La profunda crisis económica actual está sirviendo para que muchas ideas del mundo de la economía,  de la Administración, del mundo laboral y del mundo financiero se pongan en cuestión. Hay quienes ya dicen con claridad que muchos  cientos de miles de personas en España no volverán a trabajar, por su edad crítica y baja formación.

Hay también quienes predican ya con frases como “generación perdida” y otras expresiones alarmantes  no carentes de realismo, dada la aparente paralización de muchas administraciones y responsables públicos en lo que a empleo joven se refiere.

Movimientos orientados a actuar con decisión

En ámbitos profesionales TIC se remodelan servicios, se zambullen en la moda actual tendente a virtualización, software libre, profundización en el modelo SaaS y por supuesto a nadie se le ocurre renunciar a productos y servicios de seguridad TIC ni mucho menos a la Formación de los profesionales -en un alto número ahora de nuevo desempleados-.

La Formación como defensa ante la situación presente

En esta última línea, me ha tocado trabajar mano a mano, durante los últimos 8 meses, con personas del Instituto CuatroVientos de Pamplona y de la Delegación de Navarra de AENOR. Coincidimos en una serie de ideas clave que han propiciado el diseño de un programa de Postgrado que se orienta a:

•  Dotar de contenidos innovadores, prácticos y eficaces a empresas, profesionales y desempleados en la línea de Sistemas de Gestión de Seguridad de la Información (SGSI).
•  Apoyar a la pyme actual y sus profesionales para un reciclaje sólido en Seguridad TIC, dotándolos de herramientas y no sólo aportando conocimientos teóricos.
•  Ofrecer nuevas líneas de acción innovadora y eficaz a Directores TIC, Abogados en nuevas tecnologías, Consultores en distintas áreas del mundo de la empresa (LOPD, LSSI, responsables de Auditoría, Calidad y RRHH), Informáticos y profesionales que buscan con seriedad un reciclaje profesional que responda a la crisis citada y ayude a abrir nuevas vías.

El Instituto CuatroVientos de Pamplona es la imagen viva de un centro dinámico e innovador hecho por profesionales de distintas disciplinas a lo largo de los últimos 25 años. Un centro privado concertado en secundaria que, siendo una Cooperativa de profesores con un alto grado de preparación y siempre dispuestos a abordar sistemas de mejora con calidad, han logrado situarse entre los centros más prestigiosos de la zona norte innovando en educación formal y ofreciendo al mundo profesional líneas sólidas de formación actualizada de un modo constante.

Son varias las líneas formativas que este centro ofrece cada año, pero el nuevo Postgrado que surge  en Seguridad de la Información tiene características únicas porque:

 - Ha sido diseñado en cooperación con AENOR

 - Los alumnos (y las empresas que inscriben a trabajadores en los cursos) no sólo reciben conocimientos actualizados de las nuevas líneas que se van a desarrollar en los próximos años en Gestión de la Seguridad TIC, sino que reciben soluciones de software que van a ayudarles a resolver muchos problemas de su ámbito profesional (o de aquellas empresas que los contraten) en sistemas de calidad/seguridad, en sistemas de firma electrónica, en sistemas de facturación electrónica, en sistemas de Gestión Documental, en sistemas de Gestión de LOPD, en sistemas de Backup y en la preparación de auditorías internas.

 - Los alumnos obtienen la certificación AENOR  “Auditor de ISO 27001” lo que unido a las herramientas obtenidas les sitúa en una buena posición frente a empresas que desean contratar a profesionales pero con un inmediato retorno de inversión, de modo que son “útiles y rentables” desde el primer minuto.

El curso está diseñado con modulos presenciales y online, siempre con la idea de dar las máximas facilidades a cuantos profesionales, trabajadores y desempleados que necesitan formación sin dejar sus actuales actividades.

Nuevos puestos para la empresa del futuro

Quienes creemos que hay un margen muy amplio de trabajo futuro en Seguridad TIC y sobre todo en el establecimiento de modelos de madurez en la empresa inteligente (Sistemas de Gestión de Seguridad de la Información) basados en el estándar ISO 27001, no podemos dejar de ver la profunda crisis actual como una oportunidad para muchas personas y empresas. Se abre un tiempo en el que con cierta rapidez pueden obtenerse unos conocimientos que posibilitarán un aterrizaje en la empresa en nuevas funciones que sin duda se necesitan claramente.

Estoy convencido de que en el futuro no será fácil encontrar una empresa sin un responsable de Seguridad TIC. En la actualidad los jefes de área en Informática compaginan áreas tan dispares como el mantenimiento del parque informático, Sistemas, Seguridad, Diseño web corporativo, cumplimiento normativo, gestión de proveedores y hasta desarrollo. Por supuesto nadie en el mundo puede hacer bien semejantes y tan variados cometidos, lo que genera frustración y malos resultados.

Sólo cuando ocurren desastres, cuando el responsable abandona la empresa, cuando desaparece información o somos conocidos en el mundo por una multa millonaria por parte de la Agencia de Protección de Datos, nos damos cuenta de la importancia de una figura que consolide un modo de hacer en Seguridad TIC, que ocupe su tiempo en el establecimiento de Sistemas de Gestion en Seguridad, que coordine áreas y personas, que defina y ejecute las auditorías internas, que vele por el establecimieto de Planes de Contingencias y de Continuidad del negocio.

Muchas personas van a ser requeridas para esas funciones que están apareciendo ya, y es importante que se aclare desde el principio que no necesitan ser informáticos (aunque necesariamente su nivel irá creciendo paso a paso). Es imprescindible una formación guiada y asumir una línea de trabajo personal propia que logrará objetivos en muy pocos meses, pero siendo apoyado desde el inicio con un buen enfoque y futuros refuerzos.

Mientras nuestros políticos se dan lo suyo pero no se les espera para resolver de verdad los problemas, mientras se cierran docenas de miles de empresas y miles de profesionales llegan al paro, el Instituto Cuatrovientos junto a las personas y organizaciones que hemos participado en el diseño, creyendo en él, ha promovido este primer paso formativo que tiende a preparar personas para esas nuevas líneas que aparecerán en el mundo de la empresa más moderna, independientemente de su tamaño.

La definición del curso.  Inicio de un Itinerario de formación

Los bloques del Postrado son:

•  Seguridad Informática
•  Gestión de la LOPD
•  Gestión Documental Segura
•  Auditor de ISO 27001

Se desarrollará entre mediados de Octubre 2010 y de Enero 2011 y los modulos presenciales se desarrollan los días Lu, Ma y Ju en horario de tarde/noche.

Las herramientas que van a utilizarse en el Postgrado son de empresas del mundo de la seguridad y otras basadas en software libre,  lo que va a permitir desde el primer instante a los alumnos trabajar con gran nivel práctico, asimilar mejor la parte teórica y llevarse soluciones reales a su empresa tras la finalización del curso.

Para muchos es hora de iniciar con fuerza una nueva línea de trabajo, dejándose llevar por una organización de prestigio como el Instituto CuatroVientos, colaborando con empresas del mundo de la seguridad TIC y de las certificaciones.

 Tanto si te has visto afectado por los problemas de tantos miles de empresas cerradas, como si aún no has iniciado tu experiencia laboral, como si deseas incorporar nuevos elementos de valor a tu bagaje técnico actual, puedes contactar con el Instituto CuatroVientos y ver la posibilidad de hacer tu plan, bien sea inscribiéndote a todo el postgrado o realizando un módulo este año para continuar el siguiente con otra fase..

Es cierto que este post mío parece más una noticia que la exposición de una serie de ideas que defiendo permanentemente en mis artículos sobre seguridad TIC, acertadamente o no. Pero siendo consecuente con ellas, con mi experiencia en herramientas profesionales que orbitan sobre la gestión documental segura, y dada la extraordinaria consideracion que tengo de AENOR y del Instituto CuatroVientos, entiendo que soy fiel a mis objetivos de llevar propuestas de valor a aquel que que sea capaz de acoger las ideas que expreso humildemente, que aporto con los mejores deseos de que sirvan a la comunidad.

Todo depende de cómo se mire

He de decir, para que quede claro que puedo no ser objetivo, que el módulo de Gestión Documental Segura lo imparto yo, pero siendo también consecuente he de decir que es un módulo extraordinario para un Postgrado excepcional ;-D

Si coincides conmigo en que es momento de replantear tu camino o reforzarte en previsión de cambios, este Postgrado puede ser un inicio formidable. Dejarte llevar por profesionales que creen en lo que hacen con una orientación de futuro indiscutible, es una buena idea.

