cuando conectes con el "exterior". Si envías información confidencial, no la debe poder interceptar nadie. No olvides que los ataques más graves son los internos.

3.- No sé si entiendo bien tu última duda. Las delegaciones dependen de la Secretaria de Estado de AAPP, no necesito identificar a la administración… porque ya la conozco, es la mía. Necesito guardar que funcionario ha compulsado un determinado documento digitalizado y en qué momento lo ha hecho. Después, en el proceso del servidor, el sistema pondrá la firma con el certificado de sello.

Espero haber aclarado un poco tus dudas.

Un saludo

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por jdiazgh »

Muchas gracias, las dos primeras están claras. La tercera, en cuanto a identificar a la administración, me refiero en que en algún punto del proceso nosotros tenemos que firmar o sellar la documentación entregada, cuando esté en forma electrónica, y así queda identificada nuestra administración (a efectos de quedar constancia de que nosotros hemos recibido la documentación). En este caso, además debería quedar traza del funcionario que recibe la documentación, ya que la trazabilidad es de nivel alto. Lo que yo planteo es si en vez de usar para firmar el sello electrónico de nuestra administración no sería más conveniente usar el certificado de empleado público del funcionario que realiza la operación.

No estoy seguro, pero creo que también habría que usar un sello de tiempo.

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por vfrades »

Jdiazgh,

Sobre el último punto, si la actuación es totalmente automatizada, se debería utilizar un sello electrónico que identifique de forma genérica al organismo. Si entiendes que el funcionario realiza algún tipo de validación o compulsa sobre la copia digitalizada entonces sí tendría más sentido que la firme con su certificado de empleado público. En ese caso, ten en cuenta que adquirir certificados electrónicos de empleado público para todos los funcionarios que van a digitalizar en algún momento puede resultar mucho más caro que adquirir un único certificado de sello electrónico. La FNMT no presta servicios gratuitos, salvo la emisión de certificados de persona física para ciudadanos genéricos. La Ley 11 (o su reglamento) también contempla que los empleados públicos puedan identificarse mediante su DNIe.

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por jdiazgh »

Muchas gracias vfrades, planteaba lo del certificado de empleado público porque parece que ya se menciona en otra parte del ejercicio, y ya que se tiene y la trazabilidad era de nivel alto, pues había pensado en usarlo. Efectivamente, si no se dispone de el, es un coste adicional, que además podría resolverse con el DNIe, pero hay que tener en cuenta que hay personas que aún no lo tienen (yo mismo).

Juanlu1983
PreparaTIC XXI
Mensajes: 17
Registrado: 18 Oct 2010, 19:07
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Juanlu1983 »

No no, a ver, lo aclaro:

El funcionario compulsa ese documento digital, pero no firma, el sistema envía el lote al servidor, que es donde se pone el sello del órgano. Lo que tenemos que hacer es guardar la auditoría de qué funcionario ha compulsado un determinado documento. Así es como viene explicado en la Presentación y así se hace en el proyecto real.

Resumen: Compulsa el Funcionario - se firma con el sello del organismo en el servidor - se audita las compulsas de los funcionarios


Espero haberlo dejado aclarado.

Un saludo

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por jdiazgh »

Muchas gracias a ti también Juanlu, me queda claro. Es más lógico que se firme con el sello del organismo, es una analogía de lo que se hace con los documentos en papel. Saludos,

Keoki
PreparaTIC XXIII
Mensajes: 57
Registrado: 03 Dic 2013, 18:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Keoki »

Me ha surgido una duda en cuanto a la formación. Nos podrían pedir realizar una planificación de la misma? En ese caso, al estar involucradas todas las Delegaciones Provinciales, cuál sería la mejor forma de hacerlo? Una videoconferencia con todas a la vez? Entiendo que habría que reservar tiempo para la preparación tambien, no?

En cuanto a la arquitectura lógica del cliente (slide 7), supongo que la primera capa es la de presentación y no la de aplicación como pone, qué sería la segunda, no?
Por último, no entiendo muy bien porque hay que incluir el Registro Electrónico en la capa de datos.

Muchas gracias!!

Juanlu1983
PreparaTIC XXI
Mensajes: 17
Registrado: 18 Oct 2010, 19:07
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Juanlu1983 »

Hola,

Sobre tu duda acerca de la formación, efectivamente la mejor opción es por videoconferencia, habría que planificar unos días de preparación y luego, por comodidad fraccionar la formación en dos o tres sesiones para no darles a todos a la vez. Ahora mismo se hace así, en dos sesiones.

La primera capa es de presentación, cierto, lo que quería representar es que se trata de un aplicación cliente y no de una página web o sede, por eso lo puse de esta manera.

El Registro electrónico no pretendía ponerlo en la capa de datos, la intención es señalar que se trata de un elemento externo a mi lógica de negocio con el que me tengo que conectar.

Espero haberlo aclarado

Saludos

Keoki
PreparaTIC XXIII
Mensajes: 57
Registrado: 03 Dic 2013, 18:38
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Keoki »

Muchas gracias Juanlu1983, todo aclarado!! :)

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Phoenix »

Creo que no se habla del formato elegido para los escaneos. De los formatos estándar del ENI ¿Cuál se elegiría en este caso?
Opositor profesional

jdiazgh
PreparaTIC XXII
Mensajes: 379
Registrado: 31 Mar 2011, 18:46
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por jdiazgh »

Supongo que vale cualquiera que esté incluido en el Catálogo de Estándares.

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Phoenix »

jdiazgh escribió:Supongo que vale cualquiera que esté incluido en el Catálogo de Estándares.
Lo único que eso influirá en el tipo de formato de firma elegido ¿no? Me refiero a Xades, Cades, Pades... Etc.
Opositor profesional

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por vfrades »

Phoenix escribió:
jdiazgh escribió:Supongo que vale cualquiera que esté incluido en el Catálogo de Estándares.
Lo único que eso influirá en el tipo de formato de firma elegido ¿no? Me refiero a Xades, Cades, Pades... Etc.
Más bien es al revés: la firma PAdES te condiciona el formato del documento.

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro SCAN

Mensaje por Phoenix »

Juanlu1983 escribió:No no, a ver, lo aclaro:

El funcionario compulsa ese documento digital, pero no firma, el sistema envía el lote al servidor, que es donde se pone el sello del órgano. Lo que tenemos que hacer es guardar la auditoría de qué funcionario ha compulsado un determinado documento. Así es como viene explicado en la Presentación y así se hace en el proyecto real.

Resumen: Compulsa el Funcionario - se firma con el sello del organismo en el servidor - se audita las compulsas de los funcionarios


Espero haberlo dejado aclarado.

Un saludo

ME ha surgido una duda de última hora. Si el funcionario no firma nada ¿En qué consiste exactamente la compulsa del documento digital?
Opositor profesional

Cerrado

Volver a “CUARTO EXAMEN 2013”