Desarrolladores, diseñadores, empresas con potente infraestructura en Internet, analistas y empresas de seguridad, hemos formado Kuestion.es, plataforma abierta, multiidioma y gratuita, que se ofrece de modo abierto.

Nada de lo realizado hubiera sido posible sin contar con la infraestrutura de Tractis, verdadero núcleo sobre el que orbita la plataforma de voto electrónico siguiendo las políticas de validación aquí expuestas.

Como queda claramente reflejado en uno de mis artículos, en cuanto a sistemas web con autenticación con certificados, Tractis fue un descubrimiento casual extraordinario, y según he ido avanzando en el análisis de sus servicios ha ido quedando demostrada su idoneidad, la calidad y las enormes oportunidades que dan para construir con ellos.

Comencé como prueba de concepto integrando en mi blog su plugin para autenticación con certificados y tras un estudio de sus servicios no sólo utilizamos sus sellos de tiempo y contratos online, sino que hemos dado el paso de crear un servicio de voto electrónico universal basándonos en sus sistemas, que ponen a disposición de la plataforma y tus iniciativas.

Creo que tanto el objeto del proyecto mostrado en aquí, como el expresado en la propia web de la plataforma de voto electrónico, dejan claro que este es un camino que busca potenciar el uso de los certificados electrónicos por toda la sociedad, en todo el mundo. Ese es nuestro beneficio, ya que tanto Tractis, como los integrantes de Kuestion.es, podremos idear servicios y productos futuros que tengan en cuenta ese uso cotidiano de ciudadanos y empresas respecto de los certificados electrónicos, donde incluimos el DNI electrónico como uno de los más especiales, por su calidad, fortaleza, seriedad y por el hecho de que los sistemas no requieren que los ciudadanos deban instalar los drivers del DNIe (ni en España ni en Austria), facilitando enormemente el uso sencillo.

En estos momentos son muchos los certificados de todo el mundo los que pueden utilizarse para votar. Por citar algunos de nuestro país: Certificados de Izenpe, Camerfirma, Firma Profesional, DNI electrónico, Colegio de Abogados y un largo etcetera. Por qué no se incluyen certificados gratuitos como el de la Fábrica Nacional de Moneda y Timbre ? La razón es sencilla: cuando alguien va a votar, el sistema necesita verificar que el certificado no ha sido anulado, revocado o robado, y que sigue en poder de su dueño. La FNMT no da ese servicio luego sus certificados son inseguros para una práctica formal de voto electrónico con garantías.

Cómo puede un blogger o cualquier persona o institución que tenga una web, utilizar la plataforma? Lo primero sería crear una cuenta gratuita y a partir de ese momento podría “activar” preguntas que serán lanzadas al mundo desde la plataforma o desde la propia web o su blog personal.

Veamos una prueba real operativa, y así hacemos bueno lo de utilizar la jornada de reflexión de hoy, sábado 21 de Mayo de 2011, de las elecciones municipales y autonómicas:

Existen cientos de preguntas que en el dia a dia un ciudadano cualquiera desearía responder, sabiendo que su voto (su opinión en definitiva) va a ser tenido en cuenta.

La votación lanzada podría ser cerrada para un grupo de personas, definido previamente por quien activa la pregunta, o disponer de características como “ser mayor de edad”, “ser abogado”, ”ser Austriaco” o “ser mujer”.

Una plataforma como la iniciada por Kuestion.es podría ser plenamente utilizada por cualquier partido político, sindicato, asociación empresarial o social, o el propietario de un Blog como el mio, para exponer preguntas, sabiendo que nadie vota 50 veces y que se cumplen todas las garantías. Cada uno sabrá qué hacer con el resultado de la votación, sea esta una sola pregunta o todo un Kuestionario (la K es de Kuestion.es).

La última pregunta tiene que ver con una que ha surgido estos días por la plataforma “DEMOCRACIA REAL YA” y que ha evolucionado desde la Puerta del Sol en Madrid a muchas ciudades del mundo, aquí va:

No será la última vez que hablemos de la plataforma en este blog. Me gustaría desde aquí hacer un llamamiento a quienes tienen un espíritu joven y deseen participar en este proyecto, sabiendo que no hay más que ganar que la satisfacción de empujar un movimiento que beneficie a los ciudadanos anónimos de todo el mundo, además de aprender en el camino.

Sin que sea nada extraordinario, es un servicio a tener en cuenta, aunque existen alternativas profesionales de empresas como Microsoft, Adobe, Huddle, Skype, e incluso en el mundo de software libre como Dim Dim. Para profundizar sobre esto aquí un artículo interesante.

Si me he decidido a romper mi larga temporada alejado del blog, e incluso posponer el articulo casi acabado orientado al nuevo y esperanzador servicio CAJA FUERTE DOCUMENTAL PERSONAL del Colegio de Ingenieros Técnicos Industriales de Navarra, es por un hecho curioso que me ha sucedido con WEBEX Servicios al Cliente Spain.

Tras una serie de cruces de mensajes acerca de cómo hacer el pedido, ha sido la prepotencia y falta de flexibilidad de esta empresa la que me ha decidido a plantearles que se multipliquen por cero, pero que no contarán conmigo como cliente mientras no modernicen sus modos de hacer, eliminen la prepotencia en su trato y acepten la Ley de Firma Electrónica ya que tratan con clientes en España.

Un día como hoy, contacto con los servicios de webex y tras una serie de llamadas y correos me activan el servicio. Me sorprende cuando, disponiendo de más de 12 idiomas, no lo han personalizado a español, a pesar de que disponen de él (pero en la lista no está entre los elegibles..).

Paralelamente a este proceso, que hasta hoy no han personalizado aunque dicen “que estan en ello”, y a pesar de que ya había pagado la primera mensualidad, me insisten en que para personalizar a mi idioma, debo rellenar un documento de Word. Comienza la juerga.

Una vez realizado el doc lo envío y me comunican a los dias..que he olvidado firmarlo, por lo que siendo un documento de Word, y aunque Microsoft no dispone de capacidades de firma electrónica validada y sellada, firmo electrónicamente con mi certificado de Firma Profesional y listo.

Nuevo mensaje de Webex Servicios a cliente Spain, donde me dicen que “oh, olvidó firmar en la celda signature..”

Echo unas risas porque veo a esta gente bien atrasada en estos temas y contesto que mi firma electrónica es legal en España, que entiendo que quizás no lo han visto bien en Microsoft Word..

Nueva contestación tras uno o dos dias, pidiéndome la firma manuscrita escaneada en la celda signature. Comienzo a cabrearme, porque la estupidez me puede normalmente y la burocracia de la peor ralea suele ser síntoma de imbecilidad . En mi contestación, les dejo claro que entiendo que disponen de un experto calígrafo para analizar mi firma, pero que no obstante, les envío amablemente, y sin que me lo hayan pedido, mi DNIe escaneado, donde aparece flamante mi firma manuscrita, la misma que a mis hijas de pequeñas les daba verguenza cuando firmaba las notas ;D

Nuevo mensaje a los dos días (a todo esto el sitio sin personalizar en español, por lo que no lo uso) donde me dicen que debo escanear mi firma. Qué? Esto ya es el cachondeo! Seguro que hay alguna cámara grabándome por ahí puesta por mis amigos para echar unas risas a mi costa.. Pueso no. Van en serio.

