Asumida en toda la sociedad la importancia de la información, concentrada en vídeos, grabaciones de sonido, ficheros, docs escaneados, fotografías, planos, código fuente etc etc todos necesitamos poder guardar cierta información en formato electrónico de modo completamente seguro, a salvo de desastres.

Seguro desde la perspectiva física (infraestructuras sincronizadas y con redundancia, así como control de incendios) y también desde la perspectiva de acceso y obtención o manipulación. En este sentido aparece la importancia de la firma electrónica, de los certificados y de las capacidades de cifrado que cada usuario necesita disponer.

El servicio eBOX CITI que este innovador Colegio de Ingenieros está en proceso de lanzamiento, aporta todos los elementos necesarios para formalizar un contrato con usted: caja web segura accesible desde cualquier dispositivo o sistema operativo, certificados electrónicos, herramientas auxiliares de firma y cifrado y también la formación para autoprotección y buenas pácticas. Ello facilita que un cliente cifre un informe crítico de su empresa (o familia) y lo salve en la caja fuerte documental segura, a salvo incluso del personal de la propia infraestructura. Sólo él y aquellos a los que habilite podrán descifrar esa información fundamental.
Concepto.-

En la sociedad actual, completamente inmersa ya en Internet, han ido creciendo los sistemas “en la nube” como una especialización que permite a clientes de cualquier tamaño confiar en una potente infraestructura. Situada “en Internet”, dispone de todos los elementos de seguridad, ancho de banda, velocidad, personal técnico, máquinas, backups y una actitud de mejora constante, que permite al cliente ocuparse de lo fundamental de su negocio sin arriesgar en inversiones tecnológicas que quedan en el campo de quienes apuestan por infraestructura.

Estas instalaciones ofrecen todo tipo de servicios, habitualmente páginas web, correo, hosting desde hace muchos años. En el momento actual, tanto la crisis como el avance del “cloud computing” han hecho que se ofrezcan en modo “pago por uso” muchos tipos de software, típicamente sistemas de gestión como ERP, pero quiero mostrar cómo en el Colegio de Ingenieros Técnicos Industriales de Navarra se abre camino un proyecto espectacular, para profesionales,  empresas y asociaciones empresariales, en la línea del título del artículo: La Caja Fuerte  Documental Segura que ellos han bautizado como eBOX CITI.

La Caja Fuerte Documental Segura eBOX, Personal o Corporativa, responde a esa idea ya comentada de que cada persona, cada profesional, cada empresa, necesita una zona segura donde tener siempre los documentos que NO PUEDEN PERDERSE, al igual que los bancos ofrecen sus cajas de seguridad donde se guardan documentos físicos, joyas o cualquier elemento de gran valor para su propietario.

En la Caja Fuerte Documental, custodiada por la potente infraestructura de CITI Navarra, guardarán cualquier fichero, independientemente de su formato y su tamaño, y llevará nuestra propia seguridad (firma y/o cifrado del propio cliente) por lo que está protegido incluso de los propios técnicos de la infraestructura, de mantenimiento o de soporte.

Siempre accesible.-

Usted podrá conectarse a su Caja Fuerte Documental desde cualquier lugar del mundo, desde cualquier PC o dispositivo, desde cualquier sistema operativo, identificándose de un modo fuerte con sus certificados digitales, tanto de software como en dispositivo criptográfico (por ejemplo DNIe), y tiene la seguridad de que nunca perderá su información.

Podrá compaginar información sin cifrar, por no ser sensible, información firmada para prevenir cambios e información cifrada para que nadie salvo usted pueda verla o usarla.

Custodiado y protegido.-

La custodia electrónica se caracteriza porque la infraestructura CITI Navarra mantiene salvada la información, de modo que ni incendios, ni terremotos ni accidentes industriales, logren que su información resulte dañada, permaneciendo a salvo en cualquier circunstancia.

El sistema le permite guardar para su custodia información que usted puede previamente firmar electrónicamente y/o  cifrarla, para una mayor seguridad de que nadie podrá acceder, ver o manipular sus datos sensibles.

Tratar la información antes de darla a custodia.-

Usted podrá firmar y/o cifrar la información, independientemente del formato y su tamaño, mediante las herramientas auxiliares de que dispone como cliente de eBOX CITI. Con ello incorpora una “capa adicional” de seguridad y control, pudiendo descargar esa información y descifrarla en sus sistemas incluso sin disponer de conectividad a internet o al sistema central de custodia.

Su información vital (planos, inventos, títulos, patentes, imágenes, vídeos, grabaciones de sonido, fotografías, código fuente, historiales médicos, planes de futuro, pruebas de sucesos, declaraciones e incluso copias de seguridad de que disponga) nunca será accesible por personas que no sean usted o por aquellos que usted determine, por estar cifrada.

Sólo usted y esas personas de confianza (caso de que existan) podrán descifrarla.

Por otra parte existe un control de trazabilidad y elementos de seguridad física en las instalaciones que alojan las Cajas Fuertes Documentales.

Formación y buenas prácticas.-

Cualquier sistema de seguridad requiere una mínima formación para un correcto uso. Usted podrá recibir formación adecuada si lo desea para estar siempre en mejores condiciones de proteger su información, entregarla a custodia desde cualquier lugar, acceder a ella desde cualquier dispositivo o sistema y obtener copia de la misma.

Recibe por tanto una formación y una serie de herramientas que usa como cliente de eBOX y le permitirán: firmar electrónicamente cualquier fichero, cifrar y descifrar cualquier documento, incluso aunque no vaya a darlo en custodia sino guardarlo en sus propios sistemas.

Información sensible e información importante.-

Probablemente cualquier documento sensible (crítico) usted lo va a cifrar para que sólo las personas que usted valide puedan acceder y ver esa información.

La información importante, pero no tan sensible, la tendrá salvada, sin riesgo de pérdida, pero probablemente sólo firmada electrónicamente, asegurándose así de que nadie podrá manipularla inadvertidamente.

Pero si mi información ocupa muchísimo.-

No hay límite para el espacio de su Caja Fuerte Documental, aunque lógicamente tiene un coste mayor asegurar 1 millón de ficheros que solamente mil.

Una persona, un profesional, puede disponer del servicio de Caja Fuerte Documental por tan sólo 6 euros al mes, pero una empresa, necesitada de mas espacio, probablemente pagará 20 ó 30 euros mensuales, al necesitar mayor volumen seguro.

Pero si mi empresa necesita que cientos de usuarios accedan a partes de la información ?.-

Usted necesita una Caja Fuerte Documental Segura eBOX Corporativa. En ella tendrá información sensible cifrada, información importante firmada y miles de ficheros de clientes , a cada uno de los cuales dará acceso a su propia zona de cliente, donde además usted salva su información por ellos, por ejemplo si desea utilizar esta plataforma como medio de distribución de facturas electrónicas a clientes, u otro tipo de información sensible.

En estos casos puede disponer de una zona para que todos sus clientes (sin límite en el número de usuarios) accedan a sus zonas de factura electrónica, a las zonas de información que usted ha generado para ellos, evitando correo postal, aportando universalidad, mejorando la seguridad, facilitándoles usted la custodia, además de aportarles mecanismos sin coste de firma y cifrado.

Su Caja Fuerte Documental Segura Corporativa actúa como un conjunto ilimitado de cajas fuertes personales , una por cliente, por lo que usted se ha convertido en el banco documental de sus clientes y le ofrece valiosos servicios de custodia y seguridad documental.

Es la Caja Fuerte Documental Personal un sistema de Backup ?.-

No exactamente. Usted no puede perder los ficheros de su Caja Fuerte Documental Segura Personal, y en ese sentido es salvada de modo especial. Pero en ella se mantiene su documentación, y puede tener tanto documentos históricos vitales como documentos vivos que usa frecuentemente.

No debemos pensar en la Caja Fuerte Documental Segura como un mero sistema de backup, ya que es un sistema moderno que ofrece fuerte autenticación, firma electrónica, cifrado, acceso seguro, trazabilidad y salvado de su información a prueba de cataclismos.

Un backup normal no le evita que usted haya perdido un fichero que “tenia hace tres años”. Un sistema de custodia le permite rebuscar entre los ficheros que usted tenía hace cinco años, y permanecen en el sistema de custodia como una sucesión de backups independientes.

Puedo crear un sistema de Caja Fuerte Documental Segura para nuestro Colegio o Asociación empresarial ?.-

Por supuesto. Tendrán su propio subdominio en la infraestructura de CITI Navarra y sus propios clientes, como por ejemplo asesoria.documentacionelectronica.com

CITI Navarra diseñará el sistema con sus necesidades y tutelará su implantación. Entonces comenzará la formación de sus responsables y administradores para que sea independiente respecto de sus clientes y usuarios.

La confianza de CITI Navarra.-

El servicio Caja Fuerte Documental Personal y Corporativa es un proyecto innovador del Colegio de Ingenieros Técnicos Industriales, surgido en el marco de su apertura a todos los ingenieros de habla hispana vía Internet, pero tambien a otros profesionales no relacionados con la ingeniería que requieran estos servicios. 

CITI Navarra aspira a ser un de los pocos centros clave para la ingeniería, ofreciendo cada vez más servicios de valor en nuevas tecnologías, y en aquellos aspectos donde las empresas y los profesoanles requieren de apoyos valiosos y creativos para su día a día.

