Los Planos jurídico y tecnológico en la Administración Electrónic@: ¿Dos Mundos en Galaxias diferentes?

3

Escrito por Alberto el 10-06-2010

Categorías: DNIe, Ley 11/2007, buenas prácticas, certificados electrónicos, firma electrónica, linux, mac, manual práctico e-Admin, windows

Con el vencimiento del plazo establecido por el Reglamento de Desarrollo de la Ley 11/2007, el Real Decreto 1671/2009, se ha estrenado una larga serie nuevas sedes electrónicas en diversos Ministerios, Organismos Públicos y Agencias.

Desde entonces he tenido la ocasión de impartir algún curso relativo a cuestiones de administración electrónica en los cuales ha sido por supuesto obligatorio ver ejemplos de esta nueva figura del paisaje de la administración electrónica.

Hemos podido ver el gran despliegue de sedes y que este concepto, como lugar que centraliza los servicios electrónicos de cualquier organismo, efectivamente tiene mucho sentido, sin hablar de cosas tan prácticas como el acceso al expediente del interesado. Este tipo de cosas hacen que la vía electrónica pueda ser realmente una manera efectiva de acercar la Administración más al ciudadano.

Sin embargo, en estos cursos también salen a relucir inevitablemente problemas operativos y técnicos que a los no iniciados en el mundo de la administración electrónica les resultan muy difíciles de superar sin ayuda. Por desgracia muchos de estos problemas se dan incluso en cosas tan básicas como los certificados de sede electrónica y sus sellos electrónicos.

En general, la impresión que queda a todo el mundo tras estas experiencias es la de que ha habido un gran avance cuantitativo dado el elevado número de servicios disponibles, pero que no se ha avanzado cualitativamente en la misma medida.

Esta sensación se produce por cosas como el caso de una sede electrónica cuyo certificado no ha sido emitido por ninguna autoridad de certificación de las comúnmente reconocidas sino por una propia interna, a efectos de su uso cara al público podríamos decir, “inventada” por el propio organismo. El ciudadano que acceda a esta sede será recibido consecuentemente con un mensaje del tipo “no debería continuar” o “este sitio no se puede identificar y puede ser inseguro” en su navegador.

Los alumnos que asisten a estos cursos tienen afortunadamente la oportunidad de comprender la naturaleza de este tipo de problemas y aprender a solucionarlos lo que les permitirá manejarse sin grandes problemas con los servicios electrónicos. Pero al ciudadano que no ha tenido la ocasión de recibir este tipo de formación y al que, en general, esto de los certificados electrónicos y certificados raíz le suena a chino mandarín, le quedarán pocas ganas de continuar con su aventura con la administración electrónica tras estas experiencias, las cuales le recordarán más al clásico vuelva usted mañana que a las tecnologías del siglo XXI.

De todas formas, en el artículo de hoy no quiero hablar tanto de los problemas que se pueden atribuir más bien a las propias sedes electrónicas, que no dejan de ser casos específicos y puntuales, como de los problemas y limitaciones de los productos y tecnologías de base en la administración electrónica como lo son los sistemas operativos y navegadores, las cuales nos complican seriamente la vida a quienes tenemos proyectos en este ámbito a nuestro cargo.

Pongamos ejemplos:

Un problema con consecuencias similares para el ciudadano a las antes citas es el relacionado con la distribución de los certificados raíz de las autoridades de certificación (CA) comúnmente utilizadas.

Para que una máquina de un usuario de por bueno un certificado electrónico determinado la CA que lo emitió tiene que estar dada de alta en el almacén de certificados de su máquina.

Hay muchas CAs y, por tanto, no puede recaer en el usuario mantenerlas actualizadas permanentemente, de modo que lo suyo es que existan mecanismos automáticos de actualización de estos certificados. En el caso de Windows, por ejemplo, desde hace un tiempo los certificados se incluyen en los paquetes de actualización automática que este sistema operativo se descarga periódicamente de Internet.

Sin embargo, en algunos casos o ni se actualizan o se actualizan tarde. Y esto ocurre desgraciadamente incluso también con las autoridades de certificación más importantes. Un ejemplo muy claro son los nuevos certificados raíz e intermedios APE (Administración Pública Española) usados por la FNMT que son una de las opciones por excelencia para el certificado de una sede electrónica.

Retrasos e incidencias diversas en la actualización efectiva de estos certificados o incluso la incompatibilidad con determinados sistemas como el navegador Safari de Apple hacen que muchos usuarios no dispongan de estos certificados raíz en su almacén de certificados en el momento que los necesiten. Sin mencionar muchos otros problemas como el hecho de que el navegador Firefox ignore de siempre los certificados de la FNMT, sin mencionar que además, ya puestos, Firefox ignora también el almacén de certificados del sistema operativo (usa solamente el suyo propio que, por cierto, no se actualiza automáticamente). Un problema con el que ya me he encontrado en múltiples ocasiones.

Este tipo de cosas convierten a los certificados de sede electrónica en identidades digitales imposibles de verificar y por tanto desconocidas para la máquina del usuario. En varias sedes como, por ejemplo, la del Ministerio de Ciencia e Innovación o el BOE esto ha sido motivo de que al usuario se le advierta nada más entrar en la misma del problema indicándolo cómo resolverlo “manualmente”, lo cual es lo poco que un órgano como estos puede hacer ante este problema, pero evidentemente no elimina realmente la barrera que el ciudadano se encuentra al intentar acceder a los servicios electrónicos.

Por otra parte, en otro artículo ya hice referencia a los problemas que se encuentran los ciudadanos en su relación electrónica con la Administración Pública cuando usan el DNI electrónico los que llevan a que en la práctica, según los datos del INE, ni un 4% lo usan para trámites electrónicos a pesar de ser el medio por excelencia para implementar la identidad digital universal a nivel nacional.

Además de los problemas que comenta este artículo, como lo son la necesidad de adquirir un lector y la dificultad que supone a muchos ciudadanos instalar un software para ponerlo en marcha, existen otros problemas importantes como lo son, por ejemplo, su gran lentitud en determinadas ocasiones y el exagerado número de ocasiones en los que se solicita una y otra vez el PIN de protección de los certificados al usuario. Tengo muy pocos conocimientos técnicos de tarjetas inteligentes, pero seguramente gran parte de estos inconvenientes estén relacionados con el funcionamiento de la propia tecnología y modo de operación de una tarjeta inteligente como lo es al fin y al cabo el DNIe.

