Asumida en toda la sociedad la importancia de la información, concentrada en vídeos, grabaciones de sonido, ficheros, docs escaneados, fotografías, planos, código fuente etc etc todos necesitamos poder guardar cierta información en formato electrónico de modo completamente seguro, a salvo de desastres.

Seguro desde la perspectiva física (infraestructuras sincronizadas y con redundancia, así como control de incendios) y también desde la perspectiva de acceso y obtención o manipulación. En este sentido aparece la importancia de la firma electrónica, de los certificados y de las capacidades de cifrado que cada usuario necesita disponer.

El servicio eBOX CITI que este innovador Colegio de Ingenieros está en proceso de lanzamiento, aporta todos los elementos necesarios para formalizar un contrato con usted: caja web segura accesible desde cualquier dispositivo o sistema operativo, certificados electrónicos, herramientas auxiliares de firma y cifrado y también la formación para autoprotección y buenas pácticas. Ello facilita que un cliente cifre un informe crítico de su empresa (o familia) y lo salve en la caja fuerte documental segura, a salvo incluso del personal de la propia infraestructura. Sólo él y aquellos a los que habilite podrán descifrar esa información fundamental.
Concepto.-

En la sociedad actual, completamente inmersa ya en Internet, han ido creciendo los sistemas “en la nube” como una especialización que permite a clientes de cualquier tamaño confiar en una potente infraestructura. Situada “en Internet”, dispone de todos los elementos de seguridad, ancho de banda, velocidad, personal técnico, máquinas, backups y una actitud de mejora constante, que permite al cliente ocuparse de lo fundamental de su negocio sin arriesgar en inversiones tecnológicas que quedan en el campo de quienes apuestan por infraestructura.

Estas instalaciones ofrecen todo tipo de servicios, habitualmente páginas web, correo, hosting desde hace muchos años. En el momento actual, tanto la crisis como el avance del “cloud computing” han hecho que se ofrezcan en modo “pago por uso” muchos tipos de software, típicamente sistemas de gestión como ERP, pero quiero mostrar cómo en el Colegio de Ingenieros Técnicos Industriales de Navarra se abre camino un proyecto espectacular, para profesionales,  empresas y asociaciones empresariales, en la línea del título del artículo: La Caja Fuerte  Documental Segura que ellos han bautizado como eBOX CITI.

La Caja Fuerte Documental Segura eBOX, Personal o Corporativa, responde a esa idea ya comentada de que cada persona, cada profesional, cada empresa, necesita una zona segura donde tener siempre los documentos que NO PUEDEN PERDERSE, al igual que los bancos ofrecen sus cajas de seguridad donde se guardan documentos físicos, joyas o cualquier elemento de gran valor para su propietario.

En la Caja Fuerte Documental, custodiada por la potente infraestructura de CITI Navarra, guardarán cualquier fichero, independientemente de su formato y su tamaño, y llevará nuestra propia seguridad (firma y/o cifrado del propio cliente) por lo que está protegido incluso de los propios técnicos de la infraestructura, de mantenimiento o de soporte.

Siempre accesible.-

Usted podrá conectarse a su Caja Fuerte Documental desde cualquier lugar del mundo, desde cualquier PC o dispositivo, desde cualquier sistema operativo, identificándose de un modo fuerte con sus certificados digitales, tanto de software como en dispositivo criptográfico (por ejemplo DNIe), y tiene la seguridad de que nunca perderá su información.

Podrá compaginar información sin cifrar, por no ser sensible, información firmada para prevenir cambios e información cifrada para que nadie salvo usted pueda verla o usarla.

Custodiado y protegido.-

La custodia electrónica se caracteriza porque la infraestructura CITI Navarra mantiene salvada la información, de modo que ni incendios, ni terremotos ni accidentes industriales, logren que su información resulte dañada, permaneciendo a salvo en cualquier circunstancia.

El sistema le permite guardar para su custodia información que usted puede previamente firmar electrónicamente y/o  cifrarla, para una mayor seguridad de que nadie podrá acceder, ver o manipular sus datos sensibles.

Tratar la información antes de darla a custodia.-

Usted podrá firmar y/o cifrar la información, independientemente del formato y su tamaño, mediante las herramientas auxiliares de que dispone como cliente de eBOX CITI. Con ello incorpora una “capa adicional” de seguridad y control, pudiendo descargar esa información y descifrarla en sus sistemas incluso sin disponer de conectividad a internet o al sistema central de custodia.

Su información vital (planos, inventos, títulos, patentes, imágenes, vídeos, grabaciones de sonido, fotografías, código fuente, historiales médicos, planes de futuro, pruebas de sucesos, declaraciones e incluso copias de seguridad de que disponga) nunca será accesible por personas que no sean usted o por aquellos que usted determine, por estar cifrada.

Sólo usted y esas personas de confianza (caso de que existan) podrán descifrarla.

Por otra parte existe un control de trazabilidad y elementos de seguridad física en las instalaciones que alojan las Cajas Fuertes Documentales.

Formación y buenas prácticas.-

Cualquier sistema de seguridad requiere una mínima formación para un correcto uso. Usted podrá recibir formación adecuada si lo desea para estar siempre en mejores condiciones de proteger su información, entregarla a custodia desde cualquier lugar, acceder a ella desde cualquier dispositivo o sistema y obtener copia de la misma.

Recibe por tanto una formación y una serie de herramientas que usa como cliente de eBOX y le permitirán: firmar electrónicamente cualquier fichero, cifrar y descifrar cualquier documento, incluso aunque no vaya a darlo en custodia sino guardarlo en sus propios sistemas.

Información sensible e información importante.-

Probablemente cualquier documento sensible (crítico) usted lo va a cifrar para que sólo las personas que usted valide puedan acceder y ver esa información.

La información importante, pero no tan sensible, la tendrá salvada, sin riesgo de pérdida, pero probablemente sólo firmada electrónicamente, asegurándose así de que nadie podrá manipularla inadvertidamente.

Pero si mi información ocupa muchísimo.-

No hay límite para el espacio de su Caja Fuerte Documental, aunque lógicamente tiene un coste mayor asegurar 1 millón de ficheros que solamente mil.

Una persona, un profesional, puede disponer del servicio de Caja Fuerte Documental por tan sólo 6 euros al mes, pero una empresa, necesitada de mas espacio, probablemente pagará 20 ó 30 euros mensuales, al necesitar mayor volumen seguro.

Pero si mi empresa necesita que cientos de usuarios accedan a partes de la información ?.-

Usted necesita una Caja Fuerte Documental Segura eBOX Corporativa. En ella tendrá información sensible cifrada, información importante firmada y miles de ficheros de clientes , a cada uno de los cuales dará acceso a su propia zona de cliente, donde además usted salva su información por ellos, por ejemplo si desea utilizar esta plataforma como medio de distribución de facturas electrónicas a clientes, u otro tipo de información sensible.

En estos casos puede disponer de una zona para que todos sus clientes (sin límite en el número de usuarios) accedan a sus zonas de factura electrónica, a las zonas de información que usted ha generado para ellos, evitando correo postal, aportando universalidad, mejorando la seguridad, facilitándoles usted la custodia, además de aportarles mecanismos sin coste de firma y cifrado.

Su Caja Fuerte Documental Segura Corporativa actúa como un conjunto ilimitado de cajas fuertes personales , una por cliente, por lo que usted se ha convertido en el banco documental de sus clientes y le ofrece valiosos servicios de custodia y seguridad documental.

Es la Caja Fuerte Documental Personal un sistema de Backup ?.-

No exactamente. Usted no puede perder los ficheros de su Caja Fuerte Documental Segura Personal, y en ese sentido es salvada de modo especial. Pero en ella se mantiene su documentación, y puede tener tanto documentos históricos vitales como documentos vivos que usa frecuentemente.

No debemos pensar en la Caja Fuerte Documental Segura como un mero sistema de backup, ya que es un sistema moderno que ofrece fuerte autenticación, firma electrónica, cifrado, acceso seguro, trazabilidad y salvado de su información a prueba de cataclismos.

Un backup normal no le evita que usted haya perdido un fichero que “tenia hace tres años”. Un sistema de custodia le permite rebuscar entre los ficheros que usted tenía hace cinco años, y permanecen en el sistema de custodia como una sucesión de backups independientes.

Puedo crear un sistema de Caja Fuerte Documental Segura para nuestro Colegio o Asociación empresarial ?.-

Por supuesto. Tendrán su propio subdominio en la infraestructura de CITI Navarra y sus propios clientes, como por ejemplo asesoria.documentacionelectronica.com

CITI Navarra diseñará el sistema con sus necesidades y tutelará su implantación. Entonces comenzará la formación de sus responsables y administradores para que sea independiente respecto de sus clientes y usuarios.

La confianza de CITI Navarra.-

El servicio Caja Fuerte Documental Personal y Corporativa es un proyecto innovador del Colegio de Ingenieros Técnicos Industriales, surgido en el marco de su apertura a todos los ingenieros de habla hispana vía Internet, pero tambien a otros profesionales no relacionados con la ingeniería que requieran estos servicios. 

CITI Navarra aspira a ser un de los pocos centros clave para la ingeniería, ofreciendo cada vez más servicios de valor en nuevas tecnologías, y en aquellos aspectos donde las empresas y los profesoanles requieren de apoyos valiosos y creativos para su día a día.

CITI Navarra innova no sólo en cuanto a los proyectos que ofrece, como este de la Caja Fuerte Documental, sino en cuanto al modelo de trabajo, al ser uno de los primeros colegios profesionales que sale al mundo con servicios, productos y formación, y renunciando al viejo modelo de colegio profesional clásico.

Conclusiones finales:

La Caja Fuerte Documental Segura eBOX CITI es un servicio ofrecido al mundo por el Colegio de Ingenieros Técnicos Industriales de Navarra, diseñado con analiTICs21 y la participación de un buen número de empresas tecnológicas españolas con gran nivel de solvencia y coordinadas desde CITI Navarra.  Se orienta en una doble dirección: por una parte para los colegiados (ingenieros, abogados, graduados sociales, médicos, notarios y en definitiva profesionales de cualquier disciplina ) y por otra para pymes, asociaciones empresariales y otros colegios profesionales que deseen tener su propio proyecto eBOX.

