El Poder de las buenas Experiencias

Escrito por Alberto el 28-08-2010

Categorías: Ley 11/2007, buenas prácticas, certificados electrónicos, miscelánea

Este mes de julio hemos ofrecido por primera vez la posibilidad de tramitar nuestra convocatoria de ayudas y subvenciones en salud, un programa que forma parte del programa nacional de I+D+i 2010, íntegramente por la vía electrónica mediante el uso de certificados electrónicos. Aunque el Instituto de Salud Carlos III ya lleva ofreciendo desde hace muchos años un servicio de tramitación de las ayudas vía Web, éste ha sido el año en el que se ha cerrado el círculo con la presentación por registro electrónico.

Obviamente, siendo la primera experiencia ha habido numerosos problemas y quedan muchas cosas para mejorar para el futuro, pero quisiera aprovechar la ocasión para hablar de una cosa muy positiva con la que no contábamos y la que nos ha llamado la atención gratamente: el agradecimiento del ciudadano cuando percibe que se le ayuda y lo triviales que pueden ser a veces los detalles que el ciudadano realmente valora.

La ironía es que esto pequeños detalles pueden ser una mínima fracción del esfuerzo total de servicio. Que esto ocurra no es nada nuevo, pero a veces no deja de sorprenderme hasta qué punto es cierto este principio de que las pequeñas cosas pueden tener un gran impacto.

En nuestro caso un ejemplo clarísimo ha sido la incorporación de aviso vía correo electrónico (no notificaciones electrónicas, sino simples correos) para mantener a los solicitantes al tanto de la evolución de sus expedientes, avisándolos con antelación de cosas como, por ejemplo, avisos sobre la fechas de publicación de las listas admitidos previstas, algo que ha supuesto un esfuerzo de desarrollo muy reducido y despreciable frente al del proyecto en su conjunto.

Pues bien, hemos recibido llamadas telefónicas de felicitación por este servicio en las cuales los solicitantes nos han hablado de la gran mejora que había experimentado en la tramitación de este servicio, ¡pero nadie nos ha llamado para felicitarnos por soportar por fin una tramitación electrónica integral vía certificados electrónicos!

No deja de ser irónico que hayamos un gran impacto con algo que resulta prácticamente trivial y no con el aspecto que legalmente consagra el servicio y técnicamente más problemas y esfuerzo nos ha costado.

Esto no deja de ser una pequeña anécdota, pero si que nos ha inspirado alguna que otra reflexión y conclusión, que a la postre resultan ser en realidad bastante obvias. Pero que quizás no se tengan en todo momento con toda la claridad necesaria en la mente a la hora de diseñar un servicio electrónico y cuando se experimenta en vivo que ciertas cosas que ya se habían leído efectivamente son ciertas puede ser interesante recordarlas nuevamente:

El ciudadano no valora los servicios electrónicos en función del grado de cumplimiento de la 11/2007

El ciudadano tiene su propio baremo de valoración en función sus intereses concretos, que son diferentes en cada caso y que por tanto hay que cuidar. Es fácil, y más con los plazos que ha habido que cumplir, que la puesta en marcha de un servicio electrónico se convierta en un fin en si mismo, con tal de poder decir que se cumple.

En los servicios electrónicos hay que hacer un esfuerzo especial en comprender las necesidades del usuario

Otra obviedad, pero es que estamos aún demasiado acostumbrados a hacer proyectos dónde conocemos a los usuarios, pero no para los usuarios cuyas caras no conocemos y que están en su caso o sus empresas. Quizás incluya en esta visión la inercia de hacer aplicaciones para que los ciudadanos cumplan con sus obligaciones usando la Web. Pero pensar en términos de servicios electrónicos es algo distinto, significa pensar en qué podemos simplificarle la vida al ciudadano y para responder a eso hay que conocerle a él y sus problemas, y eso no es nada trivial.

Las buenas experiencias con la Administración en el uso de vía electrónica son una oportunidad magnifica para enderezar la mala imagen de la administración

La vía electrónica es una oportunidad enorme para cambiar la imagen que los ciudadanos tienen de la Administración, para que entierren malas experiencias de largas esperas en colas o atenciones en ventanilla que no hayan sido de recibo. Si se consigue motivas al ciudadano para que realmente de el primer paso de hacer sus trámites o, al menos, una buena parte de ello por Internet la percepción que tenía puede cambiar radicalmente en un instante como hemos podido comprobar nosotros con un colectivo (investigadores) especialmente sensible ya que suelen ver a las tareas administrativas como un mal que les entorpece y frena en su actividad.

