En varias jornadas, tanto charlas como talleres donde expongo al auditorio aspectos y soluciones de seguridad documental, surgen preguntas, siempre bienintencionadas, en esta dirección: ¿Para qué necesito firmar digitalmente desde mi ERP o Gestor Documental si ya existen programas “externos” que permiten firmar?
Cada día más en el mundo de la empresa se pretende dotar a los distintos actores de herramientas más versátiles, más sencillas, más potentes. Aunque existen aplicaciones de Nóminas, de RRHH, de Gestión, Financieras, Contables, Estadísticas.. sin embargo el mundo de los ERP se ha ido haciendo con el mercado ya que aporta a la empresa prácticamente todo lo que necesita de un modo integrado.
En lugar de utilizar media docena de aplicaciones inconexas, el ERP facilita todo al empleado, directivo, consultor, auditor.. La firma electrónica no es ajena a esa explicación. Cualquier introducción de datos, formulario, apunte contable, fichero, grabación de vídeo o sonido es susceptible de ser firmada electrónicamente… si los desarrolladores han pensado de verdad en la seguridad (Autenticación, Confidencialidad, Integridad, Confidencialidad).
Del mismo modo, los Gestores Documentales, que se van a incrementar enormemente en el futuro (al tiempo..), ofrecerán a los usuarios todo tipo de capacidades para gestionar el ciclo de vida de todo tipo de documentos, revisiones, versiones, trazabilidad, control de acceso, firma electrónica, cifrado, workflow..
Por qué un gestor documental va a tener un workflow si existen “fuera” aplicaciones de ese tipo? Por qué se necesita la firma electrónica en un Gestor Documental si existen aplicaciones “externas” que ya firman?
Pues porque el mundo cambia, necesitamos integrar funcionalidades relevantes, diferenciarnos de la competencia, aportar valor y seguridad a nuestros clientes para vender vender vender ;-)
Crear un documento en nuestro Gestor y “solicitar” una revisión del usuario A, después del usuario B y la firma final de aprobación del responsable X, hace necesario un control exhaustivo de todo el sistema, actuando inteligentemente y facilitando (e informando) a cada usuario de la tarea que le toca. Una vez el fichero esté firmado por los cuatro se habrá finalizado la tarea y el “ordenante” será notificado, pudiendo verificar que el fichero está íntegro y ha sido firmado por cada uno de los participantes. Este es el futuro. Cada usuario podrá haber firmado con su certificado digital, sea de la FNMT, Verisign, Camerfirma, Izenpe, Firma Profesional, DNIe etc de modo que el Gestor realmente facilita y aporta valor y control total.
Es más comprensible la pregunta del usuario de un ERP, porque la inmensa mayoría de los desarrolladores de ERP se encuentran aún en la fase prenatal en cuanto a integración de PKI (Public Key Infraestructure) o utilización plena de certificados digitales, y como mucho piensan en firmar facturas que es lo que está de moda y lo que la administración (véase la AEAT y otras en España) promocionan como el “súmum” de ahorro de papel ;-D
Pero el estado de los Gestores Documentales en todo el mundo, y por supuesto en España, es penoso ya que, a pesar de ser el software por excelencia orientado al uso pleno de certificados electrónicos, pocos fabricantes están mostrando el talento necesario para darse cuenta y adelantarse a la competencia (ojo, que en España hay al menos dos muy avanzados que en próximas fechas darán que hablar y trataré de resumir).
Firmar con herramientas externas? Por supuesto, en cualquier contexto y lugar!! Pero eso no significa que no podamos firmar, verificar, cifrar, descifrar con nuestro Gestor Documental, salvo que lo vendamos como un mero cajón donde “se tiran” los documentos hasta que se los vaya a buscar. De hecho debemos mostrar plena interoperabilidad con otras herramientas que también “sepan” firmar o verificar firma digital, ya que en el ciclo de vida de un documento ocurre a veces que un fichero “debe” abandonar el Gestor para volver a él más adelante, a veces con alguna firma electrónica más que debe saber interpretar.
La Gestión y Calidad sin Seguridad hará aguas en el futuro más inmediato, igual que la Seguridad sin eficacia y/o usabilidad. Es por eso que los desarrolladores más avispados corren a integrar calidad, gestión, facilidad y seguridad, de modo que la empresa poseedora de un Gestor Documental disfrute de una herramienta que le facilita la vida enormemente tanto en el cumplimiento de la LOPD como en la activación de un Sistema de Gestión de Seguridad de la Información, con mayores opciones para certificarse por ejemplo en la ISO 27001 que define claramente qué empresa piensa de verdad en la seguridad, suya y de sus clientes.
Por tanto, !! atención a los Gestores Documentales que vienen con integración de PKI!!, porque hay quien está haciendo la tarea pensando tanto en sus clientes como en sus verdaderas opciones de venta en este mercado movido por la tormenta actual y que algunos aprovechan como oportunidad de cambio e innovación.
Os mantengo informados.
Commentarios