En este momento, algo alocado en cuanto a opciones que se ofrecen en Internet por doquier, se hace necesario contar con un interlocutor de confianza, que resuelva de modo transparente la problemática técnica, que facilite con sus socios tecnológicos las necesidades de calidad, seguridad, eficacia y se comprometa con nosotros completamente.

A lo largo del artículo he ido mostrando uno de los servicios novísimos de CITI Navarra dentro del proyecto CITIC´s.

CITI Navarra es una organización pionera que abre su campo de acción a Internet. Ya no se orienta sólamente a Navarra sino a todas las organizaciones colegiales, empresariales y profesionales de España que usan Internet de modo creciente, aplicando nuevos métodos, nuevas vías a su quehacer empresarial, mejorando sus cotas de calidad y a la vez reduciendo gastos.

eBOX compite con soltura con cualquier sistema actual de los existentes, incluyendo aquellos que yo uso desde hace tiempo como Dropbox, SpiderOAK o Wuala, pero adelantándose a todos ellos de un modo espectacular sobre todo en elementos de seguridad, en capacidades para el usuario, en atención directa en tu idioma, en aplicaciones auxiliares adicionales que amplian el sistema eBOX y dotan de más garantías al usuario, ya que le permiten DE VERDAD cifrar de modo seguro y privado la información que desean proteger, tanto en la plataforma como en sus propios sistemas merced a las herramientas auxiliares de eBox.

Algunas de las soluciones que han ido apareciendo adolecen de todas las opciones de autenticación con certificados, no aportan capacidades de firma, no ofrecen opciones de cifrado real al usuario y se limitan a decir (a veces falsamente como denunciaba la prestigiosa empresa hispasec hace pocos días respecto de DropBox, o en su propio blog de DropBox cuando mostraron al mundo que durante 4 horas podía accederse a los sistemas con cualquier contraseña) que “ellos” cifran los datos en el servidor, y en la mayoría de las ocasiones son un simple salvado en servidor de ficheros para sincronizar ordenadores dispersos.

Crecerán servicios de custodia y salvado

Todas estas soluciones, que insisto, yo utilizo también en mi día a día, tienen algun atractivo para el usuario, pero pueden coexistir perfectamente con eBOX CITI como servicio formal. En un mundo donde miles de usuarios profesionales y pymes deseen garantizarse esta acción de salvado de documentación, es más sencillo confiar en una organización real y tangible como CITI Navarra, contactando en cualquier momento por teléfono, email, video conferencia o presencialmente en sus locales, y disponiendo de todas las capacidades que la inmensa mayoria de las otras opciones no tienen (login con certificados o tarjetas criptograficas-incluido DNIe- vía Tractis, firma electrónica en plataforma o e su PC, cifrado y descifrado tanto en plataforma como en su PC, firma de ficheros desde cualquier dispositivo movil, custodia documental blindada).

En el momento de escribir este artículo, responsables de CITI Navarra  perfilan las distintas visitas que se realizarán en los próximos 3 meses para activar sistemas eBOX para cualquier organización empresarial o colegial en España, aportando además un modelo de negocio muy claro a estas organizaciones.

Si tiene interés estarán encantados de visitarle o hacer una video conferencia sin compromiso. Si 20 céntimos de Euro por día no es una locura para usted, entonces eBOX es su solución profesional. Y si lo que desea es disponer de ilimitados usuarios en su eBOX Corporativo, tanto para trabajadores, proveedores o clientes, entonces 1 Euro al día sigue siendo un coste excepcional por todas las capacidades citadas y la salvaguarda de información.

Una eBOX Corporativa para datos de laboratorio

Cualquier fichero puede ser firmado o cifrado antes de subirlo a custodia al eBOX

Data Centers asociados para alojar las eBOX personales y corporativas

En su eBOX web puede hacerlo todo aun sin herramientas auxiliares desde su IPad

Estoy convencido de la bondad del proyecto que lanza el Colegio de Ingenieros Técnicos Industriales de Navarra, ya que no sólo ahonda en esa necesidad que yo percibo por parte de cualquier persona de disponer de una zona web de seguridad superior, fácilmente accesible, sino que lo expande a organizaciones empresariales aportando un modelo de negocio a éstas.

Soluciones como DropBox, SpiderOAK, Metaposta, Wuala y muchos otros que nacerán, van en la línea de aprovechar  la nube de servicios en Internet y son buenas experiencias de las que aprender.

eBOX CITI es símplemente un producto/servicio superior a todos ellos.

Como ya he comentado yo utilizo diariamente DropBox, TrueCrypt y Metaposta aunque “los mejoro” con herramientas como el Explorador ESecure de KSI, algo sin lo que ya no podría funcionar en mi día a día.

Han reducido de un modo brutal envíos inseguros o inadecuados de correo electrónico y mejorado en gran medida el modo de trabajo de sus clientes, que ven cómo pueden acceder siempre a la sede de su proveedor a encontrar, descargar o incluso subir cualquier información que desean.

Que han perdido un fichero que recibieron por correo ?  se conectan a la sede electrónica de su proveedor y ahí está, firmado, seguro, salvado, siempre a su disposición.

Recientemente se suscitaron una serie de comentarios en un cliente de una sede digital web, ya que necesitaba acceder a un documento antiguo que él sabía que había estado en la sede digital del proveedor pero no lo encontraba. Comenzó la fiesta y las interpretaciones.

“Pero yo pensaba que todos los documentos de la sede se salvaban para siempre, o al menos eso creía !! ”

Realmente ese problema que pudo haberse dado (la infraestructura que soportaba las sedes digitales era Masbytes y tenía salvada TODA la información) se debe a que existe una grave ambigüedad en los servicios que se ofrecen en internet, máxime con el crecimiento del modelo SaaS y activación de muchos servicios “en la nube”.

Realmente todos los que dicen que salvan tus datos los salvan PARA SIEMPRE?

Aqui existen todo tipo de estrategias, pero lo primero es mirar muy bien el contrato de servicio que firmamos con el proveedor, ya que en muchas ocasiones no se especifican más que “se realiza un backup diario”, pero que no clarifica (sin mala intención normalmente) cual es el alcance de ese backup, cual es el período de retención de los documentos de ese backup, durante cuánto tiempo será factible recuperar algo de ese backup, cuándo ese backup “habrá desaparecido” porque otro “mas reciente” ocupó su lugar (aunque podrían no existir en él todos los documentos del primero..).

Cuando formalizamos un acuerdo con una infraestructura que va a lanzar Sedes Electrónicas Web para el mundo de la pyme, hacemos hincapié en la importancia del “tipo de backup” que va a conectarse al servicio de sede digital, e insistimos en que se clarifique el verdadero alcance de ese backup.

Muchos clientes no saben que una buena parte de su “información viva” reside en los backups una semana como mucho, y el siguiente backup que se realiza “sustituye” o “machaca” el anterior. Este servicio es perfectamente válido para la inmensa mayoría de los clientes de una sede digital, pero completamete insuficiente cuando te comprometes como organización a custodiar durante x años TODOS los documentos generados para tus clientes , además de aquellos que el propio cliente haya “subido” a la sede digital con la confianza de que tus backups los salvarán y “siempre estarán ahí”.

Nadie está libre de riesgo

No hay peor estrategia que la ambigüedad en estas cuestiones, ya que puedes perder limpiamente un cliente (y no vamos a entrar en denuncias legales) si “el creyó”, tras la lectura del contrato ambiguo, que el backup que se realizaba salvaba para siempre la información, o al menos para los 5 años que muchas administraciones exigen en ciertos documentos.

Las Sedes Electrónicas Web en el mundo Pyme estan avanzando a pasos agigantados, como puede demostrar Masbytes en su día a día, pero ha sido en fechas muy recientes cuando se ha “CONECTADO” al sistema de sedes electrónicas web el servicio de CUSTODIA DOCUMENTAL, lo que permitirá definir con mucha mayor claridad los períodos de retención mínimo de la documentación y que ni los propietarios de las sedes, ni los clientes de estas, se llamen a engaño, sabiendo que su información va a estar todo el período fijado y asegurado en 2 DataCenters distantes y sincronizados.

Este cambio fundamental en las Sedes Electrónicas Pyme, que desde analiTICs21 promovemos en infraestructuras excelentes (Masbytes, Nlink, CITINavarra), llega casi a la vez que la incorporación de TRACTIS como elemento fundamental en la autenticación con certificados de muchos paises del mundo, facilitando el acceso con DNI electrónico para clientes sin que éstos hayan tenido que instalar los drivers del DNIe, elemento este que definía un caso de uso muy negativo.

Muy al contrario, mediante la autenticación con certificados vía TRACTIS, que utilizan los comandos APDU del DNIe, la experiencia es tan abrumadoramente distinta, que es lo que nos lleva a proponer el mundo:

!! No instaleis los drivers del DNIe por favor, porque vuestra experiencia de uso con nosotros será extraordinaria” !!

Pero volvamos al elemento central del artículo, la conexión de las Seled Digitales Web ecoPFN a servicios especiales de backup longevo.

Los clientes de una Sede Digital deben disponer de capacidades especiales

Quienes se planteen disponer de un servicio de Sede Digital, deben tener en cuenta que existen unos pocos servicios críticos, sin los cuales no estaremos hablando realmente de una Sede Electrónica sino de un espacio de intercambio (Dropbox, google doc ejem) o un simple espacio FTP. Concretamente debería poder:

Subir y descargar en cualquier momento:  desde cualquier lugar, mediante acceso seguro y autenticación fuerte, que incluya certificados digitales sólidos, incluyendo DNIe.

Firmar electrónicamente cualquier fichero: Los usuarios de una Sede Digital tendrán la posibilidad de firmar cualquier documento en el instante que decidan, desde cualquier lugar.

Cifrar y descifrar ficheros: Por mucha que sea la confianza que depositemos en la infraestructura que mantiene los sistemas, es vital que dispongamos de posibilidad de cifrar/descifrar la información que va a ser alojada, de modo que ni siquiera un técnico indeseable esté en condiciones de ver sus datos.