La Web 2.0 es un excelente medio para acelerar este proceso de cambio de imagen

Jeff Jarvis cuenta en su libro Y Google, ¿cómo lo haría? Su experiencia con Dell en la consiguió una muy notable notoriedad en la blogosfera relacionada con la informático de consumo al relatar sus quejas en el servicio de atención al cliente de este empresa. Relata como logró tal repercusión con sus quejas que obligó a la empresa a un profunda reflexión que la hizo comprender el valor que tenía cambiar su política en este aspecto. Dell supo aprovechar la oportunidad para reparar su imagen dañada a través de la misma blogosfera, ya que una vez que empezó a ofrecer la calidad adecuada, la misma blogosfera que había sido fuente de sus quebraderos de cabeza fue el catalizador ideal para dar a conocer que las cosas habían cambiado, restaurando y mejorando incluso su imagen como una empresa que ha sabido reaccionar ante los problemas de sus clientes.

Sin duda, esta experiencia de Jeff Jarvis puede dar ideas extrapolables a la Administración.

Los Planos jurídico y tecnológico en la Administración Electrónic@: ¿Dos Mundos en Galaxias diferentes?

3

Escrito por Alberto el 10-06-2010

Categorías: DNIe, Ley 11/2007, buenas prácticas, certificados electrónicos, firma electrónica, linux, mac, manual práctico e-Admin, windows

Con el vencimiento del plazo establecido por el Reglamento de Desarrollo de la Ley 11/2007, el Real Decreto 1671/2009, se ha estrenado una larga serie nuevas sedes electrónicas en diversos Ministerios, Organismos Públicos y Agencias.

Desde entonces he tenido la ocasión de impartir algún curso relativo a cuestiones de administración electrónica en los cuales ha sido por supuesto obligatorio ver ejemplos de esta nueva figura del paisaje de la administración electrónica.

Hemos podido ver el gran despliegue de sedes y que este concepto, como lugar que centraliza los servicios electrónicos de cualquier organismo, efectivamente tiene mucho sentido, sin hablar de cosas tan prácticas como el acceso al expediente del interesado. Este tipo de cosas hacen que la vía electrónica pueda ser realmente una manera efectiva de acercar la Administración más al ciudadano.

Sin embargo, en estos cursos también salen a relucir inevitablemente problemas operativos y técnicos que a los no iniciados en el mundo de la administración electrónica les resultan muy difíciles de superar sin ayuda. Por desgracia muchos de estos problemas se dan incluso en cosas tan básicas como los certificados de sede electrónica y sus sellos electrónicos.

En general, la impresión que queda a todo el mundo tras estas experiencias es la de que ha habido un gran avance cuantitativo dado el elevado número de servicios disponibles, pero que no se ha avanzado cualitativamente en la misma medida.

Esta sensación se produce por cosas como el caso de una sede electrónica cuyo certificado no ha sido emitido por ninguna autoridad de certificación de las comúnmente reconocidas sino por una propia interna, a efectos de su uso cara al público podríamos decir, “inventada” por el propio organismo. El ciudadano que acceda a esta sede será recibido consecuentemente con un mensaje del tipo “no debería continuar” o “este sitio no se puede identificar y puede ser inseguro” en su navegador.

Los alumnos que asisten a estos cursos tienen afortunadamente la oportunidad de comprender la naturaleza de este tipo de problemas y aprender a solucionarlos lo que les permitirá manejarse sin grandes problemas con los servicios electrónicos. Pero al ciudadano que no ha tenido la ocasión de recibir este tipo de formación y al que, en general, esto de los certificados electrónicos y certificados raíz le suena a chino mandarín, le quedarán pocas ganas de continuar con su aventura con la administración electrónica tras estas experiencias, las cuales le recordarán más al clásico vuelva usted mañana que a las tecnologías del siglo XXI.

De todas formas, en el artículo de hoy no quiero hablar tanto de los problemas que se pueden atribuir más bien a las propias sedes electrónicas, que no dejan de ser casos específicos y puntuales, como de los problemas y limitaciones de los productos y tecnologías de base en la administración electrónica como lo son los sistemas operativos y navegadores, las cuales nos complican seriamente la vida a quienes tenemos proyectos en este ámbito a nuestro cargo.

Pongamos ejemplos:

Un problema con consecuencias similares para el ciudadano a las antes citas es el relacionado con la distribución de los certificados raíz de las autoridades de certificación (CA) comúnmente utilizadas.

Para que una máquina de un usuario de por bueno un certificado electrónico determinado la CA que lo emitió tiene que estar dada de alta en el almacén de certificados de su máquina.

