Asumida en toda la sociedad la importancia de la información, concentrada en vídeos, grabaciones de sonido, ficheros, docs escaneados, fotografías, planos, código fuente etc etc todos necesitamos poder guardar cierta información en formato electrónico de modo completamente seguro, a salvo de desastres.

Seguro desde la perspectiva física (infraestructuras sincronizadas y con redundancia, así como control de incendios) y también desde la perspectiva de acceso y obtención o manipulación. En este sentido aparece la importancia de la firma electrónica, de los certificados y de las capacidades de cifrado que cada usuario necesita disponer.

El servicio eBOX CITI que este innovador Colegio de Ingenieros está en proceso de lanzamiento, aporta todos los elementos necesarios para formalizar un contrato con usted: caja web segura accesible desde cualquier dispositivo o sistema operativo, certificados electrónicos, herramientas auxiliares de firma y cifrado y también la formación para autoprotección y buenas pácticas. Ello facilita que un cliente cifre un informe crítico de su empresa (o familia) y lo salve en la caja fuerte documental segura, a salvo incluso del personal de la propia infraestructura. Sólo él y aquellos a los que habilite podrán descifrar esa información fundamental.
Concepto.-

En la sociedad actual, completamente inmersa ya en Internet, han ido creciendo los sistemas “en la nube” como una especialización que permite a clientes de cualquier tamaño confiar en una potente infraestructura. Situada “en Internet”, dispone de todos los elementos de seguridad, ancho de banda, velocidad, personal técnico, máquinas, backups y una actitud de mejora constante, que permite al cliente ocuparse de lo fundamental de su negocio sin arriesgar en inversiones tecnológicas que quedan en el campo de quienes apuestan por infraestructura.

Estas instalaciones ofrecen todo tipo de servicios, habitualmente páginas web, correo, hosting desde hace muchos años. En el momento actual, tanto la crisis como el avance del “cloud computing” han hecho que se ofrezcan en modo “pago por uso” muchos tipos de software, típicamente sistemas de gestión como ERP, pero quiero mostrar cómo en el Colegio de Ingenieros Técnicos Industriales de Navarra se abre camino un proyecto espectacular, para profesionales,  empresas y asociaciones empresariales, en la línea del título del artículo: La Caja Fuerte  Documental Segura que ellos han bautizado como eBOX CITI.

La Caja Fuerte Documental Segura eBOX, Personal o Corporativa, responde a esa idea ya comentada de que cada persona, cada profesional, cada empresa, necesita una zona segura donde tener siempre los documentos que NO PUEDEN PERDERSE, al igual que los bancos ofrecen sus cajas de seguridad donde se guardan documentos físicos, joyas o cualquier elemento de gran valor para su propietario.

En la Caja Fuerte Documental, custodiada por la potente infraestructura de CITI Navarra, guardarán cualquier fichero, independientemente de su formato y su tamaño, y llevará nuestra propia seguridad (firma y/o cifrado del propio cliente) por lo que está protegido incluso de los propios técnicos de la infraestructura, de mantenimiento o de soporte.

Siempre accesible.-

Usted podrá conectarse a su Caja Fuerte Documental desde cualquier lugar del mundo, desde cualquier PC o dispositivo, desde cualquier sistema operativo, identificándose de un modo fuerte con sus certificados digitales, tanto de software como en dispositivo criptográfico (por ejemplo DNIe), y tiene la seguridad de que nunca perderá su información.

Podrá compaginar información sin cifrar, por no ser sensible, información firmada para prevenir cambios e información cifrada para que nadie salvo usted pueda verla o usarla.

Custodiado y protegido.-

La custodia electrónica se caracteriza porque la infraestructura CITI Navarra mantiene salvada la información, de modo que ni incendios, ni terremotos ni accidentes industriales, logren que su información resulte dañada, permaneciendo a salvo en cualquier circunstancia.

El sistema le permite guardar para su custodia información que usted puede previamente firmar electrónicamente y/o  cifrarla, para una mayor seguridad de que nadie podrá acceder, ver o manipular sus datos sensibles.

Tratar la información antes de darla a custodia.-

Usted podrá firmar y/o cifrar la información, independientemente del formato y su tamaño, mediante las herramientas auxiliares de que dispone como cliente de eBOX CITI. Con ello incorpora una “capa adicional” de seguridad y control, pudiendo descargar esa información y descifrarla en sus sistemas incluso sin disponer de conectividad a internet o al sistema central de custodia.

Su información vital (planos, inventos, títulos, patentes, imágenes, vídeos, grabaciones de sonido, fotografías, código fuente, historiales médicos, planes de futuro, pruebas de sucesos, declaraciones e incluso copias de seguridad de que disponga) nunca será accesible por personas que no sean usted o por aquellos que usted determine, por estar cifrada.

Sólo usted y esas personas de confianza (caso de que existan) podrán descifrarla.

Por otra parte existe un control de trazabilidad y elementos de seguridad física en las instalaciones que alojan las Cajas Fuertes Documentales.

Formación y buenas prácticas.-

Cualquier sistema de seguridad requiere una mínima formación para un correcto uso. Usted podrá recibir formación adecuada si lo desea para estar siempre en mejores condiciones de proteger su información, entregarla a custodia desde cualquier lugar, acceder a ella desde cualquier dispositivo o sistema y obtener copia de la misma.

Recibe por tanto una formación y una serie de herramientas que usa como cliente de eBOX y le permitirán: firmar electrónicamente cualquier fichero, cifrar y descifrar cualquier documento, incluso aunque no vaya a darlo en custodia sino guardarlo en sus propios sistemas.

Información sensible e información importante.-

Probablemente cualquier documento sensible (crítico) usted lo va a cifrar para que sólo las personas que usted valide puedan acceder y ver esa información.

La información importante, pero no tan sensible, la tendrá salvada, sin riesgo de pérdida, pero probablemente sólo firmada electrónicamente, asegurándose así de que nadie podrá manipularla inadvertidamente.

Pero si mi información ocupa muchísimo.-

No hay límite para el espacio de su Caja Fuerte Documental, aunque lógicamente tiene un coste mayor asegurar 1 millón de ficheros que solamente mil.

Una persona, un profesional, puede disponer del servicio de Caja Fuerte Documental por tan sólo 6 euros al mes, pero una empresa, necesitada de mas espacio, probablemente pagará 20 ó 30 euros mensuales, al necesitar mayor volumen seguro.

Pero si mi empresa necesita que cientos de usuarios accedan a partes de la información ?.-

Usted necesita una Caja Fuerte Documental Segura eBOX Corporativa. En ella tendrá información sensible cifrada, información importante firmada y miles de ficheros de clientes , a cada uno de los cuales dará acceso a su propia zona de cliente, donde además usted salva su información por ellos, por ejemplo si desea utilizar esta plataforma como medio de distribución de facturas electrónicas a clientes, u otro tipo de información sensible.

En estos casos puede disponer de una zona para que todos sus clientes (sin límite en el número de usuarios) accedan a sus zonas de factura electrónica, a las zonas de información que usted ha generado para ellos, evitando correo postal, aportando universalidad, mejorando la seguridad, facilitándoles usted la custodia, además de aportarles mecanismos sin coste de firma y cifrado.

Su Caja Fuerte Documental Segura Corporativa actúa como un conjunto ilimitado de cajas fuertes personales , una por cliente, por lo que usted se ha convertido en el banco documental de sus clientes y le ofrece valiosos servicios de custodia y seguridad documental.

Es la Caja Fuerte Documental Personal un sistema de Backup ?.-

No exactamente. Usted no puede perder los ficheros de su Caja Fuerte Documental Segura Personal, y en ese sentido es salvada de modo especial. Pero en ella se mantiene su documentación, y puede tener tanto documentos históricos vitales como documentos vivos que usa frecuentemente.

No debemos pensar en la Caja Fuerte Documental Segura como un mero sistema de backup, ya que es un sistema moderno que ofrece fuerte autenticación, firma electrónica, cifrado, acceso seguro, trazabilidad y salvado de su información a prueba de cataclismos.

Un backup normal no le evita que usted haya perdido un fichero que “tenia hace tres años”. Un sistema de custodia le permite rebuscar entre los ficheros que usted tenía hace cinco años, y permanecen en el sistema de custodia como una sucesión de backups independientes.

Puedo crear un sistema de Caja Fuerte Documental Segura para nuestro Colegio o Asociación empresarial ?.-

Por supuesto. Tendrán su propio subdominio en la infraestructura de CITI Navarra y sus propios clientes, como por ejemplo asesoria.documentacionelectronica.com

CITI Navarra diseñará el sistema con sus necesidades y tutelará su implantación. Entonces comenzará la formación de sus responsables y administradores para que sea independiente respecto de sus clientes y usuarios.

La confianza de CITI Navarra.-

El servicio Caja Fuerte Documental Personal y Corporativa es un proyecto innovador del Colegio de Ingenieros Técnicos Industriales, surgido en el marco de su apertura a todos los ingenieros de habla hispana vía Internet, pero tambien a otros profesionales no relacionados con la ingeniería que requieran estos servicios. 

CITI Navarra aspira a ser un de los pocos centros clave para la ingeniería, ofreciendo cada vez más servicios de valor en nuevas tecnologías, y en aquellos aspectos donde las empresas y los profesoanles requieren de apoyos valiosos y creativos para su día a día.

CITI Navarra innova no sólo en cuanto a los proyectos que ofrece, como este de la Caja Fuerte Documental, sino en cuanto al modelo de trabajo, al ser uno de los primeros colegios profesionales que sale al mundo con servicios, productos y formación, y renunciando al viejo modelo de colegio profesional clásico.

Conclusiones finales:

La Caja Fuerte Documental Segura eBOX CITI es un servicio ofrecido al mundo por el Colegio de Ingenieros Técnicos Industriales de Navarra, diseñado con analiTICs21 y la participación de un buen número de empresas tecnológicas españolas con gran nivel de solvencia y coordinadas desde CITI Navarra.  Se orienta en una doble dirección: por una parte para los colegiados (ingenieros, abogados, graduados sociales, médicos, notarios y en definitiva profesionales de cualquier disciplina ) y por otra para pymes, asociaciones empresariales y otros colegios profesionales que deseen tener su propio proyecto eBOX.

En este momento, algo alocado en cuanto a opciones que se ofrecen en Internet por doquier, se hace necesario contar con un interlocutor de confianza, que resuelva de modo transparente la problemática técnica, que facilite con sus socios tecnológicos las necesidades de calidad, seguridad, eficacia y se comprometa con nosotros completamente.

