¿QUÉ ES LA ADMINISTRACIÓN PÚBLICA?

Es un término de límites imprecisos que definen al conjunto de organismos estatales que realizan la función administrativa del Estado. Por su función, la Administración Pública pone en contacto directo a la ciudadanía con el poder político, satisfaciendo los intereses públicos de forma inmediata.



La Administración Pública en la Argentina.



Es el conjunto de organismos estatales que prestan servicios a los habitantes y realizan las funciones administrativas del Estado Argentino.

Es un concepto preciso y suele ser usado con diversos alcances, incluye a las entidades públicas descentralizadas y las especializadas, como los centros de enseñanza, hospitales y museos.


Organigrama de la Administración Pública de Argentina 2009

FIRMA DIGITAL

¿Qué es la firma digital?

La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.
Una firma digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.
La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente.
La firma digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

¿Cómo funciona?

La firma digital funciona utilizando complejos procedimientos matemáticos que relacionan el documento firmado con información propia del firmante, y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.

El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho documento y que sólo él es capaz de producir.

Para realizar la verificación del mensaje, en primer término el receptor generará la huella digital del mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que no hubo alteración y que el firmante es quien dice serlo.

¿Claves privadas y claves públicas?

En la elaboración de una firma digital y en su correspondiente verificación se utilizan complejos procedimientos matemáticos basados en criptografía asimétrica (también llamada criptografía de clave pública).

En un sistema criptográfico asimétrico, cada usuario posee un par de claves propio. Estas dos claves, llamadas clave privada y clave pública, poseen la característica de que si bien están fuertemente relacionadas entre sí, no es posible calcular la primera a partir de los datos de la segunda, ni tampoco a partir de los documentos cifrados con la clave privada.

El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De este modo si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave pública podrá descifrar la misma.

En consecuencia, si es posible descifrar un mensaje utilizando la clave pública de una persona, entonces puede afirmarse que el mensaje lo generó esa persona utilizando su clave privada (probando su autoría).

¿Qué son los certificados digitales?

Los certificados digitales son pequeños documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. De este modo, permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado. Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona.

En algunos casos, puede ser necesario crear una cadena de certificados, cada uno certificando el previo, para que las partes involucradas confíen en la identidad en cuestión.

¿Qué contiene un certificado digital?

En su forma más simple, el certificado contiene una clave pública y un nombre. Habitualmente, también contiene una fecha de expiración, el nombre de la Autoridad Certificante que la emitió, un número de serie y alguna otra información. Pero lo más importante es que el certificado propiamente dicho está firmado digitalmente por el emisor del mismo.

Su formato está definido por el estándar internacional ITU-T X.509. De esta forma, puede ser leído o escrito por cualquier aplicación que cumpla con el mencionado estándar.

¿Qué valor legal tiene la firma digital?

Para la legislación argentina los términos "Firma Digital" y "Firma Electrónica" no poseen el mismo significado. La diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado que en el caso de la "Firma Digital" existe una presunción "iuris tantum" en su favor; esto significa que si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado. Por el contrario, en el caso de la firma electrónica, de ser desconocida por su titular, corresponde a quien la invoca acreditar su validez.

Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del firmante haya sido emitido por un certificador licenciado (o sea que cuente con la aprobación del Ente Licenciante).

Es por esto que, si bien entendemos que en los ambientes técnicos se emplea habitualmente el término Firma Digital para hacer referencia al instrumento tecnológico, independientemente de su relevancia jurídica, solicitamos a todos los proveedores de servicios de certificación, divulgadores de tecnología, consultores, etc. que empleen la denominación correcta según sea el caso a fin de no generar confusión respecto a las características de la firma en cuestión.

La legislación argentina emplea el término "Firma Digital" en equivalencia al término "Firma Electrónica Avanzada" utilizado por la Comunidad Europea o "Firma Electrónica" utilizado en otros países como Brasil o Chile.

¿Qué es una infraestructura de firma digital?

En nuestro país se denomina "Infraestructura de Firma Digital" al conjunto de leyes, normativa legal complementaria, obligaciones legales, hardware, software, bases de datos, redes, estándares tecnológicos y procedimientos de seguridad que permiten que distintas entidades (individuos u organizaciones) se identifiquen entre sí de manera segura al realizar transacciones en redes (por ej. Internet).

Realmente esta definición es conocida mundialmente con las siglas PKI que significan Public Key Infraestructure o Infraestructura de Clave Pública.