CITI Navarra innova no sólo en cuanto a los proyectos que ofrece, como este de la Caja Fuerte Documental, sino en cuanto al modelo de trabajo, al ser uno de los primeros colegios profesionales que sale al mundo con servicios, productos y formación, y renunciando al viejo modelo de colegio profesional clásico.

Conclusiones finales:

La Caja Fuerte Documental Segura eBOX CITI es un servicio ofrecido al mundo por el Colegio de Ingenieros Técnicos Industriales de Navarra, diseñado con analiTICs21 y la participación de un buen número de empresas tecnológicas españolas con gran nivel de solvencia y coordinadas desde CITI Navarra.  Se orienta en una doble dirección: por una parte para los colegiados (ingenieros, abogados, graduados sociales, médicos, notarios y en definitiva profesionales de cualquier disciplina ) y por otra para pymes, asociaciones empresariales y otros colegios profesionales que deseen tener su propio proyecto eBOX.

En este momento, algo alocado en cuanto a opciones que se ofrecen en Internet por doquier, se hace necesario contar con un interlocutor de confianza, que resuelva de modo transparente la problemática técnica, que facilite con sus socios tecnológicos las necesidades de calidad, seguridad, eficacia y se comprometa con nosotros completamente.

A lo largo del artículo he ido mostrando uno de los servicios novísimos de CITI Navarra dentro del proyecto CITIC´s.

CITI Navarra es una organización pionera que abre su campo de acción a Internet. Ya no se orienta sólamente a Navarra sino a todas las organizaciones colegiales, empresariales y profesionales de España que usan Internet de modo creciente, aplicando nuevos métodos, nuevas vías a su quehacer empresarial, mejorando sus cotas de calidad y a la vez reduciendo gastos.

eBOX compite con soltura con cualquier sistema actual de los existentes, incluyendo aquellos que yo uso desde hace tiempo como Dropbox, SpiderOAK o Wuala, pero adelantándose a todos ellos de un modo espectacular sobre todo en elementos de seguridad, en capacidades para el usuario, en atención directa en tu idioma, en aplicaciones auxiliares adicionales que amplian el sistema eBOX y dotan de más garantías al usuario, ya que le permiten DE VERDAD cifrar de modo seguro y privado la información que desean proteger, tanto en la plataforma como en sus propios sistemas merced a las herramientas auxiliares de eBox.

Algunas de las soluciones que han ido apareciendo adolecen de todas las opciones de autenticación con certificados, no aportan capacidades de firma, no ofrecen opciones de cifrado real al usuario y se limitan a decir (a veces falsamente como denunciaba la prestigiosa empresa hispasec hace pocos días respecto de DropBox, o en su propio blog de DropBox cuando mostraron al mundo que durante 4 horas podía accederse a los sistemas con cualquier contraseña) que “ellos” cifran los datos en el servidor, y en la mayoría de las ocasiones son un simple salvado en servidor de ficheros para sincronizar ordenadores dispersos.

Crecerán servicios de custodia y salvado

Todas estas soluciones, que insisto, yo utilizo también en mi día a día, tienen algun atractivo para el usuario, pero pueden coexistir perfectamente con eBOX CITI como servicio formal. En un mundo donde miles de usuarios profesionales y pymes deseen garantizarse esta acción de salvado de documentación, es más sencillo confiar en una organización real y tangible como CITI Navarra, contactando en cualquier momento por teléfono, email, video conferencia o presencialmente en sus locales, y disponiendo de todas las capacidades que la inmensa mayoria de las otras opciones no tienen (login con certificados o tarjetas criptograficas-incluido DNIe- vía Tractis, firma electrónica en plataforma o e su PC, cifrado y descifrado tanto en plataforma como en su PC, firma de ficheros desde cualquier dispositivo movil, custodia documental blindada).

En el momento de escribir este artículo, responsables de CITI Navarra  perfilan las distintas visitas que se realizarán en los próximos 3 meses para activar sistemas eBOX para cualquier organización empresarial o colegial en España, aportando además un modelo de negocio muy claro a estas organizaciones.

Si tiene interés estarán encantados de visitarle o hacer una video conferencia sin compromiso. Si 20 céntimos de Euro por día no es una locura para usted, entonces eBOX es su solución profesional. Y si lo que desea es disponer de ilimitados usuarios en su eBOX Corporativo, tanto para trabajadores, proveedores o clientes, entonces 1 Euro al día sigue siendo un coste excepcional por todas las capacidades citadas y la salvaguarda de información.

Una eBOX Corporativa para datos de laboratorio

Cualquier fichero puede ser firmado o cifrado antes de subirlo a custodia al eBOX

Data Centers asociados para alojar las eBOX personales y corporativas

En su eBOX web puede hacerlo todo aun sin herramientas auxiliares desde su IPad

Estoy convencido de la bondad del proyecto que lanza el Colegio de Ingenieros Técnicos Industriales de Navarra, ya que no sólo ahonda en esa necesidad que yo percibo por parte de cualquier persona de disponer de una zona web de seguridad superior, fácilmente accesible, sino que lo expande a organizaciones empresariales aportando un modelo de negocio a éstas.

Soluciones como DropBox, SpiderOAK, Metaposta, Wuala y muchos otros que nacerán, van en la línea de aprovechar  la nube de servicios en Internet y son buenas experiencias de las que aprender.

eBOX CITI es símplemente un producto/servicio superior a todos ellos.

Como ya he comentado yo utilizo diariamente DropBox, TrueCrypt y Metaposta aunque “los mejoro” con herramientas como el Explorador ESecure de KSI, algo sin lo que ya no podría funcionar en mi día a día.

Desarrolladores, diseñadores, empresas con potente infraestructura en Internet, analistas y empresas de seguridad, hemos formado Kuestion.es, plataforma abierta, multiidioma y gratuita, que se ofrece de modo abierto.

Nada de lo realizado hubiera sido posible sin contar con la infraestrutura de Tractis, verdadero núcleo sobre el que orbita la plataforma de voto electrónico siguiendo las políticas de validación aquí expuestas.

Como queda claramente reflejado en uno de mis artículos, en cuanto a sistemas web con autenticación con certificados, Tractis fue un descubrimiento casual extraordinario, y según he ido avanzando en el análisis de sus servicios ha ido quedando demostrada su idoneidad, la calidad y las enormes oportunidades que dan para construir con ellos.

Comencé como prueba de concepto integrando en mi blog su plugin para autenticación con certificados y tras un estudio de sus servicios no sólo utilizamos sus sellos de tiempo y contratos online, sino que hemos dado el paso de crear un servicio de voto electrónico universal basándonos en sus sistemas, que ponen a disposición de la plataforma y tus iniciativas.

Creo que tanto el objeto del proyecto mostrado en aquí, como el expresado en la propia web de la plataforma de voto electrónico, dejan claro que este es un camino que busca potenciar el uso de los certificados electrónicos por toda la sociedad, en todo el mundo. Ese es nuestro beneficio, ya que tanto Tractis, como los integrantes de Kuestion.es, podremos idear servicios y productos futuros que tengan en cuenta ese uso cotidiano de ciudadanos y empresas respecto de los certificados electrónicos, donde incluimos el DNI electrónico como uno de los más especiales, por su calidad, fortaleza, seriedad y por el hecho de que los sistemas no requieren que los ciudadanos deban instalar los drivers del DNIe (ni en España ni en Austria), facilitando enormemente el uso sencillo.

En estos momentos son muchos los certificados de todo el mundo los que pueden utilizarse para votar. Por citar algunos de nuestro país: Certificados de Izenpe, Camerfirma, Firma Profesional, DNI electrónico, Colegio de Abogados y un largo etcetera. Por qué no se incluyen certificados gratuitos como el de la Fábrica Nacional de Moneda y Timbre ? La razón es sencilla: cuando alguien va a votar, el sistema necesita verificar que el certificado no ha sido anulado, revocado o robado, y que sigue en poder de su dueño. La FNMT no da ese servicio luego sus certificados son inseguros para una práctica formal de voto electrónico con garantías.

Cómo puede un blogger o cualquier persona o institución que tenga una web, utilizar la plataforma? Lo primero sería crear una cuenta gratuita y a partir de ese momento podría “activar” preguntas que serán lanzadas al mundo desde la plataforma o desde la propia web o su blog personal.

Veamos una prueba real operativa, y así hacemos bueno lo de utilizar la jornada de reflexión de hoy, sábado 21 de Mayo de 2011, de las elecciones municipales y autonómicas:

Existen cientos de preguntas que en el dia a dia un ciudadano cualquiera desearía responder, sabiendo que su voto (su opinión en definitiva) va a ser tenido en cuenta.

La votación lanzada podría ser cerrada para un grupo de personas, definido previamente por quien activa la pregunta, o disponer de características como “ser mayor de edad”, “ser abogado”, ”ser Austriaco” o “ser mujer”.

Una plataforma como la iniciada por Kuestion.es podría ser plenamente utilizada por cualquier partido político, sindicato, asociación empresarial o social, o el propietario de un Blog como el mio, para exponer preguntas, sabiendo que nadie vota 50 veces y que se cumplen todas las garantías. Cada uno sabrá qué hacer con el resultado de la votación, sea esta una sola pregunta o todo un Kuestionario (la K es de Kuestion.es).