Y si les firmo con la firma manuscrita de algún famoso? Y si pongo un garabato sin más, a ver si traga su experto calígrafo y echamos una risas todos ?

Al final se impone mi modo razonable y pego en la celda signature mi firma escaneada. Han conseguido doblegarme ;-) !!

Tras el envío y otros dos dias, me dicen que sea tan gentil de imprimir el documento, firmarlo y escanearlo..

!!! Toma ya!!

Han cogido en CISCO Webex lo mas tonto del mundo mundial?? Son los responsables de la amable señorita que me atiende imbéciles ?? Ostras!! Dios !! Me estan espiando por alguna cámara y riéndose a carcajada limpia !!

A ver, repasemos: les he enviado 5 documentos distintos, mi DNIe escaneado, todos los datos, mi firma escaneada..

Ahora me piden que imprima el documento, que lo firme, que escanee el documento y se lo envíe.. (se me guiña un ojo repetidamente como a Martes y Trece..). No puede ser. Estos son CISCO Webex !! Ofrecen video conferencia y VOIP.. No importa! Son incompetentes y no merecen clientes actuando así!!.

En otras circunstacias les habría dicho que por favor usen el servicio avanzado Tractis Contracts de una empresa española, de verdad avanzada, que yo pago el euro que cuesta ese servicio… Pero no !! Que se multipliquen por cero!

Que les vayan dando y aprendan un poco de cómo se debe tratar a un cliente. En España existe una Ley de Firma Electrónica. Existen avanzados servicios de Terceros de Confianza. Disponemos de certificados y software de firma..

No les vale? No aceptan las leyes de nuestro pais? Pasan de sistemas flexibles como Tractis Contracts ? Pues a que les vayan dando!! Hay demasiados servicios de valor en sistemas de VOIP en el mundo como para andar con gente tan poco solvente.

Mi última acción, además de llorar  por mi perra suerte encontrando burócratas como estos de webex, es enviar un mensaje para que webex venda sus servicios allí donde puedan, que al menos en mi caso prefiero buscar nuevos horizontes donde el talento no escasee.

He agradecido a la señorita que me ha atendido su trato, pero es Webex lo que me echa para atrás, su intransigencia, su no aceptación de otros modos de hacer, su imposición de un método caduco de hacer el pedido y su prepotencia en el trato a un cliente.

Que no acepten la Ley de Firma Electrónica ni tampoco el escaneado de mi DNIe (donde aparecia mi firma) es simplemente la demostración de que sus responsables han perdido el norte en el trato a clientes y al menos aquí no están a la altura.

La Firma electrónica en todo caso ya es un derecho en España y la propia Administración abre servicios avanzados y se obliga a si misma a activarlos como muestra la Ley 11/2007, dando a los ciudadanos nuevo modos de relacionarse, más seguros, más rápidos, más eficaces.

Ha llegado el momento de que lo exijamos desde nuestra posición de ciudadanos y empresas, además del que nos aporta ser clientes, por lo que harán bien las empresas, incluso extrajeras, en asumirla si quieren clientes españoles.

Esa es al menos mi posición y la mantendré. Aunque les parezca un tema menor, es mi decisión de utilizar la firma electrónica y la existencia de legislación en mi país la que me lleva a adoptar una posición de fuerza, hasta el punto de desistir de utilizar sus servicios.

Comprueba mi tarjeta please !!

Acaba el mes de Octubre, duro de trabajo pero prometedor, y me ha resultado imposible publicar el artículo que sobre INTECO y ESecure tengo preparado, documentado y ultimado al 99%.

Ha sido en la fase final de pruebas de la nueva versión del Explorador seguro ESecure, cuya nueva versión gratuita no dejará a nadie indiferente, cuando recibí la llamada de uno de los clientes que en los últimos meses ha completado el ciclo de implantación plena de certificados en la organización, resolviendo en ella  tanto temas de seguridad derivados de su próxima auditoría de renovación de la ISO 27001, como necesidades de gestión documental y factura electrónica.

Según uno de los responsables tenían algun problema con su certificado, ya que si bien todos los procesos automatizados se hacían correctamente, en el momento en que se respondía al PIN en el contexto de firma por el responsable del proceso, en ese instante en que la aplicación trataba de conectar con Camerfirma para validar el estado del certificado, se daba “algún error”..

Explicaba con buen criterio que podían eliminar del proceso la validación del certificado, aunque entonces el nivel de calidad bajaría mucho.

Para explicar su argumentación pensemos en una persona que va a un cajero automático con su tarjeta. Si cuando va a hacer una operación cualquiera (sacar dinero, transferencias, pagos..etc) el cajero no conectase con la central para comprobar el estado de la tarjeta (además de otras comprobaciones), podría darse el caso de que fuese el ladrón de nuestra tarjeta el que estuviese sacando el dinero sin ningún impedimento.

No podríamos aceptar un banco cuyos sistemas de cajeros no conectasen en tiempo real para validar la tarjeta del usuario que esté en ese momento actuando en el cajero!!

Volviendo a mi cliente. Como buen conocedor ya de los recovecos de la legislación sobre firma y eFactura, me planteaba que siendo un lote de facturas lo que iba a firmar, necesitaba “inyectar” en los ficheros firmados el estado del certificado, obtenido de la propia Autoridad Emisora en ese mismo instante. Y no sólo por una cuestión de prestigio o calidad, sino porque la normativa actual exige al receptor que verifique el estado del certificado de las facturas electrónicas, a menos que el firmante ya haya hecho la validación.

Es precisamente el deseo de salvar a sus clientes del “marrón” de tener que verificar su certificado,  lo que hacía que tratase por todos los medios de contar con la validación online OCSP del certificado, en este caso de Camerfirma.

Error en la devolucion de la comprobacion de Camerfirma

Podría firmar con otro certificado, pero en este caso sólo disponía de uno de la FNMT, y como sabéis muy bien si habeis ojeado alguno de mis artículos, la Fábrica Nacional de Moneda y Timbre es una organización profundamente equivocada y atrasada en este tema, pretendiendo cobrar a cada ciudadano o empresa por validar su certificado.

En el mundo de Alicia en el país de las maravillas, parece que los responsables de estas cuestiones en la FNMT se ven cobrando ingentes cantidades de millones de euros a los ciudadanos españoles si quieren validar sus certificados, en lugar de facilitar como hacen otras CA (incluso privadas) el estado del certificado en tiempo real, como algo consustancial con un servicio de calidad (ay del banco que no validase las tarjetas en tiempo real… pero ese es el mundo real de la empresa privada y viva ).

Volviendo de esa digresión mental, le reconocí al cliente que efectivamente no, FNMT no era la solución, como se vió en profundidad en tiempo de consultoría e implantación, por lo que le dí la seguridad de que me ponía en marcha a investigar para conocer en detalle dónde estaba el problema, si en el cliente, en nuestro software, en su red, internet, algun servidor de Camerfirma eventualmente caido (nos pasa a todos alguna vez) o se trataba de alguna tontería en la configuración.

