Otra revolucion que llega. Leer casi como en papel

Con algunos años de retraso, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha tenido a bien añadir el Explorador ESecure a la lista de aplicaciones avanzadas que aportan valor a empresas y ciudadanos.

Cuando creamos ESecure, antes incluso del nacimiento de KSI (empresa de la que sigo siendo socio y que compagino con mi nuevo proyecto empresarial analiTICs21 ), mucho antes del nacimiento del DNIe en España, antes de la normativa sobre Factura electrónica, mucho antes del nacimiento de la excepcional Ley 11/2007 de Administración electrónica, no existía ninguna herramienta de firma y cifrado en España del calibre de ESecure.

Cualquier profesional de las TIC (Tecnologías de la Información y Comunicación) conoce la trayectoria de INTECO en nuestro país y las innumerables tareas de reordenación del sector, racionalización de recursos, activación de ayudas y estudio de líneas de acción que mejoran la seguridad en Internet, tanto con el centro de alerta temprana como con su labor de difusión creciente. El retraso en publicarla lo hemos aprovechado realmente para madurar ESecure de un modo extraordinario.

Imagen de la web de INTECO donde se referencia el Explorador ESecure

Cuando contactamos con INTECO para ofrecer nuestra versión gratuita de ciudadanos del Explorador ESecure que habíamos construido en KSI (y que tras varios años ha crecido y madurado enormemente), no existía en Alerta Antivirus ni siquiera una categoría de herramientas donde situarla.

ESecure, que había surgido como una alternativa a nuestro querido PGP (Pretty Good Privacy), integrándolo en las PKI modernas, ya tenía todas las capacidades de firma electrónica y cifrado que muestra hoy día, aunque en aquel momento aún no se había desatado el impulso a nivel europeo y español de la firma electrónica y resto de normativas que orbitan sobre ella.

Sin embargo ha sido en los últimos 4 años cuando ESecure se ha abierto a todos los estándares de firma (CAdES, PAdES, XAdES) pudiendo firmar CUALQUIER fichero, de cualquier tamaño, con cualquier certificado (incluido el DNIe) y ha cambiado nuestra aspiración de llevarlo a todo tipo de personas y empresas, haciéndolo más amigable, abierto y robusto, de la mano del magnífico trabajo de Santiago Castaño, responsable de desarrollo de KSI.

Para aquellos que no están en este mundillo de seguridad documental, utilizar cualquier solución de firma presenta el problema fundamental de la necesidad de una cierta formación, así como del requisito obligado de disponer de un certificado electrónico para poder firmar.

Imagen de las avanzadas capacidades de ESecure con ficheros PDF

Es inevitable que estos elementos vayan llegando a toda la población, en gran medida por el formidable impulso que desde la Administración europea y española se está realizando en la extensión de los certificados (donde el DNIe es uno más) y mediante la activación de normativas ambiciosas (Ley de Firma electrónica, DNI electrónico, Ley 11/2007 de Administración electrónica) que movilizan a ciudadanos y empresas (Normativa de Factura electrónica).

Poco a poco toda la sociedad va a ir integrándose en estas nuevas vías, y es cuestión de tiempo que en la empresa privada se expandan y consoliden definitivamente estas nuevas tecnologías y nuevos modos de relacionarse e intercambiarse información.

El Explorador ESecure es ya una herramienta más en esa lista de INTECO, pero debemos leer entre líneas: Firma cualquier tipo de fichero mediante el estándar CAdES, incluyendo validación de certificados y sellos de tiempo.

Firma también PDF inyectando en su interior la firma y evidencias para longevidad, e igualmente puede inyectar la firma en Office y Open Office, y tambien trabaja limpiamente con ficheros XML, por supuesto con validación de certificados (si la entidad emisora trabaja correctamente y ofrece el servicio de modo abierto y sin coste) y sellos de tiempo.

ESecure no se limita sólo a la firma de cualquier fichero, sino que ofrece dos vías para el cifrado, bien usando certificados (cifrado asimtétrico) o sólo contraseñas (cifrado simétrico).

La utilización plena de ESecure permite de un modo efectivo que cualquier individuo o empresa sea capaz de llevar en su día a día estas sencillas funciones que mejorarán su seguridad, reducirán costes y evitarán la destrucción de millones de árboles al ahorrar papel.