La última pregunta tiene que ver con una que ha surgido estos días por la plataforma “DEMOCRACIA REAL YA” y que ha evolucionado desde la Puerta del Sol en Madrid a muchas ciudades del mundo, aquí va:

No será la última vez que hablemos de la plataforma en este blog. Me gustaría desde aquí hacer un llamamiento a quienes tienen un espíritu joven y deseen participar en este proyecto, sabiendo que no hay más que ganar que la satisfacción de empujar un movimiento que beneficie a los ciudadanos anónimos de todo el mundo, además de aprender en el camino.

Sin que sea nada extraordinario, es un servicio a tener en cuenta, aunque existen alternativas profesionales de empresas como Microsoft, Adobe, Huddle, Skype, e incluso en el mundo de software libre como Dim Dim. Para profundizar sobre esto aquí un artículo interesante.

Si me he decidido a romper mi larga temporada alejado del blog, e incluso posponer el articulo casi acabado orientado al nuevo y esperanzador servicio CAJA FUERTE DOCUMENTAL PERSONAL del Colegio de Ingenieros Técnicos Industriales de Navarra, es por un hecho curioso que me ha sucedido con WEBEX Servicios al Cliente Spain.

Tras una serie de cruces de mensajes acerca de cómo hacer el pedido, ha sido la prepotencia y falta de flexibilidad de esta empresa la que me ha decidido a plantearles que se multipliquen por cero, pero que no contarán conmigo como cliente mientras no modernicen sus modos de hacer, eliminen la prepotencia en su trato y acepten la Ley de Firma Electrónica ya que tratan con clientes en España.

Un día como hoy, contacto con los servicios de webex y tras una serie de llamadas y correos me activan el servicio. Me sorprende cuando, disponiendo de más de 12 idiomas, no lo han personalizado a español, a pesar de que disponen de él (pero en la lista no está entre los elegibles..).

Paralelamente a este proceso, que hasta hoy no han personalizado aunque dicen “que estan en ello”, y a pesar de que ya había pagado la primera mensualidad, me insisten en que para personalizar a mi idioma, debo rellenar un documento de Word. Comienza la juerga.

Una vez realizado el doc lo envío y me comunican a los dias..que he olvidado firmarlo, por lo que siendo un documento de Word, y aunque Microsoft no dispone de capacidades de firma electrónica validada y sellada, firmo electrónicamente con mi certificado de Firma Profesional y listo.

Nuevo mensaje de Webex Servicios a cliente Spain, donde me dicen que “oh, olvidó firmar en la celda signature..”

Echo unas risas porque veo a esta gente bien atrasada en estos temas y contesto que mi firma electrónica es legal en España, que entiendo que quizás no lo han visto bien en Microsoft Word..

Nueva contestación tras uno o dos dias, pidiéndome la firma manuscrita escaneada en la celda signature. Comienzo a cabrearme, porque la estupidez me puede normalmente y la burocracia de la peor ralea suele ser síntoma de imbecilidad . En mi contestación, les dejo claro que entiendo que disponen de un experto calígrafo para analizar mi firma, pero que no obstante, les envío amablemente, y sin que me lo hayan pedido, mi DNIe escaneado, donde aparece flamante mi firma manuscrita, la misma que a mis hijas de pequeñas les daba verguenza cuando firmaba las notas ;D

Nuevo mensaje a los dos días (a todo esto el sitio sin personalizar en español, por lo que no lo uso) donde me dicen que debo escanear mi firma. Qué? Esto ya es el cachondeo! Seguro que hay alguna cámara grabándome por ahí puesta por mis amigos para echar unas risas a mi costa.. Pueso no. Van en serio.

Y si les firmo con la firma manuscrita de algún famoso? Y si pongo un garabato sin más, a ver si traga su experto calígrafo y echamos una risas todos ?

Al final se impone mi modo razonable y pego en la celda signature mi firma escaneada. Han conseguido doblegarme ;-) !!

Tras el envío y otros dos dias, me dicen que sea tan gentil de imprimir el documento, firmarlo y escanearlo..

!!! Toma ya!!

Han cogido en CISCO Webex lo mas tonto del mundo mundial?? Son los responsables de la amable señorita que me atiende imbéciles ?? Ostras!! Dios !! Me estan espiando por alguna cámara y riéndose a carcajada limpia !!

A ver, repasemos: les he enviado 5 documentos distintos, mi DNIe escaneado, todos los datos, mi firma escaneada..

Ahora me piden que imprima el documento, que lo firme, que escanee el documento y se lo envíe.. (se me guiña un ojo repetidamente como a Martes y Trece..). No puede ser. Estos son CISCO Webex !! Ofrecen video conferencia y VOIP.. No importa! Son incompetentes y no merecen clientes actuando así!!.

En otras circunstacias les habría dicho que por favor usen el servicio avanzado Tractis Contracts de una empresa española, de verdad avanzada, que yo pago el euro que cuesta ese servicio… Pero no !! Que se multipliquen por cero!

Que les vayan dando y aprendan un poco de cómo se debe tratar a un cliente. En España existe una Ley de Firma Electrónica. Existen avanzados servicios de Terceros de Confianza. Disponemos de certificados y software de firma..

No les vale? No aceptan las leyes de nuestro pais? Pasan de sistemas flexibles como Tractis Contracts ? Pues a que les vayan dando!! Hay demasiados servicios de valor en sistemas de VOIP en el mundo como para andar con gente tan poco solvente.

Mi última acción, además de llorar  por mi perra suerte encontrando burócratas como estos de webex, es enviar un mensaje para que webex venda sus servicios allí donde puedan, que al menos en mi caso prefiero buscar nuevos horizontes donde el talento no escasee.

He agradecido a la señorita que me ha atendido su trato, pero es Webex lo que me echa para atrás, su intransigencia, su no aceptación de otros modos de hacer, su imposición de un método caduco de hacer el pedido y su prepotencia en el trato a un cliente.

Que no acepten la Ley de Firma Electrónica ni tampoco el escaneado de mi DNIe (donde aparecia mi firma) es simplemente la demostración de que sus responsables han perdido el norte en el trato a clientes y al menos aquí no están a la altura.

La Firma electrónica en todo caso ya es un derecho en España y la propia Administración abre servicios avanzados y se obliga a si misma a activarlos como muestra la Ley 11/2007, dando a los ciudadanos nuevo modos de relacionarse, más seguros, más rápidos, más eficaces.

Ha llegado el momento de que lo exijamos desde nuestra posición de ciudadanos y empresas, además del que nos aporta ser clientes, por lo que harán bien las empresas, incluso extrajeras, en asumirla si quieren clientes españoles.

Esa es al menos mi posición y la mantendré. Aunque les parezca un tema menor, es mi decisión de utilizar la firma electrónica y la existencia de legislación en mi país la que me lleva a adoptar una posición de fuerza, hasta el punto de desistir de utilizar sus servicios.

Han reducido de un modo brutal envíos inseguros o inadecuados de correo electrónico y mejorado en gran medida el modo de trabajo de sus clientes, que ven cómo pueden acceder siempre a la sede de su proveedor a encontrar, descargar o incluso subir cualquier información que desean.

Que han perdido un fichero que recibieron por correo ?  se conectan a la sede electrónica de su proveedor y ahí está, firmado, seguro, salvado, siempre a su disposición.

Recientemente se suscitaron una serie de comentarios en un cliente de una sede digital web, ya que necesitaba acceder a un documento antiguo que él sabía que había estado en la sede digital del proveedor pero no lo encontraba. Comenzó la fiesta y las interpretaciones.

“Pero yo pensaba que todos los documentos de la sede se salvaban para siempre, o al menos eso creía !! ”

Realmente ese problema que pudo haberse dado (la infraestructura que soportaba las sedes digitales era Masbytes y tenía salvada TODA la información) se debe a que existe una grave ambigüedad en los servicios que se ofrecen en internet, máxime con el crecimiento del modelo SaaS y activación de muchos servicios “en la nube”.

Realmente todos los que dicen que salvan tus datos los salvan PARA SIEMPRE?

Aqui existen todo tipo de estrategias, pero lo primero es mirar muy bien el contrato de servicio que firmamos con el proveedor, ya que en muchas ocasiones no se especifican más que “se realiza un backup diario”, pero que no clarifica (sin mala intención normalmente) cual es el alcance de ese backup, cual es el período de retención de los documentos de ese backup, durante cuánto tiempo será factible recuperar algo de ese backup, cuándo ese backup “habrá desaparecido” porque otro “mas reciente” ocupó su lugar (aunque podrían no existir en él todos los documentos del primero..).

Cuando formalizamos un acuerdo con una infraestructura que va a lanzar Sedes Electrónicas Web para el mundo de la pyme, hacemos hincapié en la importancia del “tipo de backup” que va a conectarse al servicio de sede digital, e insistimos en que se clarifique el verdadero alcance de ese backup.

Muchos clientes no saben que una buena parte de su “información viva” reside en los backups una semana como mucho, y el siguiente backup que se realiza “sustituye” o “machaca” el anterior. Este servicio es perfectamente válido para la inmensa mayoría de los clientes de una sede digital, pero completamete insuficiente cuando te comprometes como organización a custodiar durante x años TODOS los documentos generados para tus clientes , además de aquellos que el propio cliente haya “subido” a la sede digital con la confianza de que tus backups los salvarán y “siempre estarán ahí”.

Nadie está libre de riesgo

No hay peor estrategia que la ambigüedad en estas cuestiones, ya que puedes perder limpiamente un cliente (y no vamos a entrar en denuncias legales) si “el creyó”, tras la lectura del contrato ambiguo, que el backup que se realizaba salvaba para siempre la información, o al menos para los 5 años que muchas administraciones exigen en ciertos documentos.