Más información podrás obtenerla en el propio Instituto:

Avda. San Jorge 2. 31012 Pamplona

 Tel (34) 948 315558
E-mail info@cuatrovientos.org   Web: www.cuatrovientos.org

En estos cursos me he encontrado en general con personas de todo tipo, con una base informática básica muy correcta, aunque tambien con directivos sensibilizados e incluso informáticos con nivel muy importante (dice mucho en su favor asistir al curso de seguridad informática ”a pesar de su nivel” y supone una inteligente diferenciación entre lo que es poseer profundos conocimientos informáticos y disponer de conocimientos en seguridad TIC reales).

Es necesario insistir mucho en esta idea nuclear: lo que determina la seguridad en una organización no es que disponga de dispositivos especiales (firewalls, antivirus etc) ni un informático brillante, sino la existencia de una cultura de calidad/seguridad que, extendiéndose de arriba a abajo, llegue de verdad a todos por oleadas, de modo continuo y consciente hasta el último usuario.

Es clave abandonar la antigua idea de sistemas de seguridad en base a modelos de ciudad amurallada, debido al dinamismo que la información, el desarrollo tecnológico e Internet han supuesto para todas las personas y organizaciones. La información debe disponer en sí misma de elementos de seguridad (ejemplo firma y cifrado) y no solo los sistemas y locales que la almacenan.

En estos contextos es importante que nos demos cuenta que todos necesitamos formación continuamente, que nadie nos va a proveer de la seguridad que apreciamos sin nuestro concurso voluntario, como en muchas situaciones de la vida.

Es vital el establecimiento de políticas, que podamos dejarnos llevar por sistemas formales de gran calidad para nuestro avance (OSSTMM, CobiT, ISO 27001), tanto si perseguimos una certificación oficial como si deseamos que nuestra seguridad interna esté contemplada adecuadamente, dejándonos conducir  por estándares  y el establecimiento de Sistemas de Gestión de Seguridad de la Información (SGSI).

En general  no se aprecia que cada uno de nosotros en nuestro ámbito personal y familiar, los profesores en aulas con ordenadores, cualquier trabajador de una organizacion sindical, ong o Administración, necesitamos prevenir amenazas y tratar deliberadamente riesgos mediante un conjunto de buenas prácticas y sólo un poco de tiempo.

Lo más frecuente es contemplar personas y grupos humanos donde ni siquiera existe sensibilización del problema. Se considera erróneamente que el tema de la seguridad es únicamente cosa de una persona, informático normalmente, que ni siquiera suele tener medios y tiempo para ello (así nos va). Dicho esto, y para que el artículo no lleve a nadie error, mi objetivo aquí es comentar una aplicación que puede ser instalada tanto a nivel personal,  familiar, en el ámbito docente o en el empresarial: Deep Freeze.

Que se instale como resultado de un simple análisis, como resultado del establecimiento de una política o con la idea de implantar una medida de salvaguarda y ayuda a la administración sencilla del PC, es lo de menos en este momento.

A la aplicación que comento hoy le ocurre como a algunas medidas de protección, que nunca sobran, aunque tienen más sentido en unos casos que en otros, claro está. Deep Freeze, o congelación profunda, es una aplicación comercial (existen versiones para el ámbito educativo) que nació con la idea de “preservar” el sistema en base a “una foto” del mismo que hemos realizado en un momento dado. Aunque el sistema sea modificado, un virus infecte una aplicacion, un troyano sea descargado, fotos, webs o cualquier otro “problema”, en el siguiente reinicio del sistema queda eliminado ya que Deep Freeze “vuelve a la foto original” creada en su momento del sistema (Windows, Linux o MAC).

Ambito personal o familiar

Un padre puede desear en el equipo doméstico, personal o el de sus hijos, una medida como esta. Ese equipo pasa a ser un ordenador administrado forzosamente por él, lo que en sí mismo es ya una medida extraordinaria en muchísimos casos, evitando que intencionada o inadvertidamente, cualquier miembro familiar, atacante, virus o el vecino listo de turno nos endosen una “aplicación buenísima”, el “último software pirateado que te instalo porque me caéis bien” o cualquier daño en el Sistema producido por error, accidente o sencillamente por falta de conocimientos.

La instalación de software espía brutal (véase la maravilla de Spector o eBlaster que suelo utilizar en algunos cursos avanzados) se hace en menos de 1 minuto, es muy dificil de detectar y permitirá a ese vecino o “amigo” disponer de TODA tu información constantemente, ver tus escritos, controlar tus conexiones y contraseñas a cualquier nivel y de un modo silencioso. Cuidado con quien usa nuestro PC, aunque Deep Freeze es una buena medida para prevenir este tipo de amenazas.

Como administrador del equipo familiar deberemos saber que, tras reiniciar el sistema, Deep Freeze hace que todo vuelva a estar como antes. Si deseamos actualizar el sistema, instalar aplicaciones o hacer algún mantenimiento, deberemos proceder previamente a “descongelarlo” y actuar entonces. Una vez hecho vuelta a congelar y listo.

En sistemas con un disco duro podremos tener varias particiones, con la idea de congelar las que queramos (normalmente el sistema operativo, o todas). Deep Freeze es muy útil cuando disponemos de varios dicos duros en el PC, o incluso tenemos discos duros externos con los datos y el sistema operativo está congelado y protegido. Es conveniente recordar aquí que esos discos duros externos pueden estar magníficamente tratados con aplicaciones como las que comento en un artículo pasado: TrueCrypt y ESecure.

 Atención porque hay quien dice que Deep Freeze nos permite ahorrarnos el antivirus y no es correcto. Un virus que infecte el sistema estará activo y actuando mientras no reiniciemos nuestro PC, y es una mala idea dar opción a que actúe con nuestros datos, o aproveche nuestro equipo y conexión a internet para hacer ataques a otros ordenadores de la Red.

Como responsables de ese ordenador personal o familiar, la primera acción fundamental es que la “foto del sistema” debe ser tomada en condiciones de seguridad, normalmente tras haber re/instalado el sistema limpiamente con las aplicaciones que deseamos, estructura, usuarios, antivirus etc. Nuestra familia debe conocer el contexto y los modos adecuados de uso, pero no debemos compartir la administración de Deep Freeze con nuestros hijos salvo que no sean pequeños y estén sensibilizados.

Ambito educativo – el aula -

Los ordenadores en el aula han podido ser instalados con Ghost, disponer de máquinas virtuales o de PC  en PC. En cualquier caso, Deep Freeze es una solución a tener en cuenta como algo valioso y reducirá apreciablemente el trabajo que deberemos emplear en cada equipo en el día a día. He visto organizaciones orientadas a la formación que administran cientos de ordenadores en varias sedes con sencillez, aprovechando la reducción vertiginosa de problemas y mantenimiento, como resultado de tener controlados y congelados los sistemas.

En estos casos cada alumno puede almacenar sus trabajos en un servidor en su carpeta personal, pero sin disponer de ninguna posibilidad de alterar su ordenador del aula. No es la única forma pero es sencilla, económica y viable.

En estas situaciones los profesores y responsables del mantenimiento informático de las aulas pueden descansar, porque se evitan muchísimas de las cosas desagradables e inseguras que aparecen en muchos institutos de formación, o cualquier aula orientada a formación continua, aunque hemos de recordar que Deep Freeze no resuelve todos los problemas de seguridad que aparecen en un ordenador usado por múltiples usuarios con conexión a Internet. Es importante que los ordenadores tengan la BIOS protegida y que la secuencia de arranque del sistema sea la que el administrador ha determinado (ejemplo no arrancar de disquete, CD o USB).

Hemos de pensar en esta aplicación como una de las ayudas a considerar para mantener la integridad de los sistemas  así como la protección específica de los propios alumnos que los utilizan, sin olvidar:

• Que los ordenadores sean administrados razonablemente por un responsable
• Que exista sensibilidad por la seguridad y las múltiples amenazas y se forme a los alumnos en seguridad
• Que se disponga de Políticas establecidas (ejem. está prohibido descargar películas, aplicaciones etc etc)
• Que los sistemas dispongan de antivirus

Deep Freeze no es una aplicación a la que yo esté ligado de ningún modo, pero fué un descubrimiento hace unos años, mientras preparaba mi primer libro de seguridad informática, en aquella ocasión por encargo de Forem Navarra.  No he dejado de utilizarlo en los cursos presenciales que desarrollo en organizaciones empresariales de todo tipo donde imparto formación en seguridad TIC (Tecnologías de la Información y Comunicación), actividad que me orienta hacia un estudio constante  y es una oportunidad de revisión y mejora continuas.