Ahorro que en esta línea se producirá de un modo formidable cuando esos miles de millones de PDF firmados (formato universal y estándar ISO) puedan ser leidos en los magníficos eBook y revolucionen no sólo el mundo educativo sino el laboral, universitario, y empresarial.

Si la Agencia Tributaria en España ha cuantificado el ahorro EN UN AÑO de 15.000 millones de euros y sólo con Facturas electrónicas, puede intuirse el ahorro monumental que se producirá cuando empresas y ciudadanos eviten la impresión de miles de millones de documentos (firma electrónica) y los puedan leer en dispositivos como los mencionados eBook, máxime con la bajada de precios que va a producirse tras la llegada de dispositivos como el IPad y competidores, que aunque espectaculares no son realmente dispositivos para lectura por el daño ocular que producen si los comparamos con los estupendos eBook

La imagen de un niño leyendo de un eBook es una ventana que muestra el futuro que viene a toda velocidad

La versión gratuita del Explorador ESecure que puede verse en la referencia de INTECO, no tiene todas las capacidades de las versiones profesionales, pero facilita ya la firma en todos los formatos estándares, cifrado y descifrado.

Cualquier ciudadano puede obtener además una licencia sin coste, que amplía las capacidades de la versión gratuita llamada USER, sólo a condición de realizar un curso online gratuito, desarrollado en centros homologados (como el Servicio Navarro de Empleo en Navarra) y que le aporta un conjunto de buenas prácticas para su uso pleno y seguro.

Otras versiones profesionales de ESecure (PRO y PYME) orientadas a su comercialización en el mundo de la empresa, se extienden ya en España e Hispanoamérica a buen ritmo, pero la versión USER gratuita está pensada para cualquier ciudadano.

Ha sido publicar INTECO la herramienta ESecure en su sección de herramientas avanzadas y ya hay muchas descargas y solicitudes del curso online que les permita promocionar esa versión gratuita (USER) a la EDU, eliminando las barreras de tamaño de fichero tratado. No obstante la version gratuita ESecure USER colmará la inmensa mayoría de las necesidades que un ciudadano puede tener en materia de firma electrónica, cifrado y borrado seguro.

Estas reflexiones me acompañan desde hace muchos años, y fue una de las razones por las que creamos  el Explorador ESecure, que dió paso a la creación de KSI, donde se mejoró enormemente a lo largo de los años y materializamos una versión gratuita para ciudadanos a la par que las versiones comerciales para el mundo empresarial.

Esta versión cumple ya seis años, pero ha sido en fechas recientes cuando se ha dotado a la aplicación de TODAS las capacidades de sus hermanas (las versiones orientadas al mundo profesional -PRO y PYME-) que en el mes de Diciembre 2010 estará descargable desde la web de KSI.

Firmar cualquier fichero, utilizar cualquier estándar, firmar INCLUSO FACTURAS, cifrar y descifrar cualquier documento o borrar con seguridad, son funciones de la nueva version gratuita de ESecure que surge en estos días (estamos en la última fase de pruebas y verificaciones) y con la que esperamos ayudar en esa idea fundamental de generalizar la firma en todos los ámbitos, incluyendo el privado o doméstico.

Imagen de ESecure firmando un documento de Office

Agradecer las informaciones sobre errores y sugerencias en ESecure

La versión gratuita del Explorador ESecure la entendemos como una aportación a todos los ciudadanos para que dispongan de herramientas especiales para mejorar su seguridad documental, evitando que tengan que comprar o mal usar otro tipo de soluciones.

Las decisiones que durante estos años hemos tenido que tomar, para ir aumentando las funcionalidades en la versión gratuita, han costado tiempo y discusiones, pero el resultado es espectacular y tenemos la esperanza de que muchas personas mejorarán en la seguridad de su día a día y la disfrutarán.

Como cualquier software, siempre será mejorable, y nadie está libre de errores. En todo caso aseguro que cualquier sugerencia será bienvenida, como los avisos que podais enviarnos ante el descubrimiento de cualquier error que se pueda reproducir.

Animo en el uso de ESecure y no dejes de conseguir un eBook para leer los documentos PDF que firmes, y los libros en formato electrónico que crecen  de modo esperanzador, aunque algunos nunca podremos dejar de leer también en papel.

En estos cursos me he encontrado en general con personas de todo tipo, con una base informática básica muy correcta, aunque tambien con directivos sensibilizados e incluso informáticos con nivel muy importante (dice mucho en su favor asistir al curso de seguridad informática ”a pesar de su nivel” y supone una inteligente diferenciación entre lo que es poseer profundos conocimientos informáticos y disponer de conocimientos en seguridad TIC reales).