Realizar Backups automatizados:  Su infraestructura debe salvar los datos de modo automatizado, bien sea un backup “normal” o mediante un servicio de custodia documental que mantenga toda su información un período definido de años.

Crear ilimitadas cuentas sin coste adicional: Dispone de cientos de clientes y empleados? entonces deberá poder crear automáticamente cuentas para que se conecten y descarguen información sencillamente, e incluso firmen documentos o contratos eficazmente, mediante  usuario/contraseña  y/o  certificado electrónico.

Subir cientos o miles de archivos automáticamente:  Y que sean firmados o cifrados (o ambos), notificando automáticamente a sus clientes.

Autenticación con certificados: Cualquier certificado electrónico, incluyendo el DNIe (siempre que la entidad emisora incluya servicios de validación de sus certificados en tiempo real -a diferencia de la FNMT-) deberá servirnos para identificarnos en la Sede Digital, como uno de los elementos clave que nos recuerdan a la evolución de los cajeros automáticos.

Controlar qué ocurre en la Sede:  Tener completo control de qué sucede, quién accede, qué se ha descargado tal usuario, qué ha subido este cliente.., y en definitiva diponer de una buena trazabilidad ligada a la información y los usuarios es muy importante.

Calidad de servicio

 Cuando nos planteamos como organización dar el paso de tener nuestra Sede Digital Web (Sede Electrónica Web), es fundamental conocer elementos básicos como ancho de banda garantizado,velocidad de descarga y calidad de servicio, ya que hay quien instala esta funcionalidad en su propia empresa y observa desesperado que la calidad del servicio y velocidad es de una calidad horrible, además de que ocasiona un cuello de botella en su ADSL y pierde prestigio entre sus clientes.

Las imágenes que vemos en este artículo corresponden a una de las infraestructuras más sólidas que ofrecen actualmente el servicio a las pymes de Sede Digital Web ecoPFN (Masbytes) en España, al ser un ISP experimentado.

Líneas redundantes y servicio no sólo de Backup sino de Custodia son su mayor diferenciador, lo que evita pérdidas de documentos al mantenerlos todos, aunque sean borrados de la Sede por un usuario.

Comunicaciones excelentes

 En esta imagen podemos apreciar datos del 2010 en Masbytes, de una de sus líneas, que muestra datos entrantes y salientes. Los clientes disponen de 2Mb garantizados, aunque pueden contratar mucho más para su Sede Digital si así lo desean.

  Idéntica información de otra de las líneas, que aportan seguridad adicional.

Una línea de servicios de futuro

Aún no ha llegado a la PYME de modo nítido la necesidad de disponer de su Sede Electrónica, pero eso está ocurriendo en estos momentos, al menos en España, donde la confluencia de medidas, legislación, iniciativas del Gobierno y Ley 11/2007 están creando un contexto muy rico. Si a esto unimos la profunda crisis (económico/política/institucional) e incremento de servicios en Internet, la Sede Digital Web va a ser una realidad para miles de ellas.

Quiere eso decir que las empresas no usarán las Sedes Electrónicas de la Administracion pública?  De ningún modo !

Estos nuevos servicios poco a poco van siendo activados y caminan en la misma dirección, aportando mismas experiencias de uso, pero no entran en la utilización tan versátil que la Pyme requiere en cuanto a su información y la de sus clientes.

Las Sedes Digitales Web como la que vemos en este artículo, que Masbytes ofrece  a las pymes de todo el mundo (en diferentes idiomas), disponen ya de varias herramientas y API´s que posibilitan que una empresa suba de modo automatizado cientos o miles de documentos a su Sede Electrónica, incluso desde su ERP, siendo firmados y alojados en cada una de las zonas de sus clientes, que serán avisados automáticamente de ese suceso y sabrán que tanto facturas como otros ficheros están ya en la plataforma de custodia online a su disposición.

Son muchas las Asesorías (laborales, fiscales, etc) que están activando en primera instancia sus Sedes Digitales Web, ya que normalmente son un tipo de empresa avanzada, eficaz, celosa del rendimiento y reducción de costes, que está sensibilizada por la seguridad y el cumplimiento legal !

Pero son simplemente la avanzadilla ! A ellas se van a sumar miles de empresas que por muy pocos euros al mes dispondrán de este nuevo servicio, este nuevo paradigma de la empresa del futuro que tendrá una ubicación física pero tambien una Oficina Electrónica moderna.

Por último, es importante que extrememos el cuidado y seamos concientes de si disponemos de un backup o de un servicio de Custodia Documental “conectado a” su Sede Digital, ya que un simple backup nunca salvará toda la información sino que se limitará a tener los datos de la última semana o último mes. Esto significa que si hoy comprobamos que hace diez meses se borró un fichero inadvertidamente, ya no estará recuperable, ya que el backup normalmente tendrá la información de unas pocas semanas atrás.

El servicio de Custodia Documental, como el que Masbytes ofrece conectado a las Sedes Electrónicas Web ecoPFN para pymes, nos permitirán aumentar el período de retención de los ficheros, sea uno o cinco años.

No te quedes atrás en el proceso de disponer de tu propia Sede Electrónica Web, como servicio avanzado que ofrecerás a tus clientes y para tu propia organización. Diferenciarnos constantemente de nuestra competecia y aportar nuevos valores a nuestros clientes son medidas clave en la situación actual!

Está naciendo un nuevo modo de hacer, una nueva forma de relacionarnos con nuestros clientes, aportando capacidades de firma y cifrado, ahorrando papel de modo extraordinario y mejorando la seguridad, como una de las síntesis de tanto cambio tecnológico y crisis.

 Asistimos a este despegue y es mejor que seamos conscientes de ello.

El mercado y la nueva situación van a hacerlos desaparecer limpiamente.

 A lo largo de estos últimos años los responsables de CITI Navarra han comprendido, adelantándose varios años a muchas organizaciones, que el camino era incrementar la calidad, mejorar la seguridad, invertir en futuro, extenderse en Internet ofreciendo servicios a todos los Ingenieros Técnicos Industriales, y tambien a empresas de todo tipo, estén donde estén fisicamente.

El resultado de su apuesta lo dirá el futuro imediato, pero hagamos balance de su trabajo hasta la fecha:

• Todos los ingenieros presentan los proyectos electrónicamente, con firma digital
• El Colegio Visa los proyectos y los firma electrónicamente, entregándolos al Gobierno de Navarra
• Las facturas que emiten (unas 3000 al mes) las firman electrónicamente y cuelgan de su gestor documental web para hacerlas accesibles a cada cliente
• Las nóminas las firma electrónicamente tanto el Colegio como los empleados al recibirlas
• Se han dotado de un DataCenter de última generación virtualizando servidores y activando servicios innovadores vía Internet
• Han certificado la organización en la ISO 27001 a fin de mostrar al mundo la seguridad de sus sistemas y la gestión profesional y controlada de los mismos
• Ofrecen un ERP de gran calidad en modalidad SaaS soportado por su renovado DataCenter
• Han creado con ANALITICS21 el proyecto Sedes Electrónicas Web para la PYME, de modo que cada empresa tenga la suya en el DataCenter CITI Navarra, también en modalidad de pago por uso
• Han activado el proyecto Backup Online por el que cualquier empresa puede salvar su información en su DataCenter de modo seguro, sencillo y económico, evitando desastres de pérdidas críticas
• Acaban de firmar un convenio con la Autoridad de certificación Firma Profesional con el fin de ofrecer los mejores certificados electrónicos tanto a ingenieros como a empresas de toda la comunidad
• Se han dotado de unas nuevas instalaciones que posibilitarán la ambiciosa etapa que se abre
• Disponen de un moderno sistema de vídeo conferencia poteciado por servidores streaming para que los usuarios puedan ver y oir los eventos incluso cuando hayan ocurrido ya, merced al servicio de grabación

Este despliege que ha constado varios años construir no se hace al azar. Quienes dirigen esta organización hacen gala de una visión y de un valor que se echan de menos incluso en el mundo de la empresa, y se encuentran en disposicion de expandir sus servicios por toda España.

Hace muy pocos días se desarrolló en las nuevas instalaciones del Colegio una jornada promovida por BIMADIT SEGURIDAD, empresa responsable de todo el armazón tecnológico del DataCenter y que ha contado con todo el apoyo de Microsoft y su Hyper V. 

Responsables tanto del Colegio como de ANALITICS21 hemos apoyado la sesión para mostrar todos los servicios que esa infraestructura está haciendo posible.  Es importante tener claro que sin una infraestructura crítica bien montada, redundante, segura, mantenida y certificada con ISO 27001,  es muy difícil activar servicios valiosos para la empresa.

Ahora todos los servicios innovadores que están articulándose, incluso facilitando la unión de varios colegios de ingenieros alrededor de CITI Navarra, van a demostrar lo que tantas veces digo en mis artículos: Mientras hay quien se cobija hasta que escampe, otros profundizan en medidas anticíclicas para el futuro, arriesgan e invierten con visión.

Sólo me queda decir que es una suerte para ANALITICS21 poder participar en este despliegue y esperar que otras muchas organizaciones materialicen sus proyectos con la misma visión innovadora que en CITI Navarra.

Cada vez que he iniciado un nuevo proyecto (como el actual analiTICs21) he tratado de analizar “postmortem” las vías que se han ido cerrando y sus porqués, los errores cometidos y su sentido, las nuevas líneas que todos ellos posibilitan siempre, la combinación de coraje, amor al riesgo, renacimiento de ideas e ilusiones y por supuesto la ponderación de los elementos que van a permitirme zambullirme con decisión en el nuevo camino.

Produce verdadera satisfacción comprobar que iniciar un camino nuevo no supone una renuncia a muchas cosas hechas en el pasado, sino en todo caso una integración de algunas de ellas y la constatación de aciertos y errores a evitar.

Este articulo quiere ser un gracias a aquellos compañeros y colaboradores que llegan también a estas fiestas con nubarrones sobre su futuro, pero todos ellos muestran clara su decisión de seguir luchando y colaborando.

