Firma Electrónica, cómo añadir seguridad y rendimiento 21 junio, 2011
Posted by Gregorio García in Radio.Tags: Alfonso Martinez, Audema, BackTrust, Certificado Electrónicos, Firma Electrónica, Hardware Security Module, HSM, Ley 11/2007, Podcast, Safenet, Universidad de Santiago de Compostela
2 comments
Fotograma película "300"
Confianza en la red 123
En Confianza en la red hemos hablado de añadir seguridad y rendimiento a la firma electrónica con Alfonso Martinez, Responsable de Ventas de Canal Safenet España. Alfonso es Técnico Superior de Sistemas de Telecomunicación e Informáticos y comenzó su trayectoria en el sector como Ingeniero de Preventa de Seguridad en el mayorista Audema, puesto que ocupó durante dos años, para despues desempeñar el cargo de Responsable de Grandes Cuentas en el Departamento Comercial del mayorista, Responsable de Producto y Responsable de la zona de Cataluña y Levante.
Puede escuchar la entrevista completa con el siguiente reproductor:
Damos por hecho que todo el mundo sabe qué es la Firma Electrónica y para qué sirve, sin embargo poca gente conoce los problemas de seguridad y rendimiento a los que se puede exponer si decide abordar este tipo de proyectos, ya sea para firma electrónica, facturación electrónica, sede electrónica, etc
¿Cuáles son los beneficio de la Firma Electrónica?
Podríamos hablar mucho sobre la Firma Electrónica, de cuando se inventó, de cómo funciona… pero creo que lo más importante es para qué sirve. En la vida real, es muy difícil suplantar a una persona tenemos muchas características que nos hacen únicos, sin embargo en Internet la única forma de demostrar que eres tú, es a través de Certificados Electrónicos. Y con las empresas ya sean públicas o privadas sucede lo mismo, entonces lo que pueden hacer es alojar su certificado en su servidor y utilizar un programa de Firma para su facturación. Pero si analizamos las vulnerabilidades enseguida comprendemos que lo mejor es apoyarnos en un HSM para la custodia del Certificado y para las operaciones de Firma.
¿Qué es un HSM y cómo son capaces de ayudar a la Firma Electrónica desde el punto de vista de la seguridad y el rendimiento?
Un HSM, Hardware Security Module, y es una solución creada para procesos criptográficos, generación de claves y la custodia de esas claves. Entonces desde el punto de vista de la integridad, pues en nuestros HSM integramos en el mismo dispositivo el hardware y el firmware. Además nuestras cajas son resistentes a la manipulación, y esto quiere decir que si alguien trata de quitar un tornillo pues aquello se autodestruye, no con explosiones como en las películas, pero el dispositivo queda inutilizable.
Con esto lo que damos al cliente es una seguridad tanto física como lógica, cosa que no pasaría si la solución la integraran en el servidor de un fabricante, que requiere el sistema operativo de otro fabricante, sobre el que instalas el programa de un tercero, etc.
En cuanto a rendimiento también es sencillo, siempre que haya un proceso criptográfico, se van a añadir latencias a los procesos que dependen de ello, por eso disponer de un HSM disminuye esas latencias ya que en comparación con un software aportamos un hardware criptográfico dedicado que actualmente es capaz de realizar más de siete mil firmas por segundo.
Y en cuanto a la gestión de claves, uno de los atributos del software es que es portable, eso significa que se puede instalar en varios servidores, por lo que las claves estarían en todos ellos, añadiendo complejidad al proceso y aumentando el riesgo pues se crea una brecha en la seguridad. Mientras que si usamos un HSM como repositorio de claves, hacemos que la administración sea más sencilla y la seguridad sea más completa.
¿Entonces, los HSMs son una solución completa de Firma Electrónica?