Deep Freeze, en combinación con un Antivirus y aplicaciones excepcionales como TrueCrypt (cifrado de volúmenes) y ESecure (Firma electrónica y cifrado con certificados), puede permitirnos mejorar nuestra seguridad de un modo formidable y sin que sea muy exigente en dedicación, aunque hay personas a las que les cuesta acostumbrarse a descongelar antes de hacer mantenimiento (todos tenemos un vaguete en nuestro interior luchando con mucha constancia por salir).

Si hay una fiesta peculiar en el mundo esa es San Fermín, aunque aquellos que la hemos vivido toda nuestra vida nos parece la cosa más natural del mundo en un país lleno de fiestas de verano. Cualquiera que se asome a la televisión o la prensa podrá advertir graves sucesos en los encierros, como la actividad más peligrosa de las fiestas y también la más conocida en todo el mundo, pero también los magníficos recursos humanos y técnicos disponibles que se someten a auditoría en tiempo real día a día..

Muchos profesionales están trabajando como siempre en el mantenimiento de la seguridad, y año tras año se analizan resultados, se  mejoran líneas de acción, se tienen en cuenta datos recogidos de la experiencia, se planifican y preveen problemas que puedan surgir y se enfrentan a situaciones difíciles donde a veces el tiempo de reacción es muy pequeño y es un problema añadido.

Ha coincidido este año todo este armazón de trabajos, normalmente inadvertidos para quienes no se dedican a temas de seguridad en cualquiera de sus facetas, con las difícilmente planificables jornadas en las que la selección española de futbol ha ilusionado a todo el país, con muy muy poquitas excepciones a las que no me referiré aquí.

Nuevas acciones que no sólo han mostrado hasta qué punto hay descerebrados que no respetan el buen ambiente que viven quienes con ilusión esperaban los mejores resultados para España, sino una cierta falta de previsión (seguramente entendible por la dificultad de preveer los buenos resultados) de los responsables de seguridad ante la confluencia de circunstancias, personas y sentimientos.

No es momento de buscar culpables sino de tomar nota siempre desde la perspectiva de mejora y el cuidado de los ciudadanos y los entornos donde todos nos movemos con nuestras familias.

Una vez mostrado que la seguridad es fundamental en cualquier aspecto de nuestra vida, solo me queda en este corto “artículo vacacional” enviar un sincero cariño a los que como yo deseábamos que España fuera campeona del mundo, dejando acreditada una noble manera de luchar deportivamente y también a quienes de modo tan silencioso trabajan por la seguridad, a veces recibiendo críticas e incomprensión.

En el próximo artículo que estoy preparando para después de vacaciones trataré de presentaros distintas líneas de trabajo en seguridad TIC moderna, tanto en referencia a estándares, modelos de documentación, guías de formación, certificaciones y estrategias para implantación y auditoría, orientada a certificación o no para las pymes, sobre todo tras mi aterrizaje en los extraordinarios cursos que he recibido en AENOR impartidos por Tristan Ramaget, líder de Adhoc Security que pone un listón de calidad difícil de superar.

!!Somos campeones del mundo y San Fermín sigue su curso!!

Pensar de verdad en el cliente

En la últimas semanas me ha tocado impartir formación específicamente orientada a la implantación de un sistema de facturación electrónica en la Asociación Navarra de Empresas Laborales de Navarra.

Los alumnos se dividían entre trabajadores en activo (40%) y desempleados con buenos conocimientos del mundo de la empresa y de gestión (60%).

Está claro que su orientación era bastante diferente de partida, ya que mientras los que estaban en activo (Dios sabe por cuánto tiempo con la que está cayendo ;-) ) trataban de conocer los secretos clave para implantar un sistema de factura electrónica exitoso, los desempleados “de élite” que componían el resto de asistentes trataban de aumentar su bagaje para hacerse atractivos a una futura empresa.

El curso, taller o seminario (han sido 8 horas a tope) ha permitido a todos los asistentes conocer el reglamento de factura electrónica, enmarcar los distintos sucesos en las distintas normativas estatales y europeas surgidas en estos últimos años, pero desde una perspectiva limpia de intereses de venta de productos.

Han podido comprender cómo muchos de los sistemas de factura electrónica que han fracasado tienen entre sus defectos una falta de formación del emisor, mezclas indeseables de intereses entre consultores e implantadores,  la búsqueda miope de beneficios sólo para el emisor y al ya comentado ”ruido” y desinformación interesada existente en España y que dificulta la propia evolución de estos sistemas. 

A todo ello hemos de unir el conocimiento “suficiente” aportado en base a estándares de formatos, a estándares de firma y a los “engaños típicos” que pululan en diferentes lugares de nuestra geografía acerca de la legalidad de tal o cual formato y su argumentación…

Estoy convencido de que los alumnos han podido sintetizar con claridad las ideas clave que definen nuestro actual marco, entre las que están los contextos de emisión y recepción, la insuficiente atención prestada a dos de las opciones que tiene el emisor, como son la “subfacturación” (por ejemplo delegar en tu Asesoria el proceso de eFacturación) y la “autofacturación” (delegar en el receptor de la factura el proceso de firma) y a lo más determinante:  los sistemas de eFactura que se han creado pecan de una insuficiente atención a los intereses de los receptores de la eFactura.

Ha sido necesario que llegase la Ley 11/2007, que muchas administraciones se planteen la creación de sus “sedes electrónicas“, que se hayan venido abajo por inoperantes y mal diseñados algunos proyectos de eFactura que han forzado y malinformado a sus clientes, para que seamos conscientes de que los sistemas que implantamos de factura electrónica deben SOBRETODO beneficiar al receptor por todos los medios posibles.

Que la ley obliga a los receptores (nuestros clientes) a verificar el certificado con que el ha sido firmada la factura que les ha llegado? Pues entonces validemos la factura nosotros en el instante de la firma para “evitarles el marron”.

Que la ley les obliga a almacenar las facturas electrónicas recibidas? Pues les suministramos gratis total un servicio web de acceso a todas sus facturas, de búsqueda, de verificación, de almacenamiento y custodia, de descarga e incluso les aportamos sin coste capacidades de firma mediante la propia plataforma de que le dotamos.

De hecho, y hablando de plataformas, es aquí donde suele estar la esencia de un sistema de facturación electrónica eficaz para el receptor, con independencia de lo que como emisores utilizamos en el interior de nuestra empresa para producir las facturas y firmarlas eficazmente (ERP, Gestor Documental, Aplicación de Escritorio..)

Da igual que el formato sea x o y ya que la normativa es superflexible y abierta cuando hablamos de facturación entre pymes principalmente. Lo que es indudable es que  la empresa que recibe factura electrónica de su proveedor recibe una plataforma online, capacidades nuevas como la firma electrónica, no paga nada por tener perfectamente guardadas, salvadas y custodiadas todas sus facturas y por tanto accesibles, y ve claramente el valor que le aporta su proveedor.

Esta pyme o micropyme ve que de verdad el sistema ha sido construido también para él y por tanto no llega al extremo de “volverse atrás” y demandar de nuevo factura en papel, algo en lo que la normativa le asiste y que ha dado al traste con caros sistemas implantados sólo pensados para el ahorro del emisor.

Cuando un cliente ve un sistema tan eficaz como este, es él el que pide que se amplíe el sistema a otros documentos aunque no se trate de facturas. El beneficio es tan enorme que llegará el día en que una pyme normal dispondrá de acceso a una plataforma por cada gran proveedor, de modo que los costes de verificación, acceso, almacenamiento y custodia los asuman ellos y por tanto sea innecesario imprimir en papel y clasificar y almacenar en la propia pyme esa información, teniéndola en formato electrónico, accesible en cualquier instante sin ningún coste y desde cualquier lugar, independientemente de que también la tenga en su gestor documental interno.

Por qué una mancomunidad como la de Aguas de Pamplona trabaja en una plataforma web para las facturas a sus clientes? Es evidente. De verdad están pensando en ellos cuando se meten en el proyecto de llevar la factura electrónica a todos los hogares y empresas.

Ellos asumen la carga técnica y de costes de la plataforma. Los usuarios de servicios de agua y basura sólo tendrán que conectarse cuando desean ver, buscar, comprobar, descargar, verificar y sin ningún coste, sintiéndose también artífices de un sistema nuevo, sencillo y económico, responsable con el medio ambiente y del que sacan beneficio inmediato.