A lo largo del artículo he ido mostrando uno de los servicios novísimos de CITI Navarra dentro del proyecto CITIC´s.

CITI Navarra es una organización pionera que abre su campo de acción a Internet. Ya no se orienta sólamente a Navarra sino a todas las organizaciones colegiales, empresariales y profesionales de España que usan Internet de modo creciente, aplicando nuevos métodos, nuevas vías a su quehacer empresarial, mejorando sus cotas de calidad y a la vez reduciendo gastos.

eBOX compite con soltura con cualquier sistema actual de los existentes, incluyendo aquellos que yo uso desde hace tiempo como Dropbox, SpiderOAK o Wuala, pero adelantándose a todos ellos de un modo espectacular sobre todo en elementos de seguridad, en capacidades para el usuario, en atención directa en tu idioma, en aplicaciones auxiliares adicionales que amplian el sistema eBOX y dotan de más garantías al usuario, ya que le permiten DE VERDAD cifrar de modo seguro y privado la información que desean proteger, tanto en la plataforma como en sus propios sistemas merced a las herramientas auxiliares de eBox.

Algunas de las soluciones que han ido apareciendo adolecen de todas las opciones de autenticación con certificados, no aportan capacidades de firma, no ofrecen opciones de cifrado real al usuario y se limitan a decir (a veces falsamente como denunciaba la prestigiosa empresa hispasec hace pocos días respecto de DropBox, o en su propio blog de DropBox cuando mostraron al mundo que durante 4 horas podía accederse a los sistemas con cualquier contraseña) que “ellos” cifran los datos en el servidor, y en la mayoría de las ocasiones son un simple salvado en servidor de ficheros para sincronizar ordenadores dispersos.

Crecerán servicios de custodia y salvado

Todas estas soluciones, que insisto, yo utilizo también en mi día a día, tienen algun atractivo para el usuario, pero pueden coexistir perfectamente con eBOX CITI como servicio formal. En un mundo donde miles de usuarios profesionales y pymes deseen garantizarse esta acción de salvado de documentación, es más sencillo confiar en una organización real y tangible como CITI Navarra, contactando en cualquier momento por teléfono, email, video conferencia o presencialmente en sus locales, y disponiendo de todas las capacidades que la inmensa mayoria de las otras opciones no tienen (login con certificados o tarjetas criptograficas-incluido DNIe- vía Tractis, firma electrónica en plataforma o e su PC, cifrado y descifrado tanto en plataforma como en su PC, firma de ficheros desde cualquier dispositivo movil, custodia documental blindada).

En el momento de escribir este artículo, responsables de CITI Navarra  perfilan las distintas visitas que se realizarán en los próximos 3 meses para activar sistemas eBOX para cualquier organización empresarial o colegial en España, aportando además un modelo de negocio muy claro a estas organizaciones.

Si tiene interés estarán encantados de visitarle o hacer una video conferencia sin compromiso. Si 20 céntimos de Euro por día no es una locura para usted, entonces eBOX es su solución profesional. Y si lo que desea es disponer de ilimitados usuarios en su eBOX Corporativo, tanto para trabajadores, proveedores o clientes, entonces 1 Euro al día sigue siendo un coste excepcional por todas las capacidades citadas y la salvaguarda de información.

Una eBOX Corporativa para datos de laboratorio

Cualquier fichero puede ser firmado o cifrado antes de subirlo a custodia al eBOX

Data Centers asociados para alojar las eBOX personales y corporativas

En su eBOX web puede hacerlo todo aun sin herramientas auxiliares desde su IPad

Estoy convencido de la bondad del proyecto que lanza el Colegio de Ingenieros Técnicos Industriales de Navarra, ya que no sólo ahonda en esa necesidad que yo percibo por parte de cualquier persona de disponer de una zona web de seguridad superior, fácilmente accesible, sino que lo expande a organizaciones empresariales aportando un modelo de negocio a éstas.

Soluciones como DropBox, SpiderOAK, Metaposta, Wuala y muchos otros que nacerán, van en la línea de aprovechar  la nube de servicios en Internet y son buenas experiencias de las que aprender.

eBOX CITI es símplemente un producto/servicio superior a todos ellos.

Como ya he comentado yo utilizo diariamente DropBox, TrueCrypt y Metaposta aunque “los mejoro” con herramientas como el Explorador ESecure de KSI, algo sin lo que ya no podría funcionar en mi día a día.

Cada vez que he iniciado un nuevo proyecto (como el actual analiTICs21) he tratado de analizar “postmortem” las vías que se han ido cerrando y sus porqués, los errores cometidos y su sentido, las nuevas líneas que todos ellos posibilitan siempre, la combinación de coraje, amor al riesgo, renacimiento de ideas e ilusiones y por supuesto la ponderación de los elementos que van a permitirme zambullirme con decisión en el nuevo camino.

Produce verdadera satisfacción comprobar que iniciar un camino nuevo no supone una renuncia a muchas cosas hechas en el pasado, sino en todo caso una integración de algunas de ellas y la constatación de aciertos y errores a evitar.

Este articulo quiere ser un gracias a aquellos compañeros y colaboradores que llegan también a estas fiestas con nubarrones sobre su futuro, pero todos ellos muestran clara su decisión de seguir luchando y colaborando.

Para mi, para analiTICs21, haber podido crear con cada uno de ellos un proyecto que va a ir abriéndose a lo largo de 2011 constituye una ilusión enorme, y me hacen ratificarme en mi camino de continuar incorporando aquello en lo que creo y que en anteriores proyectos empresariales no me ha sido posible hacer por diversos factores.

Centrado en la familia de normas ISO 27000, a lo largo de estos meses he ido cerrando acuerdos con empresas especiales con las que hemos ido perfilando nuevos modos de desarrollar productos y servicios para la empresa, siempre desde la perspectiva de Sistemas de Gestión para la Seguridad de la Información.

Es momento tambien para agradecimientos a todos ellos y para mostrar con claridad que el camino ya iniciado es espectacular, ilusionante y producirá muchos éxitos.  Al final las empresas son las personas que las conducen y cuando estableces con ellas un vínculo mental, sabes que los planes diseñados conjuntamente van a abordarse con trabajo y honestidad.

Me ilusiona el camino iniciado con Alberto Picón, con cuyo bufete haremos llegar a cientos de empresas de todo el país un nuevo modo de integrar legalidad, eficiencia, seguridad,  formación y tecnológía.

Me motiva el proyecto abierto con Antonio Rodríguez, del Colegio de Ingenieros Técnicos Industriales de Navarra, orientado a ofrecer desde la nube servicios excepcionales a ingenieros y empresas en toda España, como muestra la activación de la plataforma de firma electrónica y custodia documental, o el acuerdo establecido con la Autoridad de Certificación Firma Profesional.

Me encanta ver el profundo avance producido con Mikel Martínez, lider de NLINK y con quien analiTICs21 está creando nuevas líneas de futuro colaborativo que llegarán a muchas empresas excelentes.

Me siento muy unido a socios de camino como Julio García y Alvaro Alonso, de MASBYTES, quienes extienden sus servicios en Internet sin olvidar la humanidad en sus relaciones, talento activo e innovación cada día.

Es sorprendente cómo se ha ido agrandando mi relación con Jose Ramón Mina, de BIMADIT, según hemos ido colaborando en implantaciones de seguridad y colaborado mano a mano en el ámbito del Colegio de Ingenieros.

Es clave el impulso que  MEDIAGEST y analiTICs21 vamos a dar al mundo de la LOPD y la seguridad documental, aprovechando la gran sintonía y la coincidencia en la visión de lo que vendrá en los próximos años a la pyme.

Me produce una gran sensación de acierto haber profundizado en la relación con Tristan Ramaget, líder de ADHOC-SECURITY y experto en ISO 27000, por cuanto constituye una luz en el horizonte que me guía en la dirección adecuada, tanto en la oferta conjunta de servicios de auditoría e implantación de SGSI como en la utilización de sistemas expertos en detección de vulnerabilidades.

Me llena de alegría la creciente relación con David Marzo y LITO, magníficos desarrolladores y empresarios del Internet del siglo XXI.

Cuando la colaboración profesional da paso a la amistad, como con  Pablo Pérez Trullós (XION) y Martín J. Sánchez todo adquiere una perspectiva nueva, y de un modo natural esperas que el futuro nos será más propicio que hasta el momento.

Me tranquiliza comprobar que el otro proyecto empresarial en el que aún participo como socio, KSI, es conducido acertadamente por Pedro Latasa y Santiago Castaño, paso a paso, hacia la generalización de la firma electrónica en todo el mundo, como acredita el reciente viaje a Colombia a la sede de nuestros socios de GSE Colombia.

En la figura siguiente (arbol, flecha, símbolo de avance, cohete..), con cualquiera de las interpretaciones que deseemos coger, o con todas ellas a la vez, he tratado de no olvidar a ninguna de las organizaciones con quienes construyo mi futuro inmediato, y con las que quiero seguir profundizando y creando ilusiones y proyectos.

Mi familia, base de todo, no podría estar en otro lugar que en el comienzo, en la base, en la raiz de ese árbol de navidad, o en la zona desde donde se impulsan de verdad todas las cosas.

Un nuevo ciclo comienza, como puede apreciarse en la confluencia de tantas crisis simultáneas (financiera, política, valores, modelos, trabajo ) y en la necesidad de su resolución y búsqueda de caminos, y si le echamos valor podremos aprovechar muchas de las ventajas que aparecen en momentos de tormenta, cuando muchos se limitan a cobijarse y dormitar.

Les deseo de corazón a todos ellos (y a tí que me lees) una feliz navidad, un futuro esperanzador para el año que entra y un deseo sincero de que encuentren pronto, como yo he hecho ya, lo verdaderamente importante para seguir adelante con profesionalidad, con ilusión, pero con ambición y una buena dosis de amor al riesgo.

Feliz Navidad

Me ha faltado tiempo para mostrar noticias muy relevantes de los nuevos desarrollos producidos ya por Santiago Castaño, líder de desarrollo en KSI, en la unión de la firma electrónica y el mundo MAC, pero en breve irán esa y otras noticias tecnológicas interesantes.

Otra revolucion que llega. Leer casi como en papel

Con algunos años de retraso, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha tenido a bien añadir el Explorador ESecure a la lista de aplicaciones avanzadas que aportan valor a empresas y ciudadanos.

