La Agencia Tributaria se protege de las amenazas de seguridad
Toma medidas que garantizan la seguridad de sus PCs
Virus, ataques de agentes exteriores, fuga de información, instalación de software pirata, etc., son los principales problemas de seguridad a los que se enfrentan los PCs de las corporaciones en la actualidad. Para hacer frente a esta problemática y alcanzar los niveles de seguridad deseados, desde 1997 la Agencia Tributaria ha ido incorporando las medidas de seguridad necesarias para proteger sus equipos, así como para garantizar la seguridad de todos los contribuyentes.
Desde el momento de su creación, la Agencia Tributaria -organismo público encargado de la gestión del sistema tributario estatal y del aduanero, así como de los recursos de otras Administraciones y Entes Públicos, nacionales o de la Unión Europea, cuya gestión se le encomiende- mantiene un firme compromiso para ofrecer al ciudadano servicios que faciliten el cumplimiento voluntario de las obligaciones fiscales. Para lograrlo, ofrece una amplía gama de servicios de asistencia, utilizando en beneficio del interés general las más modernas tecnologías de la información.
Hasta el año 1997, la Agencia Tributaria casi no contaba con PCs, sino que utilizaba terminales 3270, terminales orientados al carácter y aplicaciones convencionales. A partir de ese año se empezaron a incorporar ordenadores personales conectados a la red local, y en 2002 se arrancó la Intranet, de manera que estos PCs, actualmente unos 20.000, aportasen mayor valor añadido en la medida en que permitían el uso de la tecnología Web. Para garantizar el mayor nivel de seguridad posible, desde el primer momento se puso en marcha un proceso de cifrado. Como explica Santiago Segarra, director del departamento de Informática Tributaria de la Agencia Tributaria, “hemos ido paso a paso, y en cada paso hemos incorporado las medidas de seguridad necesarias para evitar que el tema se nos fuera de las manos”.
Con el objetivo de establecer comunicaciones y directivas y analizar toda la política de seguridad informática, en la Agencia Tributaria existe un documento de seguridad que nombra responsables de seguridad a los delegados o a los directores de departamento de servicios centrales. Además, establece una figura que se denomina administrador de seguridad y que apoya y asiste al responsable de seguridad.
Existe además una comisión de seguridad informática presidida por el director del departamento de Informática Tributaria, que se reúne una vez al mes para definir la política de seguridad informática, y en el que están presentes todos los departamentos y también algunas delegaciones.
Desde este organismo público se han tomado medidas para hacer frente a las amenazas de seguridad más comunes en los PCs: infección por agentes externos, fuga de información e instalación de software ilegal. En este sentido, una de las soluciones de seguridad que se ha incorporado es Citrix Metaframe y el protocolo ICA, “para que los PCs conectados desde el área local, a su vez conectados a nuestra arquitectura, no descarguen los contenidos de Internet al PC, sino que se queden en un servidor ubicado en ese mismo departamento”, comenta Segarra. De esta manera, si se produjera un daño tendría lugar en este servidor y no afectaría a los equipos que están trabajando en ese momento.
La seguridad de los contribuyentes es fundamental
Garantizar la seguridad de los contribuyentes es otro de los objetivos de la Agencia Tributaria. Desde que implantó los servicios de Internet para los contribuyentes, estableció una política de seguridad basada en SSL, que encripta las comunicaciones, y también en no alojar datos personales en el servidor Web y en Firewalls. Además, incluye medidas de seguridad para la descarga de programas de ayuda al usuario. En la descarga de los programas de ayuda de IRPF de este año existirá un programa de comprobación junto al de descarga. Pulsándolo se puede comprobar si el módulo no ha sufrido algún tipo de alteración antes de descargarlo. En 2002, se descargaron por Internet 9.200.000 programas de ayuda, todos ellos en “un entorno limpio, sin manipulaciones”.
Otro aspecto que se ha tenido en cuenta ha sido la salida o entrada de información, así como evitar la incorporación del software pirata. Para ello, este organismo hace uso de programas de cifrado instalados en todos los PCs –Crypt2000 de Secuware para Windows 2000- que impiden incorporar o extraer cualquier fichero desde o a un PC porque utiliza dispositivos cifrados. Además, en los ordenadores personales se ha instalado software antivirus y cuentan con un sistema de seguridad que cifra el disco duro del PC, de manera que si éste es robado su contenido no puede ser leído. Segarra califica la experiencia con Crypt2000 de “completamente satisfactoria”.
Por su parte, la información almacenada en las bases de datos de la Agencia Tributaria sólo es accesible por los funcionarios si disponen de un código de usuario y un perfil de acceso adecuado. Todos los accesos quedan registrados y la información viaja por la red de comunicaciones interna de la Agencia Tributaria de forma encriptada. Los accesos son sometidos a un proceso de auditoria pidiéndose justificación a aquellos accesos que aparentemente no son coherentes. En este sentido, y para descubrir los puntos vulnerables que se encuentran en el sistema, la Agencia Tributaria trabaja con la Universidad Politécnica de Madrid, que actúa como intruso.