Las Sedes Electrónicas Web en el mundo Pyme estan avanzando a pasos agigantados, como puede demostrar Masbytes en su día a día, pero ha sido en fechas muy recientes cuando se ha “CONECTADO” al sistema de sedes electrónicas web el servicio de CUSTODIA DOCUMENTAL, lo que permitirá definir con mucha mayor claridad los períodos de retención mínimo de la documentación y que ni los propietarios de las sedes, ni los clientes de estas, se llamen a engaño, sabiendo que su información va a estar todo el período fijado y asegurado en 2 DataCenters distantes y sincronizados.

Este cambio fundamental en las Sedes Electrónicas Pyme, que desde analiTICs21 promovemos en infraestructuras excelentes (Masbytes, Nlink, CITINavarra), llega casi a la vez que la incorporación de TRACTIS como elemento fundamental en la autenticación con certificados de muchos paises del mundo, facilitando el acceso con DNI electrónico para clientes sin que éstos hayan tenido que instalar los drivers del DNIe, elemento este que definía un caso de uso muy negativo.

Muy al contrario, mediante la autenticación con certificados vía TRACTIS, que utilizan los comandos APDU del DNIe, la experiencia es tan abrumadoramente distinta, que es lo que nos lleva a proponer el mundo:

!! No instaleis los drivers del DNIe por favor, porque vuestra experiencia de uso con nosotros será extraordinaria” !!

Pero volvamos al elemento central del artículo, la conexión de las Seled Digitales Web ecoPFN a servicios especiales de backup longevo.

Los clientes de una Sede Digital deben disponer de capacidades especiales

Quienes se planteen disponer de un servicio de Sede Digital, deben tener en cuenta que existen unos pocos servicios críticos, sin los cuales no estaremos hablando realmente de una Sede Electrónica sino de un espacio de intercambio (Dropbox, google doc ejem) o un simple espacio FTP. Concretamente debería poder:

Subir y descargar en cualquier momento:  desde cualquier lugar, mediante acceso seguro y autenticación fuerte, que incluya certificados digitales sólidos, incluyendo DNIe.

Firmar electrónicamente cualquier fichero: Los usuarios de una Sede Digital tendrán la posibilidad de firmar cualquier documento en el instante que decidan, desde cualquier lugar.

Cifrar y descifrar ficheros: Por mucha que sea la confianza que depositemos en la infraestructura que mantiene los sistemas, es vital que dispongamos de posibilidad de cifrar/descifrar la información que va a ser alojada, de modo que ni siquiera un técnico indeseable esté en condiciones de ver sus datos.

Realizar Backups automatizados:  Su infraestructura debe salvar los datos de modo automatizado, bien sea un backup “normal” o mediante un servicio de custodia documental que mantenga toda su información un período definido de años.

Crear ilimitadas cuentas sin coste adicional: Dispone de cientos de clientes y empleados? entonces deberá poder crear automáticamente cuentas para que se conecten y descarguen información sencillamente, e incluso firmen documentos o contratos eficazmente, mediante  usuario/contraseña  y/o  certificado electrónico.

Subir cientos o miles de archivos automáticamente:  Y que sean firmados o cifrados (o ambos), notificando automáticamente a sus clientes.

Autenticación con certificados: Cualquier certificado electrónico, incluyendo el DNIe (siempre que la entidad emisora incluya servicios de validación de sus certificados en tiempo real -a diferencia de la FNMT-) deberá servirnos para identificarnos en la Sede Digital, como uno de los elementos clave que nos recuerdan a la evolución de los cajeros automáticos.

Controlar qué ocurre en la Sede:  Tener completo control de qué sucede, quién accede, qué se ha descargado tal usuario, qué ha subido este cliente.., y en definitiva diponer de una buena trazabilidad ligada a la información y los usuarios es muy importante.

Calidad de servicio

 Cuando nos planteamos como organización dar el paso de tener nuestra Sede Digital Web (Sede Electrónica Web), es fundamental conocer elementos básicos como ancho de banda garantizado,velocidad de descarga y calidad de servicio, ya que hay quien instala esta funcionalidad en su propia empresa y observa desesperado que la calidad del servicio y velocidad es de una calidad horrible, además de que ocasiona un cuello de botella en su ADSL y pierde prestigio entre sus clientes.

Las imágenes que vemos en este artículo corresponden a una de las infraestructuras más sólidas que ofrecen actualmente el servicio a las pymes de Sede Digital Web ecoPFN (Masbytes) en España, al ser un ISP experimentado.

Líneas redundantes y servicio no sólo de Backup sino de Custodia son su mayor diferenciador, lo que evita pérdidas de documentos al mantenerlos todos, aunque sean borrados de la Sede por un usuario.

Comunicaciones excelentes

 En esta imagen podemos apreciar datos del 2010 en Masbytes, de una de sus líneas, que muestra datos entrantes y salientes. Los clientes disponen de 2Mb garantizados, aunque pueden contratar mucho más para su Sede Digital si así lo desean.

  Idéntica información de otra de las líneas, que aportan seguridad adicional.

Una línea de servicios de futuro

Aún no ha llegado a la PYME de modo nítido la necesidad de disponer de su Sede Electrónica, pero eso está ocurriendo en estos momentos, al menos en España, donde la confluencia de medidas, legislación, iniciativas del Gobierno y Ley 11/2007 están creando un contexto muy rico. Si a esto unimos la profunda crisis (económico/política/institucional) e incremento de servicios en Internet, la Sede Digital Web va a ser una realidad para miles de ellas.

Quiere eso decir que las empresas no usarán las Sedes Electrónicas de la Administracion pública?  De ningún modo !

Estos nuevos servicios poco a poco van siendo activados y caminan en la misma dirección, aportando mismas experiencias de uso, pero no entran en la utilización tan versátil que la Pyme requiere en cuanto a su información y la de sus clientes.

Las Sedes Digitales Web como la que vemos en este artículo, que Masbytes ofrece  a las pymes de todo el mundo (en diferentes idiomas), disponen ya de varias herramientas y API´s que posibilitan que una empresa suba de modo automatizado cientos o miles de documentos a su Sede Electrónica, incluso desde su ERP, siendo firmados y alojados en cada una de las zonas de sus clientes, que serán avisados automáticamente de ese suceso y sabrán que tanto facturas como otros ficheros están ya en la plataforma de custodia online a su disposición.

Son muchas las Asesorías (laborales, fiscales, etc) que están activando en primera instancia sus Sedes Digitales Web, ya que normalmente son un tipo de empresa avanzada, eficaz, celosa del rendimiento y reducción de costes, que está sensibilizada por la seguridad y el cumplimiento legal !

Pero son simplemente la avanzadilla ! A ellas se van a sumar miles de empresas que por muy pocos euros al mes dispondrán de este nuevo servicio, este nuevo paradigma de la empresa del futuro que tendrá una ubicación física pero tambien una Oficina Electrónica moderna.

Por último, es importante que extrememos el cuidado y seamos concientes de si disponemos de un backup o de un servicio de Custodia Documental “conectado a” su Sede Digital, ya que un simple backup nunca salvará toda la información sino que se limitará a tener los datos de la última semana o último mes. Esto significa que si hoy comprobamos que hace diez meses se borró un fichero inadvertidamente, ya no estará recuperable, ya que el backup normalmente tendrá la información de unas pocas semanas atrás.

El servicio de Custodia Documental, como el que Masbytes ofrece conectado a las Sedes Electrónicas Web ecoPFN para pymes, nos permitirán aumentar el período de retención de los ficheros, sea uno o cinco años.

No te quedes atrás en el proceso de disponer de tu propia Sede Electrónica Web, como servicio avanzado que ofrecerás a tus clientes y para tu propia organización. Diferenciarnos constantemente de nuestra competecia y aportar nuevos valores a nuestros clientes son medidas clave en la situación actual!

Está naciendo un nuevo modo de hacer, una nueva forma de relacionarnos con nuestros clientes, aportando capacidades de firma y cifrado, ahorrando papel de modo extraordinario y mejorando la seguridad, como una de las síntesis de tanto cambio tecnológico y crisis.

 Asistimos a este despegue y es mejor que seamos conscientes de ello.

El mercado y la nueva situación van a hacerlos desaparecer limpiamente.

 A lo largo de estos últimos años los responsables de CITI Navarra han comprendido, adelantándose varios años a muchas organizaciones, que el camino era incrementar la calidad, mejorar la seguridad, invertir en futuro, extenderse en Internet ofreciendo servicios a todos los Ingenieros Técnicos Industriales, y tambien a empresas de todo tipo, estén donde estén fisicamente.