Cuando creamos ESecure, antes incluso del nacimiento de KSI (empresa de la que sigo siendo socio y que compagino con mi nuevo proyecto empresarial analiTICs21 ), mucho antes del nacimiento del DNIe en España, antes de la normativa sobre Factura electrónica, mucho antes del nacimiento de la excepcional Ley 11/2007 de Administración electrónica, no existía ninguna herramienta de firma y cifrado en España del calibre de ESecure.

Cualquier profesional de las TIC (Tecnologías de la Información y Comunicación) conoce la trayectoria de INTECO en nuestro país y las innumerables tareas de reordenación del sector, racionalización de recursos, activación de ayudas y estudio de líneas de acción que mejoran la seguridad en Internet, tanto con el centro de alerta temprana como con su labor de difusión creciente. El retraso en publicarla lo hemos aprovechado realmente para madurar ESecure de un modo extraordinario.

Imagen de la web de INTECO donde se referencia el Explorador ESecure

Cuando contactamos con INTECO para ofrecer nuestra versión gratuita de ciudadanos del Explorador ESecure que habíamos construido en KSI (y que tras varios años ha crecido y madurado enormemente), no existía en Alerta Antivirus ni siquiera una categoría de herramientas donde situarla.

ESecure, que había surgido como una alternativa a nuestro querido PGP (Pretty Good Privacy), integrándolo en las PKI modernas, ya tenía todas las capacidades de firma electrónica y cifrado que muestra hoy día, aunque en aquel momento aún no se había desatado el impulso a nivel europeo y español de la firma electrónica y resto de normativas que orbitan sobre ella.

Sin embargo ha sido en los últimos 4 años cuando ESecure se ha abierto a todos los estándares de firma (CAdES, PAdES, XAdES) pudiendo firmar CUALQUIER fichero, de cualquier tamaño, con cualquier certificado (incluido el DNIe) y ha cambiado nuestra aspiración de llevarlo a todo tipo de personas y empresas, haciéndolo más amigable, abierto y robusto, de la mano del magnífico trabajo de Santiago Castaño, responsable de desarrollo de KSI.

Para aquellos que no están en este mundillo de seguridad documental, utilizar cualquier solución de firma presenta el problema fundamental de la necesidad de una cierta formación, así como del requisito obligado de disponer de un certificado electrónico para poder firmar.

Imagen de las avanzadas capacidades de ESecure con ficheros PDF

Es inevitable que estos elementos vayan llegando a toda la población, en gran medida por el formidable impulso que desde la Administración europea y española se está realizando en la extensión de los certificados (donde el DNIe es uno más) y mediante la activación de normativas ambiciosas (Ley de Firma electrónica, DNI electrónico, Ley 11/2007 de Administración electrónica) que movilizan a ciudadanos y empresas (Normativa de Factura electrónica).

Poco a poco toda la sociedad va a ir integrándose en estas nuevas vías, y es cuestión de tiempo que en la empresa privada se expandan y consoliden definitivamente estas nuevas tecnologías y nuevos modos de relacionarse e intercambiarse información.

El Explorador ESecure es ya una herramienta más en esa lista de INTECO, pero debemos leer entre líneas: Firma cualquier tipo de fichero mediante el estándar CAdES, incluyendo validación de certificados y sellos de tiempo.

Firma también PDF inyectando en su interior la firma y evidencias para longevidad, e igualmente puede inyectar la firma en Office y Open Office, y tambien trabaja limpiamente con ficheros XML, por supuesto con validación de certificados (si la entidad emisora trabaja correctamente y ofrece el servicio de modo abierto y sin coste) y sellos de tiempo.

ESecure no se limita sólo a la firma de cualquier fichero, sino que ofrece dos vías para el cifrado, bien usando certificados (cifrado asimtétrico) o sólo contraseñas (cifrado simétrico).

La utilización plena de ESecure permite de un modo efectivo que cualquier individuo o empresa sea capaz de llevar en su día a día estas sencillas funciones que mejorarán su seguridad, reducirán costes y evitarán la destrucción de millones de árboles al ahorrar papel.

Ahorro que en esta línea se producirá de un modo formidable cuando esos miles de millones de PDF firmados (formato universal y estándar ISO) puedan ser leidos en los magníficos eBook y revolucionen no sólo el mundo educativo sino el laboral, universitario, y empresarial.

Si la Agencia Tributaria en España ha cuantificado el ahorro EN UN AÑO de 15.000 millones de euros y sólo con Facturas electrónicas, puede intuirse el ahorro monumental que se producirá cuando empresas y ciudadanos eviten la impresión de miles de millones de documentos (firma electrónica) y los puedan leer en dispositivos como los mencionados eBook, máxime con la bajada de precios que va a producirse tras la llegada de dispositivos como el IPad y competidores, que aunque espectaculares no son realmente dispositivos para lectura por el daño ocular que producen si los comparamos con los estupendos eBook

La imagen de un niño leyendo de un eBook es una ventana que muestra el futuro que viene a toda velocidad

La versión gratuita del Explorador ESecure que puede verse en la referencia de INTECO, no tiene todas las capacidades de las versiones profesionales, pero facilita ya la firma en todos los formatos estándares, cifrado y descifrado.

Cualquier ciudadano puede obtener además una licencia sin coste, que amplía las capacidades de la versión gratuita llamada USER, sólo a condición de realizar un curso online gratuito, desarrollado en centros homologados (como el Servicio Navarro de Empleo en Navarra) y que le aporta un conjunto de buenas prácticas para su uso pleno y seguro.

Otras versiones profesionales de ESecure (PRO y PYME) orientadas a su comercialización en el mundo de la empresa, se extienden ya en España e Hispanoamérica a buen ritmo, pero la versión USER gratuita está pensada para cualquier ciudadano.

Ha sido publicar INTECO la herramienta ESecure en su sección de herramientas avanzadas y ya hay muchas descargas y solicitudes del curso online que les permita promocionar esa versión gratuita (USER) a la EDU, eliminando las barreras de tamaño de fichero tratado. No obstante la version gratuita ESecure USER colmará la inmensa mayoría de las necesidades que un ciudadano puede tener en materia de firma electrónica, cifrado y borrado seguro.

Estas reflexiones me acompañan desde hace muchos años, y fue una de las razones por las que creamos  el Explorador ESecure, que dió paso a la creación de KSI, donde se mejoró enormemente a lo largo de los años y materializamos una versión gratuita para ciudadanos a la par que las versiones comerciales para el mundo empresarial.

Esta versión cumple ya seis años, pero ha sido en fechas recientes cuando se ha dotado a la aplicación de TODAS las capacidades de sus hermanas (las versiones orientadas al mundo profesional -PRO y PYME-) que en el mes de Diciembre 2010 estará descargable desde la web de KSI.

Firmar cualquier fichero, utilizar cualquier estándar, firmar INCLUSO FACTURAS, cifrar y descifrar cualquier documento o borrar con seguridad, son funciones de la nueva version gratuita de ESecure que surge en estos días (estamos en la última fase de pruebas y verificaciones) y con la que esperamos ayudar en esa idea fundamental de generalizar la firma en todos los ámbitos, incluyendo el privado o doméstico.

Imagen de ESecure firmando un documento de Office

Agradecer las informaciones sobre errores y sugerencias en ESecure

La versión gratuita del Explorador ESecure la entendemos como una aportación a todos los ciudadanos para que dispongan de herramientas especiales para mejorar su seguridad documental, evitando que tengan que comprar o mal usar otro tipo de soluciones.

Las decisiones que durante estos años hemos tenido que tomar, para ir aumentando las funcionalidades en la versión gratuita, han costado tiempo y discusiones, pero el resultado es espectacular y tenemos la esperanza de que muchas personas mejorarán en la seguridad de su día a día y la disfrutarán.

Como cualquier software, siempre será mejorable, y nadie está libre de errores. En todo caso aseguro que cualquier sugerencia será bienvenida, como los avisos que podais enviarnos ante el descubrimiento de cualquier error que se pueda reproducir.

Animo en el uso de ESecure y no dejes de conseguir un eBook para leer los documentos PDF que firmes, y los libros en formato electrónico que crecen  de modo esperanzador, aunque algunos nunca podremos dejar de leer también en papel.

Apenas hay empresas que nos permitan identificarnos con certificados electrónicos. CORREOS y cada vez mas instituciones muestran el camino

Por supuesto a nivel de la Administración eso va incrementándose de un modo esperanzador (en España), tanto a nivel autonómico como estatal. Pero en el mundo de la empresa sólo entidades muy especiales están cogiendo el tren de la autenticación con certificados. Digo certificados y no sólamente DNIe porque hay quien piensa que sólo hay que promocionar el DNIe (error gravísimo), cuando en el ámbito profesional es al contrario: el DNIe apenas se usa (ni usará), tendiendo al cero absoluto en beneficio de otros dispositivos seguros de firma. Tiempo al tiempo.

A poco que despegue una mayor cultura sobre firma digital, basada en certificados reconocidos de otras Autoridades de Certificación con orientación al mundo de la empresa, el DNIe quedará en lo que siempre ha sido. En el ámbito más personal del ciudadano, su uso en Internet debería crecer muchísimo y todos acabarán viendo sus ventajas, pero en el contexto de un certificado más que usar. El DNIe no es la panacea que eliminará el resto de certificados existentes, ni  lo pretende la Administración aunque sólo se esfuerce en el uso del DNIe.

En este sentido el enorme impulso de la Administración por el uso “solo del DNIe” puede ser tan inútil como baldío. A la postre una pérdida de recursos que podría aprovecharse mejor si al ciudadano se le propone el uso de los certificados digitales, incluyendo el  DNIe, ya que esencialmente hablamos de lo mismo y se requiere un aprendizaje similar. El uso de cualquier certificado reconocido apoya y empuja el uso de otros, con lo que enseguida el ciudadano verá que, al igual que en el mundo de la banca puedes tener varias tarjetas sin ningun problema ni complejidad especial, puede tener y gestionar limpiamente varios certificados electrónicos.

Cualquier web de empresa, sea cual sea el servicio que ofrezca, dá opciones a los usuarios o potenciales clientes a utilizar una cuenta de acceso (usuario y contraseña) e incluso a rellenar formularios de modo “anónimo”. Entran aquí partidos políticos, ayuntamientos, asesorías, asociaciones de empresas y cualquier tipo de entidad en realidad. De momento sólo la Administración pública parece estar asumiendo el reto de permitir a los ciudadanos y empresas la identificación con certificados electrónicos.