Hay muchas CAs y, por tanto, no puede recaer en el usuario mantenerlas actualizadas permanentemente, de modo que lo suyo es que existan mecanismos automáticos de actualización de estos certificados. En el caso de Windows, por ejemplo, desde hace un tiempo los certificados se incluyen en los paquetes de actualización automática que este sistema operativo se descarga periódicamente de Internet.

Sin embargo, en algunos casos o ni se actualizan o se actualizan tarde. Y esto ocurre desgraciadamente incluso también con las autoridades de certificación más importantes. Un ejemplo muy claro son los nuevos certificados raíz e intermedios APE (Administración Pública Española) usados por la FNMT que son una de las opciones por excelencia para el certificado de una sede electrónica.

Retrasos e incidencias diversas en la actualización efectiva de estos certificados o incluso la incompatibilidad con determinados sistemas como el navegador Safari de Apple hacen que muchos usuarios no dispongan de estos certificados raíz en su almacén de certificados en el momento que los necesiten. Sin mencionar muchos otros problemas como el hecho de que el navegador Firefox ignore de siempre los certificados de la FNMT, sin mencionar que además, ya puestos, Firefox ignora también el almacén de certificados del sistema operativo (usa solamente el suyo propio que, por cierto, no se actualiza automáticamente). Un problema con el que ya me he encontrado en múltiples ocasiones.

Este tipo de cosas convierten a los certificados de sede electrónica en identidades digitales imposibles de verificar y por tanto desconocidas para la máquina del usuario. En varias sedes como, por ejemplo, la del Ministerio de Ciencia e Innovación o el BOE esto ha sido motivo de que al usuario se le advierta nada más entrar en la misma del problema indicándolo cómo resolverlo “manualmente”, lo cual es lo poco que un órgano como estos puede hacer ante este problema, pero evidentemente no elimina realmente la barrera que el ciudadano se encuentra al intentar acceder a los servicios electrónicos.

Por otra parte, en otro artículo ya hice referencia a los problemas que se encuentran los ciudadanos en su relación electrónica con la Administración Pública cuando usan el DNI electrónico los que llevan a que en la práctica, según los datos del INE, ni un 4% lo usan para trámites electrónicos a pesar de ser el medio por excelencia para implementar la identidad digital universal a nivel nacional.

Además de los problemas que comenta este artículo, como lo son la necesidad de adquirir un lector y la dificultad que supone a muchos ciudadanos instalar un software para ponerlo en marcha, existen otros problemas importantes como lo son, por ejemplo, su gran lentitud en determinadas ocasiones y el exagerado número de ocasiones en los que se solicita una y otra vez el PIN de protección de los certificados al usuario. Tengo muy pocos conocimientos técnicos de tarjetas inteligentes, pero seguramente gran parte de estos inconvenientes estén relacionados con el funcionamiento de la propia tecnología y modo de operación de una tarjeta inteligente como lo es al fin y al cabo el DNIe.

Puestos a hablar de problemas técnicos tampoco podemos olvidar el gran problema que sigue siendo realizar una firma en un navegador, problema al cual los servicios electrónicos necesitan seguir dedicando guías de decenas de páginas para explicarle al usuario los requisitos técnicos, cómo configurar su navegador para que le sea posible firmar y las múltiples posibles incidencias que se puede encontrar.

En esta ocasión el origen de esta dificultad se encuentra en el hecho de que manera de realizar una firma electrónica en Web no se encuentra normalizada en un estándar Web como lo es, por ejemplo, HMTL. Por tanto, los navegadores en general no implementan de manera nativa funciones de firma electrónica, de modo que sólo queda la opción de implementarla con componentes del tipo Applet o ActiveX que descarga la propia aplicación Web. Estos componentes se encuentran sujetos a determinados requisitos técnicos e importantes restricciones de seguridad, lo cual resulta ser un pozo de conflictividad para su correcta ejecución en el navegador del usuario final, especialmente en entornos corporativos con políticas de seguridad restrictivas.

Si a esto añadimos tener que lidiar, siguiendo el principio de neutralidad tecnológica del artículo 6.2.k de la Ley 11/2007, con múltiples navegadores y versiones de los mismos, cada navegador con sus peculiaridades y problemas para que estos componentes accedan al almacén de certificados del usuario, tenemos un entorno tecnológico en el cual resulta realmente difícil que las cosas funcionen razonablemente bien a todo el mundo. Por tanto, tener que usar de este tipo de componentes no es una buena base para la firma electrónica en Web.