El resultado de su apuesta lo dirá el futuro imediato, pero hagamos balance de su trabajo hasta la fecha:

• Todos los ingenieros presentan los proyectos electrónicamente, con firma digital
• El Colegio Visa los proyectos y los firma electrónicamente, entregándolos al Gobierno de Navarra
• Las facturas que emiten (unas 3000 al mes) las firman electrónicamente y cuelgan de su gestor documental web para hacerlas accesibles a cada cliente
• Las nóminas las firma electrónicamente tanto el Colegio como los empleados al recibirlas
• Se han dotado de un DataCenter de última generación virtualizando servidores y activando servicios innovadores vía Internet
• Han certificado la organización en la ISO 27001 a fin de mostrar al mundo la seguridad de sus sistemas y la gestión profesional y controlada de los mismos
• Ofrecen un ERP de gran calidad en modalidad SaaS soportado por su renovado DataCenter
• Han creado con ANALITICS21 el proyecto Sedes Electrónicas Web para la PYME, de modo que cada empresa tenga la suya en el DataCenter CITI Navarra, también en modalidad de pago por uso
• Han activado el proyecto Backup Online por el que cualquier empresa puede salvar su información en su DataCenter de modo seguro, sencillo y económico, evitando desastres de pérdidas críticas
• Acaban de firmar un convenio con la Autoridad de certificación Firma Profesional con el fin de ofrecer los mejores certificados electrónicos tanto a ingenieros como a empresas de toda la comunidad
• Se han dotado de unas nuevas instalaciones que posibilitarán la ambiciosa etapa que se abre
• Disponen de un moderno sistema de vídeo conferencia poteciado por servidores streaming para que los usuarios puedan ver y oir los eventos incluso cuando hayan ocurrido ya, merced al servicio de grabación

Este despliege que ha constado varios años construir no se hace al azar. Quienes dirigen esta organización hacen gala de una visión y de un valor que se echan de menos incluso en el mundo de la empresa, y se encuentran en disposicion de expandir sus servicios por toda España.

Hace muy pocos días se desarrolló en las nuevas instalaciones del Colegio una jornada promovida por BIMADIT SEGURIDAD, empresa responsable de todo el armazón tecnológico del DataCenter y que ha contado con todo el apoyo de Microsoft y su Hyper V. 

Responsables tanto del Colegio como de ANALITICS21 hemos apoyado la sesión para mostrar todos los servicios que esa infraestructura está haciendo posible.  Es importante tener claro que sin una infraestructura crítica bien montada, redundante, segura, mantenida y certificada con ISO 27001,  es muy difícil activar servicios valiosos para la empresa.

Ahora todos los servicios innovadores que están articulándose, incluso facilitando la unión de varios colegios de ingenieros alrededor de CITI Navarra, van a demostrar lo que tantas veces digo en mis artículos: Mientras hay quien se cobija hasta que escampe, otros profundizan en medidas anticíclicas para el futuro, arriesgan e invierten con visión.

Sólo me queda decir que es una suerte para ANALITICS21 poder participar en este despliegue y esperar que otras muchas organizaciones materialicen sus proyectos con la misma visión innovadora que en CITI Navarra.

Otra revolucion que llega. Leer casi como en papel

Con algunos años de retraso, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha tenido a bien añadir el Explorador ESecure a la lista de aplicaciones avanzadas que aportan valor a empresas y ciudadanos.

Cuando creamos ESecure, antes incluso del nacimiento de KSI (empresa de la que sigo siendo socio y que compagino con mi nuevo proyecto empresarial analiTICs21 ), mucho antes del nacimiento del DNIe en España, antes de la normativa sobre Factura electrónica, mucho antes del nacimiento de la excepcional Ley 11/2007 de Administración electrónica, no existía ninguna herramienta de firma y cifrado en España del calibre de ESecure.

Cualquier profesional de las TIC (Tecnologías de la Información y Comunicación) conoce la trayectoria de INTECO en nuestro país y las innumerables tareas de reordenación del sector, racionalización de recursos, activación de ayudas y estudio de líneas de acción que mejoran la seguridad en Internet, tanto con el centro de alerta temprana como con su labor de difusión creciente. El retraso en publicarla lo hemos aprovechado realmente para madurar ESecure de un modo extraordinario.

Imagen de la web de INTECO donde se referencia el Explorador ESecure

Cuando contactamos con INTECO para ofrecer nuestra versión gratuita de ciudadanos del Explorador ESecure que habíamos construido en KSI (y que tras varios años ha crecido y madurado enormemente), no existía en Alerta Antivirus ni siquiera una categoría de herramientas donde situarla.

ESecure, que había surgido como una alternativa a nuestro querido PGP (Pretty Good Privacy), integrándolo en las PKI modernas, ya tenía todas las capacidades de firma electrónica y cifrado que muestra hoy día, aunque en aquel momento aún no se había desatado el impulso a nivel europeo y español de la firma electrónica y resto de normativas que orbitan sobre ella.

Sin embargo ha sido en los últimos 4 años cuando ESecure se ha abierto a todos los estándares de firma (CAdES, PAdES, XAdES) pudiendo firmar CUALQUIER fichero, de cualquier tamaño, con cualquier certificado (incluido el DNIe) y ha cambiado nuestra aspiración de llevarlo a todo tipo de personas y empresas, haciéndolo más amigable, abierto y robusto, de la mano del magnífico trabajo de Santiago Castaño, responsable de desarrollo de KSI.

Para aquellos que no están en este mundillo de seguridad documental, utilizar cualquier solución de firma presenta el problema fundamental de la necesidad de una cierta formación, así como del requisito obligado de disponer de un certificado electrónico para poder firmar.

Imagen de las avanzadas capacidades de ESecure con ficheros PDF

Es inevitable que estos elementos vayan llegando a toda la población, en gran medida por el formidable impulso que desde la Administración europea y española se está realizando en la extensión de los certificados (donde el DNIe es uno más) y mediante la activación de normativas ambiciosas (Ley de Firma electrónica, DNI electrónico, Ley 11/2007 de Administración electrónica) que movilizan a ciudadanos y empresas (Normativa de Factura electrónica).

Poco a poco toda la sociedad va a ir integrándose en estas nuevas vías, y es cuestión de tiempo que en la empresa privada se expandan y consoliden definitivamente estas nuevas tecnologías y nuevos modos de relacionarse e intercambiarse información.

El Explorador ESecure es ya una herramienta más en esa lista de INTECO, pero debemos leer entre líneas: Firma cualquier tipo de fichero mediante el estándar CAdES, incluyendo validación de certificados y sellos de tiempo.

Firma también PDF inyectando en su interior la firma y evidencias para longevidad, e igualmente puede inyectar la firma en Office y Open Office, y tambien trabaja limpiamente con ficheros XML, por supuesto con validación de certificados (si la entidad emisora trabaja correctamente y ofrece el servicio de modo abierto y sin coste) y sellos de tiempo.

ESecure no se limita sólo a la firma de cualquier fichero, sino que ofrece dos vías para el cifrado, bien usando certificados (cifrado asimtétrico) o sólo contraseñas (cifrado simétrico).

La utilización plena de ESecure permite de un modo efectivo que cualquier individuo o empresa sea capaz de llevar en su día a día estas sencillas funciones que mejorarán su seguridad, reducirán costes y evitarán la destrucción de millones de árboles al ahorrar papel.

Ahorro que en esta línea se producirá de un modo formidable cuando esos miles de millones de PDF firmados (formato universal y estándar ISO) puedan ser leidos en los magníficos eBook y revolucionen no sólo el mundo educativo sino el laboral, universitario, y empresarial.

Si la Agencia Tributaria en España ha cuantificado el ahorro EN UN AÑO de 15.000 millones de euros y sólo con Facturas electrónicas, puede intuirse el ahorro monumental que se producirá cuando empresas y ciudadanos eviten la impresión de miles de millones de documentos (firma electrónica) y los puedan leer en dispositivos como los mencionados eBook, máxime con la bajada de precios que va a producirse tras la llegada de dispositivos como el IPad y competidores, que aunque espectaculares no son realmente dispositivos para lectura por el daño ocular que producen si los comparamos con los estupendos eBook

La imagen de un niño leyendo de un eBook es una ventana que muestra el futuro que viene a toda velocidad

La versión gratuita del Explorador ESecure que puede verse en la referencia de INTECO, no tiene todas las capacidades de las versiones profesionales, pero facilita ya la firma en todos los formatos estándares, cifrado y descifrado.

Cualquier ciudadano puede obtener además una licencia sin coste, que amplía las capacidades de la versión gratuita llamada USER, sólo a condición de realizar un curso online gratuito, desarrollado en centros homologados (como el Servicio Navarro de Empleo en Navarra) y que le aporta un conjunto de buenas prácticas para su uso pleno y seguro.

Otras versiones profesionales de ESecure (PRO y PYME) orientadas a su comercialización en el mundo de la empresa, se extienden ya en España e Hispanoamérica a buen ritmo, pero la versión USER gratuita está pensada para cualquier ciudadano.

Ha sido publicar INTECO la herramienta ESecure en su sección de herramientas avanzadas y ya hay muchas descargas y solicitudes del curso online que les permita promocionar esa versión gratuita (USER) a la EDU, eliminando las barreras de tamaño de fichero tratado. No obstante la version gratuita ESecure USER colmará la inmensa mayoría de las necesidades que un ciudadano puede tener en materia de firma electrónica, cifrado y borrado seguro.

Estas reflexiones me acompañan desde hace muchos años, y fue una de las razones por las que creamos  el Explorador ESecure, que dió paso a la creación de KSI, donde se mejoró enormemente a lo largo de los años y materializamos una versión gratuita para ciudadanos a la par que las versiones comerciales para el mundo empresarial.

Esta versión cumple ya seis años, pero ha sido en fechas recientes cuando se ha dotado a la aplicación de TODAS las capacidades de sus hermanas (las versiones orientadas al mundo profesional -PRO y PYME-) que en el mes de Diciembre 2010 estará descargable desde la web de KSI.