La seguridad Social mostrando y otras Administraciones públicas mostrando el camino correcto de ofrecer servicios con certificados electrónicos. De aquí al voto electrónico un paso.

Los servicios online basados en la identificación segura de un ciudadano mediante un certificado electrónico potencian enormemente su uso, dan muestra al ciudadano de las enormes facilidades que aporta emplearlos y lo meten inmediatamente en las ventajas del día a día en Internet (banca electrónica, solicitud de trámites, presentación de solicitudes, analizar cómo va su solicitud..). Este es el elemento clave que falta en la actualidad y debe generalizarse, sin caer en el error de que sea “solo con el DNIe” sino con cualquier certificado reconocido.

Certificado digital de servidor

Comenzando por el principio, y siendo más básico y grave, muchas webs de empresas que dan cuentas de acceso a usuarios para proveerles servicios o introducir información, ni siquiera establecen una sesión segura entre el navegador del usuario y el servidor web, lo que hace que tanto el usuario, la contraseña y los datos que se envían al servidor viajen en claro y sin ningun tipo de seguridad (sin cifrado). No es difícil ver entidades, incluso importantes, que en el colmo del ridículo usan un certificado digital de servidor inválido, sin calidad  e incluso caducado, lo que no da ninguna seguridad al usuario de que realmente nos estamos conectando al servidor con el que queremos trabajar.

Es como si quisieramos conectar con el servidor miayuntamiento.navarra.es y el certificado que aparece en el servidor (que debe aclarar que nos estamos conectando al sitio real que hemos elegido) fuera inválido o referenciase una casa de citas..

El certificado de servidor debe ser utilizado para que antes de que el usuario envíe ningún dato al servidor (por ejemplo en banca electrónica) se negocien de modo seguro entre el navegador y el servidor claves de cifrado que hagan que la transmisión sea segura. Si ni siquiera sabemos si estamos conectados al banco porque el certificado está mal, ha caducado o no es de una autoridad confiable.. apaga y vámonos.

El certificado que identifica al servidor (o al dominio Bancosantander.es) y que posibilita la sesion segura con el cliente

Sigamos adelante. Si ha quedado clara esta parte, podemos entender que el certificado electrónico del servidor nos permite saber a qué servidor nos estamos conectando, además de hacer que el tráfico entre nuestro navegador y el servidor sea seguro (indispensable siempre que vayamos a introducir datos sensibles, o estemos comprando en Internet o haciendo gestiones con la Seguridad Social, el Banco o nuestra Asesoría..)

Certificado digital del usuario que se conecta

Cuando nos conectamos a un servidor seguro (hoy día no muy frecuente porque sólo entidades muy avanzadas dan este servicio) que nos permite identificarnos con un certificado electrónico reconocido (ojo! insisto en certificado electrónico reconocido, tanto si es en modalidad software como en tarjeta: DNIe, FNMT, CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO ABOGADOS, NOTARIOS etc etc) entonces son los dos extremos de la comunicación los que se están identificando con seguridad. Aquí en un extremo el servidor del banco, aquí en el otro la persona X..

Este contexto de mayor seguridad nos permite ofrecer servicios por internet con un gran incremento de seguridad, infinitamente mayor que en el caso de usuario/contraseña.

Una Asesoría moderna facilitando el acceso con certificados, además de firma de ficheros

Existen incluso (esto ya es el colmo de la excelencia) muy poquitas entidades que no sólo te permiten conectarte con tu certificado digital, sino que por tenerlo te ofrecen la posibilidad de que puedas firmar formularios, ficheros de cualquier tipo, solicitudes, peticiones, de modo que evitas el desplazamiento físico y además es absolutamente legal. Ya digo que si es dificilísimo encontrar entidades que te permitan por la web autenticarte con tu certificado digital, los que además ofrecen capacidades de firma electrónica por la web son extraterrestres (pero existen).

Que estamos en un momento de inflexión, quizas retardado por la profundidad de las crisis económica y política actuales, parece claro. Pero sin embargo falta motivación, alicientes, ayudas,  empuje y cultura de Internet para dotarnos casi en cualquier web de la capacidad de autenticación con certificados electrónicos. 

No hace tantos años donde muchos “expertos de empresa” ante el ofrecimiento de una web para su organización o asociación decían: ” bah, van a ser cuatro gatos los que tengan página web ! deben pasar muchos años para que se extienda.. ”

Muy pocos años despues de aquellas afirmaciones, que he vivido en pymes y asociaciones de empresas, no se entendía que una empresa no se lanzase a Internet (web, correo, servicios, intranets..) y se generalizaba su uso. Ya vemos que incluso gente muy solvente se equivoca cuando se trata de entrever por dónde van a ir las cosas. 

Retomando esta idea, aún hay quien dice : no te preocupes por la firma electrónica, tú envíame a mi el fichero que yo te lo firmo en tu nombre, “no te enredes en cosas tan difíciles” !!  

Este tipo de afirmaciones tienen el mismo valor que si le dijésemos a alguien que se conecte a nuestro servidor web, que en ese contexto su raton le va a funcionar bien !! Y es que hay tal desconocimiento en este tipo de cuestiones que a pesar de que hablamos de cosas muy sencillas (la explosión de las tarjetas bancarias a toda la población fue más complicado y hoy día cualquier persona de edad y condición social tiene al menos una) se vende mal y surgen servicios “contra natura” como el de “olvídate que yo firmo por tí”.

Utilidades del certificado electrónico para el ciudadano

Una persona normal, no experta en tecnología precisamente, puede hacer perfecto uso de uno o varios certificados electrónicos sin que el paternalista (o buitre) de turno le diga “no te metas en complicaciones”. La analogía de las tarjetas bancarias es suficientemente parecida y demostrativa de la capacidad real de cualquier persona para esto y muchisimo más (en ocasiones son algunos funcionarios, informáticos o políticos los que más dudan de la capacidad de sus ciudadanos). Por supuesto hemos de ayudar, extender una cultura, ofrecer motivaciones y hacer aflorar las ventajas de la utilización, lo que ayudará a demostrar que cualquier persona puede hacer buen uso de sus certificados.

No quiero ser exhaustivo en este apartado, porque hay muchísimas webs estupendas donde se explica, pero un usuario va a obtener con su certificado:

  – Posibilidad de conectarse con mayor seguridad a servicios del Estado (ejem Seguridad Social), de su comunidad autónoma, Ayuntamiento, Banco, Asesoría..con mucha mayor seguridad que con usuario/clave.

  – Posibilidad de firmar electrónicamente cualquier petición, consulta, contrato, de forma 100% legal y ahorrándonos impresiones, colas, desplazamientos físicos (a veces complicados por enfermedades o situaciones vitales duras).

  – Posibilidad de firmar su propia documentación y asegurarla en sus propios equipos, incluso cuando se comunica por email (firmado y/o cifrado segun su importancia) en su círculo personal, familiar o profesional.

  – Evitar tener que memorizar muchas cuentas en servidores, al poder acceder a todos ellos con su certificado.

Por qué no despegan servicios donde sea posible autenticarse con certificado digital ?

Si las ventajas para el usuario son tan claras y rotundas, parece claro que o falta motivación de las empresas e instituciones,  o tenemos un escasa cultura en tecnología, o consideramos (equivocadamente) que implantar la autenticación con certificados  es muy caro.. o no se está impulsando lo que de verdad mueve la sociedad..

La Ley 11/2007 (y a pesar de la crisis) está siendo “seguramente” un revulsivo de gran importancia en el ámbito de las Administraciones públicas. El proyecto paneuropeo IDABC planteó una serie de directivas que por ejemplo en España han dado paso al Esquema Nacional de Interoperabilidad.

Esquema Nacional de Seguridad y la Ley 11/2007

Se trata de que las acciones que tomen las distintas administraciones puedan realmente interoperar, y no suframos un reyno de taifas monumental (como ocurre probsblemente en Educación o en la Sanidad) haciendo inviable que la información de los ciudadanos esté accesible por cualquier Administración, conformando servicios de ventanilla única a donde podemos dirigirnos, incluyendo por supuesto la “ventanilla electrónica” o como están llamándose “Oficinas Virtuales” o “Sedes electrónicas”.

 Dicho esto, urge que las organizaciones en el ámbito empresarial sigan la estela de la Administración en España (increíble pero cierto) y den el salto a la administración electrónica con igual fuerza y calidad.

La infraestructura está lista

Dejando claro nuevamente que me refiero en todo momento a todos los certificados RECONOCIDOS existentes en España (tanto en modalidad software como encapsulado en un dispositivo criptográfico), las infraestructuras más críticas están listas para que todo el sistema ruede, aunque la gente que desconfía de la capacidad del ciudadano no lo crea así. Aprendamos de la experiencia creada a partir de la exigencia de la Agencia Tributaria sobre factura electrónica para empresas que facturan a la administración (que obliga a la firma electrónica de facturas XML en formato Facturae).

Segun datos de la misma AEAT, sólo la eFactura en españa (sin contar con que las empresas privadas van a generar ya que apenas ha iniciado su camino de cambiar la factura papel a factura electrónica) ha producido un ahorro de 15.000 millones de euros anual.

Es necesario ver que aunque alguien lo vea como imposición, ha sido una decisión política inteligente la que ha obligado este movimiento, despertando en el mundo empresarial distintas oleadas tendentes a cumplir normativas, a ahorrar y mejorar la eficacia, reducir papel y pensar en el impacto medioambiental. Algo que si aplicamos a todos los documentos que no son facturas se puede multiplicar por miles (las facturas no son los documentos más numerosos).

Un día de estos la Justicia española nos dará un susto y dejarán las maquinas de escribir

Siendo esto así, qué pasará cuando en España la Administración de Justicia (que tenemos aún en el siglo 19 en cuanto a eficacia informática y de seguridad) se incorpore ”en serio” al mundo de los certificados digitales y la documentación electrónica?  Que haga los cálculos quien pueda, pero seguro que hablaremos de docenas de miles de millones de euros CADA AÑO.. sin pensar en el incremento vital de eficacia en la gestión, reducción de tiempos de proceso, mayor transparencia, mejora del rendimiento, control de robos de pruebas, desaparición de libros y documentos en sedes judiciales o su deterioro por estar amontonados en estantes etc

Las normativas legales están listas(como ya he dicho otras veces en España estamos muy por delante de paises más avanzados, luego se ha trabajado bien). La tecnología existe. Las Autoridades de Certificación en España funcionan muy bien. Entonces necesitamos voluntad y decisión política para impulsar como hizo la Agencia Tributaria un movimiento de avance.