Estos ejemplos son tan sólo unos pocos entre muchos y la reflexión que me sugieren es que existe un desfase importante entre el desarrollo legal de la administración electrónica y la realidad de las posibilidades de la tecnología. Y, como habrá quedado claro con los ejemplos anteriores, no me refiero a la tecnología de base como la propia de los certificados o la firma electrónica (esta se encuentran ya muy madura), sino a las limitaciones de los productos de software básicos (sistemas operativos, navegadores y tarjetas inteligentes fundamentalmente).

Unas prestaciones adecuadas y una mayor estandarización del uso de las tecnologías clave de la administración electrónica (certificados y firma electrónica) en estos productos resulta absolutamente imprescindible para que la administración electrónica pueda madurar. La realidad es que, hoy por hoy, estos productos no están a la altura de los requisitos jurídicos y que por tanto el plano jurídico va por delante de las posibilidades del entorno tecnológico.

Esta situación cuestiona seriamente la viabilidad de los objetivos marcados por la Ley 11/2007, ya que parece que de poco sirve tener todos y cada uno de los servicios y procedimientos disponibles por la vía electrónica si el ciudadano a la hora de utilizarlos se encuentra con estas barreras que hacen que muchos de los servicios distan de ser operativos y accesibles en la medida que seria razonable.

Creo por tanto que ha llegado el momento de trabajar más a fondo en la parte tecnológica y con una visión más allá de lo jurídico y la normalización del uso de las tecnologías desde un punto de vista intra-administrativo como lo son las cuestiones abarcadas por el ENI o el ENS. Toca impulsar también de manera proactiva a la parte externa al ámbito de la Administración Pública que hoy por hoy tanto nos limita para avanzar de manera efectiva.

Creo que son imprescindibles actuaciones eficaces para conseguir un nivel de cooperación adecuado por parte de los fabricantes de los productos tecnológicos clave en la relación electrónica con la Administración Pública que, como decíamos, son principalmente el sistema operativo, navegador y tarjetas inteligentes.

La administración electrónica solamente se puede considerar implantada con éxito si la mayoría de los ciudadanos la utilizan con naturalidad. Para conseguirlo ha de ser una experiencia de una sencillez comparable a la de usar un teléfono móvil.

Si queremos que esa sea la experiencia del usuario no pueden ocurrir las cosas mencionadas en este artículo. No puede haber estas incidencias con los certificados raíz de las autoridades de certificación más importantes, es más: el usuario no tiene ni porqué saber lo que es un certificado raíz.

Tampoco debería tener que instalar ningún software para poder hacer funcionar su DNIe, este software debería venir de fábrica junto con el sistema operativo o bien instalarse de manera automatica con sus actualizaciones de modo que la experiencia del ciudadano de usar el DNIe sea enchufarlo, meter su PIN cuando se le pida y a trabajar.

Y tampoco puede ser que un navegador usado por un 25% de la población como lo es Firefox siga ignorando el almacén nativo de certificados del sistema operativo y ni siquiera incluya por defecto el certificado raíz de la FNMT.

Y ya paro con los ejemplos, pero hay muchos más. Para todos ellos habrá que sentarse con los fabricantes y conseguir su compromiso firme de cooperación en este terreno. Desconozco si en virtud de ser pragmático y eficaces el foro más adecuado es el europeo o el nacional y si es necesaria la implicación directa de los Gobiernos de la Unión Europea o lo puede conseguir la Administración por sí sola, pero desde luego tengo claro que o se soluciona este tema y se eliminan estas barreras para el ciudadano o queda rato para escribir artículos como éste.

Pasen y VALIDen

4

Escrito por Alberto el 28-03-2010

Categorías: DNIe, Ley 11/2007, certificados electrónicos, firma electrónica, herramientas

valideNo es ningún secreto que la firma electrónica a través de aplicaciones Web aún no funciona todo lo bien que nos gustaría a todos.

No voy a entrar en razones concretas, lo haremos más detenidamente en otro artículo, pero una de las razones más importantes se encuentra en el hecho de que para firmar electrónicamente, hoy por hoy, es necesario la descarga de un componente tipo Applet o ActiveX a través del cual firmar electrónicamente.

Las restricciones de seguridad en los equipos de algunos usuarios o requisitos como la necesidad de disponer de una máquina virtual Java en el caso de componentes de firma tipo Applet son un escollo que actualmente no genera pocas incidencias a los ciudadanos de a pie.

He podido observar que una mala experiencia de un potencial usuario de Administración Electrónica debida a estos factores genera una desconfianza que en su caso puede ser suficiente como para que no anime a intentarlo durante mucho tiempo.