Me encontraba en ese momento en la fase final de las pruebas de la nueva versión gratuita de ESecure que Santiago Castaño, Director Técnico de KSI, me había enviado con el fin de colgarlo en la web para descarga gratuita tras la batería de pruebas que 5 personas estábamos realizando, una vez que, como explicaré pormenorizadamente en el próximo artículo, INTECO ha añadido a ESecure como una herramienta avanzada en su  web, aunque haya sido con varios años de retraso.

Desde mediados de Noviembre podréis descargar la nueva aquí, desde la web de KSI y firmar en cualquier formato (CAdES,PAdES,XAdES, y también Office y Open Office).

ESecure en Herramientas avanzadas de INTECO

Tras verificar que con TODAS nuestras herramientas el error persistía, y el asunto comenzaba a ser sospechoso (no era posible que Camerfirma estuviera haciendo mal la validación de sus certificados !!), comencé una batería de pruebas con certificados de GSE Colombia, una Autoridad de Certificación con la que colaboramos estrechamente y cuya infraestructura “está dentro de” Camerfirma.

Fallo. También daba error y además el mismo. Firma inválida. Al parecer Camerfirma estaba devolviendo mal firmadas las solicitudes de validación. Imposible!, o era un error nuestro o lo estábamos mirando mal..

En los siguientes días no sólo comenté el asunto con compañeros sino que me puse en contacto con el Director Técnico de GSE Colombia, Anthony Molina, quien corroboró los problemas que también estaba teniendo en la validación de los certificados emitidos por GSE, ya que el sistema de validación OCSP está integrado con el de Camerfirma.

Comenzamos a tener evidencias de que utilizando distintas tecnologías, distintas librerías y diferentes herramientas, obteníamos la desconcentante demostración de que Camerfirma estaba operando mal y devolviendo a los clientes que comprobaban su servicio OCSP Responder, respuestas mal formadas o erróneas.

En este punto de la investigación te das cuenta hasta qué punto un error de este calibre podría estar afectando a usuarios y empresas. Recordé el mundo bancario y sus errores y responsabilidades, y me detuve a pensar en sistemas de control de errores, sistemas de verificación y calidad..

Todos cometemos errores por supuesto, pero tras 10 días parecía tiempo suficiente como para que los servicios internos de Camerfirma hubieran detectado el error. En un contexto de voto electrónico, vendría a suponer que no se verificarían bien los usuarios votantes, lo que podría originar graves perjuicios..

Dada la gravedad del problema, decidí consultar con los amigos de TRACTIS, por su acreditado nivel técnico y porque en alguna ocasión nos hemos apoyado en análisis de problemas.

Bingo ! Pocas horas mas tarde pude comprobar las interesantes investigaciones de David García, Director Técnico de TRACTIS, yque venían a confirmar mis temores.

Dado el contundente nivel de análisis de Tractis, mis evidencias mediante OpenSSL, las pruebas desde Colombia y el fulminante chequeo del Director Técnico de KSI diciendo “nuestras librerías apuntan a que Camerfirma está firmando mal las solicititudes OCSP”, todo estaba finalmente claro. 

Felicitaciones desde aquí a David García (Tractis) por la ayuda técnica prestada para corroborar nuestras afirmaciones, profundizando hasta el punto de precisar que al parecer utilizan la clave privada correspondiente al certificado antiguo..

Tras 12 días con el problema en la mesa no habíamos informado a nadie, pero me sorprendió que en ningun estamento o web apareciese el problema  !! Es que nadie hace firma completa en este pais con Camerfirma ;-D  ?  !!!

Como no parece existir un medio conocido para informar a Camerfirma de estos casos, desde analiTICs21 solicitamos a Tractis que, aprovechando sus contactos con Camerfirma, les informasen del fallo, cosa que desde Tractis nos han confirmado que ya han hecho.

Tres días más tarde el problema sigue ahí (ya hace 15 días de la detección y la solución es relativamente simple) por lo que finalmente me decidí a retrasar mi artículo de este mes e informar del proceso vivido, ya que ha habido tiempo suficiente para que se corrija el error, equiparable al que un banco cometería si hiciese mal la comprobación de si mi tarjeta ha sido anulada o robada.

En mi próximo artículo, ya casi hecho al 100% sobre ESecure e INTECO, aprovecharé para aclarar cómo acabó esta historia, con la seguridad de que los chicos de Camerfirma habrán hecho su tarea y con la esperanza de que todos los Prestadores de Servicios de Certificación vayan paso a paso por el camino de la calidad, la transparencia y nos den información precisa de sus aciertos y errores, que como humanos todos cometemos.

Ante esta situación, una vez detectado por un cliente avispado y verificado por mí, hemos de reconocer que había dos opciones:

•   No es un problema mío sino de Camerfirma, así que he salvado mi papeleta ante el cliente..
•   Continuar investigando con apoyos especiales hasta tener datos concluyentes dada la gravedad

Está claro que elegí la segunda opción, no sin avisar a mi cliente de cual era el problema.  El proceso de búsqueda ha finalizado tras los estupendos apoyos de tres colegas de gran calibre y la conclusión es clara. Creo que a los clientes de los servicios de certificación se les debe una explicación razonable, pero sobre todo la seguridad de que se mejorarán los elementos internos de revisión para evitar que estas situaciones se produzcan y sean los propios clientes los que alerten del problema.

Seguridad en acceso - Ahorro e innovación- La Administración moderna

Continuando con el análisis práctico de  la confluencia de tecnologías y normativas europeas en la actualidad, y a modo de profundización de mi análisis reciente sobre sistemas de autenticación web basados en PKI, he analizado el fuerte movimiento que se está produciendo en muchas administraciones públicas españolas en la creación de Sedes electrónicas.

Volvemos a ver sorprendentemente cómo el mundo de la empresa privada permanece inerte ante esa acertada orientación de organismos públicos que consiste en avanzar hacia una verdadera administración electrónica.

Este camino facilitará a empresas, profesionales, proveedores, clientes, trabajadores, ciudadanos.. aprovecharse de las ventajas indudables de la aplicación de la tecnología que sustenta los certificados electrónicos y potenciará la mejora de la seguridad que proporciona tanto en la autenticación fuerte como en mecanismos de firma electrónica de documentos, expedientes, formularios, peticiones o consultas en el día a día.

Una sede electrónica u oficina vitual viene a ser sencillamente un sitio web al que podemos conectarnos mediante un certificado digital (aunque aquí hay disparidad según qué administración) y en él, una vez identificados ambos extremos (usuario y servicio), podemos hacer solicitudes, peticiones, entregas o descargas de información.

El concepto de Sede electrónica en la empresa debe ser por definición algo más eficiente, sencillo y funcional. No necesita revestirse del formalismo de las administraciones públicas y debe aportar a clientes, empleados y proveedores de todos los elementos necesarios para aprovechar la tecnología para reducir costes, mejorar en seguridad, reducir el consumo de papel, acceso a repositorios documentales firmados, potenciar el intercambio seguro de documentos e incluso má adelante posibilitar servicios de ventanilla única también en la pyme.