Ejemplo: Todas las peticiones de subvencion, ayudas, desempleo, becas,  etc podrían hacerse con un certificado digital reconocido.

Una sola medida de este tipo, que parece que dificulta al ciudadano la obtención de ayudas, supone en cambio un “engrase social” fundamental, que moviliza, forma y hace avanzar en varias líneas.

 Atención aquí, porque la imposición del DNIe como si fuese la panacea o el único certificado válido será un gran error, que dificultará  -o impedirá-  el desarrollo natural del uso del certificado digital por el ciudadano.

Si cualquier tramite inicial  jurídico o las relaciones de los partidos políticos con sus afiliados y con la Administración, se hiciesen con certificado electrónico, el movimiento que se generaría sería clave y vendría en beneficio de todos.

Excepción a la regla

Que las infraestructuras están listas como planteo es verdad. Pero sin embargo eso no es así en absoluto cuando hablamos de permitir a los ciudadanos o empresas autenticarse en las páginas web de empresas, instituciones, asociaciones, partidos politicos.. con sus certificados electrónicos, y es lo que motiva este artículo. Esta es la excepción a la regla de las estupendas infraestructuras en España, ya que requiere que se involucren las empresas. (Habría que incentivar esas vías promocionando a las empresas que sigan el camino ! )

Y el acceso con certificados para cuando ?

Existen millones de personas en España con varios certificados electrónicos validos (FNMT, CAMERFIRMA, DNIe..) y sin embargo pocas son las empresas que han incorporado a sus webs la tecnología que permita a cualquier empresario, ciudadano o profesional utilizarlos en lugar del usuario/contraseña, que ni da seguridad, ni aporta más que la dificultad de tener docenas de cuentas para acceder a docenas de sitios, con olvidos, quejas, robos y demás inseguridades (como tenerlas anotadas en papel).

Es difícil para una empresa dotarse de capacidades de login con certificados ? !NO! . Existen muchas soluciones, parciales (ejemplo solo autenticación) y totales (autenticación, firma, cifrado). Existe software libre y software propietario y hablamos de pocos días de implantación.

Tendencia a futuro

Esto va a cambiar porque estos servicios dan prestigio, denotan innovación y buenas prácticas en seguridad, y las empresas más sensibilizadas en calidad, seguridad y marketing van a ir con paso firme incorporando este elemento de la infraestrutura que sin duda falta en España (curiosamente es en la Administración donde más se está avanzando ;-) ). Cuando el ciudadano vaya paso a paso entrando en tantos sitios como la Administración en España está habilitando para login con certificado, aquellas entidades privadas que no lo posibiliten simplemente darán una impresión penosa. Estoy convencido de que esto va a cambiar  y pronto vamos a ver miles de empresas integrando en sus webs, intranets, extranets, acceso a clientes.. la autenticación con certificados electrónicos.

Plataformas avanzadas de documentación firmada digitalmente

Como muestra de lo que pocas empresas en España están haciendo como avanzadilla de calidad, un buen número de  Asesorías están activando sus particulares “sedes electrónicas” o “repositorios electrónicos”. Así como la Banca electrónica más moderna te permite acceder a cualquier documento tuyo (normalmente PDF) de los últimos cinco años (con lo que no lo necesitas tener en papel ya que “te lo guardan ellos”), las Asesorías están llevando millones de documentos electrónicos a esas plataformas web u oficinas electrónicas para sus clientes, evitando tanto correo inútil e inseguro y acogiéndose a normas avanzadas como la de Factura electrónica.

Esos ficheros están firmados electrónicamente, por supuesto, y los clientes siempre tendrán acceso a ellos, a su descarga, a su comprobación.  Y no sólo eso. Los clientes de estas Asesorias pueden “subir” sus propios ficheros a sus zonas privadas, lugar donde podrán firmarlos, cifrarlos, descifrarlos sin que hayan tenido que adquirir ninguna solución.

Naturalmente, los clientes de estas asesorías se autentican con sus certificados electrónicos, además de con usuario/contraseña para aquellos que aún no disponen de certificado. Son servicios de valor que aportan estas Asesorias a sus clientes y que les muestran las ventajas de seguir usando sus servicios frente a sus competidores.

Otras soluciones para autenticación con certificados (que otros lo comprueben)

Existen empresas que  se  ofrecen como “pasarela de autenticación“. Me explico: en lugar de incluir en mi web la tecnología para autenticar el certificado de mi cliente, lo que me ofrecen es que “derive” la autenticación a su web, de modo que una vez que hacen “ellos” la comprobación del certificado, devuelven a mi web el control.. Francamente, si esa “pasarela” es una Administración o un Banco, de acuerdo. Si es una entidad privada “normal”, mejor probamos otras vías que nos aporten más seguridad. Siendo una buena idea, sin embargo hemos de confiar en alguien externo que nos dice si el usuario es o no es, lo que añade un eslabón más de confianza cuando lo sencillo es que nuestro sitio web pregunte a la entidad emisora del certificado directamente.

Incluir capacidades de firma y autenticación en tu web es algo que poco a poco todos van a hacer, como se está incluyendo tecnología flash, sonido, vídeo o sesiones seguras. Además hablamos de un coste bajo (puede ser cero) y grandes mejoras en seguridad, en imagen y servicio a nuestros clientes.

Autenticación y fima con el certificado que el usuario tiene en su poder

Sirva como aclaración que hay empresas que ofrecen servicios de firma digital en su web, pero siempre que tengas un certificado software que hayas subido a la plataforma, para que “la plataforma firme con tu certificado”.  Aunque es válido normalmente, el camino de futuro es posibilitar que el usuario firme con el certificado que tiene instalado en su PC, PDA o tiene en su token USB o tarjeta criptográfica, para lo cual existen soluciones avanzadas basadas en ActiveX de Microsoft  y/o Applets de Java.

No sólo con el DNIe

No me cansaré de repetir que aunque pueda entenderse el esfuerzo de la Administración y el Gobierno de promover fortísimamente el despegue del DNIe es un error tratarlo de modo distinto a otros certificados digitales que llevan en el ámbito empresarial y de la Administración muchos años. Pretender que el ciudadano abandone la idea de obtener otros certificados digitales (FNMT, CAMERFIRMA etc) como algunos funcionarios pretenden (de modo inocente  y pretendiendo ayudar a simplificar al ciudadano) cuando atienden a personas en las oficinas del DNIe o por teléfono, es significativo del desconcierto que en los propios funcionarios existe.

Si el esfuerzo publicitario y de gestión, enorme, que está suponiendo el DNIe, se desaprovecha, será la utilización de los certificados electrónicos quien pagará el error de no haber tenido mayor amplitud de miras en la extensión de una cultura de acceso y firma electrónica. Cuando desde Europa se trata de que los distintos paises miembros sigan esa senda, no están pensando en los diferentes DNIe de cada país, sino en los diferentes certificados digitales ya existentes en innumerables Autoridades de Certificación.

Veamos un ejemplo de lo que digo. En la imagen siguiente puede apreciarse un incorrecto servicio de identificación de clientes de uno de los bancos más avanzados en firma electrónica: Santander. Se ve claramente cómo el cliente puede utilizar un servicio de calidad para identificarse en la web SOLO CON DNIe, lo que reduce de un modo increible la buena medida implantada por la entidad. Qué pasa con los certificados RECONOCIDOS tanto en software como en tarjeta de otras Autoridades de Certificación?  Ya estaban aquí con sus magníficos servicios antes de que la Dirección General de la Policía fuese una CA con certificados !

Buena intención pero mala elección.. Solo el DNIe no !!

Los certificados electrónicos RECONOCIDOS emitidos por cualquier Autoridad de Certificación en España (tanto en software como en tarjeta) harían enormemente más fácil al ciudadano el adentrase en este mundo, propiciando al final un mayor uso del DNIe que tanto preocupa a algunos. Un usuario que use certificados de FNMT,  CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO DE ABOGADOS, COLEGIO DE NOTARIOS, o varios de ellos, verá cómo, de verdad, todo le resulta más sencillo y acabará usando el DNIe de un modo natural, que es lo que pretendemos para los servicios del futuro.

La profunda crisis económica actual está sirviendo para que muchas ideas del mundo de la economía,  de la Administración, del mundo laboral y del mundo financiero se pongan en cuestión. Hay quienes ya dicen con claridad que muchos  cientos de miles de personas en España no volverán a trabajar, por su edad crítica y baja formación.

Hay también quienes predican ya con frases como “generación perdida” y otras expresiones alarmantes  no carentes de realismo, dada la aparente paralización de muchas administraciones y responsables públicos en lo que a empleo joven se refiere.

Movimientos orientados a actuar con decisión

En ámbitos profesionales TIC se remodelan servicios, se zambullen en la moda actual tendente a virtualización, software libre, profundización en el modelo SaaS y por supuesto a nadie se le ocurre renunciar a productos y servicios de seguridad TIC ni mucho menos a la Formación de los profesionales -en un alto número ahora de nuevo desempleados-.

La Formación como defensa ante la situación presente

En esta última línea, me ha tocado trabajar mano a mano, durante los últimos 8 meses, con personas del Instituto CuatroVientos de Pamplona y de la Delegación de Navarra de AENOR. Coincidimos en una serie de ideas clave que han propiciado el diseño de un programa de Postgrado que se orienta a:

•  Dotar de contenidos innovadores, prácticos y eficaces a empresas, profesionales y desempleados en la línea de Sistemas de Gestión de Seguridad de la Información (SGSI).
•  Apoyar a la pyme actual y sus profesionales para un reciclaje sólido en Seguridad TIC, dotándolos de herramientas y no sólo aportando conocimientos teóricos.
•  Ofrecer nuevas líneas de acción innovadora y eficaz a Directores TIC, Abogados en nuevas tecnologías, Consultores en distintas áreas del mundo de la empresa (LOPD, LSSI, responsables de Auditoría, Calidad y RRHH), Informáticos y profesionales que buscan con seriedad un reciclaje profesional que responda a la crisis citada y ayude a abrir nuevas vías.

El Instituto CuatroVientos de Pamplona es la imagen viva de un centro dinámico e innovador hecho por profesionales de distintas disciplinas a lo largo de los últimos 25 años. Un centro privado concertado en secundaria que, siendo una Cooperativa de profesores con un alto grado de preparación y siempre dispuestos a abordar sistemas de mejora con calidad, han logrado situarse entre los centros más prestigiosos de la zona norte innovando en educación formal y ofreciendo al mundo profesional líneas sólidas de formación actualizada de un modo constante.