Puestos a hablar de problemas técnicos tampoco podemos olvidar el gran problema que sigue siendo realizar una firma en un navegador, problema al cual los servicios electrónicos necesitan seguir dedicando guías de decenas de páginas para explicarle al usuario los requisitos técnicos, cómo configurar su navegador para que le sea posible firmar y las múltiples posibles incidencias que se puede encontrar.

En esta ocasión el origen de esta dificultad se encuentra en el hecho de que manera de realizar una firma electrónica en Web no se encuentra normalizada en un estándar Web como lo es, por ejemplo, HMTL. Por tanto, los navegadores en general no implementan de manera nativa funciones de firma electrónica, de modo que sólo queda la opción de implementarla con componentes del tipo Applet o ActiveX que descarga la propia aplicación Web. Estos componentes se encuentran sujetos a determinados requisitos técnicos e importantes restricciones de seguridad, lo cual resulta ser un pozo de conflictividad para su correcta ejecución en el navegador del usuario final, especialmente en entornos corporativos con políticas de seguridad restrictivas.

Si a esto añadimos tener que lidiar, siguiendo el principio de neutralidad tecnológica del artículo 6.2.k de la Ley 11/2007, con múltiples navegadores y versiones de los mismos, cada navegador con sus peculiaridades y problemas para que estos componentes accedan al almacén de certificados del usuario, tenemos un entorno tecnológico en el cual resulta realmente difícil que las cosas funcionen razonablemente bien a todo el mundo. Por tanto, tener que usar de este tipo de componentes no es una buena base para la firma electrónica en Web.

Estos ejemplos son tan sólo unos pocos entre muchos y la reflexión que me sugieren es que existe un desfase importante entre el desarrollo legal de la administración electrónica y la realidad de las posibilidades de la tecnología. Y, como habrá quedado claro con los ejemplos anteriores, no me refiero a la tecnología de base como la propia de los certificados o la firma electrónica (esta se encuentran ya muy madura), sino a las limitaciones de los productos de software básicos (sistemas operativos, navegadores y tarjetas inteligentes fundamentalmente).

Unas prestaciones adecuadas y una mayor estandarización del uso de las tecnologías clave de la administración electrónica (certificados y firma electrónica) en estos productos resulta absolutamente imprescindible para que la administración electrónica pueda madurar. La realidad es que, hoy por hoy, estos productos no están a la altura de los requisitos jurídicos y que por tanto el plano jurídico va por delante de las posibilidades del entorno tecnológico.

Esta situación cuestiona seriamente la viabilidad de los objetivos marcados por la Ley 11/2007, ya que parece que de poco sirve tener todos y cada uno de los servicios y procedimientos disponibles por la vía electrónica si el ciudadano a la hora de utilizarlos se encuentra con estas barreras que hacen que muchos de los servicios distan de ser operativos y accesibles en la medida que seria razonable.

Creo por tanto que ha llegado el momento de trabajar más a fondo en la parte tecnológica y con una visión más allá de lo jurídico y la normalización del uso de las tecnologías desde un punto de vista intra-administrativo como lo son las cuestiones abarcadas por el ENI o el ENS. Toca impulsar también de manera proactiva a la parte externa al ámbito de la Administración Pública que hoy por hoy tanto nos limita para avanzar de manera efectiva.

Creo que son imprescindibles actuaciones eficaces para conseguir un nivel de cooperación adecuado por parte de los fabricantes de los productos tecnológicos clave en la relación electrónica con la Administración Pública que, como decíamos, son principalmente el sistema operativo, navegador y tarjetas inteligentes.

La administración electrónica solamente se puede considerar implantada con éxito si la mayoría de los ciudadanos la utilizan con naturalidad. Para conseguirlo ha de ser una experiencia de una sencillez comparable a la de usar un teléfono móvil.

Si queremos que esa sea la experiencia del usuario no pueden ocurrir las cosas mencionadas en este artículo. No puede haber estas incidencias con los certificados raíz de las autoridades de certificación más importantes, es más: el usuario no tiene ni porqué saber lo que es un certificado raíz.

Tampoco debería tener que instalar ningún software para poder hacer funcionar su DNIe, este software debería venir de fábrica junto con el sistema operativo o bien instalarse de manera automatica con sus actualizaciones de modo que la experiencia del ciudadano de usar el DNIe sea enchufarlo, meter su PIN cuando se le pida y a trabajar.

Y tampoco puede ser que un navegador usado por un 25% de la población como lo es Firefox siga ignorando el almacén nativo de certificados del sistema operativo y ni siquiera incluya por defecto el certificado raíz de la FNMT.

Y ya paro con los ejemplos, pero hay muchos más. Para todos ellos habrá que sentarse con los fabricantes y conseguir su compromiso firme de cooperación en este terreno. Desconozco si en virtud de ser pragmático y eficaces el foro más adecuado es el europeo o el nacional y si es necesaria la implicación directa de los Gobiernos de la Unión Europea o lo puede conseguir la Administración por sí sola, pero desde luego tengo claro que o se soluciona este tema y se eliminan estas barreras para el ciudadano o queda rato para escribir artículos como éste.

Pasen y VALIDen

4

Escrito por Alberto el 28-03-2010

Categorías: DNIe, Ley 11/2007, certificados electrónicos, firma electrónica, herramientas

valideNo es ningún secreto que la firma electrónica a través de aplicaciones Web aún no funciona todo lo bien que nos gustaría a todos.

No voy a entrar en razones concretas, lo haremos más detenidamente en otro artículo, pero una de las razones más importantes se encuentra en el hecho de que para firmar electrónicamente, hoy por hoy, es necesario la descarga de un componente tipo Applet o ActiveX a través del cual firmar electrónicamente.

Las restricciones de seguridad en los equipos de algunos usuarios o requisitos como la necesidad de disponer de una máquina virtual Java en el caso de componentes de firma tipo Applet son un escollo que actualmente no genera pocas incidencias a los ciudadanos de a pie.

He podido observar que una mala experiencia de un potencial usuario de Administración Electrónica debida a estos factores genera una desconfianza que en su caso puede ser suficiente como para que no anime a intentarlo durante mucho tiempo.