Para mi, para analiTICs21, haber podido crear con cada uno de ellos un proyecto que va a ir abriéndose a lo largo de 2011 constituye una ilusión enorme, y me hacen ratificarme en mi camino de continuar incorporando aquello en lo que creo y que en anteriores proyectos empresariales no me ha sido posible hacer por diversos factores.

Centrado en la familia de normas ISO 27000, a lo largo de estos meses he ido cerrando acuerdos con empresas especiales con las que hemos ido perfilando nuevos modos de desarrollar productos y servicios para la empresa, siempre desde la perspectiva de Sistemas de Gestión para la Seguridad de la Información.

Es momento tambien para agradecimientos a todos ellos y para mostrar con claridad que el camino ya iniciado es espectacular, ilusionante y producirá muchos éxitos.  Al final las empresas son las personas que las conducen y cuando estableces con ellas un vínculo mental, sabes que los planes diseñados conjuntamente van a abordarse con trabajo y honestidad.

Me ilusiona el camino iniciado con Alberto Picón, con cuyo bufete haremos llegar a cientos de empresas de todo el país un nuevo modo de integrar legalidad, eficiencia, seguridad,  formación y tecnológía.

Me motiva el proyecto abierto con Antonio Rodríguez, del Colegio de Ingenieros Técnicos Industriales de Navarra, orientado a ofrecer desde la nube servicios excepcionales a ingenieros y empresas en toda España, como muestra la activación de la plataforma de firma electrónica y custodia documental, o el acuerdo establecido con la Autoridad de Certificación Firma Profesional.

Me encanta ver el profundo avance producido con Mikel Martínez, lider de NLINK y con quien analiTICs21 está creando nuevas líneas de futuro colaborativo que llegarán a muchas empresas excelentes.

Me siento muy unido a socios de camino como Julio García y Alvaro Alonso, de MASBYTES, quienes extienden sus servicios en Internet sin olvidar la humanidad en sus relaciones, talento activo e innovación cada día.

Es sorprendente cómo se ha ido agrandando mi relación con Jose Ramón Mina, de BIMADIT, según hemos ido colaborando en implantaciones de seguridad y colaborado mano a mano en el ámbito del Colegio de Ingenieros.

Es clave el impulso que  MEDIAGEST y analiTICs21 vamos a dar al mundo de la LOPD y la seguridad documental, aprovechando la gran sintonía y la coincidencia en la visión de lo que vendrá en los próximos años a la pyme.

Me produce una gran sensación de acierto haber profundizado en la relación con Tristan Ramaget, líder de ADHOC-SECURITY y experto en ISO 27000, por cuanto constituye una luz en el horizonte que me guía en la dirección adecuada, tanto en la oferta conjunta de servicios de auditoría e implantación de SGSI como en la utilización de sistemas expertos en detección de vulnerabilidades.

Me llena de alegría la creciente relación con David Marzo y LITO, magníficos desarrolladores y empresarios del Internet del siglo XXI.

Cuando la colaboración profesional da paso a la amistad, como con  Pablo Pérez Trullós (XION) y Martín J. Sánchez todo adquiere una perspectiva nueva, y de un modo natural esperas que el futuro nos será más propicio que hasta el momento.

Me tranquiliza comprobar que el otro proyecto empresarial en el que aún participo como socio, KSI, es conducido acertadamente por Pedro Latasa y Santiago Castaño, paso a paso, hacia la generalización de la firma electrónica en todo el mundo, como acredita el reciente viaje a Colombia a la sede de nuestros socios de GSE Colombia.

En la figura siguiente (arbol, flecha, símbolo de avance, cohete..), con cualquiera de las interpretaciones que deseemos coger, o con todas ellas a la vez, he tratado de no olvidar a ninguna de las organizaciones con quienes construyo mi futuro inmediato, y con las que quiero seguir profundizando y creando ilusiones y proyectos.

Mi familia, base de todo, no podría estar en otro lugar que en el comienzo, en la base, en la raiz de ese árbol de navidad, o en la zona desde donde se impulsan de verdad todas las cosas.

Un nuevo ciclo comienza, como puede apreciarse en la confluencia de tantas crisis simultáneas (financiera, política, valores, modelos, trabajo ) y en la necesidad de su resolución y búsqueda de caminos, y si le echamos valor podremos aprovechar muchas de las ventajas que aparecen en momentos de tormenta, cuando muchos se limitan a cobijarse y dormitar.

Les deseo de corazón a todos ellos (y a tí que me lees) una feliz navidad, un futuro esperanzador para el año que entra y un deseo sincero de que encuentren pronto, como yo he hecho ya, lo verdaderamente importante para seguir adelante con profesionalidad, con ilusión, pero con ambición y una buena dosis de amor al riesgo.

Feliz Navidad

Me ha faltado tiempo para mostrar noticias muy relevantes de los nuevos desarrollos producidos ya por Santiago Castaño, líder de desarrollo en KSI, en la unión de la firma electrónica y el mundo MAC, pero en breve irán esa y otras noticias tecnológicas interesantes.

Seguridad en acceso - Ahorro e innovación- La Administración moderna

Continuando con el análisis práctico de  la confluencia de tecnologías y normativas europeas en la actualidad, y a modo de profundización de mi análisis reciente sobre sistemas de autenticación web basados en PKI, he analizado el fuerte movimiento que se está produciendo en muchas administraciones públicas españolas en la creación de Sedes electrónicas.

Volvemos a ver sorprendentemente cómo el mundo de la empresa privada permanece inerte ante esa acertada orientación de organismos públicos que consiste en avanzar hacia una verdadera administración electrónica.

Este camino facilitará a empresas, profesionales, proveedores, clientes, trabajadores, ciudadanos.. aprovecharse de las ventajas indudables de la aplicación de la tecnología que sustenta los certificados electrónicos y potenciará la mejora de la seguridad que proporciona tanto en la autenticación fuerte como en mecanismos de firma electrónica de documentos, expedientes, formularios, peticiones o consultas en el día a día.

Una sede electrónica u oficina vitual viene a ser sencillamente un sitio web al que podemos conectarnos mediante un certificado digital (aunque aquí hay disparidad según qué administración) y en él, una vez identificados ambos extremos (usuario y servicio), podemos hacer solicitudes, peticiones, entregas o descargas de información.

El concepto de Sede electrónica en la empresa debe ser por definición algo más eficiente, sencillo y funcional. No necesita revestirse del formalismo de las administraciones públicas y debe aportar a clientes, empleados y proveedores de todos los elementos necesarios para aprovechar la tecnología para reducir costes, mejorar en seguridad, reducir el consumo de papel, acceso a repositorios documentales firmados, potenciar el intercambio seguro de documentos e incluso má adelante posibilitar servicios de ventanilla única también en la pyme.

Podemos definir también el concepto de sede digital o electrónica, oficina virtual o electrónica, en el ámbito de la empresa privada, como un sistema web evolucionado que ha integrado limpiamemte el mundo de los certificados electrónicos y ofrece a sus usuarios mecanismos sencillos y económicos para relacionarse con grandes incrementos de seguridad, innovación y buenas prácticas.

Oficina electrónica moderna

Asumir gastos para enviar documentación a nuestros clientes de modo inseguro? Para qué?

Démosles acceso a su zona privada, segura, donde está la información que hemos preparado para ellos, permaneciendo firmada e incluso cifrada, de modo que puedan descargársela en cualquier momento (nóminas, irpf, facturas, expedientes, informes, prospecciones, guías..) para resolver sus necesidades.

Aportémosles la seguridad de que la información siempre estará ahí, realizando por ellos backups de su documentación y ayudándoles a cumplir las necesidades que la legislación les impone en cuanto a períodos de almacenamiento o custodia.

Que nuestra competencia no lo hace? Estupendo!! Entonces es una razón más para diferenciarnos aportando un valor indiscutible a nuestros clientes, colaboradores y asociados (y evitando “vueltas atrás” desastrosas, como los casos de clientes que abandonan la factura electrónica y exigen la vuelta a la factura en papel, debido a un incorrecto modelo donde el emisor de la factura sólo trata de ahorrarse el correo postal y no ha pensado en los receptores).

En el mundo de la empresa y en el ámbito de la factura electrónica, algunas entidades (muy pocas) se están acercando a este concepto de oficina electrónica. En realidad no sólo tratan de que sus clientes puedan acceder siempre a sus facturas, sino resolver los problemas que la legislacion tributaria plantea sobre ellas a sus clientes, de identificación del firmante de la misma (algo que pocas entidades emisoras de factura electrónica hacen, endosando sin saberlo a sus clientes la obligación de determinar ellos si el certificado usado era válido) y de almacenamiento riguroso de las facturas el período legal.

Las empresas  que han dado el paso de poner en permanente disposición las facturas que envían a sus clientes (acceso, descarga, verificación) se acercan mucho al concepto que pretendo clarificar de sede electrónica de ámbito privado u oficina electrónica avanzada, y sin embargo el mundo de la banca va paso a paso en esa dirección (permitiendo el acceso a sus clientes a documentos y transaciones de los ultimos 5 años).

En realidad lo normal es que se aporte a cada cliente un usuario/contraseña y puedan conectarse y descargar los ficheros, sencillamente.

Sin embargo una verdadera SEDE DIGITAL debe comenzar identificando con seguridad a la persona que se conecta (mediante un certificado electrónico). Una sede electrónica permitirá que el cliente acceda a todo tipo de documentos (todos ellos firmados digitalmente) y a realizar descarga en cualquier momento.

Con buen criterio, las organizaciones que se lancen por esta vía (aunque sólo sea por el prestigio y el ahorro que conllevan) permitirán que los clientes entreguen información, facilitándoles de modo gratuito capacidades de firma electrónica asociada a su plataforma o sede digital.

Igual que en el pasado hubo muchas dudas entre las empresas que atrasaban el disponer de su web en internet, va a escalonarse muchísimo la llegada de empresas al concepto de sede electrónica u oficina virtual electrónica, porque se dan circunstancias similares (desconocimiento, informaciones interesadas deformadas, percepción errónea de que el cambio será caro, fallo en la interpretación del “momento” tecnológico en el ámbito de los certificados digitales..).