Podemos definir también el concepto de sede digital o electrónica, oficina virtual o electrónica, en el ámbito de la empresa privada, como un sistema web evolucionado que ha integrado limpiamemte el mundo de los certificados electrónicos y ofrece a sus usuarios mecanismos sencillos y económicos para relacionarse con grandes incrementos de seguridad, innovación y buenas prácticas.

Oficina electrónica moderna

Asumir gastos para enviar documentación a nuestros clientes de modo inseguro? Para qué?

Démosles acceso a su zona privada, segura, donde está la información que hemos preparado para ellos, permaneciendo firmada e incluso cifrada, de modo que puedan descargársela en cualquier momento (nóminas, irpf, facturas, expedientes, informes, prospecciones, guías..) para resolver sus necesidades.

Aportémosles la seguridad de que la información siempre estará ahí, realizando por ellos backups de su documentación y ayudándoles a cumplir las necesidades que la legislación les impone en cuanto a períodos de almacenamiento o custodia.

Que nuestra competencia no lo hace? Estupendo!! Entonces es una razón más para diferenciarnos aportando un valor indiscutible a nuestros clientes, colaboradores y asociados (y evitando “vueltas atrás” desastrosas, como los casos de clientes que abandonan la factura electrónica y exigen la vuelta a la factura en papel, debido a un incorrecto modelo donde el emisor de la factura sólo trata de ahorrarse el correo postal y no ha pensado en los receptores).

En el mundo de la empresa y en el ámbito de la factura electrónica, algunas entidades (muy pocas) se están acercando a este concepto de oficina electrónica. En realidad no sólo tratan de que sus clientes puedan acceder siempre a sus facturas, sino resolver los problemas que la legislacion tributaria plantea sobre ellas a sus clientes, de identificación del firmante de la misma (algo que pocas entidades emisoras de factura electrónica hacen, endosando sin saberlo a sus clientes la obligación de determinar ellos si el certificado usado era válido) y de almacenamiento riguroso de las facturas el período legal.

Las empresas  que han dado el paso de poner en permanente disposición las facturas que envían a sus clientes (acceso, descarga, verificación) se acercan mucho al concepto que pretendo clarificar de sede electrónica de ámbito privado u oficina electrónica avanzada, y sin embargo el mundo de la banca va paso a paso en esa dirección (permitiendo el acceso a sus clientes a documentos y transaciones de los ultimos 5 años).

En realidad lo normal es que se aporte a cada cliente un usuario/contraseña y puedan conectarse y descargar los ficheros, sencillamente.

Sin embargo una verdadera SEDE DIGITAL debe comenzar identificando con seguridad a la persona que se conecta (mediante un certificado electrónico). Una sede electrónica permitirá que el cliente acceda a todo tipo de documentos (todos ellos firmados digitalmente) y a realizar descarga en cualquier momento.

Con buen criterio, las organizaciones que se lancen por esta vía (aunque sólo sea por el prestigio y el ahorro que conllevan) permitirán que los clientes entreguen información, facilitándoles de modo gratuito capacidades de firma electrónica asociada a su plataforma o sede digital.

Igual que en el pasado hubo muchas dudas entre las empresas que atrasaban el disponer de su web en internet, va a escalonarse muchísimo la llegada de empresas al concepto de sede electrónica u oficina virtual electrónica, porque se dan circunstancias similares (desconocimiento, informaciones interesadas deformadas, percepción errónea de que el cambio será caro, fallo en la interpretación del “momento” tecnológico en el ámbito de los certificados digitales..).

Es costoso “dotar” a nuestra actual web de autenticación con certificados electrónicos ? (la respuesta es NO. Puede tener coste cero).

Es costoso dotar a los clientes de capacidades de firma una vez conectados a nuestra oficina electrónica ? (la respuesta es NO. Aquí la organización asumirá un coste, bajo, pero que será muy inferior al ahorro de costes que obtendrá por el hecho de eliminar papel y costes de correo postal.)

Debemos optar por avanzar en ese camino ? INDUDABLEMENTE !!  Como en tantos temas relacionados con el entorno de los certificados digitales, es curioso cómo el mundo de la empresa privada, normalmente muchísimo más avanzado que la administración pública, está completamente desfasado, atrasado en estas cuestiones. La sorpresa es mayor cuando se observa que no se trata sólo de medidas “cosméticas” más o menos avanzadas o de imagen, sino que realmente la inversión se amortiza a una velocidad enorme y se obtienen importantes beneficios por la nueva línea adoptada.

Siendo eso así, sólo la crisis económica, la desorientación con tanta confluencia tecnológica o el abandono por las capas directivas de estas cuestiones “técnicas” (que creen mas relacionadas con la informática) parecen aportar explicación al hecho de que la empresa privada esté congelada mientras organizaciones públicas acogen con interés creciente (a veces manchado de interés político cegato) el avance de la administración electrónica.

Habrá quien piense que las Administraciones actúan obligadas por la legislación, ya que el surgimiento de las sedes electrónicas obedece efectivamente al cumplimiento de la Ley 11/2007 en España. Lo que viene para el futuro desde mi punto de vista es una generalización de esas medidas tanto en el ámbito público como privado, y serán las empresas que no implementen estos avances las que pagarán su inmovilismo.

Es momento de ponerse en marcha en la dirección que marcan las administraciones públicas.

Nadie nos obliga en la empresa privada a orientarnos hacia una oficina electrónica, por supuesto, pero la tendencia es inapelable y es mejor mostrar a nuestros clientes que tambien innovamos, pensamos cada vez más en su comodidad y seguridad y estamos dispuestos a seguir esforzándonos por tener su confianza.

Con el fin de eliminar costes a las empresas que van a meterse en este camino, estan surgiendo con fuerza organizaciones que ofrecen su infraestructura tecnológica “en la nube” permitiendo obtener a un coste muy bajo mensual la sede electrónica que se busca. Necesariamente son entidades que cumplen la ISO 20000 y/o la ISO 27001 y que en modalidad de pago por uso hacen sencillo lo que a veces cuesta mas a las empresas: activar un sistema complejo. 

Infraestruturas TIC especializadas

No se trata por tanto de que cada empresa tenga que asumir los enormes costes de propiedad de servidores, personal formado, sistemas operativos y software, licencias, mantenimiento y backup, sino de orientarse a entidades especiales que ponen su infraestructura tecnológica certificada para que nos centremos cada uno en lo sustantivo de nuestro negocio, pudiendo comprobar sencillamente el ahorro que se produce de modo inmediato tras activar nuestra sede digital y su conocimiento por parte de nuestros clientes.

Apenas hay empresas que nos permitan identificarnos con certificados electrónicos. CORREOS y cada vez mas instituciones muestran el camino

Por supuesto a nivel de la Administración eso va incrementándose de un modo esperanzador (en España), tanto a nivel autonómico como estatal. Pero en el mundo de la empresa sólo entidades muy especiales están cogiendo el tren de la autenticación con certificados. Digo certificados y no sólamente DNIe porque hay quien piensa que sólo hay que promocionar el DNIe (error gravísimo), cuando en el ámbito profesional es al contrario: el DNIe apenas se usa (ni usará), tendiendo al cero absoluto en beneficio de otros dispositivos seguros de firma. Tiempo al tiempo.

