Simulacro del cuarto ejercicio

Temas relacionados con supuesto práctico y defensa
ard
PreparaTIC XX
Mensajes: 35
Registrado: 26 Dic 2010, 23:41
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por ard »

Como se ha comentado en otro hilo, ya tenéis disponible el documento del simulacro en la página de Material de las Sesiones http://www.preparatic.org/material_sesiones/

Saludos

Avatar de Usuario
pez
Usuario registrado
Mensajes: 135
Registrado: 28 Abr 2010, 18:08
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por pez »

_Muchas gracias! os lo habéis currado!

Avatar de Usuario
pez
Usuario registrado
Mensajes: 135
Registrado: 28 Abr 2010, 18:08
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por pez »

Una pregunta respecto a la solución. En la arquitectura se ponen sistemas de alta disponibilidad, pero luego se dice que según el ENS el sistema no es de alta disponiblidad. Incongruencia? o que en el diagrama se están mostrando todos los servidores q hay en el minetur? Otra cosa, para qué hay tantos servidores de aplicaciones? es por la misma razón (son los q hay en el minetur ya)?
Gracias de nuevo!

marodrig
PreparaTIC XVII
Mensajes: 8
Registrado: 23 Abr 2008, 22:48
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por marodrig »

Respondo a tus preguntas:

1. ¿Para qué hay tantos servidores de aplicaciones?
2. ¿son los q hay en el minetur ya?


1.- Hay un servidor de aplicaciones (y además un servidor Web que no aparece en el diagrama) por cada ámbito de red o perímetro de interconexión. Hay uno para la DMZ con servicios y aplicaciones accesibles a fabricantes, otro en entorno interno con servicios y aplicaciones accesibles a usuarios internos, y otro al que se accede desde la Red SARA para que puedan acceder los sistemas de la DGT.

2.- No son todos los que hay en el Minetur, pero sí una parte. Estos servidores, además de prestar el servicio de eITV, sirven otras aplicaciones en el ámbito de conexión que corresponde en cada caso.

3. En la arquitectura se ponen sistemas de alta disponibilidad, pero luego se dice que según el ENS el sistema no es de alta disponibilidad. Incongruencia?

3.- Tener los servidores redundados (2 o más con un balanceador por delante) es lo que se ha denominado en la respuesta a este supuesto "tener los sistemas en alta disponibilidad". Esta redundancia de sistemas permite soportar la carga de una manera más eficiente, evita indisponibilidades de servicio ante la avería de alguna de las máquinas y durante las ventanas de mantenimiento (por ejemplo para aplicar parches de sistema operativo).

No debe confundirse el concepto "tener los sistemas en alta disponibilidad" con que la dimensión "DISPONIBILIDAD" del ENS se haya categorizado con valor "ALTA", y no es incongruente. Pongo ejemplos de medidas del ANEXO II del ENS a las que el sistema estaría obligado si la dimensión se hubiera categorizado como "ALTA":
  • op.ext.9 Medios alternativos
    op.cont.2 Plan de continuidad
    op.cont.3 Pruebas periódicas
    mp.if.9 Instalaciones alternativas
    mp.per.9 Personal alternativo
    mp.com.9 Medios alternativos
    mp.s.8 Protección frente a la denegación de servicio
    mp.s.9 Medios alternativos
Si analizas este conjunto de medidas, verás que todas ellas tienen que ver con garantizar la disponibilidad mediante un centro de respaldo, hasta incluso con personal de explotación de sistemas alternativo al habitual (mp.per.9).

Espero haber aclarado tus dudas.

Saludos,
Miguel Ángel Rodríguez

opTIC
Usuario registrado
Mensajes: 33
Registrado: 18 Ene 2012, 19:10
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por opTIC »

Con respecto a la solución del simulacro, cuando el fabricante solicita un rango de tarjetas hay que hacer unas comprobaciones antes de autorizar o bloquear al fabricante. Esto lo hace el gestor de forma "manual". Yo cuando me plantee la solución habia considerado que todas las comprobaciones necesarias para la emision de rangos lo hacia el sistema eITV. No se si sería correcto. Tampoco me queda muy claro en las comprobaciones que se hace realmente. Gracias de antemano.