Es costoso “dotar” a nuestra actual web de autenticación con certificados electrónicos ? (la respuesta es NO. Puede tener coste cero).

Es costoso dotar a los clientes de capacidades de firma una vez conectados a nuestra oficina electrónica ? (la respuesta es NO. Aquí la organización asumirá un coste, bajo, pero que será muy inferior al ahorro de costes que obtendrá por el hecho de eliminar papel y costes de correo postal.)

Debemos optar por avanzar en ese camino ? INDUDABLEMENTE !!  Como en tantos temas relacionados con el entorno de los certificados digitales, es curioso cómo el mundo de la empresa privada, normalmente muchísimo más avanzado que la administración pública, está completamente desfasado, atrasado en estas cuestiones. La sorpresa es mayor cuando se observa que no se trata sólo de medidas “cosméticas” más o menos avanzadas o de imagen, sino que realmente la inversión se amortiza a una velocidad enorme y se obtienen importantes beneficios por la nueva línea adoptada.

Siendo eso así, sólo la crisis económica, la desorientación con tanta confluencia tecnológica o el abandono por las capas directivas de estas cuestiones “técnicas” (que creen mas relacionadas con la informática) parecen aportar explicación al hecho de que la empresa privada esté congelada mientras organizaciones públicas acogen con interés creciente (a veces manchado de interés político cegato) el avance de la administración electrónica.

Habrá quien piense que las Administraciones actúan obligadas por la legislación, ya que el surgimiento de las sedes electrónicas obedece efectivamente al cumplimiento de la Ley 11/2007 en España. Lo que viene para el futuro desde mi punto de vista es una generalización de esas medidas tanto en el ámbito público como privado, y serán las empresas que no implementen estos avances las que pagarán su inmovilismo.

Es momento de ponerse en marcha en la dirección que marcan las administraciones públicas.

Nadie nos obliga en la empresa privada a orientarnos hacia una oficina electrónica, por supuesto, pero la tendencia es inapelable y es mejor mostrar a nuestros clientes que tambien innovamos, pensamos cada vez más en su comodidad y seguridad y estamos dispuestos a seguir esforzándonos por tener su confianza.

Con el fin de eliminar costes a las empresas que van a meterse en este camino, estan surgiendo con fuerza organizaciones que ofrecen su infraestructura tecnológica “en la nube” permitiendo obtener a un coste muy bajo mensual la sede electrónica que se busca. Necesariamente son entidades que cumplen la ISO 20000 y/o la ISO 27001 y que en modalidad de pago por uso hacen sencillo lo que a veces cuesta mas a las empresas: activar un sistema complejo. 

Infraestruturas TIC especializadas

No se trata por tanto de que cada empresa tenga que asumir los enormes costes de propiedad de servidores, personal formado, sistemas operativos y software, licencias, mantenimiento y backup, sino de orientarse a entidades especiales que ponen su infraestructura tecnológica certificada para que nos centremos cada uno en lo sustantivo de nuestro negocio, pudiendo comprobar sencillamente el ahorro que se produce de modo inmediato tras activar nuestra sede digital y su conocimiento por parte de nuestros clientes.

Apenas hay empresas que nos permitan identificarnos con certificados electrónicos. CORREOS y cada vez mas instituciones muestran el camino

Por supuesto a nivel de la Administración eso va incrementándose de un modo esperanzador (en España), tanto a nivel autonómico como estatal. Pero en el mundo de la empresa sólo entidades muy especiales están cogiendo el tren de la autenticación con certificados. Digo certificados y no sólamente DNIe porque hay quien piensa que sólo hay que promocionar el DNIe (error gravísimo), cuando en el ámbito profesional es al contrario: el DNIe apenas se usa (ni usará), tendiendo al cero absoluto en beneficio de otros dispositivos seguros de firma. Tiempo al tiempo.

A poco que despegue una mayor cultura sobre firma digital, basada en certificados reconocidos de otras Autoridades de Certificación con orientación al mundo de la empresa, el DNIe quedará en lo que siempre ha sido. En el ámbito más personal del ciudadano, su uso en Internet debería crecer muchísimo y todos acabarán viendo sus ventajas, pero en el contexto de un certificado más que usar. El DNIe no es la panacea que eliminará el resto de certificados existentes, ni  lo pretende la Administración aunque sólo se esfuerce en el uso del DNIe.

En este sentido el enorme impulso de la Administración por el uso “solo del DNIe” puede ser tan inútil como baldío. A la postre una pérdida de recursos que podría aprovecharse mejor si al ciudadano se le propone el uso de los certificados digitales, incluyendo el  DNIe, ya que esencialmente hablamos de lo mismo y se requiere un aprendizaje similar. El uso de cualquier certificado reconocido apoya y empuja el uso de otros, con lo que enseguida el ciudadano verá que, al igual que en el mundo de la banca puedes tener varias tarjetas sin ningun problema ni complejidad especial, puede tener y gestionar limpiamente varios certificados electrónicos.

Cualquier web de empresa, sea cual sea el servicio que ofrezca, dá opciones a los usuarios o potenciales clientes a utilizar una cuenta de acceso (usuario y contraseña) e incluso a rellenar formularios de modo “anónimo”. Entran aquí partidos políticos, ayuntamientos, asesorías, asociaciones de empresas y cualquier tipo de entidad en realidad. De momento sólo la Administración pública parece estar asumiendo el reto de permitir a los ciudadanos y empresas la identificación con certificados electrónicos.

La seguridad Social mostrando y otras Administraciones públicas mostrando el camino correcto de ofrecer servicios con certificados electrónicos. De aquí al voto electrónico un paso.

Los servicios online basados en la identificación segura de un ciudadano mediante un certificado electrónico potencian enormemente su uso, dan muestra al ciudadano de las enormes facilidades que aporta emplearlos y lo meten inmediatamente en las ventajas del día a día en Internet (banca electrónica, solicitud de trámites, presentación de solicitudes, analizar cómo va su solicitud..). Este es el elemento clave que falta en la actualidad y debe generalizarse, sin caer en el error de que sea “solo con el DNIe” sino con cualquier certificado reconocido.

Certificado digital de servidor

Comenzando por el principio, y siendo más básico y grave, muchas webs de empresas que dan cuentas de acceso a usuarios para proveerles servicios o introducir información, ni siquiera establecen una sesión segura entre el navegador del usuario y el servidor web, lo que hace que tanto el usuario, la contraseña y los datos que se envían al servidor viajen en claro y sin ningun tipo de seguridad (sin cifrado). No es difícil ver entidades, incluso importantes, que en el colmo del ridículo usan un certificado digital de servidor inválido, sin calidad  e incluso caducado, lo que no da ninguna seguridad al usuario de que realmente nos estamos conectando al servidor con el que queremos trabajar.

Es como si quisieramos conectar con el servidor miayuntamiento.navarra.es y el certificado que aparece en el servidor (que debe aclarar que nos estamos conectando al sitio real que hemos elegido) fuera inválido o referenciase una casa de citas..

El certificado de servidor debe ser utilizado para que antes de que el usuario envíe ningún dato al servidor (por ejemplo en banca electrónica) se negocien de modo seguro entre el navegador y el servidor claves de cifrado que hagan que la transmisión sea segura. Si ni siquiera sabemos si estamos conectados al banco porque el certificado está mal, ha caducado o no es de una autoridad confiable.. apaga y vámonos.

El certificado que identifica al servidor (o al dominio Bancosantander.es) y que posibilita la sesion segura con el cliente

Sigamos adelante. Si ha quedado clara esta parte, podemos entender que el certificado electrónico del servidor nos permite saber a qué servidor nos estamos conectando, además de hacer que el tráfico entre nuestro navegador y el servidor sea seguro (indispensable siempre que vayamos a introducir datos sensibles, o estemos comprando en Internet o haciendo gestiones con la Seguridad Social, el Banco o nuestra Asesoría..)

Certificado digital del usuario que se conecta

Cuando nos conectamos a un servidor seguro (hoy día no muy frecuente porque sólo entidades muy avanzadas dan este servicio) que nos permite identificarnos con un certificado electrónico reconocido (ojo! insisto en certificado electrónico reconocido, tanto si es en modalidad software como en tarjeta: DNIe, FNMT, CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO ABOGADOS, NOTARIOS etc etc) entonces son los dos extremos de la comunicación los que se están identificando con seguridad. Aquí en un extremo el servidor del banco, aquí en el otro la persona X..

Este contexto de mayor seguridad nos permite ofrecer servicios por internet con un gran incremento de seguridad, infinitamente mayor que en el caso de usuario/contraseña.

Una Asesoría moderna facilitando el acceso con certificados, además de firma de ficheros

Existen incluso (esto ya es el colmo de la excelencia) muy poquitas entidades que no sólo te permiten conectarte con tu certificado digital, sino que por tenerlo te ofrecen la posibilidad de que puedas firmar formularios, ficheros de cualquier tipo, solicitudes, peticiones, de modo que evitas el desplazamiento físico y además es absolutamente legal. Ya digo que si es dificilísimo encontrar entidades que te permitan por la web autenticarte con tu certificado digital, los que además ofrecen capacidades de firma electrónica por la web son extraterrestres (pero existen).

Que estamos en un momento de inflexión, quizas retardado por la profundidad de las crisis económica y política actuales, parece claro. Pero sin embargo falta motivación, alicientes, ayudas,  empuje y cultura de Internet para dotarnos casi en cualquier web de la capacidad de autenticación con certificados electrónicos. 

No hace tantos años donde muchos “expertos de empresa” ante el ofrecimiento de una web para su organización o asociación decían: ” bah, van a ser cuatro gatos los que tengan página web ! deben pasar muchos años para que se extienda.. ”

Muy pocos años despues de aquellas afirmaciones, que he vivido en pymes y asociaciones de empresas, no se entendía que una empresa no se lanzase a Internet (web, correo, servicios, intranets..) y se generalizaba su uso. Ya vemos que incluso gente muy solvente se equivoca cuando se trata de entrever por dónde van a ir las cosas. 