A poco que despegue una mayor cultura sobre firma digital, basada en certificados reconocidos de otras Autoridades de Certificación con orientación al mundo de la empresa, el DNIe quedará en lo que siempre ha sido. En el ámbito más personal del ciudadano, su uso en Internet debería crecer muchísimo y todos acabarán viendo sus ventajas, pero en el contexto de un certificado más que usar. El DNIe no es la panacea que eliminará el resto de certificados existentes, ni  lo pretende la Administración aunque sólo se esfuerce en el uso del DNIe.

En este sentido el enorme impulso de la Administración por el uso “solo del DNIe” puede ser tan inútil como baldío. A la postre una pérdida de recursos que podría aprovecharse mejor si al ciudadano se le propone el uso de los certificados digitales, incluyendo el  DNIe, ya que esencialmente hablamos de lo mismo y se requiere un aprendizaje similar. El uso de cualquier certificado reconocido apoya y empuja el uso de otros, con lo que enseguida el ciudadano verá que, al igual que en el mundo de la banca puedes tener varias tarjetas sin ningun problema ni complejidad especial, puede tener y gestionar limpiamente varios certificados electrónicos.

Cualquier web de empresa, sea cual sea el servicio que ofrezca, dá opciones a los usuarios o potenciales clientes a utilizar una cuenta de acceso (usuario y contraseña) e incluso a rellenar formularios de modo “anónimo”. Entran aquí partidos políticos, ayuntamientos, asesorías, asociaciones de empresas y cualquier tipo de entidad en realidad. De momento sólo la Administración pública parece estar asumiendo el reto de permitir a los ciudadanos y empresas la identificación con certificados electrónicos.

La seguridad Social mostrando y otras Administraciones públicas mostrando el camino correcto de ofrecer servicios con certificados electrónicos. De aquí al voto electrónico un paso.

Los servicios online basados en la identificación segura de un ciudadano mediante un certificado electrónico potencian enormemente su uso, dan muestra al ciudadano de las enormes facilidades que aporta emplearlos y lo meten inmediatamente en las ventajas del día a día en Internet (banca electrónica, solicitud de trámites, presentación de solicitudes, analizar cómo va su solicitud..). Este es el elemento clave que falta en la actualidad y debe generalizarse, sin caer en el error de que sea “solo con el DNIe” sino con cualquier certificado reconocido.

Certificado digital de servidor

Comenzando por el principio, y siendo más básico y grave, muchas webs de empresas que dan cuentas de acceso a usuarios para proveerles servicios o introducir información, ni siquiera establecen una sesión segura entre el navegador del usuario y el servidor web, lo que hace que tanto el usuario, la contraseña y los datos que se envían al servidor viajen en claro y sin ningun tipo de seguridad (sin cifrado). No es difícil ver entidades, incluso importantes, que en el colmo del ridículo usan un certificado digital de servidor inválido, sin calidad  e incluso caducado, lo que no da ninguna seguridad al usuario de que realmente nos estamos conectando al servidor con el que queremos trabajar.

Es como si quisieramos conectar con el servidor miayuntamiento.navarra.es y el certificado que aparece en el servidor (que debe aclarar que nos estamos conectando al sitio real que hemos elegido) fuera inválido o referenciase una casa de citas..

El certificado de servidor debe ser utilizado para que antes de que el usuario envíe ningún dato al servidor (por ejemplo en banca electrónica) se negocien de modo seguro entre el navegador y el servidor claves de cifrado que hagan que la transmisión sea segura. Si ni siquiera sabemos si estamos conectados al banco porque el certificado está mal, ha caducado o no es de una autoridad confiable.. apaga y vámonos.

El certificado que identifica al servidor (o al dominio Bancosantander.es) y que posibilita la sesion segura con el cliente

Sigamos adelante. Si ha quedado clara esta parte, podemos entender que el certificado electrónico del servidor nos permite saber a qué servidor nos estamos conectando, además de hacer que el tráfico entre nuestro navegador y el servidor sea seguro (indispensable siempre que vayamos a introducir datos sensibles, o estemos comprando en Internet o haciendo gestiones con la Seguridad Social, el Banco o nuestra Asesoría..)

Certificado digital del usuario que se conecta

Cuando nos conectamos a un servidor seguro (hoy día no muy frecuente porque sólo entidades muy avanzadas dan este servicio) que nos permite identificarnos con un certificado electrónico reconocido (ojo! insisto en certificado electrónico reconocido, tanto si es en modalidad software como en tarjeta: DNIe, FNMT, CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO ABOGADOS, NOTARIOS etc etc) entonces son los dos extremos de la comunicación los que se están identificando con seguridad. Aquí en un extremo el servidor del banco, aquí en el otro la persona X..

Este contexto de mayor seguridad nos permite ofrecer servicios por internet con un gran incremento de seguridad, infinitamente mayor que en el caso de usuario/contraseña.

Una Asesoría moderna facilitando el acceso con certificados, además de firma de ficheros

Existen incluso (esto ya es el colmo de la excelencia) muy poquitas entidades que no sólo te permiten conectarte con tu certificado digital, sino que por tenerlo te ofrecen la posibilidad de que puedas firmar formularios, ficheros de cualquier tipo, solicitudes, peticiones, de modo que evitas el desplazamiento físico y además es absolutamente legal. Ya digo que si es dificilísimo encontrar entidades que te permitan por la web autenticarte con tu certificado digital, los que además ofrecen capacidades de firma electrónica por la web son extraterrestres (pero existen).

Que estamos en un momento de inflexión, quizas retardado por la profundidad de las crisis económica y política actuales, parece claro. Pero sin embargo falta motivación, alicientes, ayudas,  empuje y cultura de Internet para dotarnos casi en cualquier web de la capacidad de autenticación con certificados electrónicos. 

No hace tantos años donde muchos “expertos de empresa” ante el ofrecimiento de una web para su organización o asociación decían: ” bah, van a ser cuatro gatos los que tengan página web ! deben pasar muchos años para que se extienda.. ”

Muy pocos años despues de aquellas afirmaciones, que he vivido en pymes y asociaciones de empresas, no se entendía que una empresa no se lanzase a Internet (web, correo, servicios, intranets..) y se generalizaba su uso. Ya vemos que incluso gente muy solvente se equivoca cuando se trata de entrever por dónde van a ir las cosas. 

Retomando esta idea, aún hay quien dice : no te preocupes por la firma electrónica, tú envíame a mi el fichero que yo te lo firmo en tu nombre, “no te enredes en cosas tan difíciles” !!  

Este tipo de afirmaciones tienen el mismo valor que si le dijésemos a alguien que se conecte a nuestro servidor web, que en ese contexto su raton le va a funcionar bien !! Y es que hay tal desconocimiento en este tipo de cuestiones que a pesar de que hablamos de cosas muy sencillas (la explosión de las tarjetas bancarias a toda la población fue más complicado y hoy día cualquier persona de edad y condición social tiene al menos una) se vende mal y surgen servicios “contra natura” como el de “olvídate que yo firmo por tí”.