No, la verdad es que no, sin embargo son la mejor herramienta para añadir confianza a la herramienta de Firma Electrónica. Un HSM ha de ser capaz de darte la habilidad de trabajar con varias aplicaciones, ya sean de Firma, custodiar Certificados por ejemplo cifrando bases de datos o lo que sea. Digamos que un HSM sirve para más cosas que la Firma Electrónica, digamos que es como un motor, en las aplicaciones para coches queda clara la ventaja del motor que puede ir montado en varios coches.
Un ejemplo, la Universidad de Santiago de Compostela quería poner en marcha su plataforma de Firma Electrónica y valoraba mucho la seguridad y el saber cuando y donde estarían sus certificados, entonces ellos decidieron avanzar con la aplicación de firma de Backtrust, el coche, y los HSM de Safenet, el motor. De esta manera cumplían los requisitos e la Firma Electrónica de la ley 11/2007 y teniendo la tranquilidad de que nadie sin la debida autorización va a poder robar esos certificados y usarlos en su nombre.
Los Servicios Electrónicos de la Administración Pública 31 marzo, 2011
Posted by jimenezshaw in Radio.Tags: @dministracion. Todos los servicios en tu mano, Alberto López Tallón, Instituto de Salud Carlos III, Ley 11/2007, Ley 30/1992, Procedimiento administrativo, Procedimiento administrativo electrónico, Real Decreto 1671/2009, Servicios electrónicos de la Administración Pública
3 comments
Confianza en la red 070
En Confianza en la red hemos hablado sobre los Servicios Electrónicos de la la Administración Pública con Alberto López Tallón, Jefe de Servicio de Proyectos Tecnológicos en el Instituto de Salud Carlos III.
¿Qué es exactamente un servicio electrónico?
Bueno, es básicamente lo que sugiere su nombre: un servicio público que se presta por la vía electrónica. Un ejemplo típico sería un trámite, un procedimiento administrativo como la declaración de la renta, al que accedemos a través de Internet.
¿Qué diferencia existe entonces entre servicios electrónicos y procedimientos administrativos electrónicos?
A diferencia de un servicio electrónico sin más como lo puede ser, por ejemplo, la consulta online del saldo de puntos del carnet de conducir que podemos encontrar en la Web de la DGT, www.dgt.es, un procedimiento administrativo iniciaría la tramitación de un expediente.
La verdad es que, aparte de los habituales trámites por internet, hay servicios electrónicos muy atractivos que no son procedimientos administrativos, sino simples servicios. Se me ocurre, por ejemplo, el servicio de geolocalización que presta el Ministerio de Industria, Turismo y Comercio, en el cual podemos localizar las estaciones de servicio con los precios de carburantes más económicos en una determinada zona. Yo he llegado a encontrar en algún momento hasta 7 céntimos de diferencia dentro de mi distrito postal.
Este servicio lo podríamos encontrar en la dirección Web geoportal.mityc.es
¿Y qué sería exactamente un procedimiento administrativo?
El procedimiento administrativo es un elemento esencial dentro de nuestro Estado de Derecho. La Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común establece el marco legal en el cual se tienen que realizar las actuaciones administrativas y el cual va a proporcionar las garantías jurídicas al ciudadano relativas a sus derechos y a las obligaciones de la Administración.
Para el ciudadano es la garantía de que la Administración no va a actuar de un modo arbitrario, sino siguiendo las normas de un procedimiento administrativo.
Esos derechos incluyen cosas como, por ejemplo, poder obtener copias de los documentos del procedimiento en el que figuramos como interesados, la posibilidad de formular alegaciones o de interponer recursos.
¿Puede poner un ejemplo concreto?
Un ejemplo lo pueden ser las ayudas y subvenciones de la Acción Estratégica de Salud que gestionamos de manera íntegramente electrónica en mi organismo. En este caso financiamos proyectos de investigación en salud que es una actividad que forma parte del Plan Nacional de I+D+i .
Todos los años se publica una resolución que detalla el proceso específico de este procedimiento que en nuestro caso cuenta también con una vía electrónica.