Más de una vez he pensado que me hubiese gustado poder implantar junto con los servicios de nuestro organismo un área en el cual nuestros usuarios pudiesen experimentar a gusto antes de ir al trámite de verdad para que experimenten tranquilamente, sin miedo, con la instalación del componente de firma electrónica que realizan las aplicaciones que la usan. La predisposición de un usuario a probar y llegar al final con el uso de la firma electrónica es mucho mejor cuando sabe que “no pasa nada” que cuando se encuentra en medio de un trámite auténtico.

Hace unos pocos meses vio la luz el proyecto VALIDe el cual ofrece tanto a ciudadanos como funcionarios varios servicios en los que podrá consultar la validez de un documento firmado electrónicamente, realizar una firma electrónica, comprobar la validez de un certificado digital emitido por cualquier entidad de servicio de certificación reconocida o comprobar específicamente el certificado de una sede electrónica.

La utilidad de este portal se circunscribe lógicamente en primer lugar a los servicios que ofrece, además de proporcionar a las nuevas sedes electrónicas un medio para implementar algunas de sus obligaciones como el disponer de un servicio de validación de sus certificados de sede.

Sin embargo, vistos los problemas que aún persisten en el uso de la firma electrónica, me parece que hay una faceta en este servicio de la que se ha hablado aún demasiado poco y no es menos interesante: usarlo por parte de los organismos como un banco de pruebas previo para aquellos usuarios con la voluntad de realizar un trámite electrónico. Es decir, recomendarlo a sus usuarios como un lugar en el que prueben sin complejos y puedan coger un poco de seguridad antes de usar la firma electrónica de verdad.

Me parece en este sentido que este servicio puede ser un incentivo más para animar a algunos usuarios indecisos a utilizar la firma electrónica en sus trámites. Igualmente celebro que se encuentre disponible este servicio de cara a las actividades de formación interna en esta materia que seguramente agradecerán su existencia.

La cosa tiene sus limitaciones, naturalmente. Por ejemplo, respecto del tipo de componente de firma utilizado. VALIDe utiliza una versión concreta del cliente de firma de @firma, por tanto el comportamiento no será exactamente igual que en aquellos organimos que usen versiones diferentes de este componente o incluso un componente de otro fabricante. No obstante, la experiencia será en gran parte similar (aceptar diálogos que piden instalar el componentes, etc.) y una vez que el usuario haya conseguido firmar con éxito tendrá bastante más seguridad para hacerlo en un trámite.

En la Administración Electrónica sobra la teoría y falta la práctica, este servicio es un ejemplo de práctica. Ahora toca sacarle partido.

Primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@

14

Escrito por Alberto el 04-02-2010

Categorías: DNIe, Ley 11/2007, buenas prácticas, certificados electrónicos, creative commons, criptografía, firma electrónica, linux, mac, manual práctico e-Admin, open source, seguridad, windows

ManualPor fin he conseguido completar la primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@.

Algunas de las novedades más importantes ya se comentaron en este artículo que anunciaba la publicación de la revisión del borrador de noviembre y por tanto no las repito aquí.

Esta primera edición ha cambiado otra vez sustancialmente con respecto a la anterior (la revisión de noviembre mencionada). La página dedicada al manual de este blog contiene una descripción general de sus contenidos.

En cuanto a las novedades concretas en primer lugar he cambiado en la parte práctica el orden de algunos capítulos ya que me parece que facilitará el aprendizaje de sus materias y he ampliado los contenidos. Ahora se explica, por ejemplo, cómo configurar Adobe Reader para que valide documentos PDF con firmas electrónicas y como firma electrónicamente documentos PDF.

Por otra parte, se ha puesto al día la parte de aspectos jurídicos para incluir las últimas novedades, el Reglamento de desarrollo de la Ley 11/2007 y los Esquemas Nacionales de Seguridad e Interoperabilidad.

Se ha incluido también contenido sobre algunos productos de administración electrónica que me parecen particularmente útiles y que los proporciona gratuitamente la propia Administración tales como el Sistema Integrado de Gestión Municipal o el cliente firma de @firma.

Finalmente también se han ampliado también contenidos en la parte dedicada a la Web 2.0 e innovación en la administración electrónica y se han actualizado y ampliado  las referencias incluidas en el anexo.

En fin, espero que encontréis esta primera edición del manual completa y práctica. A partir de aquí todas las críticas y sugerencias serán muy bienvenidas.

… y ahora al Esquema Nacional de Interoperabilidad

Escrito por Alberto el 02-02-2010

Categorías: DNIe, Ley 11/2007, certificados electrónicos, firma electrónica, seguridad

Justitia1Después del artículo de ayer  sobre el Esquema Nacional de Seguridad hoy toca el texto equivalente en materia de interoperabilidad. A primera vista este texto puede parecer más simple que su homólogo, pero veréis que se las trae…, especialmente la disposición adicional primera.

Vamos allá:

El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica, persigue la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.

Al igual que ocurre en el ENS, se han tenido en cuenta antecedentes como los Criterios SNC y las recomendaciones de la Unión Europea como lo es el Marco Europeo de Interoperabilidad elaborado por el programa IDABC, así como a otros instrumentos y actuaciones elaborados por este programa y que inciden en alguno de los múltiples aspectos de la interoperabilidad, tales como el Centro Europeo de Interoperabilidad Semántica, el Observatorio y Repositorio de Software de Fuentes Abiertas y la Licencia Pública de la Unión Europea. También se atiende a la Decisión 922/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa a las soluciones de interoperabilidad para las administraciones públicas europeas.

Después de definir el objeto y ámbito de aplicación de la norma (que incluye a todas las administraciones), el ENI comienza enumerando sus principios básicos que son la interoperabilidad como cualidad integral, el carácter multidimensional de la interoperabilidad (es decir, interoperabilidad técnica, semántica y organizativa) y el enfoque de soluciones multilaterales.