Firmar cualquier fichero, utilizar cualquier estándar, firmar INCLUSO FACTURAS, cifrar y descifrar cualquier documento o borrar con seguridad, son funciones de la nueva version gratuita de ESecure que surge en estos días (estamos en la última fase de pruebas y verificaciones) y con la que esperamos ayudar en esa idea fundamental de generalizar la firma en todos los ámbitos, incluyendo el privado o doméstico.

Imagen de ESecure firmando un documento de Office

Agradecer las informaciones sobre errores y sugerencias en ESecure

La versión gratuita del Explorador ESecure la entendemos como una aportación a todos los ciudadanos para que dispongan de herramientas especiales para mejorar su seguridad documental, evitando que tengan que comprar o mal usar otro tipo de soluciones.

Las decisiones que durante estos años hemos tenido que tomar, para ir aumentando las funcionalidades en la versión gratuita, han costado tiempo y discusiones, pero el resultado es espectacular y tenemos la esperanza de que muchas personas mejorarán en la seguridad de su día a día y la disfrutarán.

Como cualquier software, siempre será mejorable, y nadie está libre de errores. En todo caso aseguro que cualquier sugerencia será bienvenida, como los avisos que podais enviarnos ante el descubrimiento de cualquier error que se pueda reproducir.

Animo en el uso de ESecure y no dejes de conseguir un eBook para leer los documentos PDF que firmes, y los libros en formato electrónico que crecen  de modo esperanzador, aunque algunos nunca podremos dejar de leer también en papel.

Comprueba mi tarjeta please !!

Acaba el mes de Octubre, duro de trabajo pero prometedor, y me ha resultado imposible publicar el artículo que sobre INTECO y ESecure tengo preparado, documentado y ultimado al 99%.

Ha sido en la fase final de pruebas de la nueva versión del Explorador seguro ESecure, cuya nueva versión gratuita no dejará a nadie indiferente, cuando recibí la llamada de uno de los clientes que en los últimos meses ha completado el ciclo de implantación plena de certificados en la organización, resolviendo en ella  tanto temas de seguridad derivados de su próxima auditoría de renovación de la ISO 27001, como necesidades de gestión documental y factura electrónica.

Según uno de los responsables tenían algun problema con su certificado, ya que si bien todos los procesos automatizados se hacían correctamente, en el momento en que se respondía al PIN en el contexto de firma por el responsable del proceso, en ese instante en que la aplicación trataba de conectar con Camerfirma para validar el estado del certificado, se daba “algún error”..

Explicaba con buen criterio que podían eliminar del proceso la validación del certificado, aunque entonces el nivel de calidad bajaría mucho.

Para explicar su argumentación pensemos en una persona que va a un cajero automático con su tarjeta. Si cuando va a hacer una operación cualquiera (sacar dinero, transferencias, pagos..etc) el cajero no conectase con la central para comprobar el estado de la tarjeta (además de otras comprobaciones), podría darse el caso de que fuese el ladrón de nuestra tarjeta el que estuviese sacando el dinero sin ningún impedimento.

No podríamos aceptar un banco cuyos sistemas de cajeros no conectasen en tiempo real para validar la tarjeta del usuario que esté en ese momento actuando en el cajero!!

Volviendo a mi cliente. Como buen conocedor ya de los recovecos de la legislación sobre firma y eFactura, me planteaba que siendo un lote de facturas lo que iba a firmar, necesitaba “inyectar” en los ficheros firmados el estado del certificado, obtenido de la propia Autoridad Emisora en ese mismo instante. Y no sólo por una cuestión de prestigio o calidad, sino porque la normativa actual exige al receptor que verifique el estado del certificado de las facturas electrónicas, a menos que el firmante ya haya hecho la validación.

Es precisamente el deseo de salvar a sus clientes del “marrón” de tener que verificar su certificado,  lo que hacía que tratase por todos los medios de contar con la validación online OCSP del certificado, en este caso de Camerfirma.

Error en la devolucion de la comprobacion de Camerfirma

Podría firmar con otro certificado, pero en este caso sólo disponía de uno de la FNMT, y como sabéis muy bien si habeis ojeado alguno de mis artículos, la Fábrica Nacional de Moneda y Timbre es una organización profundamente equivocada y atrasada en este tema, pretendiendo cobrar a cada ciudadano o empresa por validar su certificado.

En el mundo de Alicia en el país de las maravillas, parece que los responsables de estas cuestiones en la FNMT se ven cobrando ingentes cantidades de millones de euros a los ciudadanos españoles si quieren validar sus certificados, en lugar de facilitar como hacen otras CA (incluso privadas) el estado del certificado en tiempo real, como algo consustancial con un servicio de calidad (ay del banco que no validase las tarjetas en tiempo real… pero ese es el mundo real de la empresa privada y viva ).

Volviendo de esa digresión mental, le reconocí al cliente que efectivamente no, FNMT no era la solución, como se vió en profundidad en tiempo de consultoría e implantación, por lo que le dí la seguridad de que me ponía en marcha a investigar para conocer en detalle dónde estaba el problema, si en el cliente, en nuestro software, en su red, internet, algun servidor de Camerfirma eventualmente caido (nos pasa a todos alguna vez) o se trataba de alguna tontería en la configuración.

Me encontraba en ese momento en la fase final de las pruebas de la nueva versión gratuita de ESecure que Santiago Castaño, Director Técnico de KSI, me había enviado con el fin de colgarlo en la web para descarga gratuita tras la batería de pruebas que 5 personas estábamos realizando, una vez que, como explicaré pormenorizadamente en el próximo artículo, INTECO ha añadido a ESecure como una herramienta avanzada en su  web, aunque haya sido con varios años de retraso.

Desde mediados de Noviembre podréis descargar la nueva aquí, desde la web de KSI y firmar en cualquier formato (CAdES,PAdES,XAdES, y también Office y Open Office).

ESecure en Herramientas avanzadas de INTECO

Tras verificar que con TODAS nuestras herramientas el error persistía, y el asunto comenzaba a ser sospechoso (no era posible que Camerfirma estuviera haciendo mal la validación de sus certificados !!), comencé una batería de pruebas con certificados de GSE Colombia, una Autoridad de Certificación con la que colaboramos estrechamente y cuya infraestructura “está dentro de” Camerfirma.

Fallo. También daba error y además el mismo. Firma inválida. Al parecer Camerfirma estaba devolviendo mal firmadas las solicitudes de validación. Imposible!, o era un error nuestro o lo estábamos mirando mal..

En los siguientes días no sólo comenté el asunto con compañeros sino que me puse en contacto con el Director Técnico de GSE Colombia, Anthony Molina, quien corroboró los problemas que también estaba teniendo en la validación de los certificados emitidos por GSE, ya que el sistema de validación OCSP está integrado con el de Camerfirma.

Comenzamos a tener evidencias de que utilizando distintas tecnologías, distintas librerías y diferentes herramientas, obteníamos la desconcentante demostración de que Camerfirma estaba operando mal y devolviendo a los clientes que comprobaban su servicio OCSP Responder, respuestas mal formadas o erróneas.

En este punto de la investigación te das cuenta hasta qué punto un error de este calibre podría estar afectando a usuarios y empresas. Recordé el mundo bancario y sus errores y responsabilidades, y me detuve a pensar en sistemas de control de errores, sistemas de verificación y calidad..

Todos cometemos errores por supuesto, pero tras 10 días parecía tiempo suficiente como para que los servicios internos de Camerfirma hubieran detectado el error. En un contexto de voto electrónico, vendría a suponer que no se verificarían bien los usuarios votantes, lo que podría originar graves perjuicios..

Dada la gravedad del problema, decidí consultar con los amigos de TRACTIS, por su acreditado nivel técnico y porque en alguna ocasión nos hemos apoyado en análisis de problemas.

Bingo ! Pocas horas mas tarde pude comprobar las interesantes investigaciones de David García, Director Técnico de TRACTIS, yque venían a confirmar mis temores.

Dado el contundente nivel de análisis de Tractis, mis evidencias mediante OpenSSL, las pruebas desde Colombia y el fulminante chequeo del Director Técnico de KSI diciendo “nuestras librerías apuntan a que Camerfirma está firmando mal las solicititudes OCSP”, todo estaba finalmente claro. 

Felicitaciones desde aquí a David García (Tractis) por la ayuda técnica prestada para corroborar nuestras afirmaciones, profundizando hasta el punto de precisar que al parecer utilizan la clave privada correspondiente al certificado antiguo..

Tras 12 días con el problema en la mesa no habíamos informado a nadie, pero me sorprendió que en ningun estamento o web apareciese el problema  !! Es que nadie hace firma completa en este pais con Camerfirma ;-D  ?  !!!

Como no parece existir un medio conocido para informar a Camerfirma de estos casos, desde analiTICs21 solicitamos a Tractis que, aprovechando sus contactos con Camerfirma, les informasen del fallo, cosa que desde Tractis nos han confirmado que ya han hecho.

Tres días más tarde el problema sigue ahí (ya hace 15 días de la detección y la solución es relativamente simple) por lo que finalmente me decidí a retrasar mi artículo de este mes e informar del proceso vivido, ya que ha habido tiempo suficiente para que se corrija el error, equiparable al que un banco cometería si hiciese mal la comprobación de si mi tarjeta ha sido anulada o robada.

En mi próximo artículo, ya casi hecho al 100% sobre ESecure e INTECO, aprovecharé para aclarar cómo acabó esta historia, con la seguridad de que los chicos de Camerfirma habrán hecho su tarea y con la esperanza de que todos los Prestadores de Servicios de Certificación vayan paso a paso por el camino de la calidad, la transparencia y nos den información precisa de sus aciertos y errores, que como humanos todos cometemos.