Cuando un centro que realiza actividades de investigación quiere solicitar una ayuda accede a nuestra sede electrónica, crea la solicitud electrónicamente y también la firma electrónicamente. Para ello necesitará un certificado electrónico como los que proporciona gratuitamente la FNMT o los que acompañan al DNI electrónico.
Este paso inicia el correspondiente procedimiento administrativo lo cual en este caso conlleva además la creación automática de un expediente electrónico. Las personas que figuran como interesados en el procedimiento pueden acceder luego en cualquier momento a este expediente electrónico para consultar el estado de tramitación, obtener copias, realizar subsanaciones, etc.
Volviendo a las garantías jurídicas, en este caso se podrían citar, por ejemplo, los derechos que le asisten al ciudadano ante una solicitud rechazada. Si ésta se produce, por ejemplo, debido a algún tipo de error de la propia solicitud, el procedimiento regula el derecho del interesado de disponer de un plazo de subsanación. La subsanación en este caso se haría también electrónicamente.
Es más, si considera, por ejemplo, que la Administración gestora hemos incumplido alguna de nuestras obligaciones definidas en la regulación de ese procedimiento, puede recurrir, si lo desea también electrónicamente. Y si efectivamente lleva razón, el recurso se resolverá favorablemente.
¿Existe algún tipo de regulación específica para la vía electrónica?
El marco legal de la vía electrónica comprende diferentes normas jurídicas. La más destacada serían la LEY 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos y su Reglamento de Desarrollo, el Real Decreto 1671/2009.
Una de sus claves es garantizar el principio de legalidad en la vía electrónica. Es decir, aborda las medidas necesarias para mantener las garantías jurídicas del procedimiento administrativo también en la vía electrónica.
Aquí cabe comentar que la voluntad de ofrecer unas garantías jurídicas máximas por la vía electrónica explica en gran medida por qué se usan tanto los certificados electrónicos y la firma electrónica basada en certificado en los trámites vía internet.
Y es que precisamente a través del uso de certificados conseguimos el nivel de garantías necesario en cosas como una identificación y autenticación fiable de ambas partes y la integridad de los documentos utilizados en el procedimiento. Puede parecer algo básico, pero no lo es en absoluto cuando hacemos estas cosas desde la red.
En este sentido los certificados electrónicos han sido un medio técnico muy solvente que está a la altura de estas exigencias.
¿Dónde podemos encontrar los servicios electrónicos disponibles?
Yo nombraría, sobre todo, dos maneras:
La primera es la Red 060 que es una red de atención al ciudadano a la que podemos acceder presencialmente en las oficinas 060, llamando al teléfono 060 y a través de su Web, www.060.es.
Aquí encontraremos miles de servicios, entre ellos cosas como la ya mencionada consulta del saldo de puntos del carnet de conducir, la presentación electrónica de denuncias a la Policía Nacional, la obtención por la vía electrónica de certificados de vida laboral, cosas como la obtención de volantes de empadronamiento o la ya muy conocida declaración de la Renta por Internet.
El valor añadido de esta red radica sobre todo en su visión integrada de la Administración, es decir, un ciudadano no tiene por qué saber en qué Administración ha de realizar un trámite o acceder a un determinado servicio. Eso en el pasado era un problema bastante importante y ha contribuido a esa imagen negativa de una Administración pesada y poco servicial en la que te mandan constantemente de un lado a otro.
Ahora el ciudadano lo puede consultar todo en un solo punto y ahí te indica exactamente a dónde tienes que ir. Además, el portal se encuentra organizado de una manera bastante cercana a la manera de cómo el ciudadano ve las cosas, es decir, está ordenado por los temas que le interesan, de una manera muy práctica y sencilla, temas como educación, trabajo, ocio y cultura, etc.