Utilidades del certificado electrónico para el ciudadano

Una persona normal, no experta en tecnología precisamente, puede hacer perfecto uso de uno o varios certificados electrónicos sin que el paternalista (o buitre) de turno le diga “no te metas en complicaciones”. La analogía de las tarjetas bancarias es suficientemente parecida y demostrativa de la capacidad real de cualquier persona para esto y muchisimo más (en ocasiones son algunos funcionarios, informáticos o políticos los que más dudan de la capacidad de sus ciudadanos). Por supuesto hemos de ayudar, extender una cultura, ofrecer motivaciones y hacer aflorar las ventajas de la utilización, lo que ayudará a demostrar que cualquier persona puede hacer buen uso de sus certificados.

No quiero ser exhaustivo en este apartado, porque hay muchísimas webs estupendas donde se explica, pero un usuario va a obtener con su certificado:

  – Posibilidad de conectarse con mayor seguridad a servicios del Estado (ejem Seguridad Social), de su comunidad autónoma, Ayuntamiento, Banco, Asesoría..con mucha mayor seguridad que con usuario/clave.

  – Posibilidad de firmar electrónicamente cualquier petición, consulta, contrato, de forma 100% legal y ahorrándonos impresiones, colas, desplazamientos físicos (a veces complicados por enfermedades o situaciones vitales duras).

  – Posibilidad de firmar su propia documentación y asegurarla en sus propios equipos, incluso cuando se comunica por email (firmado y/o cifrado segun su importancia) en su círculo personal, familiar o profesional.

  – Evitar tener que memorizar muchas cuentas en servidores, al poder acceder a todos ellos con su certificado.

Por qué no despegan servicios donde sea posible autenticarse con certificado digital ?

Si las ventajas para el usuario son tan claras y rotundas, parece claro que o falta motivación de las empresas e instituciones,  o tenemos un escasa cultura en tecnología, o consideramos (equivocadamente) que implantar la autenticación con certificados  es muy caro.. o no se está impulsando lo que de verdad mueve la sociedad..

La Ley 11/2007 (y a pesar de la crisis) está siendo “seguramente” un revulsivo de gran importancia en el ámbito de las Administraciones públicas. El proyecto paneuropeo IDABC planteó una serie de directivas que por ejemplo en España han dado paso al Esquema Nacional de Interoperabilidad.

Esquema Nacional de Seguridad y la Ley 11/2007

Se trata de que las acciones que tomen las distintas administraciones puedan realmente interoperar, y no suframos un reyno de taifas monumental (como ocurre probsblemente en Educación o en la Sanidad) haciendo inviable que la información de los ciudadanos esté accesible por cualquier Administración, conformando servicios de ventanilla única a donde podemos dirigirnos, incluyendo por supuesto la “ventanilla electrónica” o como están llamándose “Oficinas Virtuales” o “Sedes electrónicas”.

 Dicho esto, urge que las organizaciones en el ámbito empresarial sigan la estela de la Administración en España (increíble pero cierto) y den el salto a la administración electrónica con igual fuerza y calidad.

La infraestructura está lista

Dejando claro nuevamente que me refiero en todo momento a todos los certificados RECONOCIDOS existentes en España (tanto en modalidad software como encapsulado en un dispositivo criptográfico), las infraestructuras más críticas están listas para que todo el sistema ruede, aunque la gente que desconfía de la capacidad del ciudadano no lo crea así. Aprendamos de la experiencia creada a partir de la exigencia de la Agencia Tributaria sobre factura electrónica para empresas que facturan a la administración (que obliga a la firma electrónica de facturas XML en formato Facturae).

Segun datos de la misma AEAT, sólo la eFactura en españa (sin contar con que las empresas privadas van a generar ya que apenas ha iniciado su camino de cambiar la factura papel a factura electrónica) ha producido un ahorro de 15.000 millones de euros anual.

Es necesario ver que aunque alguien lo vea como imposición, ha sido una decisión política inteligente la que ha obligado este movimiento, despertando en el mundo empresarial distintas oleadas tendentes a cumplir normativas, a ahorrar y mejorar la eficacia, reducir papel y pensar en el impacto medioambiental. Algo que si aplicamos a todos los documentos que no son facturas se puede multiplicar por miles (las facturas no son los documentos más numerosos).

Un día de estos la Justicia española nos dará un susto y dejarán las maquinas de escribir

Siendo esto así, qué pasará cuando en España la Administración de Justicia (que tenemos aún en el siglo 19 en cuanto a eficacia informática y de seguridad) se incorpore ”en serio” al mundo de los certificados digitales y la documentación electrónica?  Que haga los cálculos quien pueda, pero seguro que hablaremos de docenas de miles de millones de euros CADA AÑO.. sin pensar en el incremento vital de eficacia en la gestión, reducción de tiempos de proceso, mayor transparencia, mejora del rendimiento, control de robos de pruebas, desaparición de libros y documentos en sedes judiciales o su deterioro por estar amontonados en estantes etc

Las normativas legales están listas(como ya he dicho otras veces en España estamos muy por delante de paises más avanzados, luego se ha trabajado bien). La tecnología existe. Las Autoridades de Certificación en España funcionan muy bien. Entonces necesitamos voluntad y decisión política para impulsar como hizo la Agencia Tributaria un movimiento de avance.

Ejemplo: Todas las peticiones de subvencion, ayudas, desempleo, becas,  etc podrían hacerse con un certificado digital reconocido.

Una sola medida de este tipo, que parece que dificulta al ciudadano la obtención de ayudas, supone en cambio un “engrase social” fundamental, que moviliza, forma y hace avanzar en varias líneas.

 Atención aquí, porque la imposición del DNIe como si fuese la panacea o el único certificado válido será un gran error, que dificultará  -o impedirá-  el desarrollo natural del uso del certificado digital por el ciudadano.

Si cualquier tramite inicial  jurídico o las relaciones de los partidos políticos con sus afiliados y con la Administración, se hiciesen con certificado electrónico, el movimiento que se generaría sería clave y vendría en beneficio de todos.

Excepción a la regla

Que las infraestructuras están listas como planteo es verdad. Pero sin embargo eso no es así en absoluto cuando hablamos de permitir a los ciudadanos o empresas autenticarse en las páginas web de empresas, instituciones, asociaciones, partidos politicos.. con sus certificados electrónicos, y es lo que motiva este artículo. Esta es la excepción a la regla de las estupendas infraestructuras en España, ya que requiere que se involucren las empresas. (Habría que incentivar esas vías promocionando a las empresas que sigan el camino ! )

Y el acceso con certificados para cuando ?

Existen millones de personas en España con varios certificados electrónicos validos (FNMT, CAMERFIRMA, DNIe..) y sin embargo pocas son las empresas que han incorporado a sus webs la tecnología que permita a cualquier empresario, ciudadano o profesional utilizarlos en lugar del usuario/contraseña, que ni da seguridad, ni aporta más que la dificultad de tener docenas de cuentas para acceder a docenas de sitios, con olvidos, quejas, robos y demás inseguridades (como tenerlas anotadas en papel).

Es difícil para una empresa dotarse de capacidades de login con certificados ? !NO! . Existen muchas soluciones, parciales (ejemplo solo autenticación) y totales (autenticación, firma, cifrado). Existe software libre y software propietario y hablamos de pocos días de implantación.

