República Argentina Administración Federal de Ingresos Públicos

1. República Argentina Administración Federal de Ingresos Públicos Políticas de seguridad interna y externa Marzo 2006

2. Alcance de la organización • AFIP recauda la totalidad de los impuestos federales. Esta actividad incluye la recaudación, la cobranza coactiva, los procesos de ejecución fiscal, regímenes promocionales, planes de facilidades, etc. • AFIP recauda los impuestos locales de varias provincias • AFIP controla en forma integral la totalidad del comercio exterior (Aduana), incluyendo las funciones de policía aduanera, control de tránsitos, recaudación de tasas, etc. • AFIP recauda y distribuye a los efectores sociales la totalidad de los recursos económicos de la seguridad social • AFIP posee 20.000 empleados distribuidos en más de 320 edificios, incluidas las agencias impositivas, las aduanas, los edificios centrales y los resguardos fronterizos

3. Contexto informático • Todas las áreas informáticas están concentradas en una única estructura cuya máxima autoridad (CIO) depende directamente del Administrador Federal • El área informática de AFIP tiene 750 personas de las cuales un 50% están directamente relacionadas con el desarrollo y quality assurance de los sistemas • El centro de cómputos central alberga la totalidad de los servidores y computadores centrales de AFIP • Los computadores centrales son un mainframe de 350 Mips y un computador SUN 25K. En estos dos computadores reside el 100% de las bases de datos de la organización (Oracle en Solaris y DB2 en el mainframe)

4. Contexto informático • El 70% de los programas interactivos y web services están implementados en Java, PHP u Oracle PL sobre Linux, 15% en PHP o ASP sobre Windows y el restante 15% en otros entornos (Powerbuilder sobre Solaris/Linux, Oracle Forms). • 85% de los programas interactivos son WEB enable nativos, el 15% restante son cliente servidor o emulación terminal • En estos programas interactivos reside la lógica de presentación y 50% de la lógica de negocio, el resto de la lógica de negocio reside en las bases de datos • 100% de los desarrollos que se efectúan desde hace cinco años son WEB enable nativos, 60% de ellos en Java

5. Escenario informático/funcional • El 95% de las transacciones del comercio exterior son electrónicas • El 95% de las transacciones impositivas y de seguridad social son electrónicas, de ellas: • El 75% de las declaraciones juradas entran en nuestros sistemas en tiempo real a través de Internet (el resto a través de los bancos con un diferimiento de 24 horas) • El 85% de la recaudación impositiva, de seguridad social y aduanera entra en nuestros sistemas en tiempo real a través de Internet (el resto a través de los bancos con un diferimiento de 24 horas) • Desde hace cuatro años el 100% de los sistemas se desarrollan con la mayoría de sus transacciones efectuadas directamente por el contribuyente a través de Internet

6. Escenario informático/funcional • La mayoría de las bases de datos son accedidas en tiempo real y en forma simultánea por los contribuyentes, los operadores aduaneros y los empleados de AFIP pudiendo ser modificadas por todos ellos • Todos los sistemas están disponibles 7x24. No existen ventanas de mantenimiento • Todos los sistemas (impositivos, administrativos, aduaneros, seguridad social, administrativos, etc.) están totalmente integrados entre sí • La integración se implementa a través del acceso en forma directa de un sistema a las bases de datos de los otros sistemas y en el uso de un message broker

7. Desafíos desde el punto de vista de la seguridad informática • La gran mayoría de la información residente en la organización está protegida por el secreto fiscal, el secreto estadístico y/o el Habeas-Data • Dada la complejidad y variedad de “negocios” de la organización es muy dificil definir la “sensibilidad” de ciertos datos • La mayoría de las bases de datos son accedidas en tiempo real y en forma simultánea por usuarios externos e internos • La gran mayoría de las transacciones usadas por los ciudadanos requieren autenticación • En la mayoría de los casos, estas transacciones son efectuadas en nombre de personas jurídicas (empresas) • Es necesario autenticar a más de 5.000.000 de personas físicas que pueden actuar en nombre de más de 500.000 empresas

8. Desafíos desde el punto de vista de la seguridad informática • La gran mayoría de los empleados de AFIP acceden en mayor o menor medida a datos sujetos a secreto fiscal y/o estadístico • Una alta proporción de los empleados de AFIP utilizan en forma simultánea sistemas de varios “negocios” (empleados aduaneros que utilizan sistemas impositivos, empleados impositivos que utilizan sistemas aduaneros y de seguridad social, etc.) • Los empleados de AFIP acceden a los sistemas desde las oficinas de la organización o desde Internet (por ejemplo, los aduaneros) • Todos los empleados de AFIP, en mayor o menor medida, necesitan acceso a Internet • Las diferentes arquitecturas informáticas usadas poseen criterios y metodologías de seguridad completamente diferentes