A continuación se abordan con mayor detalle las dimensiones técnicas, semánticas y organizativas de la interoperabilidad. En la parte técnica se desarrolla el principio de neutralidad tecnológica de la Ley 11/2007 en aspectos concretos como los documentos electrónicos emitidos por las Administraciones Públicas y se reitera su importancia haciendo hincapié en el uso de estándares abiertos a todos los niveles considerando su aplicación particularmente inexcusable en la relación con los ciudadanos. Se introduce además el criterio de coste que no suponga una dificultad de acceso para la selección de estos estándares y se provee una definición de uso generalizado por los ciudadanos.

En cuanto a la interoperabilidad semántica ésta se centra fundamentalmente en la creación y publicación, en su momento, a través del Centro de Interoperabilidad Semántica de la Administración de unos modelos de datos de intercambio que serán de preferente aplicación para el intercambio de información entre las Administraciones públicas.

La parte organizativa se centra, por una parte, en la obligación de las administraciones de la especificación y publicación de los requisitos técnicos de los servicios, datos y documentos electrónicos puestos a disposición de otras administraciones y, por otra parte, prevé la creación de inventarios de información administrativa a través de los cuales las administraciones han de publicar sus procedimiento administrativos y servicios.

En los siguientes dos capítulos se abordan con relativa brevedad cuestiones como la conectividad a la Red Sara y el uso de servicios horizontales prestados por la Administración General del Estado (como lo puede ser @Firma) como medio para facilitar la interoperabilidad. Además se establece que la sincronización de la fecha y la hora se realizarán con el Real Instituto y Observatorio de la Armada.

A continuación se aborda la reutilización y transferencia de tecnología que promueve la libre disposición de las aplicaciones desarrolladas por una Administración a las demás y las condiciones necesarias para ello inspirándose para su articulación claramente en el modelo de licencia del software libre. Por otra parte, se  establece el compromiso de la Administración General del Estado de mantener a través del CTT un directorio de aplicaciones libremente reutilizables y se describen mecanismos de integración con directorios europeos similares que deben seguir los directorios propios de cada Administración.

El capítulo siguiente trata de la interoperabilidad de la firma electrónica y los certificados. La interoperabilidad se articula en torno a la política de firma electrónica y de certificados que se desarrollará como parte del futuro desarrollo del propio previsto en la disposición adicional primera y que las aplicaciones de las Administraciones públicas deberán respetar.

Esta política tratará, entre otras cuestiones recogidas en su definición en el anexo I, las relacionadas con la interoperabilidad: formatos de firma, los algoritmos a utilizar y longitudes mínimas de las claves, las reglas de creación y validación de la firma electrónica, la gestión de las políticas de firma, el uso de las referencias temporales y de sellos de tiempo, así como la normalización de la representación de la firma electrónica en pantalla y en papel para el ciudadano y en las relaciones entre Administraciones públicas.

Por otra parte se tratan los aspectos de interoperabilidad relativos a los prestadores de servicios de certificación en su vertiente organizativa, semántica y técnica. Se abordan cuestiones como la obligación de publicar en su Declaración de Prácticas de Certificación cuestiones como los usos de sus certificados y sus posibles límites, los niveles de acuerdo de servicio, la indicación expresa de aquellos campos de los certificados que por su unicidad puedan ser usados para la identificación o la obligatoriedad de la incorporación, dentro de los certificados, de información relativa a las direcciones de Internet donde se ofrecen servicios de validación por parte de los prestadores de servicios de certificación.

Por último se tratan las obligaciones de las plataformas de validación de certificados electrónicos y de firma electrónica como lo es, por ejemplo, la incorporación de listas de confianza de los certificados interoperables entre las distintas Administraciones públicas nacionales y europeas.

El capítulo siguiente trata otro tema clave como lo es la recuperación y conservación del documento electrónico. En primer lugar, se establecen las condiciones para la recuperación y conservación del documento electrónico que prevén, entre otras, cosas como la definición de una política de gestión de documentos por parte de las Administraciones públicas, la identificación única e inequívoca de cada documento o la clasificación de acuerdo con un plan de clasificación.

A continuación se establecen medidas de seguridad para asegurar la conservación de los documentos electrónicos, se reitera la obligación de la adecuada protección de los datos personales y se prevé el uso de formatos de firma longeva y otros mecanismos como metadatos de gestión de documentos que permitan la conservación a largo plazo de los documentos electrónicos.

Por otra parte, se aborda la cuestión del formato de los documentos electrónicos.  Se prevén cosas como el uso preferentemente de formatos basados en estándares abiertos y la elección de formatos de documento electrónico normalizados y perdurables que aseguren la independencia de los datos de sus soportes. Incluso se prevé la posibilidad de copiado autentico de los documentos ante un posible riesgo de obsolescencia del formato.

Por último se trata la digitalización de documentos en soporte papel indicando que ésta se deberá ajustar a la norma técnica de interoperabilidad correspondiente a los aspectos del formato estándar utilizado, el nivel de resolución, la garantía de imagen fiel e íntegra y los metadatos asociados al proceso de digitalización.

El capítulo siguiente, el Capítulo XI, establece básicamente la obligación de la conformidad de las sedes electrónicas y el ciclo de vida de los sistemas y servicios con el ENI, junto con la obligación para los órganos y entidades de derecho público de establecer los oportunos mecanismos de control y publicar su declaración de conformidad con el ENI. El último capítulo del ENI es el más corto y más simple ya que se compone únicamente de un único artículo que establece la obligación de mantener el ENI actualizado de manera permanente.

El ENI concluye con una serie de disposiciones y un anexo con un glosario de términos muy útil y completo. Entre las disposiciones se puede destacar especialmente la disposición adicional primera que se refiere al desarrollo del Esquema Nacional de Interoperabilidad. Este desarrollo se concretará en una serie de normas técnicas de interoperabilidad e instrumentos de interoperabilidad.

Las normas técnicas se referirán a cuestiones como un catálogo de estándares que satisfagan las previsiones del ENI, metadatos relativos al documento electrónico, estructura y formato del expediente electrónico, la antes mencionada política de firma electrónica y de certificados de la Administración, relación de modelos de datos comunes en la Administración o una política de gestión de documentos electrónicos.

En cuanto a los instrumentos de interoperabilidad estos se compondrán de un inventario de procedimientos administrativos y servicios prestados, el centro de interoperabilidad semántica de la Administración y el directorio de aplicaciones para su libre reutilización.