Tengo la esperanza de que los asistentes a este taller de ANEL, que estaban en situación de desempleo, hayan visto hasta qué punto la visión, la documentación y las aplicaciones vistas, les permitirán mejorar sustancialmente su currículum (a partir de ahora firmado electrónicamente, espero ;-) ) al haberles dotado de muchos de los elementos necesarios para que puedan aportar a las empresas donde recalen, un conocimiento suficiente para liderar o coordinar un proceso de implantación de factura electrónica y la certeza de que una vez creado servirá para todo el resto de su universo documental.

Han podido ver aplicaciones de escritorio y plataformas web de firma y publicación, pero también utilizar sistemas gratuitos de “firma nativa” basados en Office y OpenOffice, como demostrativo de lo sencillo que sería generalizar muchas de las cosas aprendidas y llevarlas a otro tipo de documentos, en muchísimo mayor número que las facturas y que multiplicarían por mucho el ahorro.

La idea base de que un sistema de eFactura es simplemente un sistema de firma electrónica para clientes les ha parecido novedosa y razonable, ya que no es otra cosa. Desde ese punto de vista , la inversión realizada debe servir para cualquier otra documentación de la empresa tanto en el uso interno como en el envío al exterior, lo que nos permite mejorar aún más la amortización y reducción de costes.

( http://www.analitics21.com/2010/05/tiempo-de-conjunciones-planetarias/) , aún cuando miles de empresas y administraciones duermen en la mas completa calma, continúa el trabajo fase a fase que va a permitir que la firma electrónica (e incluso el cifrado) se integren de lleno en Office y OpenOffice y no sólo en el mundo PDF o XML.

Como ha ocurrido con el mundo de los ficheros de Adobe y los distintos estándares abiertos que han consagrado al formato PDF como una de las estrellas en el trabajo documental mundial, Microsoft avanza a toda velocidad para conseguir igualar todas las capacidades y de este modo “inyectar” firma electrónica completa en todos los documentos de su “Suite”, tanto en formatos binarios como OpenXML.

Por supuesto, y aunque con algo menos de velocidad, derivado quizás de que el estándar ODF pudiera ser más débil en algunos aspectos como su integración con XAdES, el mundo de OpenOffice también avanza en la misma línea de permitir la firma electrónica como lo hace Adobe con su formato completo PAdES.

Mientras esto ocurre y el mundo se prepara para generalizar  la comunicación de ficheros de oficina que llevan en su interior firma electrónica completa, con validación OCSP y sellos de tiempo, la pequeña guerra local orientada a las facturas electrónicas sigue su camino en algunas partes del mundo con desigual resultado.

Así, mientras en España se siguen sucediendo los dimes y diretes, campañas, engaños y mensajes confusos acerca de si es el formato “Facturae” el ideal para la factura (completamente falso como se verá en los próximos años cuando este formato desaparezca dando paso a estándares más abiertos), en el mundo orientado a la pyme más innovadora se prepara software que trabaje en ambas direcciones y sin olvidar la firma en formato CAdES que permite que nos abstraigamos del formato del fichero y es un estándar abierto asumido.

Software moderno que permita tanto a emisores como receptores de factura cumplir cualquier estándar, y sobre todo software que facilite que en el ámbito de la gestión documental moderna, en el día a día de trabajo con documentos electrónicos, pueda firmarse electrónicamente (o cifrarse) con sencillez, haciendo uso de certificados digitales de cualquier Autoridad, utilizando almacenes de certificados tanto de Microsoft como Mozilla, inyectando la firma tanto en ficheros PDF como en los generados por Office u OpenOffice.

Pantalla de Microsoft Word en el contexto de firmar digitalmente un fichero (factura, informe o lo que sea..)

Será por tanto sencillo (y gratis) firmar electrónicamente cualquier documento con el tratamiento de textos u hoja de cálculo preferida, sea factura o informe, historial médico o plano, balance o currículum, así como abrir cualquiera de ellos con esas “suites” de oficina y verificar que siguen siendo íntegros y que están firmados por tal o cual persona.

Significa eso que aplicaciones excepcionales como el Explorador ESecure de KSI dejarán de ser útiles en el cometido de firma o cifrado ?

!! De ningun modo !!

El Explorador ESecure y el equipo de desarrollo de KSI vuelan con una notable velocidad de crucero, por delante de empresas de todo el mundo, y se encuentran en fase avanzada en su interés por facilitar aún más la firma, verificación, cifrado, descifrado de uno o miles de documentos en una sola acción y posibilitando verificar la firma de los documentos sin tener que abrirlos ni tener la aplicación con la que fueron creados.

Un documento que haya sido firmado por tres usuarios con su Microsoft Word, en distintos momentos cada uno de ellos, va a poder ser firmado y verificado por usuarios de ESecure, incluso en sus versiones gratuitas, con lo que se demuestra que aun no teniendo ese tratamiento de textos se podrá interoperar con él o sus documentos generados.

Algo similar ocurrirá con los documentos de OpenOffice, aunque si se descuidan los desarrolladores de este software libre llegarán mucho más tarde a las mismas cotas de funcionalidad. En cuanto a Adobe, tiene su tarea magníficamente hecha y también avanza rápidamente aún por delante de sus enormes competidores, y parece muy difícil que se le desbanque en el mundo de la empresa y Administración ya que PDF es utilizado por todo el mundo con profusión.

Pantalla en la que se procede a firmar un documento desde OpenOffice Writer.

 Dado que allí donde exista normativa de firma electrónica (como España y muchos paises occidentales) es legal enviar un documento electrónico firmado digitalmente (como dice incluso la normativa de factura electrónica en España, no importa en la PYME si el fichero es un gif, doc, xls, xml, pdf etc etc), es ya muy fácil darse cuenta que esa batalla está ganada y que hemos de incorporarnos de un modo u otro a ese mundo.

Como usuarios, en realidad teniendo un certificado electrónico (o varios como es inevitable y deseable que nos ocurra), podremos utilizar todas las herramientas que nos permitirán firmar la información, “suites” ofimáticas, plataformas web, aplicaciones de escritorio, software avanzado de Gestión Documental y ERP, y por tanto no estaremos cautivos de ninguna de ellas, ni nos encontraremos que sólo podemos firmar si nos conectamos a “no sé qué web..”  y que la verificación de identidad del firmante e integridad del contenido es sencilla y transparente.

Dejará la firma de ser importante en ese contexto? Por supuesto que no, como no lo es el uso del ratón en la actualidad!! Sencillamente el software que no firme quedará relegado, como quedaron algunos magníficos tratamientos de texto de consola.

Y qué ocurre con el software de firma y cifrado si ya muchisimas aplicaciones ofrecen esas capacidades?

Tiempo al tiempo.. Parece razonable pensar que se avanzará en estándares nuevos, nuevos sistemas operativos, integración con biometría de un modo más sólido, integración con soluciones de workflow, gestión documental y ERP.. y que iremos ideando más servicios para la pyme y avanzando con ella en la búsqueda de la eficacia y calidad con seguridad.

Vista de la aplicación ESecure y sus capacidades de firma de fircheros de cualquier formato

 No todo el mundo avanza a la vez y lo que en un país ha sido asumido en otros cuesta más.. de modo que tanto en el mundo del software libre como en el del software propietario, ambos legítimos y orientados a dar servicios a clientes, se abre un camino de años en donde nos iremos viendo todos.

En nuestro país, uno de los mas avanzados del mundo en utilización de certificados electrónicos como lo demuestran proyectos como el DNIe, normativa de Factura electrónica, Ley de Firma electrónica, Ley 11/2007  de administración electrónica..etc  pronto deberían ser centenares de millones los documentos electrónicos que por medios telemáticos van y vienen de las empresas y la administración (incluida la de justicia ;-D ) y entonces será posible que cualquier niño pueda saber que un millón de documentos ahorra 60 árboles.

Por tanto si la administración de justicia mueve y genera miles de millones de documentos, expedientes, avisos, cartas, notificaciones, convocatorias.. al año, la cantidad de masa arbolada salvada será muy significativa.

Según vaya avanzando en realidades el Explorador ESecure de KSI y las librerías de firma/cifrado que permiten que otras empresas integren estas capacidades en su software de gestión, iré aportando pequeños comentarios y explicaciones. El avance es tal, que después del verano 2010 podremos ver resultados, sobre todo si algunas entidades hispanoamericanas interesadas imprimen fuerza en sus proyectos y peticiones facilitando con ello un adelanto del mapa de ruta que mantiene el equipo de desarrollo de KSI.