9. Las políticas • Política muy restrictiva respecto a la visualización de los datos sujetos a secreto fiscal o estadístico • Muy fuerte limitación al acceso a los datos de los individuos por parte de terceras personas que no son empleados de la organización o no están explícitamente autorizados por dichos individuos • Los restantes organismos del Estado solo pueden acceder a la información en la medida de que, a su vez, sean organismos de recaudación y siempre a través de convenios explícitos • Aplicación intensiva de políticas ex-antes y ex-post (forenses) al acceso a los datos de los individuos por parte de los empleados de la organización

10. Que se hizo • Se desarrolló una arquitectura de sistemas y una topología de red que aísla en la medida de lo técnica y funcionalmente posible, las bases de datos de los usuarios internos y externos • Esta arquitectura y topología está basada en un muy fuerte control perimetral del Data Center basado en el concepto de “bastiones” activos (modifican protocolo) • La arquitectura implementada respeta la estrategia de un Data Center multiplataforma en el cual mainframe y sistemas abiertos están totalmente integrados • La arquitectura y topología son relativamente sencillas y respetan el requerimiento funcional de acceso en tiempo real a las bases de datos desde dentro y fuera de la organización

11. Arquitectura de los sistemas dentro del data center

12. Que se hizo • Se implementaron mecanismos de análisis de vulnerabilidades, firewalls y network sensors en todas las redes del Data Center • Se implementaron sistemas de correlación en tiempo real entre los ataques y las vulnerabilidades de los servidores en todas las redes del Data Center • Se están implementando WAF en los perímetros del Data Center • Se está implementando un reservorio único de logs de actividad y auditoría de las aplicaciones • Se desarrollaron sistemas de análisis forense de los logs • El sistema de single sign-on interno desarrollado en AFIP utiliza controles ex-antes para permitir el acceso a los usuarios

13. Que se hizo • Se definió e implementó una arquitectura de desarrollo y operación de sistemas única y homogénea que está siendo usada para todas las nuevas aplicaciones, independiente de la plataforma informática usada. • Para la capa de presentación de los sistemas (Java, ASP, PHP y PL) se definieron y se están implementando metodologías que reducen las vulnerabilidades del tipo de las descriptas en el OWASP (Open Web Application Security Project) • Se desarrolló e implementó un sistema masivo de registración, autenticación y autorización de usuarios externos que es utilizado por todos los sistemas tributarios, administrativos y aduaneros

14. Que se hizo • Se re-empadronaron todos los usuarios (internos y externos) dándoles una única identificación y eliminando totalmente los usuarios “genéricos” • Se eliminaron todos los accesos externos que no estuvieran avalados por convenios explícitos • Se diseñó e implementó un modelo de autorización de los usuarios internos que opera en forma totalmente automática bajo criterios emanados de las áreas definidoras y utilizando datos del sistema de recursos humanos • Se desarrolló una arquitectura de “web services” con mecanismos de autenticación/autorización similares a los usados en los servicios interactivos

15. Resúmen • La necesidad funcional de acceder en tiempo real a las bases de datos desde dentro y fuera de la organización y a través de transacciones interactivas o web services, impone un desafío tecnológico importante • La multiplicidad de plataformas (mainframe, Linux, Java, .Net, etc.) complica las posibles soluciones • La velocidad a la cual las organizaciones necesitan los nuevos desarrollos impide que los mismos tengan foco en el problema seguridad salvo que el mismo esté resuelto en forma estandard por la arquitectura utilizada. • Los desafíos de seguridad aumentan a una velocidad que en ciertos momentos es difícil de contrarrestar (caso WAF)

16. Nuestras sugerencias • Implementar una arquitectura y topología única para todas las plataformas que asegure en sí misma un entorno de producción razonablemente seguro • Implementar tecnologías de desarrollo que reduzcan en las transacciones WEB las vulnerabilidades descriptas en el OWASP • Implementar mecanismos de logging completos, estándar y uniformes para todas las tecnologías • Implementar mecanismos de autenticación/autorización comunes a todas las tecnologías y separados de la lógica de negocio • Implementar políticas muy estrictas relativas a: • Separación de ambientes • Uso de UID con altos privilegios • Uso de configuraciones estándar • Acceso a información por parte de terceros • Download de información

17. República Argentina Administración Federal de Ingresos Públicos