Por otra parte, la segunda manera de encontrar servicios electrónicos sería acudir directamente a una sede electrónica. Esta sería la manera adecuada si ya sabemos a qué Administración queremos acudir y dónde se encuentra el servicio electrónico al que queremos acceder (en un Ministerio, Organismo Público, etc.).
La sede electrónica es un nuevo elemento que ha sido creado por la LEY 11/2007 y es el lugar donde vamos a encontrar el listado completo de servicios electrónicos que presta un determinado órgano administrativo. En el caso del Estado, por ejemplo, sería el listado de los servicios electrónicos de un determinado Ministerio, una Agencia o un Organismo Público como el nuestro.
Por último, quisiera recomendar una visita al portal masdestacados.060.es
Este portal se ha creado en el marco de la campaña “@dministración. Todos los servicios en tu mano” y en él nos vamos a encontrar, entre otras cosas, como ya sugiere su nombre, una selección de 20 servicios electrónicos que merece mucha la pena conocer.
En ese sentido es un sitio estupendo para hacerse una idea de cuales son ejemplos de servicios electrónicos y/o procedimientos electrónicos y empezar a utilizarlos.
Alberto López Tallón es autor del blog Microlopez y el Manual Práctico de Supervivencia en la Administración Electrónic@.
Puede escuchar la entrevista completa con el siguiente reproductor:
Licitación electrónica desde la nube 23 marzo, 2011
Posted by jimenezshaw in Radio.Tags: Administración Electrónica, Administración Publica, Adminstración, Alonso Hurtado Bueno, Cloud, Cloud Computing, Computación en la nube, Esquema Nacional de Interoperabilidad, Esquema Nacional de Seguridad, LexTic Abogados, Ley 11/2007, Ley 30/2007, Ley de contratos del sector público, Licitación electrónica, Nube TIC
5 comments
Confianza en la red 064
En Confianza en la red hemos hablado con Alonso Hurtado Bueno, abogado especialista en Derecho Tecnológico, socio de LexTic Abogados, para hablar de la Licitación electrónica desde la nube.
¿Es legal el uso de herramientas en cloud computing por parte de las administraciones?
Rotundamente sí, no hay ninguna disposición legal que prohiba a las administraciones utilizar este tipo de herramientas actualmente en nuestra legislación.
¿Y qué beneficios tiene para la administración y para los licitadores?
Los propios de todos los servicios en Cloud. Principalmente los ahorros de costes son abismales comparados con desarrollos propios alojados en los propios servidores de las administraciones. Una mayor profesionalidad y mejor capacidad de uso de esas plataformas porque las empresas que los proveen se dedican únicamente y exclusivamente a eso, a nada más. La rapidez de la disponibilidad de las plataformas, no hay que esperar a que se desarrolle específicamente la herramienta sino que la herramienta ya está desarrollada, simplemente hay que parametrizarla para que la administración en cuestión que la vaya a utilizar comience a utilizarla.
¿Entonces qué debe tener en cuenta una administración a la hora de contratar este tipo de servicios?
Hablando de servicios en Cloud y de aspectos tan claves como son la administración pública, los datos y la información que se maneja en ella, lo primero de todo es la seguridad y la disponibilidad de este servicio. Si vamos a prestar un servicio público a través de medios electrónicos, tenemos que garantizarnos que hay disponibilidad cien por cien de este servicio 365 días al año, 7 días al año, 24 horas. Por otro lado, ¿cómo llegamos a ese nivel de servicio, pactando mediante un acuerdo de nivel de servicio, en contrato con la empresa correspondiente, y garantizar que la herramienta de esa empresa cumple al cien por cien con absolutamente con toda la legislación que sea aplicable a la administración pública en cuestión. Si estamos hablando de licitación pública electrónica, ley de contratos del sector público, normativa de desarrollo y muy importante también los Esquemas Nacionales de Seguridad e Interoperabilidad que son dos normas que aparecen ahí un tanto accesorias pero que sin duda alguna van a marcar la diferencia en los próximos meses.