Más de una vez he pensado que me hubiese gustado poder implantar junto con los servicios de nuestro organismo un área en el cual nuestros usuarios pudiesen experimentar a gusto antes de ir al trámite de verdad para que experimenten tranquilamente, sin miedo, con la instalación del componente de firma electrónica que realizan las aplicaciones que la usan. La predisposición de un usuario a probar y llegar al final con el uso de la firma electrónica es mucho mejor cuando sabe que “no pasa nada” que cuando se encuentra en medio de un trámite auténtico.

Hace unos pocos meses vio la luz el proyecto VALIDe el cual ofrece tanto a ciudadanos como funcionarios varios servicios en los que podrá consultar la validez de un documento firmado electrónicamente, realizar una firma electrónica, comprobar la validez de un certificado digital emitido por cualquier entidad de servicio de certificación reconocida o comprobar específicamente el certificado de una sede electrónica.

La utilidad de este portal se circunscribe lógicamente en primer lugar a los servicios que ofrece, además de proporcionar a las nuevas sedes electrónicas un medio para implementar algunas de sus obligaciones como el disponer de un servicio de validación de sus certificados de sede.

Sin embargo, vistos los problemas que aún persisten en el uso de la firma electrónica, me parece que hay una faceta en este servicio de la que se ha hablado aún demasiado poco y no es menos interesante: usarlo por parte de los organismos como un banco de pruebas previo para aquellos usuarios con la voluntad de realizar un trámite electrónico. Es decir, recomendarlo a sus usuarios como un lugar en el que prueben sin complejos y puedan coger un poco de seguridad antes de usar la firma electrónica de verdad.

Me parece en este sentido que este servicio puede ser un incentivo más para animar a algunos usuarios indecisos a utilizar la firma electrónica en sus trámites. Igualmente celebro que se encuentre disponible este servicio de cara a las actividades de formación interna en esta materia que seguramente agradecerán su existencia.

La cosa tiene sus limitaciones, naturalmente. Por ejemplo, respecto del tipo de componente de firma utilizado. VALIDe utiliza una versión concreta del cliente de firma de @firma, por tanto el comportamiento no será exactamente igual que en aquellos organimos que usen versiones diferentes de este componente o incluso un componente de otro fabricante. No obstante, la experiencia será en gran parte similar (aceptar diálogos que piden instalar el componentes, etc.) y una vez que el usuario haya conseguido firmar con éxito tendrá bastante más seguridad para hacerlo en un trámite.

En la Administración Electrónica sobra la teoría y falta la práctica, este servicio es un ejemplo de práctica. Ahora toca sacarle partido.

Primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@

14

Escrito por Alberto el 04-02-2010

Categorías: DNIe, Ley 11/2007, buenas prácticas, certificados electrónicos, creative commons, criptografía, firma electrónica, linux, mac, manual práctico e-Admin, open source, seguridad, windows

ManualPor fin he conseguido completar la primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@.

Algunas de las novedades más importantes ya se comentaron en este artículo que anunciaba la publicación de la revisión del borrador de noviembre y por tanto no las repito aquí.

Esta primera edición ha cambiado otra vez sustancialmente con respecto a la anterior (la revisión de noviembre mencionada). La página dedicada al manual de este blog contiene una descripción general de sus contenidos.

En cuanto a las novedades concretas en primer lugar he cambiado en la parte práctica el orden de algunos capítulos ya que me parece que facilitará el aprendizaje de sus materias y he ampliado los contenidos. Ahora se explica, por ejemplo, cómo configurar Adobe Reader para que valide documentos PDF con firmas electrónicas y como firma electrónicamente documentos PDF.

Por otra parte, se ha puesto al día la parte de aspectos jurídicos para incluir las últimas novedades, el Reglamento de desarrollo de la Ley 11/2007 y los Esquemas Nacionales de Seguridad e Interoperabilidad.

Se ha incluido también contenido sobre algunos productos de administración electrónica que me parecen particularmente útiles y que los proporciona gratuitamente la propia Administración tales como el Sistema Integrado de Gestión Municipal o el cliente firma de @firma.

Finalmente también se han ampliado también contenidos en la parte dedicada a la Web 2.0 e innovación en la administración electrónica y se han actualizado y ampliado  las referencias incluidas en el anexo.

En fin, espero que encontréis esta primera edición del manual completa y práctica. A partir de aquí todas las críticas y sugerencias serán muy bienvenidas.

… y ahora al Esquema Nacional de Interoperabilidad

Escrito por Alberto el 02-02-2010

Categorías: DNIe, Ley 11/2007, certificados electrónicos, firma electrónica, seguridad

Justitia1Después del artículo de ayer  sobre el Esquema Nacional de Seguridad hoy toca el texto equivalente en materia de interoperabilidad. A primera vista este texto puede parecer más simple que su homólogo, pero veréis que se las trae…, especialmente la disposición adicional primera.