Desde el momento de su creación, la Agencia Tributaria -organismo público encargado de la gestión del sistema tributario estatal y del aduanero, así como de los recursos de otras Administraciones y Entes Públicos, nacionales o de la Unión Europea, cuya gestión se le encomiende- mantiene un firme compromiso para ofrecer al ciudadano servicios que faciliten el cumplimiento voluntario de las obligaciones fiscales. Para lograrlo, ofrece una amplía gama de servicios de asistencia, utilizando en beneficio del interés general las más modernas tecnologías de la información.
Hasta el año 1997, la Agencia Tributaria casi no contaba con PCs, sino que utilizaba terminales 3270, terminales orientados al carácter y aplicaciones convencionales. A partir de ese año se empezaron a incorporar ordenadores personales conectados a la red local, y en 2002 se arrancó la Intranet, de manera que estos PCs, actualmente unos 20.000, aportasen mayor valor añadido en la medida en que permitían el uso de la tecnología Web. Para garantizar el mayor nivel de seguridad posible, desde el primer momento se puso en marcha un proceso de cifrado. Como explica Santiago Segarra, director del departamento de Informática Tributaria de la Agencia Tributaria, “hemos ido paso a paso, y en cada paso hemos incorporado las medidas de seguridad necesarias para evitar que el tema se nos fuera de las manos”.
Con el objetivo de establecer comunicaciones y directivas y analizar toda la política de seguridad informática, en la Agencia Tributaria existe un documento de seguridad que nombra responsables de seguridad a los delegados o a los directores de departamento de servicios centrales. Además, establece una figura que se denomina administrador de seguridad y que apoya y asiste al responsable de seguridad.
Existe además una comisión de seguridad informática presidida por el director del departamento de Informática Tributaria, que se reúne una vez al mes para definir la política de seguridad informática, y en el que están presentes todos los departamentos y también algunas delegaciones.
Desde este organismo público se han tomado medidas para hacer frente a las amenazas de seguridad más comunes en los PCs: infección por agentes externos, fuga de información e instalación de software ilegal. En este sentido, una de las soluciones de seguridad que se ha incorporado es Citrix Metaframe y el protocolo ICA, “para que los PCs conectados desde el área local, a su vez conectados a nuestra arquitectura, no descarguen los contenidos de Internet al PC, sino que se queden en un servidor ubicado en ese mismo departamento”, comenta Segarra. De esta manera, si se produjera un daño tendría lugar en este servidor y no afectaría a los equipos que están trabajando en ese momento.
La seguridad de los contribuyentes es fundamental
Garantizar la seguridad de los contribuyentes es otro de los objetivos de la Agencia Tributaria. Desde que implantó los servicios de Internet para los contribuyentes, estableció una política de seguridad basada en SSL, que encripta las comunicaciones, y también en no alojar datos personales en el servidor Web y en Firewalls. Además, incluye medidas de seguridad para la descarga de programas de ayuda al usuario. En la descarga de los programas de ayuda de IRPF de este año existirá un programa de comprobación junto al de descarga. Pulsándolo se puede comprobar si el módulo no ha sufrido algún tipo de alteración antes de descargarlo. En 2002, se descargaron por Internet 9.200.000 programas de ayuda, todos ellos en “un entorno limpio, sin manipulaciones”.
Otro aspecto que se ha tenido en cuenta ha sido la salida o entrada de información, así como evitar la incorporación del software pirata. Para ello, este organismo hace uso de programas de cifrado instalados en todos los PCs –Crypt2000 de Secuware para Windows 2000- que impiden incorporar o extraer cualquier fichero desde o a un PC porque utiliza dispositivos cifrados. Además, en los ordenadores personales se ha instalado software antivirus y cuentan con un sistema de seguridad que cifra el disco duro del PC, de manera que si éste es robado su contenido no puede ser leído. Segarra califica la experiencia con Crypt2000 de “completamente satisfactoria”.
Por su parte, la información almacenada en las bases de datos de la Agencia Tributaria sólo es accesible por los funcionarios si disponen de un código de usuario y un perfil de acceso adecuado. Todos los accesos quedan registrados y la información viaja por la red de comunicaciones interna de la Agencia Tributaria de forma encriptada. Los accesos son sometidos a un proceso de auditoria pidiéndose justificación a aquellos accesos que aparentemente no son coherentes. En este sentido, y para descubrir los puntos vulnerables que se encuentran en el sistema, la Agencia Tributaria trabaja con la Universidad Politécnica de Madrid, que actúa como intruso.