Su responsable de desarrollo fija para finales del 2010 la disponibilidad en ESecure de todas las opciones de firma y validación en ficheros de Office y OpenOffice, lo que supondrá otro avance inmenso en extender la firma a todo el mundo. 

Estas nuevas capacidades y formatos se sumarán a todos los esquemas que hacen en la actualidad de esta aplicación algo extraordinario al disponer por fin en una misma aplicación de todos los formatos y estándares  de firma electrónica y cifrado  para el dia a día de cualquier usuario, profesional o pyme

(Office, OpenOffice, PDF, XML y el formato de firma CAdES que permite la firma de cualquier fichero sea cual sea su formato-en modo attached y detached-).

Es curioso cómo un país como el nuestro, que lleva años de delantera a muchas otras naciones avanzadas de nuestro ámbito occidental, en todo lo que tiene que ver con tecnologías de la información, acceso electrónico, certificados digitales y en definitiva firma electrónica, lo que acaba de verdad dejando es sedimento de desastre, de barro sucio, de mentiras o medias verdades, de informaciones interesadas y sesgadas, de ocultación y de eliminación de lo avanzado en beneficio de pelotazos y ventas de harramientas de dudosa eficacia.

Puede parecer tremendista, pero es doloroso ver cuantos empresarios, desarrolladores, personas del mundo de la tecnología, ciudadanos… repiten conceptos equivocados, falsedades dichas por pseudo gurús, por gente poco solvente que trata de poner oregeras a la audiencia para acabar vendiendo tal o cual solución del mercado.

Muchos profesionales que tratamos honestamente de ganarnos la vida en este mundo de las TICS, no podemos por menos que sufrir cuando encontramos empresarios, colegas, clientes que te dicen frases como:

-yo la firma electrónica? no, no, me dijeron en una charla que me olvidase por complejidad y para evitar que cada cinco minutos cambien formatos y tenga problemas… que contrate una plataforma de factura y me deje de historias..!!

-No me interesa la firma porque el tal formato Facturae es un rollo para tecnólogos..

-Facturas en Excel o Word ? Eso es ilegal no?

-Dicen que se ahorra mucho con la factura electrónica, pero en mi empresa se gastaron miles de euros en una solución que ante un problema con un inspector, pareció que no era legal a pesar de que se usaba un software de digitalización certificada..

-Solo los grandes corporaciones pueden ir por la vía de la factura electrónica.. es un tema que no es válido para la PYME en España…

-El formato PDF no puede usarse, ya que la administración solo apuesta por el Facturae XML…

-Firma electrónica? es el rollo ese de las facturas, no? buff..quita quita, que para 30 facturas no…

-Escanear facturas? Un montaje para que cuatro ganen muchisimo dinero que nos falta a las empresas.. He hablado con varios proveedores y ahora me las envían firmadas digitalmente.. no es mejor ?

Podríamos continuar porque el panorama es no sólo desalentador sino un freno fenomenal sólo ampliado por la crisis salvaje de nuestro presente. Donde se quería ir por delante de la sociedad, resulta que con buen criterio muchisimas empresas y autónomos pasan del tema para evitar que los enreden en movimientos que no estan claros donde los “emisores de facturas” son los únicos que ganan..!!

La factura electrónica  no es más que una manifestación de la capacidad tecnológica de firmar electrónicamente información, ficheros de cualquier tipo y por supuesto, también las facturas!!  Cual es la razón por la que en España se ha tratado de impulsar la eFactura con tanta fuerza como desatino, “en contra” del acertado impulso a la firma electrónica general ?

Firmar electrónicamente puede hacerse gratuitamente con software libre y también con software propietario, gratuito o de bajo coste !! Un certificado digital es suficiente, y muchas Autoridades de certificación lo dan por pocos euros, y algunas gratis, aunque escamotean al ciudadano servicios clave como el de la validación del estado de su certificado (curioso “modelo” de “negocio” de la FNMT…).

Por qué una empresa tiene que gastarse una cifra imposible en “un rollo orientado a firmar facturas” en lugar de plantear la firma electrónica generalizada como un logro del ciudadano y de una nueva época?  Por qué no mostrar con fuerza lo que tiene de mejora tecnológica, que no tiene por qué ser cara para el autónomo y la pyme, y sí muy beneficiosa para la sociedad ? 

Cual es la razón para que se desaproveche un viento favorable tan claro (Directivas europeas, Leyes de Firma electrónica, surgimiento del DNI electrónico, Ley 11/2007) y se malogre dando una falsa sensación de complejidad?

Me apena ver a tanta gente defraudada por cosas como han ocurrido en torno a la eFactura, cuando si hubieran recibido información veraz no tendenciosa, habrían comprendido cómo el ciudadano, el autónomo y la pyme son los verdaderos ganadores de todos esos impulsos tecnológicos y normativos acertados que mucho buitre se ha encargado de ensuciar !! La responsabilidad de muchos centros tecnológicos y de formación es alta en cualquier caso, al contar con personas que en lugar de dar información veraz han sido meros vendedores oscuros de productos..

Cómo se puede aceptar que un ponente de una empresa muy importante en España, abanderada de la tecnología, diga impunemente ante la pregunta de un confiado asistente, que el formato PDF es de uso ilegal para una factura “porque la normativa española obliga al Facturae XML” ??

Si esa respuesta no se matiza adecuadamente queda como una afirmación general que hace un gran daño !!! cuando la verdad es que en la inmensa mayoría de las ocasiones un PDF, o un doc, o un gif, o cualquier otro formato válido generado por Office, OpenOffice y otros aplicativos, podrían ser válidos en el contexto de las pymes (la inmensa mayoría de las empresas españolas)..

Enviar 20 facturas electrónicas puede ser un bajo ahorro para un autónomo o pequeña empresa, pero cuando hablamos de millones de empresas (bueno, ahora algunas menos con tanto desastre económico como el que vivimos..), la gran batalla del ahorro y de la eficacia ( !!!QUE NO ESTÁ EN LAS FACTURAS sino en todo el magma documental que guardamos en la empresa !!!),  se ganaría limpiamente, logrando que mucho de lo que enviamos a clientes y proveedores vaya firmado electrónicamemte en lugar de en papel..

Las malas prácticas de muchos en el mundo de la eFactura sólo están produciendo un retroceso en el crecimiento de la firma electrónica generalizada, y aunque la Ley 11/2007 podría reencauzar esos desastres y mentiras, es más que probable que la actual crisis se lleve por delante temas tan extraordinarios como esa ley, el DNIe, el voto electrónico, el ahorro de papel y una mayor conciencia social por el medio ambiente.

Hace pocos días hablaba con un colega sobre el acierto de Caja Laboral (y otros bancos) que mediante la banca electrónica te dan acceso a todos los documentos, comunicaciones, estractos, avisos, transacciones etc de los últimos años !!! Ofrecen gratis a sus clientes el acceso online a millones de documentos PDF que permiten que nos veamos libres de la necesidad de imprimir muchas de esas cosas en nuestros domicilios, ya que siempre podemos acceder a ellas y obtener una copia..

Espero que esos servicios tan útiles acaben entrando en la firma electrónica y no como meros PDF sin firmar, ya que es lo único que les falta para ser un claro ejemplo de lo que muchísimas empresas que emiten papel en distintos documentos deberán hacer para el futuro pensando en sus clientes.

Una formación mantenida, veraz y sencilla podría lograr que particulares y empresas (por descontado que la Administración) utilicen la firma electrónica en multitud de ocasiones del día a día, evitando transportes innecesarios, facilitando la relación del mundo de la discapacidad, aportando eficacia y seguridad, reduciendo costes innecesarios y engrasando el mundo de las tecnologías de la información para beneficio de la sociedad.

Hipotéticamente se pretendía además conocer la unión de la seguridad en todo lo que es la información documental de la empresa (gestión documental segura) pero ni la orientación de los ponentes, ni el tiempo dedicado a los implantadores fueron los adecuados por lo que todo quedó en un quiero y no puedo en cuanto a seguridad se refiere. La jornada sólo se salvó en parte por las exposiciones de las empresas implantadas que dieron una clase magistral acerca de cómo su gestión había mejorado los años siguientes al de la implantación de su gestor de documentos.