Son varias las líneas formativas que este centro ofrece cada año, pero el nuevo Postgrado que surge  en Seguridad de la Información tiene características únicas porque:

 - Ha sido diseñado en cooperación con AENOR

 - Los alumnos (y las empresas que inscriben a trabajadores en los cursos) no sólo reciben conocimientos actualizados de las nuevas líneas que se van a desarrollar en los próximos años en Gestión de la Seguridad TIC, sino que reciben soluciones de software que van a ayudarles a resolver muchos problemas de su ámbito profesional (o de aquellas empresas que los contraten) en sistemas de calidad/seguridad, en sistemas de firma electrónica, en sistemas de facturación electrónica, en sistemas de Gestión Documental, en sistemas de Gestión de LOPD, en sistemas de Backup y en la preparación de auditorías internas.

 - Los alumnos obtienen la certificación AENOR  “Auditor de ISO 27001” lo que unido a las herramientas obtenidas les sitúa en una buena posición frente a empresas que desean contratar a profesionales pero con un inmediato retorno de inversión, de modo que son “útiles y rentables” desde el primer minuto.

El curso está diseñado con modulos presenciales y online, siempre con la idea de dar las máximas facilidades a cuantos profesionales, trabajadores y desempleados que necesitan formación sin dejar sus actuales actividades.

Nuevos puestos para la empresa del futuro

Quienes creemos que hay un margen muy amplio de trabajo futuro en Seguridad TIC y sobre todo en el establecimiento de modelos de madurez en la empresa inteligente (Sistemas de Gestión de Seguridad de la Información) basados en el estándar ISO 27001, no podemos dejar de ver la profunda crisis actual como una oportunidad para muchas personas y empresas. Se abre un tiempo en el que con cierta rapidez pueden obtenerse unos conocimientos que posibilitarán un aterrizaje en la empresa en nuevas funciones que sin duda se necesitan claramente.

Estoy convencido de que en el futuro no será fácil encontrar una empresa sin un responsable de Seguridad TIC. En la actualidad los jefes de área en Informática compaginan áreas tan dispares como el mantenimiento del parque informático, Sistemas, Seguridad, Diseño web corporativo, cumplimiento normativo, gestión de proveedores y hasta desarrollo. Por supuesto nadie en el mundo puede hacer bien semejantes y tan variados cometidos, lo que genera frustración y malos resultados.

Sólo cuando ocurren desastres, cuando el responsable abandona la empresa, cuando desaparece información o somos conocidos en el mundo por una multa millonaria por parte de la Agencia de Protección de Datos, nos damos cuenta de la importancia de una figura que consolide un modo de hacer en Seguridad TIC, que ocupe su tiempo en el establecimiento de Sistemas de Gestion en Seguridad, que coordine áreas y personas, que defina y ejecute las auditorías internas, que vele por el establecimieto de Planes de Contingencias y de Continuidad del negocio.

Muchas personas van a ser requeridas para esas funciones que están apareciendo ya, y es importante que se aclare desde el principio que no necesitan ser informáticos (aunque necesariamente su nivel irá creciendo paso a paso). Es imprescindible una formación guiada y asumir una línea de trabajo personal propia que logrará objetivos en muy pocos meses, pero siendo apoyado desde el inicio con un buen enfoque y futuros refuerzos.

Mientras nuestros políticos se dan lo suyo pero no se les espera para resolver de verdad los problemas, mientras se cierran docenas de miles de empresas y miles de profesionales llegan al paro, el Instituto Cuatrovientos junto a las personas y organizaciones que hemos participado en el diseño, creyendo en él, ha promovido este primer paso formativo que tiende a preparar personas para esas nuevas líneas que aparecerán en el mundo de la empresa más moderna, independientemente de su tamaño.

La definición del curso.  Inicio de un Itinerario de formación

Los bloques del Postrado son:

•  Seguridad Informática
•  Gestión de la LOPD
•  Gestión Documental Segura
•  Auditor de ISO 27001

Se desarrollará entre mediados de Octubre 2010 y de Enero 2011 y los modulos presenciales se desarrollan los días Lu, Ma y Ju en horario de tarde/noche.

Las herramientas que van a utilizarse en el Postgrado son de empresas del mundo de la seguridad y otras basadas en software libre,  lo que va a permitir desde el primer instante a los alumnos trabajar con gran nivel práctico, asimilar mejor la parte teórica y llevarse soluciones reales a su empresa tras la finalización del curso.

Para muchos es hora de iniciar con fuerza una nueva línea de trabajo, dejándose llevar por una organización de prestigio como el Instituto CuatroVientos, colaborando con empresas del mundo de la seguridad TIC y de las certificaciones.

 Tanto si te has visto afectado por los problemas de tantos miles de empresas cerradas, como si aún no has iniciado tu experiencia laboral, como si deseas incorporar nuevos elementos de valor a tu bagaje técnico actual, puedes contactar con el Instituto CuatroVientos y ver la posibilidad de hacer tu plan, bien sea inscribiéndote a todo el postgrado o realizando un módulo este año para continuar el siguiente con otra fase..

Es cierto que este post mío parece más una noticia que la exposición de una serie de ideas que defiendo permanentemente en mis artículos sobre seguridad TIC, acertadamente o no. Pero siendo consecuente con ellas, con mi experiencia en herramientas profesionales que orbitan sobre la gestión documental segura, y dada la extraordinaria consideracion que tengo de AENOR y del Instituto CuatroVientos, entiendo que soy fiel a mis objetivos de llevar propuestas de valor a aquel que que sea capaz de acoger las ideas que expreso humildemente, que aporto con los mejores deseos de que sirvan a la comunidad.

Todo depende de cómo se mire

He de decir, para que quede claro que puedo no ser objetivo, que el módulo de Gestión Documental Segura lo imparto yo, pero siendo también consecuente he de decir que es un módulo extraordinario para un Postgrado excepcional ;-D

Si coincides conmigo en que es momento de replantear tu camino o reforzarte en previsión de cambios, este Postgrado puede ser un inicio formidable. Dejarte llevar por profesionales que creen en lo que hacen con una orientación de futuro indiscutible, es una buena idea.

Más información podrás obtenerla en el propio Instituto:

Avda. San Jorge 2. 31012 Pamplona

 Tel (34) 948 315558
E-mail info@cuatrovientos.org   Web: www.cuatrovientos.org

En estos cursos me he encontrado en general con personas de todo tipo, con una base informática básica muy correcta, aunque tambien con directivos sensibilizados e incluso informáticos con nivel muy importante (dice mucho en su favor asistir al curso de seguridad informática ”a pesar de su nivel” y supone una inteligente diferenciación entre lo que es poseer profundos conocimientos informáticos y disponer de conocimientos en seguridad TIC reales).

Es necesario insistir mucho en esta idea nuclear: lo que determina la seguridad en una organización no es que disponga de dispositivos especiales (firewalls, antivirus etc) ni un informático brillante, sino la existencia de una cultura de calidad/seguridad que, extendiéndose de arriba a abajo, llegue de verdad a todos por oleadas, de modo continuo y consciente hasta el último usuario.

Es clave abandonar la antigua idea de sistemas de seguridad en base a modelos de ciudad amurallada, debido al dinamismo que la información, el desarrollo tecnológico e Internet han supuesto para todas las personas y organizaciones. La información debe disponer en sí misma de elementos de seguridad (ejemplo firma y cifrado) y no solo los sistemas y locales que la almacenan.

En estos contextos es importante que nos demos cuenta que todos necesitamos formación continuamente, que nadie nos va a proveer de la seguridad que apreciamos sin nuestro concurso voluntario, como en muchas situaciones de la vida.

Es vital el establecimiento de políticas, que podamos dejarnos llevar por sistemas formales de gran calidad para nuestro avance (OSSTMM, CobiT, ISO 27001), tanto si perseguimos una certificación oficial como si deseamos que nuestra seguridad interna esté contemplada adecuadamente, dejándonos conducir  por estándares  y el establecimiento de Sistemas de Gestión de Seguridad de la Información (SGSI).

En general  no se aprecia que cada uno de nosotros en nuestro ámbito personal y familiar, los profesores en aulas con ordenadores, cualquier trabajador de una organizacion sindical, ong o Administración, necesitamos prevenir amenazas y tratar deliberadamente riesgos mediante un conjunto de buenas prácticas y sólo un poco de tiempo.

Lo más frecuente es contemplar personas y grupos humanos donde ni siquiera existe sensibilización del problema. Se considera erróneamente que el tema de la seguridad es únicamente cosa de una persona, informático normalmente, que ni siquiera suele tener medios y tiempo para ello (así nos va). Dicho esto, y para que el artículo no lleve a nadie error, mi objetivo aquí es comentar una aplicación que puede ser instalada tanto a nivel personal,  familiar, en el ámbito docente o en el empresarial: Deep Freeze.

Que se instale como resultado de un simple análisis, como resultado del establecimiento de una política o con la idea de implantar una medida de salvaguarda y ayuda a la administración sencilla del PC, es lo de menos en este momento.

A la aplicación que comento hoy le ocurre como a algunas medidas de protección, que nunca sobran, aunque tienen más sentido en unos casos que en otros, claro está. Deep Freeze, o congelación profunda, es una aplicación comercial (existen versiones para el ámbito educativo) que nació con la idea de “preservar” el sistema en base a “una foto” del mismo que hemos realizado en un momento dado. Aunque el sistema sea modificado, un virus infecte una aplicacion, un troyano sea descargado, fotos, webs o cualquier otro “problema”, en el siguiente reinicio del sistema queda eliminado ya que Deep Freeze “vuelve a la foto original” creada en su momento del sistema (Windows, Linux o MAC).

Ambito personal o familiar

Un padre puede desear en el equipo doméstico, personal o el de sus hijos, una medida como esta. Ese equipo pasa a ser un ordenador administrado forzosamente por él, lo que en sí mismo es ya una medida extraordinaria en muchísimos casos, evitando que intencionada o inadvertidamente, cualquier miembro familiar, atacante, virus o el vecino listo de turno nos endosen una “aplicación buenísima”, el “último software pirateado que te instalo porque me caéis bien” o cualquier daño en el Sistema producido por error, accidente o sencillamente por falta de conocimientos.