Retomando esta idea, aún hay quien dice : no te preocupes por la firma electrónica, tú envíame a mi el fichero que yo te lo firmo en tu nombre, “no te enredes en cosas tan difíciles” !!  

Este tipo de afirmaciones tienen el mismo valor que si le dijésemos a alguien que se conecte a nuestro servidor web, que en ese contexto su raton le va a funcionar bien !! Y es que hay tal desconocimiento en este tipo de cuestiones que a pesar de que hablamos de cosas muy sencillas (la explosión de las tarjetas bancarias a toda la población fue más complicado y hoy día cualquier persona de edad y condición social tiene al menos una) se vende mal y surgen servicios “contra natura” como el de “olvídate que yo firmo por tí”.

Utilidades del certificado electrónico para el ciudadano

Una persona normal, no experta en tecnología precisamente, puede hacer perfecto uso de uno o varios certificados electrónicos sin que el paternalista (o buitre) de turno le diga “no te metas en complicaciones”. La analogía de las tarjetas bancarias es suficientemente parecida y demostrativa de la capacidad real de cualquier persona para esto y muchisimo más (en ocasiones son algunos funcionarios, informáticos o políticos los que más dudan de la capacidad de sus ciudadanos). Por supuesto hemos de ayudar, extender una cultura, ofrecer motivaciones y hacer aflorar las ventajas de la utilización, lo que ayudará a demostrar que cualquier persona puede hacer buen uso de sus certificados.

No quiero ser exhaustivo en este apartado, porque hay muchísimas webs estupendas donde se explica, pero un usuario va a obtener con su certificado:

  – Posibilidad de conectarse con mayor seguridad a servicios del Estado (ejem Seguridad Social), de su comunidad autónoma, Ayuntamiento, Banco, Asesoría..con mucha mayor seguridad que con usuario/clave.

  – Posibilidad de firmar electrónicamente cualquier petición, consulta, contrato, de forma 100% legal y ahorrándonos impresiones, colas, desplazamientos físicos (a veces complicados por enfermedades o situaciones vitales duras).

  – Posibilidad de firmar su propia documentación y asegurarla en sus propios equipos, incluso cuando se comunica por email (firmado y/o cifrado segun su importancia) en su círculo personal, familiar o profesional.

  – Evitar tener que memorizar muchas cuentas en servidores, al poder acceder a todos ellos con su certificado.

Por qué no despegan servicios donde sea posible autenticarse con certificado digital ?

Si las ventajas para el usuario son tan claras y rotundas, parece claro que o falta motivación de las empresas e instituciones,  o tenemos un escasa cultura en tecnología, o consideramos (equivocadamente) que implantar la autenticación con certificados  es muy caro.. o no se está impulsando lo que de verdad mueve la sociedad..

La Ley 11/2007 (y a pesar de la crisis) está siendo “seguramente” un revulsivo de gran importancia en el ámbito de las Administraciones públicas. El proyecto paneuropeo IDABC planteó una serie de directivas que por ejemplo en España han dado paso al Esquema Nacional de Interoperabilidad.

Esquema Nacional de Seguridad y la Ley 11/2007

Se trata de que las acciones que tomen las distintas administraciones puedan realmente interoperar, y no suframos un reyno de taifas monumental (como ocurre probsblemente en Educación o en la Sanidad) haciendo inviable que la información de los ciudadanos esté accesible por cualquier Administración, conformando servicios de ventanilla única a donde podemos dirigirnos, incluyendo por supuesto la “ventanilla electrónica” o como están llamándose “Oficinas Virtuales” o “Sedes electrónicas”.

 Dicho esto, urge que las organizaciones en el ámbito empresarial sigan la estela de la Administración en España (increíble pero cierto) y den el salto a la administración electrónica con igual fuerza y calidad.

La infraestructura está lista

Dejando claro nuevamente que me refiero en todo momento a todos los certificados RECONOCIDOS existentes en España (tanto en modalidad software como encapsulado en un dispositivo criptográfico), las infraestructuras más críticas están listas para que todo el sistema ruede, aunque la gente que desconfía de la capacidad del ciudadano no lo crea así. Aprendamos de la experiencia creada a partir de la exigencia de la Agencia Tributaria sobre factura electrónica para empresas que facturan a la administración (que obliga a la firma electrónica de facturas XML en formato Facturae).

Segun datos de la misma AEAT, sólo la eFactura en españa (sin contar con que las empresas privadas van a generar ya que apenas ha iniciado su camino de cambiar la factura papel a factura electrónica) ha producido un ahorro de 15.000 millones de euros anual.

Es necesario ver que aunque alguien lo vea como imposición, ha sido una decisión política inteligente la que ha obligado este movimiento, despertando en el mundo empresarial distintas oleadas tendentes a cumplir normativas, a ahorrar y mejorar la eficacia, reducir papel y pensar en el impacto medioambiental. Algo que si aplicamos a todos los documentos que no son facturas se puede multiplicar por miles (las facturas no son los documentos más numerosos).

Un día de estos la Justicia española nos dará un susto y dejarán las maquinas de escribir

Siendo esto así, qué pasará cuando en España la Administración de Justicia (que tenemos aún en el siglo 19 en cuanto a eficacia informática y de seguridad) se incorpore ”en serio” al mundo de los certificados digitales y la documentación electrónica?  Que haga los cálculos quien pueda, pero seguro que hablaremos de docenas de miles de millones de euros CADA AÑO.. sin pensar en el incremento vital de eficacia en la gestión, reducción de tiempos de proceso, mayor transparencia, mejora del rendimiento, control de robos de pruebas, desaparición de libros y documentos en sedes judiciales o su deterioro por estar amontonados en estantes etc

Las normativas legales están listas(como ya he dicho otras veces en España estamos muy por delante de paises más avanzados, luego se ha trabajado bien). La tecnología existe. Las Autoridades de Certificación en España funcionan muy bien. Entonces necesitamos voluntad y decisión política para impulsar como hizo la Agencia Tributaria un movimiento de avance.

Ejemplo: Todas las peticiones de subvencion, ayudas, desempleo, becas,  etc podrían hacerse con un certificado digital reconocido.

Una sola medida de este tipo, que parece que dificulta al ciudadano la obtención de ayudas, supone en cambio un “engrase social” fundamental, que moviliza, forma y hace avanzar en varias líneas.

 Atención aquí, porque la imposición del DNIe como si fuese la panacea o el único certificado válido será un gran error, que dificultará  -o impedirá-  el desarrollo natural del uso del certificado digital por el ciudadano.

Si cualquier tramite inicial  jurídico o las relaciones de los partidos políticos con sus afiliados y con la Administración, se hiciesen con certificado electrónico, el movimiento que se generaría sería clave y vendría en beneficio de todos.

Excepción a la regla

Que las infraestructuras están listas como planteo es verdad. Pero sin embargo eso no es así en absoluto cuando hablamos de permitir a los ciudadanos o empresas autenticarse en las páginas web de empresas, instituciones, asociaciones, partidos politicos.. con sus certificados electrónicos, y es lo que motiva este artículo. Esta es la excepción a la regla de las estupendas infraestructuras en España, ya que requiere que se involucren las empresas. (Habría que incentivar esas vías promocionando a las empresas que sigan el camino ! )

Y el acceso con certificados para cuando ?

Existen millones de personas en España con varios certificados electrónicos validos (FNMT, CAMERFIRMA, DNIe..) y sin embargo pocas son las empresas que han incorporado a sus webs la tecnología que permita a cualquier empresario, ciudadano o profesional utilizarlos en lugar del usuario/contraseña, que ni da seguridad, ni aporta más que la dificultad de tener docenas de cuentas para acceder a docenas de sitios, con olvidos, quejas, robos y demás inseguridades (como tenerlas anotadas en papel).

Es difícil para una empresa dotarse de capacidades de login con certificados ? !NO! . Existen muchas soluciones, parciales (ejemplo solo autenticación) y totales (autenticación, firma, cifrado). Existe software libre y software propietario y hablamos de pocos días de implantación.

Tendencia a futuro

Esto va a cambiar porque estos servicios dan prestigio, denotan innovación y buenas prácticas en seguridad, y las empresas más sensibilizadas en calidad, seguridad y marketing van a ir con paso firme incorporando este elemento de la infraestrutura que sin duda falta en España (curiosamente es en la Administración donde más se está avanzando ;-) ). Cuando el ciudadano vaya paso a paso entrando en tantos sitios como la Administración en España está habilitando para login con certificado, aquellas entidades privadas que no lo posibiliten simplemente darán una impresión penosa. Estoy convencido de que esto va a cambiar  y pronto vamos a ver miles de empresas integrando en sus webs, intranets, extranets, acceso a clientes.. la autenticación con certificados electrónicos.

Plataformas avanzadas de documentación firmada digitalmente

Como muestra de lo que pocas empresas en España están haciendo como avanzadilla de calidad, un buen número de  Asesorías están activando sus particulares “sedes electrónicas” o “repositorios electrónicos”. Así como la Banca electrónica más moderna te permite acceder a cualquier documento tuyo (normalmente PDF) de los últimos cinco años (con lo que no lo necesitas tener en papel ya que “te lo guardan ellos”), las Asesorías están llevando millones de documentos electrónicos a esas plataformas web u oficinas electrónicas para sus clientes, evitando tanto correo inútil e inseguro y acogiéndose a normas avanzadas como la de Factura electrónica.

Esos ficheros están firmados electrónicamente, por supuesto, y los clientes siempre tendrán acceso a ellos, a su descarga, a su comprobación.  Y no sólo eso. Los clientes de estas Asesorias pueden “subir” sus propios ficheros a sus zonas privadas, lugar donde podrán firmarlos, cifrarlos, descifrarlos sin que hayan tenido que adquirir ninguna solución.

Naturalmente, los clientes de estas asesorías se autentican con sus certificados electrónicos, además de con usuario/contraseña para aquellos que aún no disponen de certificado. Son servicios de valor que aportan estas Asesorias a sus clientes y que les muestran las ventajas de seguir usando sus servicios frente a sus competidores.