Es necesario insistir mucho en esta idea nuclear: lo que determina la seguridad en una organización no es que disponga de dispositivos especiales (firewalls, antivirus etc) ni un informático brillante, sino la existencia de una cultura de calidad/seguridad que, extendiéndose de arriba a abajo, llegue de verdad a todos por oleadas, de modo continuo y consciente hasta el último usuario.

Es clave abandonar la antigua idea de sistemas de seguridad en base a modelos de ciudad amurallada, debido al dinamismo que la información, el desarrollo tecnológico e Internet han supuesto para todas las personas y organizaciones. La información debe disponer en sí misma de elementos de seguridad (ejemplo firma y cifrado) y no solo los sistemas y locales que la almacenan.

En estos contextos es importante que nos demos cuenta que todos necesitamos formación continuamente, que nadie nos va a proveer de la seguridad que apreciamos sin nuestro concurso voluntario, como en muchas situaciones de la vida.

Es vital el establecimiento de políticas, que podamos dejarnos llevar por sistemas formales de gran calidad para nuestro avance (OSSTMM, CobiT, ISO 27001), tanto si perseguimos una certificación oficial como si deseamos que nuestra seguridad interna esté contemplada adecuadamente, dejándonos conducir  por estándares  y el establecimiento de Sistemas de Gestión de Seguridad de la Información (SGSI).

En general  no se aprecia que cada uno de nosotros en nuestro ámbito personal y familiar, los profesores en aulas con ordenadores, cualquier trabajador de una organizacion sindical, ong o Administración, necesitamos prevenir amenazas y tratar deliberadamente riesgos mediante un conjunto de buenas prácticas y sólo un poco de tiempo.

Lo más frecuente es contemplar personas y grupos humanos donde ni siquiera existe sensibilización del problema. Se considera erróneamente que el tema de la seguridad es únicamente cosa de una persona, informático normalmente, que ni siquiera suele tener medios y tiempo para ello (así nos va). Dicho esto, y para que el artículo no lleve a nadie error, mi objetivo aquí es comentar una aplicación que puede ser instalada tanto a nivel personal,  familiar, en el ámbito docente o en el empresarial: Deep Freeze.

Que se instale como resultado de un simple análisis, como resultado del establecimiento de una política o con la idea de implantar una medida de salvaguarda y ayuda a la administración sencilla del PC, es lo de menos en este momento.

A la aplicación que comento hoy le ocurre como a algunas medidas de protección, que nunca sobran, aunque tienen más sentido en unos casos que en otros, claro está. Deep Freeze, o congelación profunda, es una aplicación comercial (existen versiones para el ámbito educativo) que nació con la idea de “preservar” el sistema en base a “una foto” del mismo que hemos realizado en un momento dado. Aunque el sistema sea modificado, un virus infecte una aplicacion, un troyano sea descargado, fotos, webs o cualquier otro “problema”, en el siguiente reinicio del sistema queda eliminado ya que Deep Freeze “vuelve a la foto original” creada en su momento del sistema (Windows, Linux o MAC).

Ambito personal o familiar

Un padre puede desear en el equipo doméstico, personal o el de sus hijos, una medida como esta. Ese equipo pasa a ser un ordenador administrado forzosamente por él, lo que en sí mismo es ya una medida extraordinaria en muchísimos casos, evitando que intencionada o inadvertidamente, cualquier miembro familiar, atacante, virus o el vecino listo de turno nos endosen una “aplicación buenísima”, el “último software pirateado que te instalo porque me caéis bien” o cualquier daño en el Sistema producido por error, accidente o sencillamente por falta de conocimientos.

La instalación de software espía brutal (véase la maravilla de Spector o eBlaster que suelo utilizar en algunos cursos avanzados) se hace en menos de 1 minuto, es muy dificil de detectar y permitirá a ese vecino o “amigo” disponer de TODA tu información constantemente, ver tus escritos, controlar tus conexiones y contraseñas a cualquier nivel y de un modo silencioso. Cuidado con quien usa nuestro PC, aunque Deep Freeze es una buena medida para prevenir este tipo de amenazas.