La instalación de software espía brutal (véase la maravilla de Spector o eBlaster que suelo utilizar en algunos cursos avanzados) se hace en menos de 1 minuto, es muy dificil de detectar y permitirá a ese vecino o “amigo” disponer de TODA tu información constantemente, ver tus escritos, controlar tus conexiones y contraseñas a cualquier nivel y de un modo silencioso. Cuidado con quien usa nuestro PC, aunque Deep Freeze es una buena medida para prevenir este tipo de amenazas.

Como administrador del equipo familiar deberemos saber que, tras reiniciar el sistema, Deep Freeze hace que todo vuelva a estar como antes. Si deseamos actualizar el sistema, instalar aplicaciones o hacer algún mantenimiento, deberemos proceder previamente a “descongelarlo” y actuar entonces. Una vez hecho vuelta a congelar y listo.

En sistemas con un disco duro podremos tener varias particiones, con la idea de congelar las que queramos (normalmente el sistema operativo, o todas). Deep Freeze es muy útil cuando disponemos de varios dicos duros en el PC, o incluso tenemos discos duros externos con los datos y el sistema operativo está congelado y protegido. Es conveniente recordar aquí que esos discos duros externos pueden estar magníficamente tratados con aplicaciones como las que comento en un artículo pasado: TrueCrypt y ESecure.

 Atención porque hay quien dice que Deep Freeze nos permite ahorrarnos el antivirus y no es correcto. Un virus que infecte el sistema estará activo y actuando mientras no reiniciemos nuestro PC, y es una mala idea dar opción a que actúe con nuestros datos, o aproveche nuestro equipo y conexión a internet para hacer ataques a otros ordenadores de la Red.

Como responsables de ese ordenador personal o familiar, la primera acción fundamental es que la “foto del sistema” debe ser tomada en condiciones de seguridad, normalmente tras haber re/instalado el sistema limpiamente con las aplicaciones que deseamos, estructura, usuarios, antivirus etc. Nuestra familia debe conocer el contexto y los modos adecuados de uso, pero no debemos compartir la administración de Deep Freeze con nuestros hijos salvo que no sean pequeños y estén sensibilizados.

Ambito educativo – el aula -

Los ordenadores en el aula han podido ser instalados con Ghost, disponer de máquinas virtuales o de PC  en PC. En cualquier caso, Deep Freeze es una solución a tener en cuenta como algo valioso y reducirá apreciablemente el trabajo que deberemos emplear en cada equipo en el día a día. He visto organizaciones orientadas a la formación que administran cientos de ordenadores en varias sedes con sencillez, aprovechando la reducción vertiginosa de problemas y mantenimiento, como resultado de tener controlados y congelados los sistemas.

En estos casos cada alumno puede almacenar sus trabajos en un servidor en su carpeta personal, pero sin disponer de ninguna posibilidad de alterar su ordenador del aula. No es la única forma pero es sencilla, económica y viable.

En estas situaciones los profesores y responsables del mantenimiento informático de las aulas pueden descansar, porque se evitan muchísimas de las cosas desagradables e inseguras que aparecen en muchos institutos de formación, o cualquier aula orientada a formación continua, aunque hemos de recordar que Deep Freeze no resuelve todos los problemas de seguridad que aparecen en un ordenador usado por múltiples usuarios con conexión a Internet. Es importante que los ordenadores tengan la BIOS protegida y que la secuencia de arranque del sistema sea la que el administrador ha determinado (ejemplo no arrancar de disquete, CD o USB).

Hemos de pensar en esta aplicación como una de las ayudas a considerar para mantener la integridad de los sistemas  así como la protección específica de los propios alumnos que los utilizan, sin olvidar:

• Que los ordenadores sean administrados razonablemente por un responsable
• Que exista sensibilidad por la seguridad y las múltiples amenazas y se forme a los alumnos en seguridad
• Que se disponga de Políticas establecidas (ejem. está prohibido descargar películas, aplicaciones etc etc)
• Que los sistemas dispongan de antivirus

Deep Freeze no es una aplicación a la que yo esté ligado de ningún modo, pero fué un descubrimiento hace unos años, mientras preparaba mi primer libro de seguridad informática, en aquella ocasión por encargo de Forem Navarra.  No he dejado de utilizarlo en los cursos presenciales que desarrollo en organizaciones empresariales de todo tipo donde imparto formación en seguridad TIC (Tecnologías de la Información y Comunicación), actividad que me orienta hacia un estudio constante  y es una oportunidad de revisión y mejora continuas.

Deep Freeze, en combinación con un Antivirus y aplicaciones excepcionales como TrueCrypt (cifrado de volúmenes) y ESecure (Firma electrónica y cifrado con certificados), puede permitirnos mejorar nuestra seguridad de un modo formidable y sin que sea muy exigente en dedicación, aunque hay personas a las que les cuesta acostumbrarse a descongelar antes de hacer mantenimiento (todos tenemos un vaguete en nuestro interior luchando con mucha constancia por salir).

Pensar de verdad en el cliente

En la últimas semanas me ha tocado impartir formación específicamente orientada a la implantación de un sistema de facturación electrónica en la Asociación Navarra de Empresas Laborales de Navarra.

Los alumnos se dividían entre trabajadores en activo (40%) y desempleados con buenos conocimientos del mundo de la empresa y de gestión (60%).

Está claro que su orientación era bastante diferente de partida, ya que mientras los que estaban en activo (Dios sabe por cuánto tiempo con la que está cayendo ;-) ) trataban de conocer los secretos clave para implantar un sistema de factura electrónica exitoso, los desempleados “de élite” que componían el resto de asistentes trataban de aumentar su bagaje para hacerse atractivos a una futura empresa.

El curso, taller o seminario (han sido 8 horas a tope) ha permitido a todos los asistentes conocer el reglamento de factura electrónica, enmarcar los distintos sucesos en las distintas normativas estatales y europeas surgidas en estos últimos años, pero desde una perspectiva limpia de intereses de venta de productos.

Han podido comprender cómo muchos de los sistemas de factura electrónica que han fracasado tienen entre sus defectos una falta de formación del emisor, mezclas indeseables de intereses entre consultores e implantadores,  la búsqueda miope de beneficios sólo para el emisor y al ya comentado ”ruido” y desinformación interesada existente en España y que dificulta la propia evolución de estos sistemas. 

A todo ello hemos de unir el conocimiento “suficiente” aportado en base a estándares de formatos, a estándares de firma y a los “engaños típicos” que pululan en diferentes lugares de nuestra geografía acerca de la legalidad de tal o cual formato y su argumentación…

Estoy convencido de que los alumnos han podido sintetizar con claridad las ideas clave que definen nuestro actual marco, entre las que están los contextos de emisión y recepción, la insuficiente atención prestada a dos de las opciones que tiene el emisor, como son la “subfacturación” (por ejemplo delegar en tu Asesoria el proceso de eFacturación) y la “autofacturación” (delegar en el receptor de la factura el proceso de firma) y a lo más determinante:  los sistemas de eFactura que se han creado pecan de una insuficiente atención a los intereses de los receptores de la eFactura.

Ha sido necesario que llegase la Ley 11/2007, que muchas administraciones se planteen la creación de sus “sedes electrónicas“, que se hayan venido abajo por inoperantes y mal diseñados algunos proyectos de eFactura que han forzado y malinformado a sus clientes, para que seamos conscientes de que los sistemas que implantamos de factura electrónica deben SOBRETODO beneficiar al receptor por todos los medios posibles.

Que la ley obliga a los receptores (nuestros clientes) a verificar el certificado con que el ha sido firmada la factura que les ha llegado? Pues entonces validemos la factura nosotros en el instante de la firma para “evitarles el marron”.

Que la ley les obliga a almacenar las facturas electrónicas recibidas? Pues les suministramos gratis total un servicio web de acceso a todas sus facturas, de búsqueda, de verificación, de almacenamiento y custodia, de descarga e incluso les aportamos sin coste capacidades de firma mediante la propia plataforma de que le dotamos.

De hecho, y hablando de plataformas, es aquí donde suele estar la esencia de un sistema de facturación electrónica eficaz para el receptor, con independencia de lo que como emisores utilizamos en el interior de nuestra empresa para producir las facturas y firmarlas eficazmente (ERP, Gestor Documental, Aplicación de Escritorio..)

Da igual que el formato sea x o y ya que la normativa es superflexible y abierta cuando hablamos de facturación entre pymes principalmente. Lo que es indudable es que  la empresa que recibe factura electrónica de su proveedor recibe una plataforma online, capacidades nuevas como la firma electrónica, no paga nada por tener perfectamente guardadas, salvadas y custodiadas todas sus facturas y por tanto accesibles, y ve claramente el valor que le aporta su proveedor.

Esta pyme o micropyme ve que de verdad el sistema ha sido construido también para él y por tanto no llega al extremo de “volverse atrás” y demandar de nuevo factura en papel, algo en lo que la normativa le asiste y que ha dado al traste con caros sistemas implantados sólo pensados para el ahorro del emisor.

Cuando un cliente ve un sistema tan eficaz como este, es él el que pide que se amplíe el sistema a otros documentos aunque no se trate de facturas. El beneficio es tan enorme que llegará el día en que una pyme normal dispondrá de acceso a una plataforma por cada gran proveedor, de modo que los costes de verificación, acceso, almacenamiento y custodia los asuman ellos y por tanto sea innecesario imprimir en papel y clasificar y almacenar en la propia pyme esa información, teniéndola en formato electrónico, accesible en cualquier instante sin ningún coste y desde cualquier lugar, independientemente de que también la tenga en su gestor documental interno.

Por qué una mancomunidad como la de Aguas de Pamplona trabaja en una plataforma web para las facturas a sus clientes? Es evidente. De verdad están pensando en ellos cuando se meten en el proyecto de llevar la factura electrónica a todos los hogares y empresas.

Ellos asumen la carga técnica y de costes de la plataforma. Los usuarios de servicios de agua y basura sólo tendrán que conectarse cuando desean ver, buscar, comprobar, descargar, verificar y sin ningún coste, sintiéndose también artífices de un sistema nuevo, sencillo y económico, responsable con el medio ambiente y del que sacan beneficio inmediato.

Tengo la esperanza de que los asistentes a este taller de ANEL, que estaban en situación de desempleo, hayan visto hasta qué punto la visión, la documentación y las aplicaciones vistas, les permitirán mejorar sustancialmente su currículum (a partir de ahora firmado electrónicamente, espero ;-) ) al haberles dotado de muchos de los elementos necesarios para que puedan aportar a las empresas donde recalen, un conocimiento suficiente para liderar o coordinar un proceso de implantación de factura electrónica y la certeza de que una vez creado servirá para todo el resto de su universo documental.