Avatar de Usuario
vfrades
PreparaTIC XXI
Mensajes: 631
Registrado: 16 Jun 2008, 15:40
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por vfrades »

opTIC escribió:Con respecto a la solución del simulacro, cuando el fabricante solicita un rango de tarjetas hay que hacer unas comprobaciones antes de autorizar o bloquear al fabricante. Esto lo hace el gestor de forma "manual". Yo cuando me plantee la solución habia considerado que todas las comprobaciones necesarias para la emision de rangos lo hacia el sistema eITV. No se si sería correcto. Tampoco me queda muy claro en las comprobaciones que se hace realmente. Gracias de antemano.
Pocos procedimientos administrativos tienen hoy en día una tramitación 100% automatizada. Siempre suele haber algún paso en que algún gestor debe revisar documentación (aportada por el ciudadano o que obtenga de otros sistemas) de forma "manual". Para que una comprobación de cumplimiento de requisitos pueda hacerse de forma automática tendría que cumplirse:

1 - Que la información necesaria para comprobar los requisitos pueda obtenerse en formato estructurado (la información no estructurada no suele servir para comprobaciones automatizadas, salvo que se genere algún procedimiento para extraer información estructurada de documentación no estructurada).

2 - Que los sistemas que alojan esta información permiten su consulta a través de una interfaz M2M (por ejemplo, web services). De nada sirve, si lo que queremos es automatizar, que dicha información sólo pueda consultarse a través de una interfaz gráfica de usuario. (Sí, hay técnicas para simular que hay un humano usando la interfaz, pero queda poco elegante).

Como quizás es suponer muchas cosas y suele haber cierta "prisa" por poner en funcionamiento los proyectos lo antes posible, siempre es mejor plantear una solución lo más sencilla posible (en este caso incluyendo etapas de comprobación "manual") y proponer como mejoras la automatización de estas tareas (en este caso, integración con el registro de fabricantes, estructuración de la información si no lo estuviera, etc.)

Avatar de Usuario
pez
Usuario registrado
Mensajes: 135
Registrado: 28 Abr 2010, 18:08
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por pez »

marodrig escribió:Respondo a tus preguntas:
...
Espero haber aclarado tus dudas.

Saludos,
Miguel Ángel Rodríguez
Muchísimas gracias Miguel Ángel! Ahora lo entiendo mucho mejor. Pero una cosilla solamente... eso es cómo lo habéis montado teniendo en cuenta todo el sistema como es en realidad, no? Entiendo que el caso del simulacro es una versión reducida de lo que en realidad tenéis allí montado. O esta es una solución habitual? Me refiero a poner servidores para atender diversas peticiones dependiendo de por dónde vayan a venir.
Gracias de nuevo!

Avatar de Usuario
jfuentes
Usuario registrado
Mensajes: 453
Registrado: 30 May 2009, 17:34
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por jfuentes »

Me surge a mí también una duda respecto al tema de la LOPD, seguro que lo discutísteis el día del simulacro. Cuando la información personal que se tiene de alguien es para identificarla en el contexto de su empresa, tenía entendido que no se aplicaba la LOPD. Pero en eITV sí que decís que aplica. Entiendo que aplicaría si los datos fueran de personas, pero son de empresas o su representante. En estos casos en los que interviene un representante se interpreta como datos personales? :shock: No tenía ni idea! O es para curarse en salud?

ard
PreparaTIC XX
Mensajes: 35
Registrado: 26 Dic 2010, 23:41
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por ard »

jfuentes escribió:Me surge a mí también una duda respecto al tema de la LOPD, ...
Lo que comentas jfuentes creo que está recogido en el artículo 2.2 del reglamento de la LOPD (RD 1720/2007):

Artículo 2. Ámbito objetivo de aplicación.
...
2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.


Esta exención por lo visto siempre genera cierta polémica (me suena haber visto varias consultas en la AEPD relacionadas con ello, generalmente asociadas a si la LOPD aplica para tarjetas de contacto de profesionales, listines de empresas con datos de representantes, etc.).

En cualquier caso, en el momento que recoges algo más que los datos que indica expresamente el artículo ("nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales"), por ejemplo el DNI, sí que aplica la LOPD. En este caso el DNI era necesario para autenticar al usuario con total fiabilidad en el sistema, por tanto sí aplica.

Lo que si que surgió en la sesión es si se podría defender que no aplica la LOPD en caso de que se accediese siempre con certificado de persona jurídica y sólo se almacenasen datos de las empresas, no de los representantes. En esta situación igual se podría defender, pero siempre que no se haya indicado nada de certificados de persona física (y en cualquier caso a veces es mejor suponer que sí "para curarse en salud", como comentas).

Por otra parte, además de los datos de los fabricantes, se recogen datos personales de carácter básico de los gestores de la DGT que acceden al sistema, otra razón por la que aplica.