Como administrador del equipo familiar deberemos saber que, tras reiniciar el sistema, Deep Freeze hace que todo vuelva a estar como antes. Si deseamos actualizar el sistema, instalar aplicaciones o hacer algún mantenimiento, deberemos proceder previamente a “descongelarlo” y actuar entonces. Una vez hecho vuelta a congelar y listo.

En sistemas con un disco duro podremos tener varias particiones, con la idea de congelar las que queramos (normalmente el sistema operativo, o todas). Deep Freeze es muy útil cuando disponemos de varios dicos duros en el PC, o incluso tenemos discos duros externos con los datos y el sistema operativo está congelado y protegido. Es conveniente recordar aquí que esos discos duros externos pueden estar magníficamente tratados con aplicaciones como las que comento en un artículo pasado: TrueCrypt y ESecure.

 Atención porque hay quien dice que Deep Freeze nos permite ahorrarnos el antivirus y no es correcto. Un virus que infecte el sistema estará activo y actuando mientras no reiniciemos nuestro PC, y es una mala idea dar opción a que actúe con nuestros datos, o aproveche nuestro equipo y conexión a internet para hacer ataques a otros ordenadores de la Red.

Como responsables de ese ordenador personal o familiar, la primera acción fundamental es que la “foto del sistema” debe ser tomada en condiciones de seguridad, normalmente tras haber re/instalado el sistema limpiamente con las aplicaciones que deseamos, estructura, usuarios, antivirus etc. Nuestra familia debe conocer el contexto y los modos adecuados de uso, pero no debemos compartir la administración de Deep Freeze con nuestros hijos salvo que no sean pequeños y estén sensibilizados.

Ambito educativo – el aula -

Los ordenadores en el aula han podido ser instalados con Ghost, disponer de máquinas virtuales o de PC  en PC. En cualquier caso, Deep Freeze es una solución a tener en cuenta como algo valioso y reducirá apreciablemente el trabajo que deberemos emplear en cada equipo en el día a día. He visto organizaciones orientadas a la formación que administran cientos de ordenadores en varias sedes con sencillez, aprovechando la reducción vertiginosa de problemas y mantenimiento, como resultado de tener controlados y congelados los sistemas.

En estos casos cada alumno puede almacenar sus trabajos en un servidor en su carpeta personal, pero sin disponer de ninguna posibilidad de alterar su ordenador del aula. No es la única forma pero es sencilla, económica y viable.

En estas situaciones los profesores y responsables del mantenimiento informático de las aulas pueden descansar, porque se evitan muchísimas de las cosas desagradables e inseguras que aparecen en muchos institutos de formación, o cualquier aula orientada a formación continua, aunque hemos de recordar que Deep Freeze no resuelve todos los problemas de seguridad que aparecen en un ordenador usado por múltiples usuarios con conexión a Internet. Es importante que los ordenadores tengan la BIOS protegida y que la secuencia de arranque del sistema sea la que el administrador ha determinado (ejemplo no arrancar de disquete, CD o USB).

Hemos de pensar en esta aplicación como una de las ayudas a considerar para mantener la integridad de los sistemas  así como la protección específica de los propios alumnos que los utilizan, sin olvidar:

• Que los ordenadores sean administrados razonablemente por un responsable
• Que exista sensibilidad por la seguridad y las múltiples amenazas y se forme a los alumnos en seguridad
• Que se disponga de Políticas establecidas (ejem. está prohibido descargar películas, aplicaciones etc etc)
• Que los sistemas dispongan de antivirus

Deep Freeze no es una aplicación a la que yo esté ligado de ningún modo, pero fué un descubrimiento hace unos años, mientras preparaba mi primer libro de seguridad informática, en aquella ocasión por encargo de Forem Navarra.  No he dejado de utilizarlo en los cursos presenciales que desarrollo en organizaciones empresariales de todo tipo donde imparto formación en seguridad TIC (Tecnologías de la Información y Comunicación), actividad que me orienta hacia un estudio constante  y es una oportunidad de revisión y mejora continuas.

Deep Freeze, en combinación con un Antivirus y aplicaciones excepcionales como TrueCrypt (cifrado de volúmenes) y ESecure (Firma electrónica y cifrado con certificados), puede permitirnos mejorar nuestra seguridad de un modo formidable y sin que sea muy exigente en dedicación, aunque hay personas a las que les cuesta acostumbrarse a descongelar antes de hacer mantenimiento (todos tenemos un vaguete en nuestro interior luchando con mucha constancia por salir).