Si el objetivo era únicamente conocer experiencias de empresas que disponen de gestión documental implantada, entonces la jornada podría plantearse como un rotundo éxito. Sin enbargo fué  una triste experiencia fallida si alguien pensaba que las empresas implantadoras iban a desarrollar los elementos fundamentales de una gestión documental segura para que los asistentes confrontasen sus visiones y productos para resolver problemas actuales.

Un objetivo como ese requiere de algo más que 15 minutos y ninguna de las tres empresas se acercó siquiera a esbozar un planteamiento de ese tipo y se limitaron a mostrar generalidades, aunque incluso en estas cuestiones las empresas invitadas para contar sus experiencias les ganaron por izquierda y derecha.

El representante de Exat Software (SYNERGY) fue el peor con amplísima diferencia ya que en ningún momento conectó con la idea de la sesión (extraña por otra parte como ya he dicho). Se limitó a mostrar algunos ejemplos de uso de su gestor documental (de la seguridad nunca más se supo). Lo que más claro quedó es que son una multinacional holandesa y que son muy grandes (se acordarán de ENRON ? )

Atecna, empresa implantadora del software alemán DOCUWARE, mostró mucho más acierto en su exposición de capacidades de su gestor (era inevitable en todos los ponentes implantadores una razonable orientación comercial a su producto). No apareció la firma electrónica ni cifrado por ningun sitio y cayó en el mismo error anterior de referirse a la importancia de la matriz alemana propietaria del software.

En su descargo hemos de decir que el error de invitar a empresas desarrolladoras que vienen de fuera para una exposición de 15 minutos es totalmente de la organización, que como he dicho dado su interés en escuchar a empresas reales y su experiencia, debería haber prescindido del “paripé” de las empresas desarrolladoras.

Meridian Informáticos (desarrollador de DOCSHARE) hizo un planteamiento de calidad con una orientación muy real a la pyme (los dos casos anteriores se orientan a organizaciones más grandes) y fué el único que se refirió a la firma electrónica (no solo para facturas por supuesto) y al cifrado, como elemementos de seguridad determinantes hoy día en una gestión documental moderna. Curiosamente era la única empresa desarrolladora de verdad, ya que en los otros dos casos los ponentes pertenecían a filiales de las empresas desarrolladoras, de Holanda y Alemania, que implantan el producto pero no lo han desarrollado.

Como ya he comentado más arriba, las dos empresas que asistieron para mostrar al auditorio su experiencia real (muy interesante en los dos casos, además de exitosa) fueron lo mejor de la jornada cuando describieron cómo con Docuware (Pyramide asesores) y con Synergy(Colegio de ingenieros Técnicos Industriales) habían logrado cotas de ahorro y eficacia en la gestión altísimas. Fue una lástima no haber podido contar con la experiencia real de una empresa implantada con Docshare, dado que la mayoría se encuentran en Madrid, Cataluña, Levante y Portugal.

Para lo novedoso del planteamiento de la jornada, hemos de reconocer que fue un fiasco para los que de verdad iban a aprender cómo tres empresas punteras del mundo de la gestión documental habian abordado la seguridad en sus respectivos desarrollos, así como para poder comparar productos punteros.  Es algo que no ocurrió y en los pocos minutos que tuvieron ni siquiera aparentaban tener un marco común.

Tres empresas relevantes del sector, con extraordinarios gestores documentales, con una hora cada uno, hubieran mostrado todo lo necesario, un ejemplo real de uso, características clave de sus desarrollos e incluso detalles de una implantación real con sus aciertos, errores y mejoras aprendidas, también desde la perspectiva de la seguridad, la gran ausente de la jornada.

Algunos de los que asistimos con curiosidad nos sentimos mal al comprobar cómo de una idea estupenda (que tres potentes empresas confronten sus esquemas, nos hablen de su producto, nos convenzan sobre su seguridad, nos hablen de características y mejoras, nos cuenten detalles de implantación) sólo quedó en algo pasado por agua cuando fue evidente que lo que importaba era únicamente la experiencia de las empresas que venían a contar sus realidades de uso en el dia a día y de lo que pensaban tras años de uso.

Desde aquí mi sugerencia a la organización para que dedique en otras ocasiones la mañana a las experiencias vivas de empresas que quieran contar sus casos, y a la tarde para las implantadoras (o al revés) si de verdad le interesan sus visiones y explicaciones. Si se toman la molestia de desplazar a sus equipo de Madrid, Bilbao etc darles 15 minutos de tiempo es insuficiente y no deja contento a nadie, y no es más que cosmética sin sentido útil.

En resumen:  muy buena idea pero francamente mal llevada a la práctica, que no sirvió para conocer índices de uso de gestores documentales, tendencias ni pautas.

Espero que las organizaciones que se planteen un análisis comparativo en gestión documental tengan en cuenta estas ideas, ya que está muy claro que hay un futuro brillante para estos productos si de verdad integran la seguridad y no se orientan sólo a la digitalización de facturas. Por otra parte me remito a uno de mis artículos del blog en los que emulando a Madonna hablaba de “buscando la gestión documental segura … desesperadamente “.

El mundo de la Gestión Documental se mueve y ver cómo ,de verdad, en organizaciones eficaces reales, un gestor profesional cambia muchos elementos de gestión, aportando eficacia y tendiendo a la seguridad digital, es una buena noticia que sólo adelanta lo que muchas empresas en los próximos años van a hacer igualmente.

Lejos de la manida y a veces artificial lucha acerca de si elegir softwar libre o software propietario, algunos proyectos europeos como IDA -por que el varias administraciones trataban de perfilar sistemas de intercambio de datos- dieron lugar al IDABC.

Así, avanzaban en la creación de sistemas paneuropeos de intercambio electrónico de información y abrían la caja de pandora respecto a términos como interoperabilidad y extensión de sistemas de firma electrónica en todas las capas de la gestión entre paises, entre administraciones internas en cada país, entre la Administración, ciudadanos y empresas, y en todo lo que gira en torno a los documentos electrónicos y los distintos estándares que les son de aplicación.

Con buen criterio trataban (y es evidente que han tenido éxito aunque no se vea aún con nitidez) de establecer pautas de interoperabilidad entre administraciones  y sentaban las bases para los distintos paises miembros (y las empresas atentas a los cambios) en proyectos de firma electrónica en los que la estandarización es crucial, en aquellos en que tanto el seguimiento de buenas prácticas de seguridad como la mejora de la eficacia, redundarían en transparencia y mejor servicio a ciudadanos y empresas. Véase  IDABC

Simultáneamente, y de modo similar, se han ido produciendo distintas “batallas” en ámbitos del desarrollo de software, en el desarrollo de líneas de acción sobre seguridad TIC, en la percepción de la necesidad de llegar a acuerdos sobre modelos, en el surgimiento de estándares sobre formatos de ficheros y longevidad, en software y niveles de servicio, en la superación de viejos esquemas que sólo tendían a pensar en la firma electrónica si se hablaba de facturas, lo que ha creado una nube de elementos que conviene no perder de vista aunque al principio puedan marear algo (IDA, IDABC, Ley 11/2007 en España, ENI, ENS, ISO 15489, ISO 27001, ISO 15801, ISO 18492, ISO 23081).

En otra “dimensión” se desarrollaban paralelamente otras luchas igual de interesantes, también tendentes al establecimiento de estándares, sobre los que deberán orbitar el desarrollo de soluciones de software, tanto en su modalidad libre como propietaria, y beneficiando a los ciudadanos (ISO 19005, ISO 26300, ISO 29500, ISO 32000).

Sé que todas estas siglas son horribles para quien esté interesado, pero profundizar en cada una de ellas será obligado para aquellos profesionales que están en el mundo TIC, sea en seguridad, desarrollo de software, adecuaciones a normas legales, adecuación a normas de calidad, establecimiento de sistemas de gestión, formación, consultoría, Administración.

La Ley 11/2007 en España supone un avanze increíble, y no se limita a acoger directivas e ideas europeas sino que se lanza a extender (debemos ver resultados en estos años si la crisis no rompe todo) servicios de Administración electrónica y aportar a los ciudadanos nuevos modos de interrelación, entroncados plenamente sobre la firma electrónica y las potentes infraestructuras de clave pública existentes en España. Era evidente que la factura electrónica y/o el DNIe no podían prosperar de verdad sino dentro de un ámbito más ambicioso e importante como el que impulsará esta norma y los dos reales decretos surgidos de ella (ENS -Esquema Nacional de Seguridad- y ENI -Esquema Nacional de Interoperabilidad-), así como todos los desarrollos de software que se lancen en este ambiente.