Otras soluciones para autenticación con certificados (que otros lo comprueben)

Existen empresas que  se  ofrecen como “pasarela de autenticación“. Me explico: en lugar de incluir en mi web la tecnología para autenticar el certificado de mi cliente, lo que me ofrecen es que “derive” la autenticación a su web, de modo que una vez que hacen “ellos” la comprobación del certificado, devuelven a mi web el control.. Francamente, si esa “pasarela” es una Administración o un Banco, de acuerdo. Si es una entidad privada “normal”, mejor probamos otras vías que nos aporten más seguridad. Siendo una buena idea, sin embargo hemos de confiar en alguien externo que nos dice si el usuario es o no es, lo que añade un eslabón más de confianza cuando lo sencillo es que nuestro sitio web pregunte a la entidad emisora del certificado directamente.

Incluir capacidades de firma y autenticación en tu web es algo que poco a poco todos van a hacer, como se está incluyendo tecnología flash, sonido, vídeo o sesiones seguras. Además hablamos de un coste bajo (puede ser cero) y grandes mejoras en seguridad, en imagen y servicio a nuestros clientes.

Autenticación y fima con el certificado que el usuario tiene en su poder

Sirva como aclaración que hay empresas que ofrecen servicios de firma digital en su web, pero siempre que tengas un certificado software que hayas subido a la plataforma, para que “la plataforma firme con tu certificado”.  Aunque es válido normalmente, el camino de futuro es posibilitar que el usuario firme con el certificado que tiene instalado en su PC, PDA o tiene en su token USB o tarjeta criptográfica, para lo cual existen soluciones avanzadas basadas en ActiveX de Microsoft  y/o Applets de Java.

No sólo con el DNIe

No me cansaré de repetir que aunque pueda entenderse el esfuerzo de la Administración y el Gobierno de promover fortísimamente el despegue del DNIe es un error tratarlo de modo distinto a otros certificados digitales que llevan en el ámbito empresarial y de la Administración muchos años. Pretender que el ciudadano abandone la idea de obtener otros certificados digitales (FNMT, CAMERFIRMA etc) como algunos funcionarios pretenden (de modo inocente  y pretendiendo ayudar a simplificar al ciudadano) cuando atienden a personas en las oficinas del DNIe o por teléfono, es significativo del desconcierto que en los propios funcionarios existe.

Si el esfuerzo publicitario y de gestión, enorme, que está suponiendo el DNIe, se desaprovecha, será la utilización de los certificados electrónicos quien pagará el error de no haber tenido mayor amplitud de miras en la extensión de una cultura de acceso y firma electrónica. Cuando desde Europa se trata de que los distintos paises miembros sigan esa senda, no están pensando en los diferentes DNIe de cada país, sino en los diferentes certificados digitales ya existentes en innumerables Autoridades de Certificación.

Veamos un ejemplo de lo que digo. En la imagen siguiente puede apreciarse un incorrecto servicio de identificación de clientes de uno de los bancos más avanzados en firma electrónica: Santander. Se ve claramente cómo el cliente puede utilizar un servicio de calidad para identificarse en la web SOLO CON DNIe, lo que reduce de un modo increible la buena medida implantada por la entidad. Qué pasa con los certificados RECONOCIDOS tanto en software como en tarjeta de otras Autoridades de Certificación?  Ya estaban aquí con sus magníficos servicios antes de que la Dirección General de la Policía fuese una CA con certificados !

Buena intención pero mala elección.. Solo el DNIe no !!

Los certificados electrónicos RECONOCIDOS emitidos por cualquier Autoridad de Certificación en España (tanto en software como en tarjeta) harían enormemente más fácil al ciudadano el adentrase en este mundo, propiciando al final un mayor uso del DNIe que tanto preocupa a algunos. Un usuario que use certificados de FNMT,  CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO DE ABOGADOS, COLEGIO DE NOTARIOS, o varios de ellos, verá cómo, de verdad, todo le resulta más sencillo y acabará usando el DNIe de un modo natural, que es lo que pretendemos para los servicios del futuro.

La profunda crisis económica actual está sirviendo para que muchas ideas del mundo de la economía,  de la Administración, del mundo laboral y del mundo financiero se pongan en cuestión. Hay quienes ya dicen con claridad que muchos  cientos de miles de personas en España no volverán a trabajar, por su edad crítica y baja formación.

Hay también quienes predican ya con frases como “generación perdida” y otras expresiones alarmantes  no carentes de realismo, dada la aparente paralización de muchas administraciones y responsables públicos en lo que a empleo joven se refiere.

Movimientos orientados a actuar con decisión

En ámbitos profesionales TIC se remodelan servicios, se zambullen en la moda actual tendente a virtualización, software libre, profundización en el modelo SaaS y por supuesto a nadie se le ocurre renunciar a productos y servicios de seguridad TIC ni mucho menos a la Formación de los profesionales -en un alto número ahora de nuevo desempleados-.

La Formación como defensa ante la situación presente

En esta última línea, me ha tocado trabajar mano a mano, durante los últimos 8 meses, con personas del Instituto CuatroVientos de Pamplona y de la Delegación de Navarra de AENOR. Coincidimos en una serie de ideas clave que han propiciado el diseño de un programa de Postgrado que se orienta a:

•  Dotar de contenidos innovadores, prácticos y eficaces a empresas, profesionales y desempleados en la línea de Sistemas de Gestión de Seguridad de la Información (SGSI).
•  Apoyar a la pyme actual y sus profesionales para un reciclaje sólido en Seguridad TIC, dotándolos de herramientas y no sólo aportando conocimientos teóricos.
•  Ofrecer nuevas líneas de acción innovadora y eficaz a Directores TIC, Abogados en nuevas tecnologías, Consultores en distintas áreas del mundo de la empresa (LOPD, LSSI, responsables de Auditoría, Calidad y RRHH), Informáticos y profesionales que buscan con seriedad un reciclaje profesional que responda a la crisis citada y ayude a abrir nuevas vías.

El Instituto CuatroVientos de Pamplona es la imagen viva de un centro dinámico e innovador hecho por profesionales de distintas disciplinas a lo largo de los últimos 25 años. Un centro privado concertado en secundaria que, siendo una Cooperativa de profesores con un alto grado de preparación y siempre dispuestos a abordar sistemas de mejora con calidad, han logrado situarse entre los centros más prestigiosos de la zona norte innovando en educación formal y ofreciendo al mundo profesional líneas sólidas de formación actualizada de un modo constante.

Son varias las líneas formativas que este centro ofrece cada año, pero el nuevo Postgrado que surge  en Seguridad de la Información tiene características únicas porque:

 - Ha sido diseñado en cooperación con AENOR

 - Los alumnos (y las empresas que inscriben a trabajadores en los cursos) no sólo reciben conocimientos actualizados de las nuevas líneas que se van a desarrollar en los próximos años en Gestión de la Seguridad TIC, sino que reciben soluciones de software que van a ayudarles a resolver muchos problemas de su ámbito profesional (o de aquellas empresas que los contraten) en sistemas de calidad/seguridad, en sistemas de firma electrónica, en sistemas de facturación electrónica, en sistemas de Gestión Documental, en sistemas de Gestión de LOPD, en sistemas de Backup y en la preparación de auditorías internas.

 - Los alumnos obtienen la certificación AENOR  “Auditor de ISO 27001” lo que unido a las herramientas obtenidas les sitúa en una buena posición frente a empresas que desean contratar a profesionales pero con un inmediato retorno de inversión, de modo que son “útiles y rentables” desde el primer minuto.

El curso está diseñado con modulos presenciales y online, siempre con la idea de dar las máximas facilidades a cuantos profesionales, trabajadores y desempleados que necesitan formación sin dejar sus actuales actividades.

Nuevos puestos para la empresa del futuro

Quienes creemos que hay un margen muy amplio de trabajo futuro en Seguridad TIC y sobre todo en el establecimiento de modelos de madurez en la empresa inteligente (Sistemas de Gestión de Seguridad de la Información) basados en el estándar ISO 27001, no podemos dejar de ver la profunda crisis actual como una oportunidad para muchas personas y empresas. Se abre un tiempo en el que con cierta rapidez pueden obtenerse unos conocimientos que posibilitarán un aterrizaje en la empresa en nuevas funciones que sin duda se necesitan claramente.

Estoy convencido de que en el futuro no será fácil encontrar una empresa sin un responsable de Seguridad TIC. En la actualidad los jefes de área en Informática compaginan áreas tan dispares como el mantenimiento del parque informático, Sistemas, Seguridad, Diseño web corporativo, cumplimiento normativo, gestión de proveedores y hasta desarrollo. Por supuesto nadie en el mundo puede hacer bien semejantes y tan variados cometidos, lo que genera frustración y malos resultados.

Sólo cuando ocurren desastres, cuando el responsable abandona la empresa, cuando desaparece información o somos conocidos en el mundo por una multa millonaria por parte de la Agencia de Protección de Datos, nos damos cuenta de la importancia de una figura que consolide un modo de hacer en Seguridad TIC, que ocupe su tiempo en el establecimiento de Sistemas de Gestion en Seguridad, que coordine áreas y personas, que defina y ejecute las auditorías internas, que vele por el establecimieto de Planes de Contingencias y de Continuidad del negocio.

Muchas personas van a ser requeridas para esas funciones que están apareciendo ya, y es importante que se aclare desde el principio que no necesitan ser informáticos (aunque necesariamente su nivel irá creciendo paso a paso). Es imprescindible una formación guiada y asumir una línea de trabajo personal propia que logrará objetivos en muy pocos meses, pero siendo apoyado desde el inicio con un buen enfoque y futuros refuerzos.

Mientras nuestros políticos se dan lo suyo pero no se les espera para resolver de verdad los problemas, mientras se cierran docenas de miles de empresas y miles de profesionales llegan al paro, el Instituto Cuatrovientos junto a las personas y organizaciones que hemos participado en el diseño, creyendo en él, ha promovido este primer paso formativo que tiende a preparar personas para esas nuevas líneas que aparecerán en el mundo de la empresa más moderna, independientemente de su tamaño.