En muchas ocasiones, tanto en cursos como en charlas en diferentes lugares han surgido preguntas que trataban de resolver el interrogante:  hay algo que pueda hacer con sencillez para mejorar mi seguridad?

Es verdad que es una pregunta muy genérica, pero en los distintos contextos (analisis de gestión documental, facilitar cumplimiento de la LOPD, herramientas y soluciones de protección personal..) es fácil dar una respuesta muy concreta y que tiene sentido tanto en el ámbito personal/familiar de cada individuo como en el empresarial: TRUECRYPT.

Se ha hablado tanto de truecrypt y existen tantas entradas, webs y documentaciones que tiene poco sentido que me extienda demasiado aquí en ello, por ello seré breve.

Herramienta que facilita la creación de “volúmenes” de información de un modo sencillo, permite a cualquier usuario llevar uno o muchos volúmenes (para los no iniciados pensad que un volumen es un fichero que se asemeja a un disco duro, donde puedes guardar programas y ficheros de todo tipo) que se encuentan cifrados.

Puedes tener un volumen donde guardas la información sensible familiar, otro donde guardas ficheros sensibles de ámbito personal, otro donde llevas los datos de tus clientes que no quieres que  ni en caso de robo del portátil sean obtenidos..  Mira en la web de Truecrypt (http://www.truecrypt.com), en wikipedia (http://es.wikipedia.org/wiki/TrueCrypt) o en kriptópolis (http://www.kriptopolis.org/truecrypt) y verás que tienes todo lo necesario para resolver muchos de los problemas que en tu día a día puedas tener de seguridad.

Por supuesto Truecrypt requiere que te plantees una serie de POLITICAS personales que te ayudarán muchísimo si en el futuro tienes problemas en tu PC. No basta con tener la información en una o varias “cajas negras” cifradas, sino que debes pensar en las copias de seguridad (al ser un sólo fichero te va a resultar mas sencillo) por ejemplo usando uno de los muchos sistemas de backup online de bajísimo coste que existen en la actualidad. Como lo salvas cifrado, tienes un buen esquema que te permite estar seguro incluso respecto a ese proveedor.

Cuando integramos en nuestro día a día Truecrypt, la aparición del Explorador ESecure, del que ya os he hablado en otra entrada aquí (http://www.analitics21.com/2010/03/la-gestion-documental-segura-y-el-explorador-esecure/) origina que el binomio Truecrypt/ESecure multipliquen las capacidades orientadas a seguridad, ya que vas a poder tener firmados tus volúmenes, vas a poder usar firma electrónica de cualquiera de los ficheros que guardas en cada volúmen y en definitiva todo el esquema de cifrado/firma electrónica sale favorecido enormemente.

El Explorador ESecure vas a poder llevarlo en tus dispositivos USB, al igual que Truecrypt y los volúmenes que quieras mover, lo que va a permitirte que inspecciones tu información (descifres, cifres, firmes, verifiques) incluso en ordenadores que no sean tuyos, sin necesidad de instalar en ellos ningun software ni mover al disco duro ningun fichero. Incluso si te ves forzado a copiar algun fichero de tu USB al disco duro por cuestión de velocidad, ESecure te permitirá cuando acabes borrarlo de modo seguro.

Las dos herramientas combinadas nos aportan un conjunto de capacidades a tener en cuenta, por lo que podemos decir que el ámbito de gestión documental segura personal podría quedar muy bien resuelto a falta únicamente de que localices un buen sistema de backup online que te proteja de la pérdida o robo del portátil y/o de los USB.

Si no deseas un servicio de backup externo, aun cuando los ficheros que salvas en ellos estén cifrados, puedes establecer una Política personal de backups bastante buena si dispones de varios dispositivos USB en distintas localizaciones y te disciplinas en la actualización de ellos.

Es ya el momento de aportar soluciones a los que ven que el universo documental, tanto a nivel particular como a nivel de empresa, no se reduce a las facturas sino que en su visión se asume la información de todo tipo que entra y sale de nuestro  ambiente (correo electrónico, proyectos, nóminas, facturas, informes, información íntima, secretos, inventos, libros, recetas, imágenes, vídeos, código fuente etc etc).

Aquellos que hayais utilizado en el pasado PGP o GPG disfrutaréis de verdad con esta solución.

El Explorador ESecure es una herramienta que se está extendiendo con fuerza por España y también en hispanoamérica, donde de la mano de GSE Colombia (Autoridad de Certificación) está avanzando por diferentes países de su entorno.