Una de las cruzadas que se han visto muy recientemente tienen que ver con el formato PDF/A y se presenta en ocasiones como la piedra filosofal que resoverá los problemas de los documentos que deben permanecer durante mucho tiempo respetando la capacidad de ser vistos como cuando fueron creados. A veces se exageran de modo extraordinario este tipo de cosas en algunas charlas. Parecen olvidar que la ISO 19005, donde se consagra PDF/A  en base a un subconjunto de funciones de PDF 1.4, surgió en 2005 y no es sino un eslabón más que podrá ser seguido por aquellos que deseen utilizar ese formato con altas cotas de longevidad (visual) en ficheros realmente importantes (no facturas precisamente) y que no requieran ningún tipo de edición.

En la eterna y nada limpia lucha entre software libre y propietario, en estos años hemos asistido al intento de dos grandes empresas de ámbito mundial por tratar de fijar un estándar en los formatos de documentos de oficina. Los gladiadores del software libre rugieron cuando ISO publicó ISO 26300, que definía el formato Open Document Format (ODF) como estándar y daba no solo un empujón al mundo de OpenOffice sino al parecer una patada al “mundo Microsoft”.

En un sorprendente pequeño espacio de tiempo Microsoft logró que su formato Office Open XML pasase también a estándar abierto (OOXML -ISO 29500) con la implementación de Office 2007 como demostración de realidad.

Ambos formatos son estándares abiertos y por tanto las distintas aplicaciones de software libre o propietario tienen libertad de desarrollar sabiendo que, tratándose de estándares, todos los fabricantes respetarán la interoperabilidad (aquí se preveen movimientos y muchas críticas por la existencia de dos estándares para el mismo objetivo- ver los interesantes comentarios de Fernando Acero).

Adobe no ha estado quieta precisamente y tambien ha conseguido que su “universal” formato PDF entrase como estándar abierto mediante ISO 32000, lo que supone cinco años más tarde una actualización de algunos trabajos hechos en el pasado y la introducción de mejoras enormes en formatos de firma electrónica (PAdES) en la misma línea del CAdES-firma de ficheros en cualquier formato- y XADES-firma de ficheros xml- del ETSI(Instituto Europeo de normas de Telecomunicaciones).

Disponemos por primera vez de varios estándares abiertos sobre formatos de ficheros que deberán garantizar la interoperabilidad entre aplicaciones. Disponemos de varios estándares de firma electrónica que permiten que tanto en ficheros PDF, como ficheros ODF de OpenOffice, como ficheros de Office  2007, como ficheros con cualquier formato, mantengan la longevidad al adecuarse a PAdES, CAdES y XAdES y permitan que en el futuro cualquier usuario, empresa o administración puedan no sólo editar o ver el documento,sino validarlo, verificarlo sin perder nada en ningún sentido, utilizando cualquier aplicación que se adecúe a los estándares planteados.

Hay otra ”conjunción estelar” que ha ido librándose y que va a beneficiarse también de todos estos cambios y mejoras.

La Gestión Documental dispone de normas legales actualizadas (LOPD) y se va a ver enormemente potenciada por leyes como la esperanzadora  11/2007 en España, que pone el foco en “lo electrónico”. Las mejores prácticas en seguridad y creación de sistemas de gestión de seguridad de la información (SGSI) será otro frente de apoyo para una Gestión Documental que puede elevarse sobre otras áreas de negocio, dada la gran confluencia de intereses, normas y sistemas de calidad de distinto rango. La firma electrónica en España no es una tendencia sino una realidad, que va a llegar a todos los sistemas y entornos que no se duerman en los laureles, y por supuesto, lo que yo he venido a denominar como Gestión Documental Segura, es realmente una síntesis de todas estas corrientes y esfuerzos de innovación que han ido produciéndose en estos años de movimientos planetarios.

Sólo espero que cuando alguien diga a tu lado en una charla que el formato “novísimo” PDF/A es el futuro, estés en condiciones de saber que exageran aunque sea un estándar, que es sólo una opción más aunque interesante, que facilita que en un largo plazo alguien pueda ver el documento igual que lo ves ahora con tu aplicación/visor preferido y por tanto no tiene mucho sentido en aquellos documentos cuyo tiempo de vida es corto.

El último comentario tiene que ver con la línea de trabajo sobre documentos y archivística que desembocó en 2001 en la especificación MoReq. Estas especificaciones trataban de establecer una serie de indicaciones y requerimientos para la industria europea orientada a la creación de productos que orbitasen sobre la gestión de documentos electrónicos.

Las especificaciones MoReq no  trataban de trabajar sólo sobre archivística, sino que impulsaban un intento formal de establecer un marco para que los responsables de la gestión de documentos tuviesen una guía adecuada a la hora de incorporar software.

En 2005 se actualizan dichos requerimientos, dando entrada a otras ideas que venían de especificaciones de diversos paises (DOMEA CONCEPT, NOARK-4, REMANO, y otras como la británica o la americana DoD 5015). Se resuelven problemas como la falta de flexibilidad, la necesaria  integración con normas como la ISO 15489 ya citada, además de otros elementos sobre rigurosidad en los metadatos, mediciones objetivas de cumplimiento de las especificaciones o la integracion de los documentos con los procesos de las entidades implicadas, surgiendo en 2006 la especificación MoReq 2.

Como puede verse en los últimos años han existido múltiples líneas convergentes de trabajo por parte de administraciones, desarrolladores y empresas, que puede apreciarse por las múltiples normativas, estándares y aplicaciones surgidas que giran sobre el universo documental.

Pero es la confluencia de todas ellas, propiciada por múltiples casos y tendencias, lo que hace de este momento una “conjunción planetaria” en todo aquello que trata de documentos electrónicos, PKI, firma electrónica, DNIe, voto electrónico, otros modos de relacionarse ciudadanos y Administración, seguridad documental, buenas prácticas y establecimiento de sistemas de gestión de la seguridad de la información.

En este nuevo escenario surgen oportunidades de todo tipo y tambien riesgos claro, pero a estos últimos estamos acostumbrados. Las empresas que disponen de soluciones de gestión documental tienen en los próximos años una gran pero prometedora tarea para su negocio y mejora de los aplicativos, sobre la base de la creciente importancia que toda la información digital va cogiendo.

Los que perseguimos bien el cumplimiento de la LOPD, la mejora de la calidad interna, un mayor control documental, disponer de trazabilidad profunda, lograr una conservación digital longeva, mejorar en gestión de la seguridad y mantenimiento del negocio, pero de hecho todos los profesionales TIC, tenemos un buen conjunto de elementos de valor por los que apostar y desde aquí mi mayor ánimo en el aterrizaje, sobre todo a las empresas que de verdad caminan hacia la Gestión Documental Moderna.

Existe ya muchísima información sobre los distintos elementos que se mencionan en este artículo, hechos por magníficos profesionales, por lo que os animo  a documentaros sin prisa pero sin pausa. Yo haré lo mismo, por supuesto, y en lo sucesivo trataré monográficamente algunos de los elementos que en este artículo se han referenciado.

Sin agresividad bien enfocada...

Sin que este artículo tenga nada que ver con psicología o la evolución de las especies, en las últimas semanas hay varias razones que me han llevado a recordar el estupendo libro de Konrad Lorenz que mi querida profesora Txus Tabar nos mandó leer en psicología .

La agresividad bien entendida, y sobre todo bien encauzada, podría estar en la base de muchas mejoras humanas, como, según la visión de Konrad Lorenz, podría estar en el origen del mantenimiento de la supervivencia y la lucha entre especies. Para este premio nobel de Medicina, la ausencia de agresividad podría ser la razón de la desaparición de especies o de la baja resistencia de éstas a ser relegadas.

En un momento en que a nivel mundial muchas ideas se tergiversan y las modas van y vienen, es posible que la agresividad (pasión, voluntad, empeño, insatisfacción, deseo de cambio..) en la acción humana esté de capa caida, tanto como motor de mejora, de lucha frente a la competencia e incluso cuando supone un bagaje especial en el deporte, en los procesos de cambio críticos o de profundas crisis.