Han podido ver aplicaciones de escritorio y plataformas web de firma y publicación, pero también utilizar sistemas gratuitos de “firma nativa” basados en Office y OpenOffice, como demostrativo de lo sencillo que sería generalizar muchas de las cosas aprendidas y llevarlas a otro tipo de documentos, en muchísimo mayor número que las facturas y que multiplicarían por mucho el ahorro.

La idea base de que un sistema de eFactura es simplemente un sistema de firma electrónica para clientes les ha parecido novedosa y razonable, ya que no es otra cosa. Desde ese punto de vista , la inversión realizada debe servir para cualquier otra documentación de la empresa tanto en el uso interno como en el envío al exterior, lo que nos permite mejorar aún más la amortización y reducción de costes.

Es curioso cómo un país como el nuestro, que lleva años de delantera a muchas otras naciones avanzadas de nuestro ámbito occidental, en todo lo que tiene que ver con tecnologías de la información, acceso electrónico, certificados digitales y en definitiva firma electrónica, lo que acaba de verdad dejando es sedimento de desastre, de barro sucio, de mentiras o medias verdades, de informaciones interesadas y sesgadas, de ocultación y de eliminación de lo avanzado en beneficio de pelotazos y ventas de harramientas de dudosa eficacia.

Puede parecer tremendista, pero es doloroso ver cuantos empresarios, desarrolladores, personas del mundo de la tecnología, ciudadanos… repiten conceptos equivocados, falsedades dichas por pseudo gurús, por gente poco solvente que trata de poner oregeras a la audiencia para acabar vendiendo tal o cual solución del mercado.

Muchos profesionales que tratamos honestamente de ganarnos la vida en este mundo de las TICS, no podemos por menos que sufrir cuando encontramos empresarios, colegas, clientes que te dicen frases como:

-yo la firma electrónica? no, no, me dijeron en una charla que me olvidase por complejidad y para evitar que cada cinco minutos cambien formatos y tenga problemas… que contrate una plataforma de factura y me deje de historias..!!

-No me interesa la firma porque el tal formato Facturae es un rollo para tecnólogos..

-Facturas en Excel o Word ? Eso es ilegal no?

-Dicen que se ahorra mucho con la factura electrónica, pero en mi empresa se gastaron miles de euros en una solución que ante un problema con un inspector, pareció que no era legal a pesar de que se usaba un software de digitalización certificada..

-Solo los grandes corporaciones pueden ir por la vía de la factura electrónica.. es un tema que no es válido para la PYME en España…

-El formato PDF no puede usarse, ya que la administración solo apuesta por el Facturae XML…

-Firma electrónica? es el rollo ese de las facturas, no? buff..quita quita, que para 30 facturas no…

-Escanear facturas? Un montaje para que cuatro ganen muchisimo dinero que nos falta a las empresas.. He hablado con varios proveedores y ahora me las envían firmadas digitalmente.. no es mejor ?

Podríamos continuar porque el panorama es no sólo desalentador sino un freno fenomenal sólo ampliado por la crisis salvaje de nuestro presente. Donde se quería ir por delante de la sociedad, resulta que con buen criterio muchisimas empresas y autónomos pasan del tema para evitar que los enreden en movimientos que no estan claros donde los “emisores de facturas” son los únicos que ganan..!!

La factura electrónica  no es más que una manifestación de la capacidad tecnológica de firmar electrónicamente información, ficheros de cualquier tipo y por supuesto, también las facturas!!  Cual es la razón por la que en España se ha tratado de impulsar la eFactura con tanta fuerza como desatino, “en contra” del acertado impulso a la firma electrónica general ?

Firmar electrónicamente puede hacerse gratuitamente con software libre y también con software propietario, gratuito o de bajo coste !! Un certificado digital es suficiente, y muchas Autoridades de certificación lo dan por pocos euros, y algunas gratis, aunque escamotean al ciudadano servicios clave como el de la validación del estado de su certificado (curioso “modelo” de “negocio” de la FNMT…).

Por qué una empresa tiene que gastarse una cifra imposible en “un rollo orientado a firmar facturas” en lugar de plantear la firma electrónica generalizada como un logro del ciudadano y de una nueva época?  Por qué no mostrar con fuerza lo que tiene de mejora tecnológica, que no tiene por qué ser cara para el autónomo y la pyme, y sí muy beneficiosa para la sociedad ? 

Cual es la razón para que se desaproveche un viento favorable tan claro (Directivas europeas, Leyes de Firma electrónica, surgimiento del DNI electrónico, Ley 11/2007) y se malogre dando una falsa sensación de complejidad?

Me apena ver a tanta gente defraudada por cosas como han ocurrido en torno a la eFactura, cuando si hubieran recibido información veraz no tendenciosa, habrían comprendido cómo el ciudadano, el autónomo y la pyme son los verdaderos ganadores de todos esos impulsos tecnológicos y normativos acertados que mucho buitre se ha encargado de ensuciar !! La responsabilidad de muchos centros tecnológicos y de formación es alta en cualquier caso, al contar con personas que en lugar de dar información veraz han sido meros vendedores oscuros de productos..

Cómo se puede aceptar que un ponente de una empresa muy importante en España, abanderada de la tecnología, diga impunemente ante la pregunta de un confiado asistente, que el formato PDF es de uso ilegal para una factura “porque la normativa española obliga al Facturae XML” ??

Si esa respuesta no se matiza adecuadamente queda como una afirmación general que hace un gran daño !!! cuando la verdad es que en la inmensa mayoría de las ocasiones un PDF, o un doc, o un gif, o cualquier otro formato válido generado por Office, OpenOffice y otros aplicativos, podrían ser válidos en el contexto de las pymes (la inmensa mayoría de las empresas españolas)..

Enviar 20 facturas electrónicas puede ser un bajo ahorro para un autónomo o pequeña empresa, pero cuando hablamos de millones de empresas (bueno, ahora algunas menos con tanto desastre económico como el que vivimos..), la gran batalla del ahorro y de la eficacia ( !!!QUE NO ESTÁ EN LAS FACTURAS sino en todo el magma documental que guardamos en la empresa !!!),  se ganaría limpiamente, logrando que mucho de lo que enviamos a clientes y proveedores vaya firmado electrónicamemte en lugar de en papel..

Las malas prácticas de muchos en el mundo de la eFactura sólo están produciendo un retroceso en el crecimiento de la firma electrónica generalizada, y aunque la Ley 11/2007 podría reencauzar esos desastres y mentiras, es más que probable que la actual crisis se lleve por delante temas tan extraordinarios como esa ley, el DNIe, el voto electrónico, el ahorro de papel y una mayor conciencia social por el medio ambiente.

Hace pocos días hablaba con un colega sobre el acierto de Caja Laboral (y otros bancos) que mediante la banca electrónica te dan acceso a todos los documentos, comunicaciones, estractos, avisos, transacciones etc de los últimos años !!! Ofrecen gratis a sus clientes el acceso online a millones de documentos PDF que permiten que nos veamos libres de la necesidad de imprimir muchas de esas cosas en nuestros domicilios, ya que siempre podemos acceder a ellas y obtener una copia..

Espero que esos servicios tan útiles acaben entrando en la firma electrónica y no como meros PDF sin firmar, ya que es lo único que les falta para ser un claro ejemplo de lo que muchísimas empresas que emiten papel en distintos documentos deberán hacer para el futuro pensando en sus clientes.

Una formación mantenida, veraz y sencilla podría lograr que particulares y empresas (por descontado que la Administración) utilicen la firma electrónica en multitud de ocasiones del día a día, evitando transportes innecesarios, facilitando la relación del mundo de la discapacidad, aportando eficacia y seguridad, reduciendo costes innecesarios y engrasando el mundo de las tecnologías de la información para beneficio de la sociedad.

Un sistema distribuido de salud, como un sistema distribuido bancario, como un sistema distribuido de administraciones públicas (municipal, autonómica, central) es siempre superior a un esquema centralizado.

Sería mejor que en internet hubiese solo un servidor inmenso en lugar de millones de servidores DISTRIBUIDOS que conforman la red? Es evidente que no. En las empresas y sobretodo Administraciones, existe la inercia a la centralización, por control y facilidad de mantenimientos, backups etc. Sin embargo la inmensa mayoría de las veces una arquitectura distribuida es superior a una centralizada e incluso cuando diseñamos un plan de contingencias pensamos en todas estas cuestiones y nos protegemos contra ese exceso de centralización.

Los dos esquemas son vitales y debemos ir a sistemas híbridos, en parte centralizados y en parte distribuidos. El mundo es así de complejo, pero no debemos ir hacia atrás centralizando todo sino aquello que de verdad nos aporta ventajas, mejoras en la seguridad, eficacia y por qué no, también control.

Es cierto que la inercia que el mundo lleva hacia la virtualización, servicios “en la nube” y una necesidad de control, empuja con mucha fuerza en el sentido de ceder al impulso de la centralización. Las modas en informática existen de verdad y no hace tantos años que muchas grandes empresas ya tenían centros de datos bestiales que fueron muriendo con el avance de la informática, el avance del PC y la creación de redes cada vez en mayor número.

Como ya he dicho, combinar los dos esquemas es la solución, y lo digo tanto a nivel de usuario doméstico, de profesional, empresa o administración.  Disponer de un servicio con 33 médicos especialistas y cirujanos en cada ayuntamiento es algo que ni los más alocados plantean. Es por ello que ciertos servicios clave, caros, extraordinarios, deben centralizarse sin que ello suponga eliminar todos los servicios locales. Es puro sentido común.

Cuando hablamos de recursos muy básicos e importantes pensar en la centralización suele ser un error claro. Vemos un ejemplo: Es razonable pensar que para que un usuario de windows utilice su raton deba conectarse a un sitio web “que le provee del servicio” de movimiento de su cursor?

La misma idea podemos aplicarla a multitud de elementos clave: la seguridad personal, las buenas prácticas, un backup de nuestra información, un antivirus, la capacidad de firma electrónica… Cuando vemos que hay empresas que “te permiten firmar” si te conectas a su servidor, uno no puede más que sonreir, ya que estamos en el mismo ejemplo que el del movimiento del ratón, aunque disfrazando el tema en base a la dificultad y que lo que demuestra verdaderamente es la escasa confianza en la capacidad del usuario o ciudadano.

Y es que hay ciertas capacidades y funcionalidades que no pueden depender de que exista un servicio centralizado, que además puede funcionar o no.