La definición del curso.  Inicio de un Itinerario de formación

Los bloques del Postrado son:

•  Seguridad Informática
•  Gestión de la LOPD
•  Gestión Documental Segura
•  Auditor de ISO 27001

Se desarrollará entre mediados de Octubre 2010 y de Enero 2011 y los modulos presenciales se desarrollan los días Lu, Ma y Ju en horario de tarde/noche.

Las herramientas que van a utilizarse en el Postgrado son de empresas del mundo de la seguridad y otras basadas en software libre,  lo que va a permitir desde el primer instante a los alumnos trabajar con gran nivel práctico, asimilar mejor la parte teórica y llevarse soluciones reales a su empresa tras la finalización del curso.

Para muchos es hora de iniciar con fuerza una nueva línea de trabajo, dejándose llevar por una organización de prestigio como el Instituto CuatroVientos, colaborando con empresas del mundo de la seguridad TIC y de las certificaciones.

 Tanto si te has visto afectado por los problemas de tantos miles de empresas cerradas, como si aún no has iniciado tu experiencia laboral, como si deseas incorporar nuevos elementos de valor a tu bagaje técnico actual, puedes contactar con el Instituto CuatroVientos y ver la posibilidad de hacer tu plan, bien sea inscribiéndote a todo el postgrado o realizando un módulo este año para continuar el siguiente con otra fase..

Es cierto que este post mío parece más una noticia que la exposición de una serie de ideas que defiendo permanentemente en mis artículos sobre seguridad TIC, acertadamente o no. Pero siendo consecuente con ellas, con mi experiencia en herramientas profesionales que orbitan sobre la gestión documental segura, y dada la extraordinaria consideracion que tengo de AENOR y del Instituto CuatroVientos, entiendo que soy fiel a mis objetivos de llevar propuestas de valor a aquel que que sea capaz de acoger las ideas que expreso humildemente, que aporto con los mejores deseos de que sirvan a la comunidad.

Todo depende de cómo se mire

He de decir, para que quede claro que puedo no ser objetivo, que el módulo de Gestión Documental Segura lo imparto yo, pero siendo también consecuente he de decir que es un módulo extraordinario para un Postgrado excepcional ;-D

Si coincides conmigo en que es momento de replantear tu camino o reforzarte en previsión de cambios, este Postgrado puede ser un inicio formidable. Dejarte llevar por profesionales que creen en lo que hacen con una orientación de futuro indiscutible, es una buena idea.

Más información podrás obtenerla en el propio Instituto:

Avda. San Jorge 2. 31012 Pamplona

 Tel (34) 948 315558
E-mail info@cuatrovientos.org   Web: www.cuatrovientos.org

En ocasiones es necesario salir de la arena para poder tener una visión más global.  Como nunca olvido, el ajedrez durante mi vida (a mi perro al menos le gano aún) me ha aportado esa habilidad para analizar desde distintos puntos de vista situaciones (posiciones) y las muchísimas veces que caes en una trampa te dan la suficiente desconfianza como para no sentirte seguro del todo nunca.

Como en la sociedad actual uno llega a ser especialista de las cosas más insospechadas (me hizo gracia saber que se puede ser experto en bordes curvado de vaso de cristal..) es fácil ver el mundo desde el cristal de nuestra disciplina, e incluso la defensa de nuestro trabajo, salario o posición, lo que nos hace ser poco objetivos, cuando no tramposos o fanáticos en toda regla.

El especialista del mundo de la Calidad normalmente ve el mundo desde su perspectiva, tambien en función de su posición en la empresa (los becarios tienen una visión peculiar aquí ;-D ). Los talibanes del mundo de la Gestión llevan a las últimas consecuancias sus ideas de control. Los guerreros del mundo de la seguridad a veces no vemos más allá de nuestras narices, llenos como estamos de cortafuegos perimetrales, proxys, zonas desmilitarizadas, backups, sniffers, flujos de datos en texto claro, virus, hackers, personal inexperto o malicioso, curiosones y pervertidos, ladrones de todo tipo, “inocentes destrozatodo” y pensamos poco en la facilidad de uso y menos en quién tiene que gestionar el “dispositivo”..

Podría continuar mostrando la visión del Formador, del consultor externo, del auditor, del directivo o del empresario, pero no quiero ser repetitivo. O eres muy inteligente (no es fácil encontrarlos), o tienes mucha suerte, o eres un ajedrecista reconvertido en el mundo de la empresa, o, como me ha pasado a mi, vives todos los roles en el mundo de la empresa o es difícil normalmente no caer en modas, prejuicios o el fanatismo de quien defiende su modo de vida o disciplina como la “madre de todas las disciplinas”.

Por otra parte algunos hemos tenido “la suerte” de comprobar que aún con un excelente producto, tu proyecto o empresa se puede ir al garete, o no coger vuelo. Y es que una empresa es algo más que un producto estupendo (a mi me ha costado años entenderlo).

Es imprescindible una gestión eficaz, disponer de una visión de la calidad no sólo orientada solo al producto sino tambien a procesos, servicios, personal, cliente..y poner pasión en todo ello.

Gestión eficaz sin calidad? !imposible!

Calidad sin seguridad? !no es creible!

Seguridad sin Calidad/Gestión? !buen engaño!

Como en muchos otros aspectos de nuestra vida este es un dilema resuelto. Podremos poner el peso mayor en uno de estos elementos, pero los tres son imprescindibles a la vez. Disponer de sistemas de seguridad que nos permitan mantener altas cotas de calidad en toda la empresa y !sobre todo! dentro de un marco de Gestión Eficaz en un proceso continuo, son elementos necesariamente consustanciales al éxito de cualquier proyecto TIC.

Uno de las mejores reflexiones que hoy día pueden recibir guerreros de la Calidad, o de la Gestión, o de la Seguridad, es : !!No hay contradicción en mantener las tres disciplinas, pero sólo con que una falle hará que todo el proyecto tropiece tarde o temprano!!

Como consejo (voy a ser muy pelma con este) que a todos los guerreros va a venir bien:  !Apostar por recibir formación sobre la ISO 27001 y agradecérmelo en el futuro!

Para facilitar algo el tema, aquí tenéis una URL interesante de las muchas que hay:

http://www.aenor.es/Documentos/Formacion/Ficheros/TPATECINFO_PROM_1564.pdf

Lo cierto es que es sorprendente la cantidad de miles de empresas que no han hecho su trabajo sobre la LOPD si tenemos en cuenta el enorme intrusismo que existe. Hoy día podemos ver que cualquier empresa, tienda de informatica, empresa de desarrollo, consultora o cosas más raras, “resuelven la LOPD de sus clientes” sin un pestañeo.. !y por cuatro euros!

Cuesta creer que haya tanto especialista que sin ningún conocimiento de derecho, ni trabajo profundo sobre esta delicada materia, se dediquen a recolectar incautos que por unas docenas de euros “ya cumplen” la LOPD bien comprando sus productos o dejándose llevar por su “consultoría”.

Poco a poco, en ciertas zonas se va imponiendo la cordura y aparecen expertos del mundo del derecho (abogados) que se especializan de modo creciente en nuevas tecnologías, entrando de verdad en liza con esas ordas de “pseudo especialistas” que por poco dinero y mucha cara rozan el engaño cuando esgrimen lo que sus herramientas hacen o recitan de memoria artículos del Reglamento como si fuesen expertos juristas.

Ha llegado a mis manos un libro estupendo, hecho por expertos del derecho pero para todo el mundo. Analiza varios escenarios públicos y privados, y dan pautas y guías de valor.

Es un libro que merece la pena y que tanto a los responsables de administraciones públicas, de empresas privadas, informáticos, asesores, creadores de soluciones de seguridad e incluso a ciudadanos, les servirá como obra profesional de referencia.

No es necesario ocultar que algunos de los autores de esta obra son colaboradores de mi empresa. Puedo asegurar que el libro será útil de verdad. Podéis echar una ojeada a la dirección http://www.intercodex.com/LA-PROTECCION-DE-DATOS-SUS-MUNDOS_L9788496164895.html y analizar con más detalle si puede seros útil.

Para aquellos que con tanto ahínco y poca profesionalidad ofrecen “cumplir totalmente” con la LOPD en base a tal o cual producto que venden, el libro es inmejorable ;-D

Una parte importante de los directivos en el mundo de la PYME renuncian a cuestiones relativas a la seguridad, como si únicamente se tratase de instalar cortafuegos, antivirus o cualquier dispositivo más o menos complejo, dejándolo todo en manos de “los informáticos”. En realidad están renunciando la mayor parte de las veces a GESTIONAR. Muchos directivos conocen la metodología PDCA que se aplica en muchos contextos de calidad y eso mismo pueden aplicarlo cuando se ponen manos a la obra en la dirección de crear un Sistema de Gestión en Seguridad de la Información. La ISO 27001 es el camino.  En los próximos años veremos cómo las empresas que DE VERDAD están sensibilizadas con las TIC, seguridad, calidad, cumplimiento normativo y activación de planes de contingencia, aquellas concienciadas en la necesidad de custodiar la información de sus clientes y en mantener el prestigio, implantarán su SGSI y en muchos casos se certificarán como un medio de mostrar al mundo su nivel de calidad y seguridad y tambien con el fin de poder seguir siendo proveedor de grandes empresas y la Administración, so pena de verse fuera de esos mercados.

Un buen consejo para los que veis como yo la necesidad no sólo de mejorar la seguridad sino de gestionar correctamente el proceso, es que os hagáis con la Guía de aplicación de la norma UNE-ISO IEC 27001 para pymes. Es un material que no os decepcionará y os va a ser de una utilidad increible, aunque no penséis todavía en certificaros. La web a la que accedeis es la empresa de los autores de la Guía, a los que desde aquí envío mis sinceras felicitaciones por el magnífico trabajo.

He de deciros por último que si hubiéramos dispuesto de un gestor documental profesional en mi empresa nos habría resultado mucho más sencillo el proceso de implantación y sobre todo el de certificación.

Desde INTECO en España se están haciendo verdaderos esfuerzos por impulsar la mejora de la seguridad TIC. Una muestra de ello es este interesante curso online gratuito  !! que está muy bien !!

Entra y disfruta con estos recursos.  https://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/