Integrando de algún modo algunas de las interesantes ideas de Konrad Lorenz (salvo para el Opus Dei), una dosis de agresividad que pueda encauzarse es factor esencial para la supervivencia, bien sea en la buena lid cuando “se lucha” por una pareja, como en el día a día en el trabajo profesional y deportivo. Una ausencia de agresividad podría hacer que nos viésemos fuera de la guerra por la chica, o chico, deseados, fuera del ambiente de mejora continua en el mundo empresarial o fuera de cualquier ámbito deportivo donde se crean tensiones y se buscan objetivos.

Siendo esto así, por qué la agresividad está tan denostada? Está claro que una dosis de agresividad mal enfocada es fuente de tensiones y problemas, pero una ausencia de la misma es igualmente destructiva..

En qué sentido un buen deportista como el monstruo argentino Messi (fútbol), el extraordinario español Nadal (tenis) o incluso el genial indio Anand (ajedrez) podrían destacar sin una buena dosis de agresividad ? Probablemente en ninguno, lo cual podría querer decir, si Konrad Lorenz tenía algo de razón y así lo creo, que la agresividad bien encauzada es un motor que junto a otras cualidades (el color de las plumas en ciertas aves o la coordinación espacial en los humanos) puedan acercarnos al éxito.

En el mundo tecnológico actual la situación es muy similar en todo aquello que es conducido por personas, y se maximiza cuando concurren muchas circuntancias a la vez como en este momento (tremenda crisis económica, normativas legales esperanzadoras, empuje de ciertas tecnologías, orientación de algunos gobiernos..). Parece que una dosis de agresividad adecuada en estos ambientes sea más necesaria que nunca, bien para mantener la lucha con la competencia, bien para “seducir”  a un cliente o bien para innovar y desarrollar nuevas ideas, nuevas soluciones y nuevos caminos.

Pero la agresividad, como la voluntad, como la capacidad analítica, como el conocimiento adquirido con el estudio, no son suficientes si falta un cierto grado de valor, una cierta capacidad de asumir riesgos. Este último elemento puede que sea una especie en extinción que se observa muy claramente cuando en tiempos de crisis crecen las demandas de puestos de funcionarios y decaen los emprendedores.

Cuántas personas con talento echan a perder sus capacidades en ese magma del funcionariado (ojo que no generalizo eh?), en esos puestos desprovistos en ocasiones de cualquier tipo de riesgo y capacidad creativa !!

 Cuántos emprendedores, sin embargo, con las dosis adecuadas de valor, pierden cualquier esperanza en una sociedad más orientada a dar caña a los empresarios que  a ayudar a que nazcan esas ”raras avis” ?

La agresividad está mal vista (incluso aunque esté bien enfocada), el valor y la asunción de riesgos ni se valoran ni se transmiten, las capacidades de análisis (véase el ajedrez por ejemplo) son considerados hasta peligrosos (de nuevo el Opus Dei, pero no sólo ellos) y la Administración parece demasiado entretenida en rollos económicos y alimentando a sus huestes como para darse cuenta de que, más que nunca, en tiempos de crisis, hemos de apoyar a los que muestren las dosis de valor, agresividad, buen hacer e innovación suficientes para iniciar un proyecto empresarial o de mejora.

El interior de la empresa está aquejado del mismo mal desgraciadamete, aunque se manifieste de distintos modos, y aquí la innovación, la originalidad, el desparpajo, el riesgo y la agresividad no son tenidos en cuenta salvo para ser reprimidos. Ese parece ser el origen de que muchas empresas no avancen en ciertos temas hasta que la moda abre la veda o la competencia les demuestra que se han quedado atrás.

Mejorar en TIC? aumentar la seguridad? ser innovador? asumir riesgos? Todas estas cuestiones podrian abordarse de mejor modo si buscamos la inteligencia en nuestros compañeros, si espoleamos sus ideas, si analizamos juntos, si asumimos riesgos y por supuesto aceptamos que todo puede salir bien o mal (en cuyo caso también habremos aprendido).

Muchos de estos elementos están vedados a personas que han dejado morir algunas de esas capacidades, y desgraciadamente son personas que acaban siendo enemigos mortales de todo lo que sea asumir riesgos, asumir el valor como un elemento positivo, y terminan siendo arietes que tratan de eliminar a quellos que son diferentes y despliegan sus ideas con valor no exento de ingenuidad.

Tener el valor de crear, de iniciar un proyecto empresarial, requiere agresividad, y por supuesto muchas cosas más ;-) pero esto siempre será algo imposible para los pusilánimes que lejos de asumir riesgos se dedican a cuestionar cuando no zancadillear a quienes sí adoptan esa posición de emprendedores en lugar de darles alas o ayudarles en el análisis de riesgos y en otros elementos técnicos que pueden ayudar en el camino.

Orientar la agresividad para crecer, para mejorar, para competir, para ligar, para iniciar vías empresariales podría no estar tan lejos de la posición de Konrad Lorenz, y si además su posición disgusta al Opus Dei, entonces es seguro que estamos acertados ;-)

En muchas ocasiones, tanto en cursos como en charlas en diferentes lugares han surgido preguntas que trataban de resolver el interrogante:  hay algo que pueda hacer con sencillez para mejorar mi seguridad?

Es verdad que es una pregunta muy genérica, pero en los distintos contextos (analisis de gestión documental, facilitar cumplimiento de la LOPD, herramientas y soluciones de protección personal..) es fácil dar una respuesta muy concreta y que tiene sentido tanto en el ámbito personal/familiar de cada individuo como en el empresarial: TRUECRYPT.

Se ha hablado tanto de truecrypt y existen tantas entradas, webs y documentaciones que tiene poco sentido que me extienda demasiado aquí en ello, por ello seré breve.

Herramienta que facilita la creación de “volúmenes” de información de un modo sencillo, permite a cualquier usuario llevar uno o muchos volúmenes (para los no iniciados pensad que un volumen es un fichero que se asemeja a un disco duro, donde puedes guardar programas y ficheros de todo tipo) que se encuentan cifrados.

Puedes tener un volumen donde guardas la información sensible familiar, otro donde guardas ficheros sensibles de ámbito personal, otro donde llevas los datos de tus clientes que no quieres que  ni en caso de robo del portátil sean obtenidos..  Mira en la web de Truecrypt (http://www.truecrypt.com), en wikipedia (http://es.wikipedia.org/wiki/TrueCrypt) o en kriptópolis (http://www.kriptopolis.org/truecrypt) y verás que tienes todo lo necesario para resolver muchos de los problemas que en tu día a día puedas tener de seguridad.

Por supuesto Truecrypt requiere que te plantees una serie de POLITICAS personales que te ayudarán muchísimo si en el futuro tienes problemas en tu PC. No basta con tener la información en una o varias “cajas negras” cifradas, sino que debes pensar en las copias de seguridad (al ser un sólo fichero te va a resultar mas sencillo) por ejemplo usando uno de los muchos sistemas de backup online de bajísimo coste que existen en la actualidad. Como lo salvas cifrado, tienes un buen esquema que te permite estar seguro incluso respecto a ese proveedor.

Cuando integramos en nuestro día a día Truecrypt, la aparición del Explorador ESecure, del que ya os he hablado en otra entrada aquí (http://www.analitics21.com/2010/03/la-gestion-documental-segura-y-el-explorador-esecure/) origina que el binomio Truecrypt/ESecure multipliquen las capacidades orientadas a seguridad, ya que vas a poder tener firmados tus volúmenes, vas a poder usar firma electrónica de cualquiera de los ficheros que guardas en cada volúmen y en definitiva todo el esquema de cifrado/firma electrónica sale favorecido enormemente.

El Explorador ESecure vas a poder llevarlo en tus dispositivos USB, al igual que Truecrypt y los volúmenes que quieras mover, lo que va a permitirte que inspecciones tu información (descifres, cifres, firmes, verifiques) incluso en ordenadores que no sean tuyos, sin necesidad de instalar en ellos ningun software ni mover al disco duro ningun fichero. Incluso si te ves forzado a copiar algun fichero de tu USB al disco duro por cuestión de velocidad, ESecure te permitirá cuando acabes borrarlo de modo seguro.

Las dos herramientas combinadas nos aportan un conjunto de capacidades a tener en cuenta, por lo que podemos decir que el ámbito de gestión documental segura personal podría quedar muy bien resuelto a falta únicamente de que localices un buen sistema de backup online que te proteja de la pérdida o robo del portátil y/o de los USB.

Si no deseas un servicio de backup externo, aun cuando los ficheros que salvas en ellos estén cifrados, puedes establecer una Política personal de backups bastante buena si dispones de varios dispositivos USB en distintas localizaciones y te disciplinas en la actualización de ellos.