Entre las disposiciones restantes se pueden destacar especialmente las relativas a los plazos de adecuación de los sistemas (ésta ya comentada anteriormente), la relativa al plazo de adaptación de los medios actualmente admitidos de identificación y firma electrónica (24 meses), aquellas que se refieren al papel impulsor en materia de interoperabilidad que deben ejercer el CENATIC y el INTECO en sus respectivas áreas de responsabilidad.

Vistazo rápido al Esquema Nacional de Seguridad

4

Escrito por Alberto el 01-02-2010

Categorías: Ley 11/2007, certificados electrónicos, firma electrónica, seguridad

Justitia1Este viernes pasado se han publicado por fin el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad, previstos en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Aprovechando el resumen que estoy haciendo de cada unos de ellos para incluirlos en la primera edición de mi manual que, por  cierto, tengo a puntito, puntito, aprovecho aquí las virtudes del “copiar y pegar” para adelantar a aquellos interesados en el tema que no tienen ni el tiempo ni la paciencia de leerselo entero una suerte de sinopsis que espero sirva para tener, al menos, una primera idea aproximada de sus contenidos.

Empezamos hoy con el Esquema Nacional de Seguridad y trataremos el Esquema Nacional de Interoperabilidad en un próximo artículo.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Tal como se comenta en la exposición de motivos de esta norma, cuenta con una serie de precedentes que han inspirado su contenido, documentos de la Administración en materia de seguridad electrónica, tales como los Criterios SNC, las Guías CCN-STIC del Centro Criptológico Nacional, la Metodología de análisis y gestión de riesgos MAGERIT o el Esquema Nacional de Interoperabilidad.

Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y  la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

El ENS empieza por definir sus principios básicos que son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. Cabe destacar aquí además que el ENS incluye en las dimensiones de seguridad a tener en cuenta a la trazabilidad de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias, un aspecto de seguridad al que la Ley 11/2007 no aludía de una manera explícita.

En el siguiente capítulo se tratan los requisitos mínimos, se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, esta política de seguridad debe incluir un número importante de requisitos mínimos. Dada la importancia de este punto se enumera a continuación la lista completa de los mismos del artículo 11, junto con algunos de los detalles que se especifican en los artículos siguientes:

  • Organización e implantación del proceso de seguridad, que deberá comprometer a todos los miembros de la organización.
  • Análisis y gestión de los riesgos.
  • Gestión de personal, donde destaca el hecho que todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos en la que se valorarán positivamente los productos certificados.
  • Seguridad por defecto, es decir, los sistemas deben diseñarse y configurarse de forma que garanticen, al menos, unos mínimos de seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito donde se presta especial atención a los así considerados entornos inseguros que son los equipos portátiles, PDAs, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
  • Prevención ante otros sistemas de información interconectados, se ha de proteger el perímetro, en particular, si se conecta a redes públicas como Internet.
  • Registro de actividad. Este requisito está orientado sobre todo a garantizar la protección de los derechos relacionados con la protección de datos personales.
  • Incidentes de seguridad.
  • Continuidad de la actividad, que se logra fundamentalmente mediante unas políticas adecuadas de copias de seguridad y de respaldo.
  • Mejora continua del proceso de seguridad.

En los artículos siguientes se recomienda el uso de las infraestructuras y servicios comunes como lo son la Red Sara y sus servicios horizontales como manera de mejorar la seguridad de los sistemas propios. Por otra parte, se establece al Centro Criptológico Nacional (CNN) como responsable de la elaboración y difusión de guías[1] en materia de seguridad en el ámbito de las TIC y se definen las condiciones bajo las cuales las Administraciones públicas podrán declarar determinados sistemas como excluidos de la aplicación de este Real Decreto.

En los restantes artículos (artículos 31 a 44) se abordan cuestiones muy concretas, cuestiones como las condiciones técnicas de seguridad en las comunicaciones electrónicas, requerimientos de seguridad en las notificaciones, publicaciones electrónicas y firma electrónica, detalles relativos a la realización de auditorias de seguridad o los informes del estado de seguridad y se explicita que los registros electrónicos y las sedes electrónicos se encuentran sujetas a las previsiones de este Real Decreto.

Hay que destacar especialmente por una parte la respuesta ante incidentes de seguridad en la cual se establece el CNN-CERT como equipo técnico de apoyo y coordinación a las Administraciones públicas en los incidentes que pudieran sufrir y se establecen las guías CNN-STIC como documentación de referencia en la materia.

Por otra parte, ocupa un lugar especial el concepto de la categoría de un sistema de información en materia de seguridad, que según el artículo 43, “modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad.”

Para la determinación de la categoría se especifica en el Anexo I un procedimiento detallado para la valoración del impacto que tendría un incidente de seguridad en las diferentes dimensiones de seguridad, un procedimiento que no puede negar sus orígenes inspirados en la metodología MAGERIT.

El Real Decreto concluye una serie de disposiciones y anexos como el mencionado. Las disposiciones abordan asuntos como la creación del Comité de Seguridad de la Información de las Administraciones Públicas o el establecimiento de un plazo inmediato de adecuación de los sistemas nuevos al ENS y la adecuación de los existentes en un plazo inicial de 12 meses que, solo si las circunstancias lo justifican, puede llegar al máximo de 48 meses.

Los 5 anexos son de carácter fundamentalmente técnico. El primero especifica el procedimiento de determinación de la categoría de un sistema arriba mencionado, el segundo y tercero especifican respectivamente un procedimiento apoyado en el anterior para la determinación medidas de seguridad a aplicar y las directrices bajo las cuales han de ejecutarse las auditorias de seguridad. En los dos anexos restantes se aporta un glosario de términos y acrónimos utilizados en el ENS, junto con un modelo de cláusula administrativa particular que debe servir como plantilla en los contratos a través de la cual se le exige al licitador una especificación precisa de la certificación de sus productos en el ámbito de la seguridad, en su defecto, la justificación debida de su idoneidad para la contratación.

[1] Series CCN-STIC, guías de seguridad: https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=1459&Itemid=104

Carta a los Reyes Magos: que se use el DNI electrónico

1

Escrito por Alberto el 05-01-2010

Categorías: DNIe, certificados electrónicos, firma electrónica

dni_electronicoHace unas semanas, durante un curso de Administración electrónica, tuve una vez más la oportunidad de comprobar las dificultades que se experimentan en el uso del DNI electrónico como herramienta de autenticación y firma electrónica.