¿En qué estado normativo nos encontramos en la actualidad?
En España estamos comenzando a ello. Estamos muy avanzados en lo que es Administración Electrónica en general, con la ley 11/2007, la conocida como ley de Administración Electrónica y el reglamento de desarrollo correspondiente; pero en materia de licitación electrónica y licitación pública electrónica no estamos tan avanzados. Tenemos a países que están más avanzados, casos como por ejemplo Portugal donde es obligatorio para todas las administraciones licitar de forma electrónica; sin embargo en España no es obligatorio, es voluntario por parte de las administraciones el llevarlo a cabo.
¿Cuáles son las previsiones de cambios en este sector?
Parece que todo apunta, y ayer veía publicado en la página web de la Comisión Europea un concurso público precisamente para licitar la realización de un informe sobre el estado de la situación a nivel comunitario, en esta materia concreta de licitación y para proponer, digamos, líneas de actuación para los próximos años. Parece que todo apunta a que la Administración Pública, tal como la conocemos, no es que vaya a acabar, simplemente se va a transformar, se va a transformar a la realización de trámites a través de medios electrónicos, y sí o sí, la licitación electrónica va a ser transformada a procesos puramente electrónicos, tarde o temprano. El plazo para ello, todo depende de la situación de crisis que vivimos actual, depende mucho de la voluntad política de los gobiernos correspondientes, y en definitiva, es un cambio que está ahí, es un cambio que va a llegar. ¿Cuando? No le podemos poner fecha exacta pero probablemente muy pronto.
Puede escuchar la entrevista completa con el siguiente reproductor:
La Administración Electrónica y los servicios al ciudadano 25 febrero, 2011
Posted by jimenezshaw in Radio.Tags: acceso electrónico de los ciudadanos a los Servicios Públicos, Administración Electrónica, Ayuntamiento de Santiago de Compostela, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, Escuela Superior de Ingeniería en Informática de Ourense, Firma Electrónica, Jesús Rodríguez Castro, La Administración Electrónica y los servicios al ciudadano, Ley 11/2007, Ley de la Sociedad de la Información, Ley de Protección de Datos de Carácter Personal, Podcast
4 comments
Confianza en la red 046
En Confianza en la red hemos hablado con Jesús Rodríguez Castro, Jefe del Servicio de Informática del Ayuntamiento de Santiago de Compostela y profesor en la Escuela Superior de Ingeniería en Informática de Ourense para hablar de los retos a los que se enfrenta la Administración Pública para lograr una Administración Electrónica y eficaz.
Para conseguir una Internet segura, se han aprobado leyes como la de la firma electrónica, la ley de protección de datos de carácter personal y la ley de la sociedad de la información y el comercio electrónico. Lo que faltaba era que la Administración entrara en este nuevo medio, la principal diferencia que plantea la Ley 11/2007 es que se pasa de la Administración puede usar a debe usar estos sistemas. La Ley 11/2007 obliga a las Administraciones a prestar servicios a los ciudadanos a través de servicios telemáticos.
La Administración Electrónica es un concepto muy amplio, hablamos de Ministerios como el de Economía y Hacienda, con gran capacidad y pionero, por otro lado están Administraciones Autonómicas, los Ayuntamientos y sobre todos éstos últimos se encuentran con una falta de medios y un punto de partida completamente diferente. Los Ayuntamientos, son muchos, muy diversos, totalmente independientes y con una variedad de servicios a implantar tremenda: servicios sociales, urbanismo, con colectivos en situaciones diversas.
La Administración Electrónica aporta innumerables beneficios, tanto para la Administración Pública como para el usuario pues agiliza los tramites y ahorra gastos innecesarios. Las administraciones han de promover la alfabetización digital para que accedan todos los ciudadanos en igualdad de condiciones.
Puede escuchar la entrevista completa con el siguiente reproductor:
Confianza en la red 