Tendencia a futuro

Esto va a cambiar porque estos servicios dan prestigio, denotan innovación y buenas prácticas en seguridad, y las empresas más sensibilizadas en calidad, seguridad y marketing van a ir con paso firme incorporando este elemento de la infraestrutura que sin duda falta en España (curiosamente es en la Administración donde más se está avanzando ;-) ). Cuando el ciudadano vaya paso a paso entrando en tantos sitios como la Administración en España está habilitando para login con certificado, aquellas entidades privadas que no lo posibiliten simplemente darán una impresión penosa. Estoy convencido de que esto va a cambiar  y pronto vamos a ver miles de empresas integrando en sus webs, intranets, extranets, acceso a clientes.. la autenticación con certificados electrónicos.

Plataformas avanzadas de documentación firmada digitalmente

Como muestra de lo que pocas empresas en España están haciendo como avanzadilla de calidad, un buen número de  Asesorías están activando sus particulares “sedes electrónicas” o “repositorios electrónicos”. Así como la Banca electrónica más moderna te permite acceder a cualquier documento tuyo (normalmente PDF) de los últimos cinco años (con lo que no lo necesitas tener en papel ya que “te lo guardan ellos”), las Asesorías están llevando millones de documentos electrónicos a esas plataformas web u oficinas electrónicas para sus clientes, evitando tanto correo inútil e inseguro y acogiéndose a normas avanzadas como la de Factura electrónica.

Esos ficheros están firmados electrónicamente, por supuesto, y los clientes siempre tendrán acceso a ellos, a su descarga, a su comprobación.  Y no sólo eso. Los clientes de estas Asesorias pueden “subir” sus propios ficheros a sus zonas privadas, lugar donde podrán firmarlos, cifrarlos, descifrarlos sin que hayan tenido que adquirir ninguna solución.

Naturalmente, los clientes de estas asesorías se autentican con sus certificados electrónicos, además de con usuario/contraseña para aquellos que aún no disponen de certificado. Son servicios de valor que aportan estas Asesorias a sus clientes y que les muestran las ventajas de seguir usando sus servicios frente a sus competidores.

Otras soluciones para autenticación con certificados (que otros lo comprueben)

Existen empresas que  se  ofrecen como “pasarela de autenticación“. Me explico: en lugar de incluir en mi web la tecnología para autenticar el certificado de mi cliente, lo que me ofrecen es que “derive” la autenticación a su web, de modo que una vez que hacen “ellos” la comprobación del certificado, devuelven a mi web el control.. Francamente, si esa “pasarela” es una Administración o un Banco, de acuerdo. Si es una entidad privada “normal”, mejor probamos otras vías que nos aporten más seguridad. Siendo una buena idea, sin embargo hemos de confiar en alguien externo que nos dice si el usuario es o no es, lo que añade un eslabón más de confianza cuando lo sencillo es que nuestro sitio web pregunte a la entidad emisora del certificado directamente.

Incluir capacidades de firma y autenticación en tu web es algo que poco a poco todos van a hacer, como se está incluyendo tecnología flash, sonido, vídeo o sesiones seguras. Además hablamos de un coste bajo (puede ser cero) y grandes mejoras en seguridad, en imagen y servicio a nuestros clientes.

Autenticación y fima con el certificado que el usuario tiene en su poder

Sirva como aclaración que hay empresas que ofrecen servicios de firma digital en su web, pero siempre que tengas un certificado software que hayas subido a la plataforma, para que “la plataforma firme con tu certificado”.  Aunque es válido normalmente, el camino de futuro es posibilitar que el usuario firme con el certificado que tiene instalado en su PC, PDA o tiene en su token USB o tarjeta criptográfica, para lo cual existen soluciones avanzadas basadas en ActiveX de Microsoft  y/o Applets de Java.

No sólo con el DNIe

No me cansaré de repetir que aunque pueda entenderse el esfuerzo de la Administración y el Gobierno de promover fortísimamente el despegue del DNIe es un error tratarlo de modo distinto a otros certificados digitales que llevan en el ámbito empresarial y de la Administración muchos años. Pretender que el ciudadano abandone la idea de obtener otros certificados digitales (FNMT, CAMERFIRMA etc) como algunos funcionarios pretenden (de modo inocente  y pretendiendo ayudar a simplificar al ciudadano) cuando atienden a personas en las oficinas del DNIe o por teléfono, es significativo del desconcierto que en los propios funcionarios existe.

Si el esfuerzo publicitario y de gestión, enorme, que está suponiendo el DNIe, se desaprovecha, será la utilización de los certificados electrónicos quien pagará el error de no haber tenido mayor amplitud de miras en la extensión de una cultura de acceso y firma electrónica. Cuando desde Europa se trata de que los distintos paises miembros sigan esa senda, no están pensando en los diferentes DNIe de cada país, sino en los diferentes certificados digitales ya existentes en innumerables Autoridades de Certificación.

Veamos un ejemplo de lo que digo. En la imagen siguiente puede apreciarse un incorrecto servicio de identificación de clientes de uno de los bancos más avanzados en firma electrónica: Santander. Se ve claramente cómo el cliente puede utilizar un servicio de calidad para identificarse en la web SOLO CON DNIe, lo que reduce de un modo increible la buena medida implantada por la entidad. Qué pasa con los certificados RECONOCIDOS tanto en software como en tarjeta de otras Autoridades de Certificación?  Ya estaban aquí con sus magníficos servicios antes de que la Dirección General de la Policía fuese una CA con certificados !

Buena intención pero mala elección.. Solo el DNIe no !!

Los certificados electrónicos RECONOCIDOS emitidos por cualquier Autoridad de Certificación en España (tanto en software como en tarjeta) harían enormemente más fácil al ciudadano el adentrase en este mundo, propiciando al final un mayor uso del DNIe que tanto preocupa a algunos. Un usuario que use certificados de FNMT,  CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO DE ABOGADOS, COLEGIO DE NOTARIOS, o varios de ellos, verá cómo, de verdad, todo le resulta más sencillo y acabará usando el DNIe de un modo natural, que es lo que pretendemos para los servicios del futuro.

En muchas ocasiones, tanto en cursos como en charlas en diferentes lugares han surgido preguntas que trataban de resolver el interrogante:  hay algo que pueda hacer con sencillez para mejorar mi seguridad?

Es verdad que es una pregunta muy genérica, pero en los distintos contextos (analisis de gestión documental, facilitar cumplimiento de la LOPD, herramientas y soluciones de protección personal..) es fácil dar una respuesta muy concreta y que tiene sentido tanto en el ámbito personal/familiar de cada individuo como en el empresarial: TRUECRYPT.

Se ha hablado tanto de truecrypt y existen tantas entradas, webs y documentaciones que tiene poco sentido que me extienda demasiado aquí en ello, por ello seré breve.

Herramienta que facilita la creación de “volúmenes” de información de un modo sencillo, permite a cualquier usuario llevar uno o muchos volúmenes (para los no iniciados pensad que un volumen es un fichero que se asemeja a un disco duro, donde puedes guardar programas y ficheros de todo tipo) que se encuentan cifrados.