Mantuvimos un animado debate sobre cuales podían ser las posibles causas y, aunque ya se ha escrito mucho sobre el tema de las barreras que dificultan el acceso a la sociedad de la información y a la Administración electrónica en particular, creo que merece la pena reproducir aquí alguna de las conclusiones, aderezadas junto con algunas propuestas para mejorar la mala situación en la que hoy por hoy desafortunadamente sigue el DNIe como medio universal de autenticación y firma electrónica, a pesar del ser un paso importantísimo en la dirección correcta y un medio ideal para el uso de certificados electrónicos y la firma electrónica.

Según los datos del Ministerio del Interior, en España se han expedido cerca de 14 millones de DNIs electrónicos hasta la fecha, lo que posiciona a nuestro país como líder mundial en este terreno. Sin embargo, según la última Encuesta sobre Equipamiento y Uso de las TIC en los Hogares, de las personas de 16 a 74 años que disponen de un DNIe sólo el 3,4% lo ha usado en sus relaciones con las administraciones públicas, mientras que un 14,2% ha utilizado otros certificados de firma electrónica.

Por las impresiones que he podido sacar en diversas ocasiones (y por sentido común, vaya) la causa más importante de esto es que la mayoría de los ciudadanos aún desconocen las ventajas que el DNIe les ofrece para simplificar y agilizar sus tareas con la Administración y una oferta limitada de servicios electrónicos en el sector privado que lo soporten. Iniciativas como la Red 060 como punto de acceso general a los servicios electrónicos de la Administración Pública parece que aún son grandes desconocidos para el ciudadano medio.

Se ha corrido la voz de cosas concretas como, por ejemplo, la declaración de la Renta por Internet, las cifras de casi 7 millones de solicitudes para el ejercicio 2008 lo avalan, si bien es cierto que este éxito se explica en parte por la delegación de la declaración en gestorías profesionales. Pero en definitiva sigue habiendo poca cultura y concienciación sobre los servicios electrónicos existentes en su conjunto.

Las principales causas son en mi opinión una falta de difusión masiva y formación habida hasta el momento, con ejemplos concretos a través de los ciudadanos entiendan fácilmente las ventajas obtenidas. Por otra parte es cierto que hasta hace poco no ha habido una masa crítica de DNIs expedidos que justificaran campañas masivas a través de medios “caros” como la televisión o los periódicos.

En esto ha estado trabajando y esperemos que el reciente plan de actuación que cuenta con anuncios a página completa en periódicos de gran tirada, la distribución gratuita de cerca de 800.000 lectores de DNIe o el reportaje en TVE que hace unos meses logró una auténtica avalancha de visitas a la Web Usa Tu DNI cambien esta situación.

Junto con material audiovisual para la guía y formación de los ciudadanos disponible en la Web, tanto en la www.dnielectronico.es como en www.usatudni.es, creo que en definitiva este aspecto se está empezando a abordar razonablemente bien.

El resto de los problemas a abordar gira en mi opinión en torno a un sencillo principio: una vez que se conoce lo que es en realidad el DNIe y las ventajas que aporta, su uso tiene que ser absolutamente simple e inmediato, sin condicionantes previos como la adquisición de un lector o la instalación de un programa. Que haya estos condicionantes no solamente da pereza al ciudadano medio, sino que además le supone barreras nada fáciles de superar, barreras que ante la más mínima dificultad o desorientación que se encuentre en el camino le invitan a retirarse del intento, lo cual, a juzgar por la situación, debe ocurrir con frecuencia.

Una de las conclusiones que sacamos en el debate mencionado fue que campañas como la mencionada están bien (los lectores se agotaron en días) y ayudan a mejorar la situación, pero no van al fondo del problema porque no se trata de ayudar a superar las barreras, se trata de que no existan barreras.

Para ello es imprescindible que se consiga una amplia disponibilidad de lectores incorporados en los ordenadores vendidos en España, ya sea incorporados en el mismo teclado u otra ubicación fácilmente accesible. Y también es necesario que haya una oferta razonablemente amplia, al menos en los principales fabricantes, de accesorios de amplio uso que también soporten tarjetas inteligentes como, por ejemplo, las combinaciones teclado-ratón, incluidos los inalámbricos.

En la misma línea no se puede cargar al usuario con la instalación de un programa para empezar a utilizar su DNIe. Otra excusa perfecta para no utilizarlo. Creo que de lo contrario seria muy deseable que tanto este software como certificados se encuentren instalados desde un principio con el propio sistema operativo, y que se tomen medidas para que en las diferentes versiones de sistemas operativas instalados se incorporen automáticamente como un “parche” más a través de los mecanismos de actualización del mismo.

Mucho me temo que si no se cumplen estas condiciones en un futuro breve los avances en las tasas de uso del DNIe van a seguir siendo decepcionantes durante un periodo de tiempo largo, a pesar de las campañas realizadas, y el dato de líder mundial se convertirá así en una cifra hueca que quedará para la galería. Conseguirlo probablemente no sea fácil, en un blog se proponen fácilmente este tipo de medidas, pero luego hay que conseguir que los fabricantes las adopten. Pero por otra parte tampoco estoy seguro si desde el Gobierno y Administración se habrán agotado todas las iniciativas y posibilidades de negociación con los fabricantes en este sentido.

Quizás sería posible pensar en iniciativas como negociar con los principales fabricantes el soporte directo del DNIe desde su sistema operativo y canalizar futuros presupuestos destinados a los lectores regalados y su distribución hacia compromisos de ayudas a los ciudadanos para la adquisición de dispositivos preparados para el DNIe. Este mismo argumento podría convencer a los fabricantes para que los fomenten en su oferta de productos.

Esto es lo que pediría a los Reyes Magos. Si se cumpliesen estas condiciones el uso del DNIe se convertiría en algo natural e inmediato, introducir el DNIe en el hueco cuando se pida y teclear el PIN, nada más, sin requisitos previos que espanten al usuario final. Por fin ya no quedarían excusas para no usarlo.