Saludos

opTIC
Usuario registrado
Mensajes: 33
Registrado: 18 Ene 2012, 19:10
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por opTIC »

vfrades escribió:
opTIC escribió:Con respecto a la solución del simulacro, cuando el fabricante solicita un rango de tarjetas hay que hacer unas comprobaciones antes de autorizar o bloquear al fabricante. Esto lo hace el gestor de forma "manual". Yo cuando me plantee la solución habia considerado que todas las comprobaciones necesarias para la emision de rangos lo hacia el sistema eITV. No se si sería correcto. Tampoco me queda muy claro en las comprobaciones que se hace realmente. Gracias de antemano.
Pocos procedimientos administrativos tienen hoy en día una tramitación 100% automatizada. Siempre suele haber algún paso en que algún gestor debe revisar documentación (aportada por el ciudadano o que obtenga de otros sistemas) de forma "manual". Para que una comprobación de cumplimiento de requisitos pueda hacerse de forma automática tendría que cumplirse:

1 - Que la información necesaria para comprobar los requisitos pueda obtenerse en formato estructurado (la información no estructurada no suele servir para comprobaciones automatizadas, salvo que se genere algún procedimiento para extraer información estructurada de documentación no estructurada).

2 - Que los sistemas que alojan esta información permiten su consulta a través de una interfaz M2M (por ejemplo, web services). De nada sirve, si lo que queremos es automatizar, que dicha información sólo pueda consultarse a través de una interfaz gráfica de usuario. (Sí, hay técnicas para simular que hay un humano usando la interfaz, pero queda poco elegante).

Como quizás es suponer muchas cosas y suele haber cierta "prisa" por poner en funcionamiento los proyectos lo antes posible, siempre es mejor plantear una solución lo más sencilla posible (en este caso incluyendo etapas de comprobación "manual") y proponer como mejoras la automatización de estas tareas (en este caso, integración con el registro de fabricantes, estructuración de la información si no lo estuviera, etc.)
Muchas gracias vfrades. Ahora ya lo entiendo.

Avatar de Usuario
jfuentes
Usuario registrado
Mensajes: 453
Registrado: 30 May 2009, 17:34
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por jfuentes »

Gracias, ard! Era lo que me temía :)

marodrig
PreparaTIC XVII
Mensajes: 8
Registrado: 23 Abr 2008, 22:48
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por marodrig »

Es la solución real. Lo de si es habitual o no ... Supongo que habrá de todo
pez escribió:
marodrig escribió:Respondo a tus preguntas:
...
Espero haber aclarado tus dudas.

Saludos,
Miguel Ángel Rodríguez
Muchísimas gracias Miguel Ángel! Ahora lo entiendo mucho mejor. Pero una cosilla solamente... eso es cómo lo habéis montado teniendo en cuenta todo el sistema como es en realidad, no? Entiendo que el caso del simulacro es una versión reducida de lo que en realidad tenéis allí montado. O esta es una solución habitual? Me refiero a poner servidores para atender diversas peticiones dependiendo de por dónde vayan a venir.
Gracias de nuevo!

ard
PreparaTIC XX
Mensajes: 35
Registrado: 26 Dic 2010, 23:41
Agradecido: 0
Agradecimiento recibido: 0

Re: Simulacro del cuarto ejercicio

Mensaje por ard »

vfrades escribió: ... Para que una comprobación de cumplimiento de requisitos pueda hacerse de forma automática tendría que cumplirse:...
Estoy de acuerdo con vfrades. En ciertas situaciones además el gestor no quiere perder el control de poder hacer ciertas validaciones de forma manual o por lo menos verificar las que se han realizado automáticamente (imagino que esto irá cambiando con el avance de la eAdmon...). En este caso en concreto, considera que la autorización de un rango es un proceso "importante" que requiere muchas validaciones, porque además aprovechan para comprobar que ese fabricante tiene todo en regla y demás.

El hecho de si es automatizado o no depende también de la rapidez que requiera la respuesta en el marco general del procedimiento y hay que tener en cuenta lo que decís, que conlleva un coste a veces importante y que no siempre se puede por motivos legales o técnicos. Por otra parte, suponer que siempre tiene que haber una persona física validando o autorizando es muy costoso desde el punto de vista organizativo y no se justifica en muchas ocasiones.
opTIC escribió: Tampoco me queda muy claro en las comprobaciones que se hace realmente. Gracias de antemano.
En la realidad se valida contra distintos registros (fabricantes, homologaciones, incidencias y bloqueos detectados,...) pero, como el enunciado no lo indica explícitamente, se deja cierto margen al opositor para que lo diseñe como considere.

Cerrado

Volver a “CUARTO EXAMEN 2011”