Según mi particular visión, en este momento, una verdadera gestión documental daría opción a todos los usuarios (si hablamos de una familia,  todos los miembros de ésta) a guardar, buscar, escanear, firmar, cifrar, enviar con seguridad, bloquear, verificar, auditar etc además de posibilidad un salvado de toda la información de un modo sencillo que permita que en minutos se dispone de toda la información incluso de muchos años atrás.

Imagen de ESecure y sus capacidades con ficheros PDF. Naturalmente nuestros amigos, colegas o clientes sólo necesitan su Adobe Reader para verificar o descifrar, aunque podemos pasarles una copia gratuita de la aplicación.

Como aún está lejos el momento en que cada familia tenga un gestor documental integral (atención fabricantes de software, porque nadie parece darse cuenta de que la necesidad existe incluso en el ámbito de toda familia), voy a mostrar algunas aplicaciones que sin ser gestores documentales pueden ayudar decisivamente a mejorar muchos aspectos que inciden en la gestión documental, tanto a nivel de seguridad como de reducción de riesgos de robo, pérdida o modificacion.

Aporta  firma digital, cifrado de ficheros, borrado adecuado, correo seguro y muchas más funciones.

Si bien los usuarios particulares y las empresas tenemos contextos y necesidades diferentes, todos sufrimos en la actualidad los mismos tipos de amenazas, somos más o menos vulnerables a ellas y necesitamos soluciones amigables que actúen como salvaguardas efectivas.

Imagen que muestra la capacidad de firmar cualquier formato de archivo e incluso cifrarlo.

Amenazas a las que responde el Explorador ESecure

• Pérdida o robo de información.
• Ataques a la integridad de la información (evitar que alguien modifique sin que lo sepamos).
• Robo de cuentas y contraseñas (podremos tener un fichero cifrado con las claves y contraseñas).
• Pérdida de confidencialidad (cifrado, tanto en nuestros PC´s como en el envío de correo).
• Recuperación ilegítima de datos en ficheros temporales o borrados poco eficazmente.
• Copias de seguridad no cifradas (cumplir la ley será sencillo respecto a backups externos)
• Incumplimiento de normativa legal LOPD
• Utilización compartida de locales y/o recursos entre varias entidades o departamentos
• Utilización de directorios compartidos por usuarios
• Acceso inseguro a datos de la empresa desde el exterior
• Envío de información crítica por correo electrónico normal
• Transporte inseguro de copias de seguridad o información sensible  al exterior u otra sede
• Imposibilidad de comprobar el creador, o si se han producido cambios en los datos.

Las amenazas pertenecen a todos los ámbitos que se analizan en un análisis de riesgos: Accidentes, Errores, actuación maliciosa presencial y remota.

Entornos donde es útil el Explorador ESecure

1. PC doméstico: Datos personales y familiares críticos, fotos especiales, protección de contraseñas y cuentas bancarias, transporte en memorias USB, CD o DVD de datos convenientemente protegidos ante pérdida o robo. Tambien el envío por email de información especial.
2. PC departamental: Funciones de seguridad para el usuario de empresa: firma, cifrado, comprobación de integridad, borrado seguro.
3. Servidor de empresa: Cifrado y/o firma de backups o conjunto de sistemas de archivos- Linux y Windows-.
4. Portátiles: Transporte asegurado de información sensible.
5. Dispositivos de archivos: Almacena ficheros de usuarios y/o sedes cifrados y firmados. Los usuarios los descargan y descifran/verifican en su PC tras la descarga).

Descripción de la aplicación

Facturación electrónica:

La capacidad de almacenar facturas digitalmente en lugar de en papel, y las capacidades extraordinarias de ESecure en la Firma electrónica reconocida y avanzada tanto de una persona como varias ( varias Firmas en un archivo) posibilita que los emisores de facturas aprovechen toda la cobertura que da la aplicación utilizando certificados digitales.

Además de la capacidad de firma de cualquier fichero en el estándar PKCS#7, el Explorador ESecure también posibilita la firma digital avanzada y reconocida de ficheros PDF de Adobe Acrobat y el formato avanzado CAdES XL y XAdES XL, incluyendo las firmas de varias personas o entidades, con lo que cualquiera con el lector Acrobat Reader puede ver el fichero y comprobar firmas e la integridad.