Y ahora toca una pequeña bulla al sector privado, al cual deseo que los Reyes Magos traigan este año abundantes cantidades de carbón en lo relativo al DNIe. Hay que reconocer que poco a poco el uso del DNIe va siendo soportado por las empresas del sector, pero dicho esto, se siguen viendo ejemplos de hacer las cosas realmente mal y que generan así una imagen negativa y contraproducente del DNIe.

Veamos algunos ejemplos: En Caja Madrid se sigue después de más de un año con la política de pedir la contraseña de usuario en la autenticación con DNIe, de modo que antes el usuarios introducía su número de DNI y contraseña, y ahora, en la modalidad de DNIe, resulta que debe introducir el DNIe, el PIN de protección del certificado, y además también la contraseña que ya se introducía anteriormente. Buenos argumentos para pasar del DNIe…

Este caso de Caja Madrid no es ni mucho menos aislado. Existen muchos otros, uno de ellos y del mismo sector es Bankinter, que por razones de seguridad insiste en un proceso de introducción del usuario y contraseña convencional para asociarlos al DNIe, a partir de ahí ya no se usan. Es decir, ¿usar el DNIe sin más es inseguro?  Si no lo supiera mejor, éste desde luego sería el mensaje que me llevaría de esta experiencia. Añadir, por cierto, que después de diferentes intentos, tanto desde Internet Explorer como Firefox no conseguí terminar con el proceso de asociación, ya que en los diferentes pasos a ejecutar llega uno en el que simplemente la aplicación se cuelga y ya no salta a la siguiente pantalla. Así que ahí sigo, con mi viejo usuario y contraseña…

Parece realmente irónico que un sector que ha sido tan avanzado e innovador en los servicios electrónicos como la banca electrónica se encuentre en este estado a estas alturas. En fin, recomendaría a estas empresas y las no mencionadas practicar un poco de Administración electrónica y tomar nota, en los servicios electrónicos ofrecidos en el sector público, que ya van siendo muchos, ya que desde luego aquí no he visto estos grados de incoherencias y mal funcionamiento.

Después de estos ejemplos decepcionantes un ejemplo positivo: Vodafone, su oficina virtual dispone de la posibilidad de funcionar con el DNIe. Aquí he podido acceder sin más requisitos que el propio DNIe y sin fallos. Esto ya es otra cosa.

La conclusión principal que queda después de este pequeño análisis de situación es que hay que rematar la faena iniciada. No rematarla seria deslegitimar todo el esfuerzo e inversión económica realizada hasta la fecha en este asunto. Nos encontramos en una situación magnifica de implantación del DNIe que ofrece un enorme potencial de avance en cuestiones de sociedad de la información, Administración electrónica y con ello de mejora de productividad en la economía. Es la oportunidad de acabar de una vez por todas con el lastre de las malas cifras en cuestiones de sociedad de la información, así que aprovechémosla.

Nueva revisión del Manual Práctico de Supervivencia en la Administración Electrónic@

11

Escrito por Alberto el 29-11-2009

Categorías: buenas prácticas, certificados electrónicos, creative commons, criptografía, enlaces interesantes, firma electrónica, herramientas, linux, mac, manual práctico e-Admin, open source, seguridad, software, windows

ManualDespués de unos cuantos meses desde la publicación de la primera edición en borrador  del Manual Práctico de Supervivencia en la Administración Electrónic@, he subido una nueva revisión a este sitio.

Aunque en su momento califiqué la primera versión publicada como “casi definitiva” al final la cosa no ha sido así, sino que, aún tratándose de una edición borrador, cuenta con una gran cantidad de cambios.

Los principales cambios son una nueva estructuración en 4 grandes bloques temáticos y un cambio en el orden de los capítulos con el fin de lograr un orden más lógico para asimilar los conceptos tratados y adaptarse mejor a los diferentes perfiles de lectores, contenidos nuevos como el repaso, obligado a estas alturas, del software libre y de fuentes abiertas en la Administración Pública, o un resumen de los contenidos de las principales normales legales en torno a la Administración electrónica.

También se ha ampliado la parte de servicios horizontales de la Red SARA y se han cambiado muchos pequeños detalles como nuevos ejemplos de aplicaciones de Administración electrónica o un repaso de los gráficos para sustituir algunos que se encontraban en inglés por gráficos en castellano.

El motivo por el cual me he inclinado a ampliar la edición ha sido fundamentalmente la buena acogida y difusión del manual gracias a su tan favorable mención en blogs como eFuncionario de Felix Serrano, Administraciones en Red de Iñaki Ortiz y Alberto Ortiz de Zárate, o i-public@ de Oscar Cortés.

Muchas gracias desde aquí a ellos, que han sido los primeros en divulgar la existencia del manual, y a los que vinieron a continuación, como lo han sido Carlos Guardían en K-Government, la Junta de Castilla y León que lo ha re-publicado en su Web de Municipios Digitales y otras Administraciones Públicas que han decido usarlo en sus cursos de formación. Estas cosas son muy gratificantes y motivan para continuar trabajando en este documento.

Me hizo especial gracia el cierto grado de ironía que supone el hecho de haber sido además un ejemplo real, aunque involuntario, de aplicación de mecanismos de marketing viral a la Administración electrónica, algo de lo que el manual hablaba precisamente en su parte de perspectivas futuras y cosas a fomentar en la Administración Pública. Todo empezó con un simple post en el grupo de mi promoción de compañeros funcionarios para ponerlo a su disposición; a partir de ahí, a través de alguien la cosa llegó a Felix Serrano y a luego la red hizo el resto. Así que no deja de ser una simpática ironía que yo mismo me viera sorprendido por el alcance estos fenómenos de la red.

Dicho ésto, me gustaría animar desde aquí a las críticas constructivas que se consideren oportunas, de contenidos, exposición de los contenidos, peso específico de los contenidos, omisiones, etc. Lo que se tercie, aunque sean duras serán muy bien recibidas, siempre que sean constructivas. Y es que ya sabéis: el mejor trabajo es, sin duda, el realizado en equipo, y sin una realimentación de otras personas es muy difícil darse cuenta de muchas cosas.

La versión definitiva del manual pienso publicarla como muy tarde para enero del año 2010, justo a tiempo para la plena entrada en vigor de la Ley 11/2007

Contendrá un conjunto de mejoras como un índice alfabético bastante más extenso, ampliaciones en la parte legal como la inclusión de un pequeño resumen del Reglamento de desarrollo de la Ley 11/2007 y una considerable amplicación de referencias en el anexo; faltan aún muchos sitios y documentos interesantes que incluiré.