Vamos allá:

El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica, persigue la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.

Al igual que ocurre en el ENS, se han tenido en cuenta antecedentes como los Criterios SNC y las recomendaciones de la Unión Europea como lo es el Marco Europeo de Interoperabilidad elaborado por el programa IDABC, así como a otros instrumentos y actuaciones elaborados por este programa y que inciden en alguno de los múltiples aspectos de la interoperabilidad, tales como el Centro Europeo de Interoperabilidad Semántica, el Observatorio y Repositorio de Software de Fuentes Abiertas y la Licencia Pública de la Unión Europea. También se atiende a la Decisión 922/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa a las soluciones de interoperabilidad para las administraciones públicas europeas.

Después de definir el objeto y ámbito de aplicación de la norma (que incluye a todas las administraciones), el ENI comienza enumerando sus principios básicos que son la interoperabilidad como cualidad integral, el carácter multidimensional de la interoperabilidad (es decir, interoperabilidad técnica, semántica y organizativa) y el enfoque de soluciones multilaterales.

A continuación se abordan con mayor detalle las dimensiones técnicas, semánticas y organizativas de la interoperabilidad. En la parte técnica se desarrolla el principio de neutralidad tecnológica de la Ley 11/2007 en aspectos concretos como los documentos electrónicos emitidos por las Administraciones Públicas y se reitera su importancia haciendo hincapié en el uso de estándares abiertos a todos los niveles considerando su aplicación particularmente inexcusable en la relación con los ciudadanos. Se introduce además el criterio de coste que no suponga una dificultad de acceso para la selección de estos estándares y se provee una definición de uso generalizado por los ciudadanos.

En cuanto a la interoperabilidad semántica ésta se centra fundamentalmente en la creación y publicación, en su momento, a través del Centro de Interoperabilidad Semántica de la Administración de unos modelos de datos de intercambio que serán de preferente aplicación para el intercambio de información entre las Administraciones públicas.

La parte organizativa se centra, por una parte, en la obligación de las administraciones de la especificación y publicación de los requisitos técnicos de los servicios, datos y documentos electrónicos puestos a disposición de otras administraciones y, por otra parte, prevé la creación de inventarios de información administrativa a través de los cuales las administraciones han de publicar sus procedimiento administrativos y servicios.

En los siguientes dos capítulos se abordan con relativa brevedad cuestiones como la conectividad a la Red Sara y el uso de servicios horizontales prestados por la Administración General del Estado (como lo puede ser @Firma) como medio para facilitar la interoperabilidad. Además se establece que la sincronización de la fecha y la hora se realizarán con el Real Instituto y Observatorio de la Armada.

A continuación se aborda la reutilización y transferencia de tecnología que promueve la libre disposición de las aplicaciones desarrolladas por una Administración a las demás y las condiciones necesarias para ello inspirándose para su articulación claramente en el modelo de licencia del software libre. Por otra parte, se  establece el compromiso de la Administración General del Estado de mantener a través del CTT un directorio de aplicaciones libremente reutilizables y se describen mecanismos de integración con directorios europeos similares que deben seguir los directorios propios de cada Administración.

El capítulo siguiente trata de la interoperabilidad de la firma electrónica y los certificados. La interoperabilidad se articula en torno a la política de firma electrónica y de certificados que se desarrollará como parte del futuro desarrollo del propio previsto en la disposición adicional primera y que las aplicaciones de las Administraciones públicas deberán respetar.

Esta política tratará, entre otras cuestiones recogidas en su definición en el anexo I, las relacionadas con la interoperabilidad: formatos de firma, los algoritmos a utilizar y longitudes mínimas de las claves, las reglas de creación y validación de la firma electrónica, la gestión de las políticas de firma, el uso de las referencias temporales y de sellos de tiempo, así como la normalización de la representación de la firma electrónica en pantalla y en papel para el ciudadano y en las relaciones entre Administraciones públicas.

Por otra parte se tratan los aspectos de interoperabilidad relativos a los prestadores de servicios de certificación en su vertiente organizativa, semántica y técnica. Se abordan cuestiones como la obligación de publicar en su Declaración de Prácticas de Certificación cuestiones como los usos de sus certificados y sus posibles límites, los niveles de acuerdo de servicio, la indicación expresa de aquellos campos de los certificados que por su unicidad puedan ser usados para la identificación o la obligatoriedad de la incorporación, dentro de los certificados, de información relativa a las direcciones de Internet donde se ofrecen servicios de validación por parte de los prestadores de servicios de certificación.