Puedes tener un volumen donde guardas la información sensible familiar, otro donde guardas ficheros sensibles de ámbito personal, otro donde llevas los datos de tus clientes que no quieres que  ni en caso de robo del portátil sean obtenidos..  Mira en la web de Truecrypt (http://www.truecrypt.com), en wikipedia (http://es.wikipedia.org/wiki/TrueCrypt) o en kriptópolis (http://www.kriptopolis.org/truecrypt) y verás que tienes todo lo necesario para resolver muchos de los problemas que en tu día a día puedas tener de seguridad.

Por supuesto Truecrypt requiere que te plantees una serie de POLITICAS personales que te ayudarán muchísimo si en el futuro tienes problemas en tu PC. No basta con tener la información en una o varias “cajas negras” cifradas, sino que debes pensar en las copias de seguridad (al ser un sólo fichero te va a resultar mas sencillo) por ejemplo usando uno de los muchos sistemas de backup online de bajísimo coste que existen en la actualidad. Como lo salvas cifrado, tienes un buen esquema que te permite estar seguro incluso respecto a ese proveedor.

Cuando integramos en nuestro día a día Truecrypt, la aparición del Explorador ESecure, del que ya os he hablado en otra entrada aquí (http://www.analitics21.com/2010/03/la-gestion-documental-segura-y-el-explorador-esecure/) origina que el binomio Truecrypt/ESecure multipliquen las capacidades orientadas a seguridad, ya que vas a poder tener firmados tus volúmenes, vas a poder usar firma electrónica de cualquiera de los ficheros que guardas en cada volúmen y en definitiva todo el esquema de cifrado/firma electrónica sale favorecido enormemente.

El Explorador ESecure vas a poder llevarlo en tus dispositivos USB, al igual que Truecrypt y los volúmenes que quieras mover, lo que va a permitirte que inspecciones tu información (descifres, cifres, firmes, verifiques) incluso en ordenadores que no sean tuyos, sin necesidad de instalar en ellos ningun software ni mover al disco duro ningun fichero. Incluso si te ves forzado a copiar algun fichero de tu USB al disco duro por cuestión de velocidad, ESecure te permitirá cuando acabes borrarlo de modo seguro.

Las dos herramientas combinadas nos aportan un conjunto de capacidades a tener en cuenta, por lo que podemos decir que el ámbito de gestión documental segura personal podría quedar muy bien resuelto a falta únicamente de que localices un buen sistema de backup online que te proteja de la pérdida o robo del portátil y/o de los USB.

Si no deseas un servicio de backup externo, aun cuando los ficheros que salvas en ellos estén cifrados, puedes establecer una Política personal de backups bastante buena si dispones de varios dispositivos USB en distintas localizaciones y te disciplinas en la actualización de ellos.

 Cada día más en el mundo de la empresa se pretende dotar a los distintos actores de herramientas más versátiles, más sencillas, más potentes. Aunque existen aplicaciones de Nóminas, de RRHH, de Gestión, Financieras, Contables, Estadísticas.. sin embargo el mundo de los ERP se ha ido haciendo con el mercado ya que aporta a la empresa prácticamente todo lo que necesita de un modo integrado.

En lugar de utilizar media docena de aplicaciones inconexas, el ERP facilita todo al empleado, directivo, consultor, auditor.. La firma electrónica no es ajena a esa explicación. Cualquier introducción de datos, formulario, apunte contable, fichero, grabación de vídeo o sonido es susceptible de ser firmada electrónicamente…  si los desarrolladores han pensado de verdad en la seguridad (Autenticación, Confidencialidad, Integridad, Confidencialidad).

Del mismo modo, los Gestores Documentales, que se van a incrementar enormemente en el futuro (al tiempo..), ofrecerán a los usuarios todo tipo de capacidades para gestionar el ciclo de vida de todo tipo de documentos, revisiones, versiones, trazabilidad, control de acceso, firma electrónica, cifrado, workflow..

Por qué un gestor documental va a tener un workflow si existen “fuera” aplicaciones de ese tipo? Por qué se necesita la firma electrónica en un Gestor Documental si existen aplicaciones “externas” que ya firman?

Pues porque el mundo cambia, necesitamos integrar funcionalidades relevantes, diferenciarnos de la competencia, aportar valor y seguridad a nuestros clientes para vender vender vender ;-)

Crear un documento en nuestro Gestor y “solicitar” una revisión del usuario A, después del usuario B y la firma final de aprobación del responsable X, hace necesario un control exhaustivo de todo el sistema, actuando inteligentemente y facilitando (e informando) a cada usuario de la tarea que le toca. Una vez el fichero esté firmado por los cuatro se habrá finalizado la tarea y el “ordenante” será notificado, pudiendo verificar que el fichero está íntegro y ha sido firmado por cada uno de los participantes. Este es el futuro. Cada usuario podrá haber firmado con su certificado digital, sea de la FNMT, Verisign, Camerfirma, Izenpe, Firma Profesional, DNIe etc de modo que el Gestor realmente facilita y aporta valor y control total.

Es más comprensible la pregunta del usuario de un ERP, porque la inmensa mayoría de los desarrolladores de ERP se encuentran aún en la fase prenatal en cuanto a integración de PKI (Public Key Infraestructure) o utilización plena de certificados digitales, y como mucho piensan en firmar facturas que es lo que está de moda y lo que la administración (véase la AEAT y otras en España) promocionan como el “súmum” de ahorro de papel ;-D 

Pero el estado de los Gestores Documentales en todo el mundo, y por supuesto en España, es penoso ya que, a pesar de ser el software por excelencia orientado al uso pleno de certificados electrónicos, pocos fabricantes están mostrando el talento necesario para darse cuenta y adelantarse a la competencia (ojo, que en España hay al menos dos muy avanzados que en próximas fechas darán que hablar y trataré de resumir).

Firmar con herramientas externas? Por supuesto, en cualquier contexto y lugar!! Pero eso no significa que no podamos firmar, verificar, cifrar, descifrar con nuestro Gestor Documental, salvo que lo vendamos como un mero cajón donde “se tiran” los documentos hasta que se los vaya a buscar. De hecho debemos mostrar plena interoperabilidad con otras herramientas que también “sepan” firmar o verificar firma digital, ya que en el ciclo de vida de un documento ocurre a veces que un fichero “debe” abandonar el Gestor para volver a él más adelante, a veces con alguna firma electrónica más que debe saber interpretar.

La Gestión y Calidad sin Seguridad hará aguas en el futuro más inmediato, igual que la Seguridad sin eficacia y/o usabilidad. Es por eso que los desarrolladores más avispados corren a integrar calidad, gestión, facilidad y seguridad, de modo que la empresa poseedora de un Gestor Documental disfrute de una herramienta que le facilita la vida enormemente tanto en el cumplimiento de la LOPD como en la activación de un Sistema de Gestión de Seguridad de la Información, con mayores opciones para certificarse por ejemplo en la ISO 27001 que define claramente qué empresa piensa de verdad en la seguridad, suya y de sus clientes.

Por tanto, !! atención a los Gestores Documentales que vienen con integración de PKI!!, porque hay quien está haciendo la tarea pensando tanto en sus clientes como en sus verdaderas opciones de venta en este mercado movido por la tormenta actual y que algunos aprovechan como oportunidad de cambio e innovación.

Os mantengo informados.