Copias de seguridad cifradas.-

Si bien la exigencia legal de cifrado de las copias de seguridad solamente se precisa para los datos de carácter personal correspondientes a un nivel alto de sensibilidad, la aplicación permite cifrar todos los datos independientemente del tamaño proporcionando un blindaje especial para el caso de hurto de soportes, pérdida de cintas, discos o CD, haciendo imposible que personas externas, o nuestra competencia, puedan hacer uso de la información que custodiamos. Las copias de seguridad que se almacenen en el exterior de la empresa no serán usadas por estar cifradas, con lo que en caso de extravío o robo no podrá utilizarse la información por personas o entidades ilegítimas.

Cumplimiento de normativa del Departamento de Defensa americano 5220.22-M

Permite que los ficheros temporales sean borrados por un procedimiento seguro. Asimismo, posibilita que el usuario elimine información cumpliendo este estándar con el fin de impedir su acceso a esa información borrada.

Desarrollo continuo:

El Explorador ESecure es constantemente actualizado para los clientes que desean un soporte anual, aportando optimizaciones y corrección de vulnerabilidades que pudieran ir apareciendo con el avance de la tecnología y el descubrimiento de debilidades en protocolos, algoritmos de cifrado o cualquier otro aspecto. Los clientes que no contratan el mantenimiento pueden hacer uso a perpetuidad de la aplicación que adquirieron, sin acceso a las actualizaciones y soporte.

Señalar de nuevo que el mundo de la educación puede recibir las licencias profesionales sin coste alguno.

Basado en estándares de la industria:

ESecure es una solución para la empresa pero también para el ciudadano (existe una versión gratuita). Está integrada por elementos que son estándares en la industria, entrando de lleno en el mundo de las soluciones de seguridad para la empresa.

DNI electrónico:

ESecure prepara al usuario para el uso del DNI digital. Las pruebas realizadas con dispositivos lectores de tarjetas de empresas relevantes del mercado nacional e internacional han demostrado su óptimo funcionamiento, lo que aporta un valor adicional al propio ciudadano al permitirle con sencillez la firma de sus ficheros, teniendo un control de integridad que hasta ahora tenía complicado.

Posibilitar el envío seguro de datos a clientes:

ESecure posibilita no sólo un ahorro en el envío de información a nuestros clientes preferenciales (historiales, nóminas, presupuestos, planos, listados), sino que permite que nuestros clientes se aprovechen de este elemento de seguridad ya que ven cómo custodiamos su información. Al realizarse mediante autenticación segura y cifrado, estaremos cumpliendo la ley incluso en casos de alto nivel de ficheros, la cumplirán ellos y mostramos cómo salvaguardamos su confidencialidad aportándoles un mecanismo ágil e innovador para nuestras comunicaciones críticas.

Damos fin de este modo al tránsito inseguro, cuando no ilegal, de información crítica entre la empresa y clientes (proveedores, socios, directiva, empleados) mediante una solución integrada y de uso sencillo, potenciando el envío por correo seguro de datos especialmente sensibles, pero también si el transporte de información se produce vía FTP, Web o dispositivos de almacenamiento (USB, CD, DVD ..etc).

Correo Seguro:

ESecure, en todas sus versiones  promueve el correo seguro. Permite enviar mensajes firmados y cifrados con múltiples certificados, bien se encuentren almacenados en Windows, bien en tarjetas criptográficas o en almacenes PKCS#12 de usuarios, o cifrar los ficheros que enviarán adjuntos.

Firma de ficheros y firmas múltiples:

Ahora podremos estampar nuestra firma en un fichero, como si firmásemos un papel aunque con más seguridad. Además, ese fichero podrá ser firmado por más personas, por ejemplo para reuniones o acuerdos entre personas distantes, y en sistemas de entrada de ficheros firmados electrónicamente, que son Visados electrónicamente incluso con sello de tiempo para recoger el instante de la entrada (Registros, Colegios profesionales…) sin limitación de tamaño de ficheros de otras soluciones del mercado.

Firma, cifrado y verificación de ficheros PDF de Adobe:

Además de la firma y cifrado de cualquier fichero, las versiones EDU, PRO y PYME incorporan un nuevo y potente servicio orientado a los ficheros PDF de la empresa Adobe.  De este modo, cuando abramos un PDF con nuestro Acrobat Reader, podremos ver la firma en el documento PDF, así como verificarlo. La nueva posibilidad de proteger un PDF con contraseña o mejor aun, cifrándolo en su interior con certificados, es una nueva posibilidad de gran alcance, habida cuenta de que la comunidad internacional utiliza este formato de fichero de un modo generalizado. De este modo, cuando en la pyme vayamos a hacer facturación electrónica con este tipo de ficheros, podremos estampar nuestra firma digital, así como otras adicionales si fuese necesario.