Número de Ley que da marco a la firma digital en la República Argentina y Decretos relacionados.

El marco normativo de la República Argentina en materia de Firma Digital está constituido por la Ley Nº 25.506 (B.O. 14/12/2001), el Decreto Nº 2628/02 (B.O. 20/12/2002), el Decreto Nº 724/06 modificatorio del anterior (B.O. 13/06/06) y un conjunto de normas complementarias que fijan o modifican competencias y establecen procedimientos.

SISTEMAS DE INFORMACIÓN

En el portal de la República Argentina los puntos más importantes que se condicen con lo establecido en el decreto Nº 378/2005; son:

El portal de la República Argentina se relaciona con el Plan Nacional de Gobierno Electrónico en lo que concierne a la guia de tramites, tiene el objetivo de brindar al ciudadano información sobre pasos a seguir y requisitos necesarios para realizar tramites en la Administración Pública Nacional.
Los temas que abarcan los trámites son: beneficios sociales y previsionales; economía y negocios; documentación; salud; educación, cultura, ciencia y tecnología; seguridad y justicia; transporte e infraestructura; vivienda y familia; trabajo y empleo; y turismo, deporte y recreación.
Los trámites sirven para inscribirse, dar de baja, obtener documentación, reclamar y asesorarse.
El sitio ofrece ayuda para poder conocer el funcionamiento de las guias y permite enviar un formulario con dudas y sugerencias.

AUDITORIA Y SEGURIDAD INFORMÁTICA

“Auditoria Informática”

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva eficazmente los datos de la organización, utiliza eficientemente los recursos y cumple regulaciones establecidas.

Auditar consiste en estudiar los mecanismos de control que están en alguna organización determinando si son adecuados y cumplen los objetivos y estrategias propuestas. Los mecanismos de control pueden ser; preventivos, directivos, de detección, correctivos o de recuperación ante una incontinencia.

Objetivos:

v Control de la función informática
v Análisis de la eficiencia de los sistemas informáticos
v Verificación del cumplimiento de la normativa
v Revisión de la eficaz gestión de los recursos informáticos

Sirve para mejorar características en la empresa como:

v Eficiencia
v Eficacia
v Rentabilidad
v Seguridad.

Se puede desarrollar en las siguientes áreas:

v Gobierno corporativo
v Administración del ciclo de vida de los sistemas
v Servicios de entrega y soporte
v Protección y seguridad
v Planes de continuidad
v Recuperación de desastres

Tipos de auditoria informática:

v Auditoria de gestión
v Auditoria legal de reglamento de protección de datos
v Auditoria de los datos
v Auditoria de las bases de datos
v Auditoria de la seguridad
v Auditoria de la seguridad fiscal
v Auditoria de la seguridad lógica
v Auditoria de las comunicaciones
v Auditoria de la seguridad en protección

Perfil del auditor informático:

Existe un vacío legal que defina quien puede ser auditor informático, aunque debe disponer de conocimiento tanto en la normativa aplicable como en informática, en la técnica de la auditoria, siendo por tanto aceptables equipos multidisciplinarios formados por informáticos y licenciados en derecho especializados en el mundo de la auditoria.

Principales pruebas y herramientas para efectuar una auditoria informática

v Pruebas clásicas, sustantivas y de cumplimiento.

Las herramientas son:

v Observación
v Realización de cuestionarios
v Entrevistas a auditados y no auditados
v Muestreo de estadísticas
v Flujogramas
v Lista de chequeos
v Mapas conceptuales

“Seguridad Informática”

La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Objetivos

Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:
v Información: Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
v Equipos que la soportan: Software, hardware y organización.
v Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.


Análisis de riesgos

Los medios para conseguirlo son:

Restringir el acceso a los programas y archivos.
Asegurar que los operadores no puedan modificar los programas ni los archivos que no correspondan
Asegurar que se utilicen el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
Puesta en marcha de una política de seguridad

En lo referente a elaborar una política de seguridad, conviene:

v Elaborar reglas y procedimientos para cada servicio de la organización.
v Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión
v Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.

Las amenazas

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguros, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos.

Estos fenómenos pueden ser causados por:

v El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).
v Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía.
v Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, deshacer, script kiddie o Script boy, viruxer, etc.).
v Un siniestro (robo, incendio, por agua): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
v El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

Técnicas de aseguramiento del sistema

v Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
v Vigilancia de red. Zona desmilitarizada
v Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.

Organismos oficiales de seguridad informática

Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos, destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.