Ante esta situación, una vez detectado por un cliente avispado y verificado por mí, hemos de reconocer que había dos opciones:

•   No es un problema mío sino de Camerfirma, así que he salvado mi papeleta ante el cliente..
•   Continuar investigando con apoyos especiales hasta tener datos concluyentes dada la gravedad

Está claro que elegí la segunda opción, no sin avisar a mi cliente de cual era el problema.  El proceso de búsqueda ha finalizado tras los estupendos apoyos de tres colegas de gran calibre y la conclusión es clara. Creo que a los clientes de los servicios de certificación se les debe una explicación razonable, pero sobre todo la seguridad de que se mejorarán los elementos internos de revisión para evitar que estas situaciones se produzcan y sean los propios clientes los que alerten del problema.

La profunda crisis económica actual está sirviendo para que muchas ideas del mundo de la economía,  de la Administración, del mundo laboral y del mundo financiero se pongan en cuestión. Hay quienes ya dicen con claridad que muchos  cientos de miles de personas en España no volverán a trabajar, por su edad crítica y baja formación.

Hay también quienes predican ya con frases como “generación perdida” y otras expresiones alarmantes  no carentes de realismo, dada la aparente paralización de muchas administraciones y responsables públicos en lo que a empleo joven se refiere.

Movimientos orientados a actuar con decisión

En ámbitos profesionales TIC se remodelan servicios, se zambullen en la moda actual tendente a virtualización, software libre, profundización en el modelo SaaS y por supuesto a nadie se le ocurre renunciar a productos y servicios de seguridad TIC ni mucho menos a la Formación de los profesionales -en un alto número ahora de nuevo desempleados-.

La Formación como defensa ante la situación presente

En esta última línea, me ha tocado trabajar mano a mano, durante los últimos 8 meses, con personas del Instituto CuatroVientos de Pamplona y de la Delegación de Navarra de AENOR. Coincidimos en una serie de ideas clave que han propiciado el diseño de un programa de Postgrado que se orienta a:

•  Dotar de contenidos innovadores, prácticos y eficaces a empresas, profesionales y desempleados en la línea de Sistemas de Gestión de Seguridad de la Información (SGSI).
•  Apoyar a la pyme actual y sus profesionales para un reciclaje sólido en Seguridad TIC, dotándolos de herramientas y no sólo aportando conocimientos teóricos.
•  Ofrecer nuevas líneas de acción innovadora y eficaz a Directores TIC, Abogados en nuevas tecnologías, Consultores en distintas áreas del mundo de la empresa (LOPD, LSSI, responsables de Auditoría, Calidad y RRHH), Informáticos y profesionales que buscan con seriedad un reciclaje profesional que responda a la crisis citada y ayude a abrir nuevas vías.

El Instituto CuatroVientos de Pamplona es la imagen viva de un centro dinámico e innovador hecho por profesionales de distintas disciplinas a lo largo de los últimos 25 años. Un centro privado concertado en secundaria que, siendo una Cooperativa de profesores con un alto grado de preparación y siempre dispuestos a abordar sistemas de mejora con calidad, han logrado situarse entre los centros más prestigiosos de la zona norte innovando en educación formal y ofreciendo al mundo profesional líneas sólidas de formación actualizada de un modo constante.

Son varias las líneas formativas que este centro ofrece cada año, pero el nuevo Postgrado que surge  en Seguridad de la Información tiene características únicas porque:

 - Ha sido diseñado en cooperación con AENOR

 - Los alumnos (y las empresas que inscriben a trabajadores en los cursos) no sólo reciben conocimientos actualizados de las nuevas líneas que se van a desarrollar en los próximos años en Gestión de la Seguridad TIC, sino que reciben soluciones de software que van a ayudarles a resolver muchos problemas de su ámbito profesional (o de aquellas empresas que los contraten) en sistemas de calidad/seguridad, en sistemas de firma electrónica, en sistemas de facturación electrónica, en sistemas de Gestión Documental, en sistemas de Gestión de LOPD, en sistemas de Backup y en la preparación de auditorías internas.

 - Los alumnos obtienen la certificación AENOR  “Auditor de ISO 27001” lo que unido a las herramientas obtenidas les sitúa en una buena posición frente a empresas que desean contratar a profesionales pero con un inmediato retorno de inversión, de modo que son “útiles y rentables” desde el primer minuto.

El curso está diseñado con modulos presenciales y online, siempre con la idea de dar las máximas facilidades a cuantos profesionales, trabajadores y desempleados que necesitan formación sin dejar sus actuales actividades.

Nuevos puestos para la empresa del futuro

Quienes creemos que hay un margen muy amplio de trabajo futuro en Seguridad TIC y sobre todo en el establecimiento de modelos de madurez en la empresa inteligente (Sistemas de Gestión de Seguridad de la Información) basados en el estándar ISO 27001, no podemos dejar de ver la profunda crisis actual como una oportunidad para muchas personas y empresas. Se abre un tiempo en el que con cierta rapidez pueden obtenerse unos conocimientos que posibilitarán un aterrizaje en la empresa en nuevas funciones que sin duda se necesitan claramente.

Estoy convencido de que en el futuro no será fácil encontrar una empresa sin un responsable de Seguridad TIC. En la actualidad los jefes de área en Informática compaginan áreas tan dispares como el mantenimiento del parque informático, Sistemas, Seguridad, Diseño web corporativo, cumplimiento normativo, gestión de proveedores y hasta desarrollo. Por supuesto nadie en el mundo puede hacer bien semejantes y tan variados cometidos, lo que genera frustración y malos resultados.

Sólo cuando ocurren desastres, cuando el responsable abandona la empresa, cuando desaparece información o somos conocidos en el mundo por una multa millonaria por parte de la Agencia de Protección de Datos, nos damos cuenta de la importancia de una figura que consolide un modo de hacer en Seguridad TIC, que ocupe su tiempo en el establecimiento de Sistemas de Gestion en Seguridad, que coordine áreas y personas, que defina y ejecute las auditorías internas, que vele por el establecimieto de Planes de Contingencias y de Continuidad del negocio.

Muchas personas van a ser requeridas para esas funciones que están apareciendo ya, y es importante que se aclare desde el principio que no necesitan ser informáticos (aunque necesariamente su nivel irá creciendo paso a paso). Es imprescindible una formación guiada y asumir una línea de trabajo personal propia que logrará objetivos en muy pocos meses, pero siendo apoyado desde el inicio con un buen enfoque y futuros refuerzos.

Mientras nuestros políticos se dan lo suyo pero no se les espera para resolver de verdad los problemas, mientras se cierran docenas de miles de empresas y miles de profesionales llegan al paro, el Instituto Cuatrovientos junto a las personas y organizaciones que hemos participado en el diseño, creyendo en él, ha promovido este primer paso formativo que tiende a preparar personas para esas nuevas líneas que aparecerán en el mundo de la empresa más moderna, independientemente de su tamaño.

La definición del curso.  Inicio de un Itinerario de formación

Los bloques del Postrado son:

•  Seguridad Informática
•  Gestión de la LOPD
•  Gestión Documental Segura
•  Auditor de ISO 27001

Se desarrollará entre mediados de Octubre 2010 y de Enero 2011 y los modulos presenciales se desarrollan los días Lu, Ma y Ju en horario de tarde/noche.

Las herramientas que van a utilizarse en el Postgrado son de empresas del mundo de la seguridad y otras basadas en software libre,  lo que va a permitir desde el primer instante a los alumnos trabajar con gran nivel práctico, asimilar mejor la parte teórica y llevarse soluciones reales a su empresa tras la finalización del curso.

Para muchos es hora de iniciar con fuerza una nueva línea de trabajo, dejándose llevar por una organización de prestigio como el Instituto CuatroVientos, colaborando con empresas del mundo de la seguridad TIC y de las certificaciones.

 Tanto si te has visto afectado por los problemas de tantos miles de empresas cerradas, como si aún no has iniciado tu experiencia laboral, como si deseas incorporar nuevos elementos de valor a tu bagaje técnico actual, puedes contactar con el Instituto CuatroVientos y ver la posibilidad de hacer tu plan, bien sea inscribiéndote a todo el postgrado o realizando un módulo este año para continuar el siguiente con otra fase..

Es cierto que este post mío parece más una noticia que la exposición de una serie de ideas que defiendo permanentemente en mis artículos sobre seguridad TIC, acertadamente o no. Pero siendo consecuente con ellas, con mi experiencia en herramientas profesionales que orbitan sobre la gestión documental segura, y dada la extraordinaria consideracion que tengo de AENOR y del Instituto CuatroVientos, entiendo que soy fiel a mis objetivos de llevar propuestas de valor a aquel que que sea capaz de acoger las ideas que expreso humildemente, que aporto con los mejores deseos de que sirvan a la comunidad.

Todo depende de cómo se mire

He de decir, para que quede claro que puedo no ser objetivo, que el módulo de Gestión Documental Segura lo imparto yo, pero siendo también consecuente he de decir que es un módulo extraordinario para un Postgrado excepcional ;-D

Si coincides conmigo en que es momento de replantear tu camino o reforzarte en previsión de cambios, este Postgrado puede ser un inicio formidable. Dejarte llevar por profesionales que creen en lo que hacen con una orientación de futuro indiscutible, es una buena idea.