Por último se tratan las obligaciones de las plataformas de validación de certificados electrónicos y de firma electrónica como lo es, por ejemplo, la incorporación de listas de confianza de los certificados interoperables entre las distintas Administraciones públicas nacionales y europeas.

El capítulo siguiente trata otro tema clave como lo es la recuperación y conservación del documento electrónico. En primer lugar, se establecen las condiciones para la recuperación y conservación del documento electrónico que prevén, entre otras, cosas como la definición de una política de gestión de documentos por parte de las Administraciones públicas, la identificación única e inequívoca de cada documento o la clasificación de acuerdo con un plan de clasificación.

A continuación se establecen medidas de seguridad para asegurar la conservación de los documentos electrónicos, se reitera la obligación de la adecuada protección de los datos personales y se prevé el uso de formatos de firma longeva y otros mecanismos como metadatos de gestión de documentos que permitan la conservación a largo plazo de los documentos electrónicos.

Por otra parte, se aborda la cuestión del formato de los documentos electrónicos.  Se prevén cosas como el uso preferentemente de formatos basados en estándares abiertos y la elección de formatos de documento electrónico normalizados y perdurables que aseguren la independencia de los datos de sus soportes. Incluso se prevé la posibilidad de copiado autentico de los documentos ante un posible riesgo de obsolescencia del formato.

Por último se trata la digitalización de documentos en soporte papel indicando que ésta se deberá ajustar a la norma técnica de interoperabilidad correspondiente a los aspectos del formato estándar utilizado, el nivel de resolución, la garantía de imagen fiel e íntegra y los metadatos asociados al proceso de digitalización.

El capítulo siguiente, el Capítulo XI, establece básicamente la obligación de la conformidad de las sedes electrónicas y el ciclo de vida de los sistemas y servicios con el ENI, junto con la obligación para los órganos y entidades de derecho público de establecer los oportunos mecanismos de control y publicar su declaración de conformidad con el ENI. El último capítulo del ENI es el más corto y más simple ya que se compone únicamente de un único artículo que establece la obligación de mantener el ENI actualizado de manera permanente.

El ENI concluye con una serie de disposiciones y un anexo con un glosario de términos muy útil y completo. Entre las disposiciones se puede destacar especialmente la disposición adicional primera que se refiere al desarrollo del Esquema Nacional de Interoperabilidad. Este desarrollo se concretará en una serie de normas técnicas de interoperabilidad e instrumentos de interoperabilidad.

Las normas técnicas se referirán a cuestiones como un catálogo de estándares que satisfagan las previsiones del ENI, metadatos relativos al documento electrónico, estructura y formato del expediente electrónico, la antes mencionada política de firma electrónica y de certificados de la Administración, relación de modelos de datos comunes en la Administración o una política de gestión de documentos electrónicos.

En cuanto a los instrumentos de interoperabilidad estos se compondrán de un inventario de procedimientos administrativos y servicios prestados, el centro de interoperabilidad semántica de la Administración y el directorio de aplicaciones para su libre reutilización.

Entre las disposiciones restantes se pueden destacar especialmente las relativas a los plazos de adecuación de los sistemas (ésta ya comentada anteriormente), la relativa al plazo de adaptación de los medios actualmente admitidos de identificación y firma electrónica (24 meses), aquellas que se refieren al papel impulsor en materia de interoperabilidad que deben ejercer el CENATIC y el INTECO en sus respectivas áreas de responsabilidad.

Vistazo rápido al Esquema Nacional de Seguridad

4

Escrito por Alberto el 01-02-2010

Categorías: Ley 11/2007, certificados electrónicos, firma electrónica, seguridad

Justitia1Este viernes pasado se han publicado por fin el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad, previstos en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Aprovechando el resumen que estoy haciendo de cada unos de ellos para incluirlos en la primera edición de mi manual que, por  cierto, tengo a puntito, puntito, aprovecho aquí las virtudes del “copiar y pegar” para adelantar a aquellos interesados en el tema que no tienen ni el tiempo ni la paciencia de leerselo entero una suerte de sinopsis que espero sirva para tener, al menos, una primera idea aproximada de sus contenidos.

Empezamos hoy con el Esquema Nacional de Seguridad y trataremos el Esquema Nacional de Interoperabilidad en un próximo artículo.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Tal como se comenta en la exposición de motivos de esta norma, cuenta con una serie de precedentes que han inspirado su contenido, documentos de la Administración en materia de seguridad electrónica, tales como los Criterios SNC, las Guías CCN-STIC del Centro Criptológico Nacional, la Metodología de análisis y gestión de riesgos MAGERIT o el Esquema Nacional de Interoperabilidad.

Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y  la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

El ENS empieza por definir sus principios básicos que son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. Cabe destacar aquí además que el ENS incluye en las dimensiones de seguridad a tener en cuenta a la trazabilidad de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias, un aspecto de seguridad al que la Ley 11/2007 no aludía de una manera explícita.

En el siguiente capítulo se tratan los requisitos mínimos, se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, esta política de seguridad debe incluir un número importante de requisitos mínimos. Dada la importancia de este punto se enumera a continuación la lista completa de los mismos del artículo 11, junto con algunos de los detalles que se especifican en los artículos siguientes:

  • Organización e implantación del proceso de seguridad, que deberá comprometer a todos los miembros de la organización.
  • Análisis y gestión de los riesgos.
  • Gestión de personal, donde destaca el hecho que todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos en la que se valorarán positivamente los productos certificados.
  • Seguridad por defecto, es decir, los sistemas deben diseñarse y configurarse de forma que garanticen, al menos, unos mínimos de seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito donde se presta especial atención a los así considerados entornos inseguros que son los equipos portátiles, PDAs, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
  • Prevención ante otros sistemas de información interconectados, se ha de proteger el perímetro, en particular, si se conecta a redes públicas como Internet.
  • Registro de actividad. Este requisito está orientado sobre todo a garantizar la protección de los derechos relacionados con la protección de datos personales.
  • Incidentes de seguridad.
  • Continuidad de la actividad, que se logra fundamentalmente mediante unas políticas adecuadas de copias de seguridad y de respaldo.
  • Mejora continua del proceso de seguridad.

En los artículos siguientes se recomienda el uso de las infraestructuras y servicios comunes como lo son la Red Sara y sus servicios horizontales como manera de mejorar la seguridad de los sistemas propios. Por otra parte, se establece al Centro Criptológico Nacional (CNN) como responsable de la elaboración y difusión de guías[1] en materia de seguridad en el ámbito de las TIC y se definen las condiciones bajo las cuales las Administraciones públicas podrán declarar determinados sistemas como excluidos de la aplicación de este Real Decreto.

En los restantes artículos (artículos 31 a 44) se abordan cuestiones muy concretas, cuestiones como las condiciones técnicas de seguridad en las comunicaciones electrónicas, requerimientos de seguridad en las notificaciones, publicaciones electrónicas y firma electrónica, detalles relativos a la realización de auditorias de seguridad o los informes del estado de seguridad y se explicita que los registros electrónicos y las sedes electrónicos se encuentran sujetas a las previsiones de este Real Decreto.

Hay que destacar especialmente por una parte la respuesta ante incidentes de seguridad en la cual se establece el CNN-CERT como equipo técnico de apoyo y coordinación a las Administraciones públicas en los incidentes que pudieran sufrir y se establecen las guías CNN-STIC como documentación de referencia en la materia.

Por otra parte, ocupa un lugar especial el concepto de la categoría de un sistema de información en materia de seguridad, que según el artículo 43, “modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad.”

Para la determinación de la categoría se especifica en el Anexo I un procedimiento detallado para la valoración del impacto que tendría un incidente de seguridad en las diferentes dimensiones de seguridad, un procedimiento que no puede negar sus orígenes inspirados en la metodología MAGERIT.

El Real Decreto concluye una serie de disposiciones y anexos como el mencionado. Las disposiciones abordan asuntos como la creación del Comité de Seguridad de la Información de las Administraciones Públicas o el establecimiento de un plazo inmediato de adecuación de los sistemas nuevos al ENS y la adecuación de los existentes en un plazo inicial de 12 meses que, solo si las circunstancias lo justifican, puede llegar al máximo de 48 meses.

Los 5 anexos son de carácter fundamentalmente técnico. El primero especifica el procedimiento de determinación de la categoría de un sistema arriba mencionado, el segundo y tercero especifican respectivamente un procedimiento apoyado en el anterior para la determinación medidas de seguridad a aplicar y las directrices bajo las cuales han de ejecutarse las auditorias de seguridad. En los dos anexos restantes se aporta un glosario de términos y acrónimos utilizados en el ENS, junto con un modelo de cláusula administrativa particular que debe servir como plantilla en los contratos a través de la cual se le exige al licitador una especificación precisa de la certificación de sus productos en el ámbito de la seguridad, en su defecto, la justificación debida de su idoneidad para la contratación.

[1] Series CCN-STIC, guías de seguridad: https://www.ccn-cert.cni.es/index.php?option=com_content&task=view&id=1459&Itemid=104