Firma digital con conexión a Servidores de Tiempo (NTP):

La aplicación permite guardar en el fichero firmado tanto la hora local del PC como la hora que en ese instante le solicita al servidor NTP, por ejemplo el Real Observatorio de la Armada, encargado de la hora oficial en España. Permite aumentar una capa más el control del momento en que se firma el fichero.

Si bien no llega al formalismo de un servidor seguro de un tercero de confianza (como la FNMT, CAMERFIRMA, ACA, FIRMA PROFESIONAL, GSE…etc), la posibilidad de conectar a un servidor de tiempo NTP aumenta de una manera clara el control de ese momento en que se firma un documento, ya que en algunos contextos de negocio, jurídicos y de certificación, es vital conocer el instante en que se produce.

Servidores OCSP o de validación de certificados:

ESecure puede comprobar la validez de un certificado además de con las ya conocidas CRL (Certificate Revocation Lists), contra servidores OCSP que permiten tener centralizada la gestión de la revocación y/o validez de los certificados que se han emitido o de los que es poseedor el usuario. Hace falta poseer conexión con un Servidor OCSP y la consulta se realiza en tiempo real, pero algunas Autoridades no dan ese servicio gratuito, como la FNMT.

Sellos de Tiempo (TSP):

El sellado de tiempo permite asegurar que un fichero ha sido firmado en un instante de tiempo determinado. Ésta información tampoco se puede falsificar por consiguiente. Es necesario poseer conexión con un Servidor de Sellado de Tiempo que algunas instituciones aportan (ejemplo CAMERCIRMA, IZENPE, GSE).

ESecure en el cumplimiento de la LOPD:

Estamos obligados a cumplir determinadas medidas en relación a los datos de carácter personal que custodiamos (empleados, clientes..etc.).  Mediante ESecure sabemos que tanto esos datos como aquellos que son críticos para el mantenimiento del negocio son tratados y por quién. Por encima del cumplimiento de la ley, o de modo paralelo, los responsables de la empresa desean dar a su información la seguridad que permita un control y levantarse de un impacto crítico de destrucción, incendio, inundación o robo, mostrando a sus clientes una seguridad extrema en la salvaguarda de sus datos.

ESecure para empresas interesadas en la ISO 27001:

En la actualidad está cobrando una gran importancia mundial la creación de SGSI (Sistemas de Gestión de Seguridad de la Información). Promovido por múltiples instituciones y certificadoras, la norma ISO 27001 proyecta a la empresa en el cumplimiento de buenas prácticas, el control de su información y la de sus clientes, el cumplimiento de normas legales (Europeas y españolas) clave como las Leyes de Protección de Datos de carácter personal.

Las empresas interesadas en mantener un sistema de gestión de la seguridad, y con él un control muy definido de activos y riesgos, valorarán ESecure como una herramienta que hace fácil en el día a día el trabajo con buenas prácticas, firma electrónica de cualquier archivo y cifrado/descifrado de modo amigable.

Normas a las que apoya y potencia:

• CFR21 Part 11, LOPD, GAMP4, HIPAA, ISO 27001

Pido disculpas por la longitud del artículo para describir capacidades de la herramienta, pero he eliminado muchas cosas que tendrán más sentido para empresas que en entornos personales o familiares.

Como ya he comentado al principio, el Explorador ESecure es una herramienta que se está extendiendo con fuerza por España e hispanoamérica, donde de la mano de GSE Colombia (Autoridad de Certificación) está avanzando por diferentes países de su entorno.

Qué nos cuesta por tanto tener todos nuestros ficheros firmados para detectar siempre si alguien los ha modificado? Unos segundos nada más, ya que el Explorador ESecure facilita la selección múltiple y la firma de todos ellos en un solo “click”.

Habrá siempre quien considere que es demasiado complicado para el ciudadano la firma o cifrado, pero esas personas olvidan fácilmente cómo en su día la Banca demostró con los cajeros automáticos que no es necesario ser informático para utilizar un cajero, una tarjeta y los PIN´s correspondientes, incluyendo la banca electrónica desde internet.

Descárgalo gratis desde la web de KSI.