Más información podrás obtenerla en el propio Instituto:

Avda. San Jorge 2. 31012 Pamplona

 Tel (34) 948 315558
E-mail info@cuatrovientos.org   Web: www.cuatrovientos.org

Si hay una fiesta peculiar en el mundo esa es San Fermín, aunque aquellos que la hemos vivido toda nuestra vida nos parece la cosa más natural del mundo en un país lleno de fiestas de verano. Cualquiera que se asome a la televisión o la prensa podrá advertir graves sucesos en los encierros, como la actividad más peligrosa de las fiestas y también la más conocida en todo el mundo, pero también los magníficos recursos humanos y técnicos disponibles que se someten a auditoría en tiempo real día a día..

Muchos profesionales están trabajando como siempre en el mantenimiento de la seguridad, y año tras año se analizan resultados, se  mejoran líneas de acción, se tienen en cuenta datos recogidos de la experiencia, se planifican y preveen problemas que puedan surgir y se enfrentan a situaciones difíciles donde a veces el tiempo de reacción es muy pequeño y es un problema añadido.

Ha coincidido este año todo este armazón de trabajos, normalmente inadvertidos para quienes no se dedican a temas de seguridad en cualquiera de sus facetas, con las difícilmente planificables jornadas en las que la selección española de futbol ha ilusionado a todo el país, con muy muy poquitas excepciones a las que no me referiré aquí.

Nuevas acciones que no sólo han mostrado hasta qué punto hay descerebrados que no respetan el buen ambiente que viven quienes con ilusión esperaban los mejores resultados para España, sino una cierta falta de previsión (seguramente entendible por la dificultad de preveer los buenos resultados) de los responsables de seguridad ante la confluencia de circunstancias, personas y sentimientos.

No es momento de buscar culpables sino de tomar nota siempre desde la perspectiva de mejora y el cuidado de los ciudadanos y los entornos donde todos nos movemos con nuestras familias.

Una vez mostrado que la seguridad es fundamental en cualquier aspecto de nuestra vida, solo me queda en este corto “artículo vacacional” enviar un sincero cariño a los que como yo deseábamos que España fuera campeona del mundo, dejando acreditada una noble manera de luchar deportivamente y también a quienes de modo tan silencioso trabajan por la seguridad, a veces recibiendo críticas e incomprensión.

En el próximo artículo que estoy preparando para después de vacaciones trataré de presentaros distintas líneas de trabajo en seguridad TIC moderna, tanto en referencia a estándares, modelos de documentación, guías de formación, certificaciones y estrategias para implantación y auditoría, orientada a certificación o no para las pymes, sobre todo tras mi aterrizaje en los extraordinarios cursos que he recibido en AENOR impartidos por Tristan Ramaget, líder de Adhoc Security que pone un listón de calidad difícil de superar.

!!Somos campeones del mundo y San Fermín sigue su curso!!

Pensar de verdad en el cliente

En la últimas semanas me ha tocado impartir formación específicamente orientada a la implantación de un sistema de facturación electrónica en la Asociación Navarra de Empresas Laborales de Navarra.

Los alumnos se dividían entre trabajadores en activo (40%) y desempleados con buenos conocimientos del mundo de la empresa y de gestión (60%).

Está claro que su orientación era bastante diferente de partida, ya que mientras los que estaban en activo (Dios sabe por cuánto tiempo con la que está cayendo ;-) ) trataban de conocer los secretos clave para implantar un sistema de factura electrónica exitoso, los desempleados “de élite” que componían el resto de asistentes trataban de aumentar su bagaje para hacerse atractivos a una futura empresa.

El curso, taller o seminario (han sido 8 horas a tope) ha permitido a todos los asistentes conocer el reglamento de factura electrónica, enmarcar los distintos sucesos en las distintas normativas estatales y europeas surgidas en estos últimos años, pero desde una perspectiva limpia de intereses de venta de productos.

Han podido comprender cómo muchos de los sistemas de factura electrónica que han fracasado tienen entre sus defectos una falta de formación del emisor, mezclas indeseables de intereses entre consultores e implantadores,  la búsqueda miope de beneficios sólo para el emisor y al ya comentado ”ruido” y desinformación interesada existente en España y que dificulta la propia evolución de estos sistemas. 

A todo ello hemos de unir el conocimiento “suficiente” aportado en base a estándares de formatos, a estándares de firma y a los “engaños típicos” que pululan en diferentes lugares de nuestra geografía acerca de la legalidad de tal o cual formato y su argumentación…

Estoy convencido de que los alumnos han podido sintetizar con claridad las ideas clave que definen nuestro actual marco, entre las que están los contextos de emisión y recepción, la insuficiente atención prestada a dos de las opciones que tiene el emisor, como son la “subfacturación” (por ejemplo delegar en tu Asesoria el proceso de eFacturación) y la “autofacturación” (delegar en el receptor de la factura el proceso de firma) y a lo más determinante:  los sistemas de eFactura que se han creado pecan de una insuficiente atención a los intereses de los receptores de la eFactura.

Ha sido necesario que llegase la Ley 11/2007, que muchas administraciones se planteen la creación de sus “sedes electrónicas“, que se hayan venido abajo por inoperantes y mal diseñados algunos proyectos de eFactura que han forzado y malinformado a sus clientes, para que seamos conscientes de que los sistemas que implantamos de factura electrónica deben SOBRETODO beneficiar al receptor por todos los medios posibles.

Que la ley obliga a los receptores (nuestros clientes) a verificar el certificado con que el ha sido firmada la factura que les ha llegado? Pues entonces validemos la factura nosotros en el instante de la firma para “evitarles el marron”.

Que la ley les obliga a almacenar las facturas electrónicas recibidas? Pues les suministramos gratis total un servicio web de acceso a todas sus facturas, de búsqueda, de verificación, de almacenamiento y custodia, de descarga e incluso les aportamos sin coste capacidades de firma mediante la propia plataforma de que le dotamos.

De hecho, y hablando de plataformas, es aquí donde suele estar la esencia de un sistema de facturación electrónica eficaz para el receptor, con independencia de lo que como emisores utilizamos en el interior de nuestra empresa para producir las facturas y firmarlas eficazmente (ERP, Gestor Documental, Aplicación de Escritorio..)

Da igual que el formato sea x o y ya que la normativa es superflexible y abierta cuando hablamos de facturación entre pymes principalmente. Lo que es indudable es que  la empresa que recibe factura electrónica de su proveedor recibe una plataforma online, capacidades nuevas como la firma electrónica, no paga nada por tener perfectamente guardadas, salvadas y custodiadas todas sus facturas y por tanto accesibles, y ve claramente el valor que le aporta su proveedor.

Esta pyme o micropyme ve que de verdad el sistema ha sido construido también para él y por tanto no llega al extremo de “volverse atrás” y demandar de nuevo factura en papel, algo en lo que la normativa le asiste y que ha dado al traste con caros sistemas implantados sólo pensados para el ahorro del emisor.

Cuando un cliente ve un sistema tan eficaz como este, es él el que pide que se amplíe el sistema a otros documentos aunque no se trate de facturas. El beneficio es tan enorme que llegará el día en que una pyme normal dispondrá de acceso a una plataforma por cada gran proveedor, de modo que los costes de verificación, acceso, almacenamiento y custodia los asuman ellos y por tanto sea innecesario imprimir en papel y clasificar y almacenar en la propia pyme esa información, teniéndola en formato electrónico, accesible en cualquier instante sin ningún coste y desde cualquier lugar, independientemente de que también la tenga en su gestor documental interno.

Por qué una mancomunidad como la de Aguas de Pamplona trabaja en una plataforma web para las facturas a sus clientes? Es evidente. De verdad están pensando en ellos cuando se meten en el proyecto de llevar la factura electrónica a todos los hogares y empresas.

Ellos asumen la carga técnica y de costes de la plataforma. Los usuarios de servicios de agua y basura sólo tendrán que conectarse cuando desean ver, buscar, comprobar, descargar, verificar y sin ningún coste, sintiéndose también artífices de un sistema nuevo, sencillo y económico, responsable con el medio ambiente y del que sacan beneficio inmediato.

Tengo la esperanza de que los asistentes a este taller de ANEL, que estaban en situación de desempleo, hayan visto hasta qué punto la visión, la documentación y las aplicaciones vistas, les permitirán mejorar sustancialmente su currículum (a partir de ahora firmado electrónicamente, espero ;-) ) al haberles dotado de muchos de los elementos necesarios para que puedan aportar a las empresas donde recalen, un conocimiento suficiente para liderar o coordinar un proceso de implantación de factura electrónica y la certeza de que una vez creado servirá para todo el resto de su universo documental.

Han podido ver aplicaciones de escritorio y plataformas web de firma y publicación, pero también utilizar sistemas gratuitos de “firma nativa” basados en Office y OpenOffice, como demostrativo de lo sencillo que sería generalizar muchas de las cosas aprendidas y llevarlas a otro tipo de documentos, en muchísimo mayor número que las facturas y que multiplicarían por mucho el ahorro.

La idea base de que un sistema de eFactura es simplemente un sistema de firma electrónica para clientes les ha parecido novedosa y razonable, ya que no es otra cosa. Desde ese punto de vista , la inversión realizada debe servir para cualquier otra documentación de la empresa tanto en el uso interno como en el envío al exterior, lo que nos permite mejorar aún más la amortización y reducción de costes.