Mientras tanto espero que los nuevos contenidos ampliados, aunque aún un poco verdes, ya sean de utilidad. Espero también que hasta la publicación de la edición definitiva se me perdonen los gazapos en la redacción y cuestiones similares que aún no he podido revisar a fondo.

Usar Acrobat Reader con documentos firmados electrónicamente

Escrito por Alberto el 25-11-2009

Categorías: PDF, certificados electrónicos, firma electrónica, herramientas, software

En la Administración epdf-iconlectrónica es cada vez más frecuente el uso de documentos PDF firmados electrónicamente. Un ejemplo reciente es la Orden EHA/2784/2009, de 8 de octubre, por la que se regula la interposición telemática de las reclamaciones económico-administrativas, dónde se establece como formato obligatorio para los acuses de recibo devueltos al ciudadano.

Adobe Acrobat Reader incorpora un soporte completo a la firma electrónica, pero desafortunadamente la enorme mayoría de los usuarios desconocen cómo configurar esta aplicación para que valide las firmas electrónicas de aquellos documentos que las incluyen, algo que es realmente una pena porque bien configurado el Reader no solamente comprueba que la firma está basada un certificado entre los habitualmente reconocidos sino que es incluso capaz de consultar vía OCSP en el acto si el certificado usado en la firma sigue vigente en el momento que se abre el documento.

Como las cosas hay que procurar no reinventarlas, no explicaré aquí como se configura correctamente, sino que me limitaré a recomendar la guía que publicada el BOE para la configuración de la validación de sus boletines. Se explica en detalle cómo configurar Adobe Acrobat para que sea capaz de validar la firma, el sello de tiempo si el documento lo incluye, y habilitar la consulta vía OSCP del estado de revocación del certificado.

Lógicamente se ciñe al caso del BOE que desde 1 de enero de este año publica sus boletines en el formato PDF/A (ISO 19005) y con firma electrónica, pero se extrapola fácilmente a firmas realizadas en base a certificados emitidos por otras autoridades de certificación que no sean la FNMT.

En cierto modo casi recomiendo esta guía casi más por el valor didáctico que tiene configurar una validación completa de una firma electrónica con consulta OCSP incluida como ésta para documentos PDF que la necesidad práctica que tiene un particular de validar los documentos de una fuente con el grado de fiabilidad del BOE u otros organismos públicos. Además de alguna manera a quien no lo haya visto antes seguramente le producirá un cierto grado de fascinación ver cómo se valida en tiempo real la firma contra el proveedor del certificado electrónico de la misma (se puede ver cuando el Reader al dar por buena la firma incluye la fecha y hora de la respuesta OSCP en su panel de firma electrónica).

La guía tiene 24 páginas, pero con un poco de paciencia se siguen rápidamente sus instrucciones en unos 20-30 minutos y el resultado merece sin duda la pena.

Nota del 05/02/2009:

Este tema se ha incluido en la primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@, se puede encontrar en la página 42.

Firma digital, certificados y criptografía

1

Escrito por Alberto el 10-06-2009

Categorías: certificados electrónicos, criptografía, enlaces interesantes, firma electrónica, open source, seguridad, software

En la Administración electrónica, la seguridad es uno de los elementos más importantes, para ello hace uso de diferentes tecnologías como la firma digital (o electrónica, en el manual práctico sobre administración electrónica se explica la diferencia), certificados electrónicos y criptografía.

La firma electrónica se realiza generalmente desde el navegador o desde aplicaciones concretas como, por ejemplo,  Adobe Acrobat para documentos PDF. Pero a veces se quiere poder firmar de una manera agnóstica a la aplicación Web o formato de documento en cuestión, para ello hay diferentes herramientas. Me gustaría destacar la herramienta IntecoFIRMA, ya que es gratuita, en castellano y capaz de generar firmas digitales con formato XAdES. En cualquier caso el Inteco por si solo ya merece una visita a su Web por la multitud de actividades e información interesante que ofrece a los usuarios en las TIC en general y temas específicos como seguridad y calidad del software.

Por otra parte, para la seguridad personal y/o profesional es muy interesante poder proteger información como determinados documentos, claves de acceso, etc. En este último caso desafortunadamente además aún se ve con cierta frecuencia la mala costumbre de guardarlas en post-it pegados en la pantalla…

Existen herramientas muy sencillas de usar y cómodas para hacer las cosas bien, por ejemplo AxCrypt, que cifra sobre la marcha cualquier fichero mediante el algoritmo AES que representa el estado del arte actual para este cometido. Destaca además porque aparte de ser open source y gratuita, se integra a la perfección con el explorador de Windows conviertiéndose simplemente en una opción más que aparece al hacer “click” con el botón derecho sobre cualquier fichero.

Una herramienta parecida es KeePass, pero en este caso se trata de una herramienta especializada en la protección de claves de acceso e información similar. La página original de esta aplicación se encuentra en inglés, pero el Observatorio Tecnológico del Ministerio de Educación ofrece aquí una guía fantástica en castellano sobre el uso y la instalación de la aplicación.

La última aplicación que quiero presentar en este artículo es TrueCrypt, muy aclamada por los expertos por su potencia y calidad, de todas formas aquí me limitaré por cuestión de espacio a destacar simplemente que se trata de una aplicación para la creación de unidades virtuales cifradas. Aparte de la capacidad de crear unidades virtuales como si fueran discos físicos con la consiguiente comodidad y flexibilidad que esto implica destacan especialmente las funcionalidades orientadas a impedir que el usuario pueda ser extorsionado, pero ese tema ya os lo dejo para que lo investiguéis en su web

Finalmente es obligada la referencia a los recursos sonre criptografía del Centro Nacional de Inteligencia. Como nos recomienda Isabel en su comentario si se quiere saber más de criptografía y seguridad TIC en la Administración Pública, es conveniente visitar la página web del Centro Criptológico Nacional y la del CCN-CERT. En las que se pueden encontrar, sobre todo en la última, numerosas herramientas y guías sobre la seguridad de los sistemas de informacion y manuales de configuración. Gracias desde aquí a Isabel por esta sugerencia.