La profunda crisis económica actual está sirviendo para que muchas ideas del mundo de la economía,  de la Administración, del mundo laboral y del mundo financiero se pongan en cuestión. Hay quienes ya dicen con claridad que muchos  cientos de miles de personas en España no volverán a trabajar, por su edad crítica y baja formación.

Hay también quienes predican ya con frases como “generación perdida” y otras expresiones alarmantes  no carentes de realismo, dada la aparente paralización de muchas administraciones y responsables públicos en lo que a empleo joven se refiere.

Movimientos orientados a actuar con decisión

En ámbitos profesionales TIC se remodelan servicios, se zambullen en la moda actual tendente a virtualización, software libre, profundización en el modelo SaaS y por supuesto a nadie se le ocurre renunciar a productos y servicios de seguridad TIC ni mucho menos a la Formación de los profesionales -en un alto número ahora de nuevo desempleados-.

La Formación como defensa ante la situación presente

En esta última línea, me ha tocado trabajar mano a mano, durante los últimos 8 meses, con personas del Instituto CuatroVientos de Pamplona y de la Delegación de Navarra de AENOR. Coincidimos en una serie de ideas clave que han propiciado el diseño de un programa de Postgrado que se orienta a:

•  Dotar de contenidos innovadores, prácticos y eficaces a empresas, profesionales y desempleados en la línea de Sistemas de Gestión de Seguridad de la Información (SGSI).
•  Apoyar a la pyme actual y sus profesionales para un reciclaje sólido en Seguridad TIC, dotándolos de herramientas y no sólo aportando conocimientos teóricos.
•  Ofrecer nuevas líneas de acción innovadora y eficaz a Directores TIC, Abogados en nuevas tecnologías, Consultores en distintas áreas del mundo de la empresa (LOPD, LSSI, responsables de Auditoría, Calidad y RRHH), Informáticos y profesionales que buscan con seriedad un reciclaje profesional que responda a la crisis citada y ayude a abrir nuevas vías.

El Instituto CuatroVientos de Pamplona es la imagen viva de un centro dinámico e innovador hecho por profesionales de distintas disciplinas a lo largo de los últimos 25 años. Un centro privado concertado en secundaria que, siendo una Cooperativa de profesores con un alto grado de preparación y siempre dispuestos a abordar sistemas de mejora con calidad, han logrado situarse entre los centros más prestigiosos de la zona norte innovando en educación formal y ofreciendo al mundo profesional líneas sólidas de formación actualizada de un modo constante.

Son varias las líneas formativas que este centro ofrece cada año, pero el nuevo Postgrado que surge  en Seguridad de la Información tiene características únicas porque:

 - Ha sido diseñado en cooperación con AENOR

 - Los alumnos (y las empresas que inscriben a trabajadores en los cursos) no sólo reciben conocimientos actualizados de las nuevas líneas que se van a desarrollar en los próximos años en Gestión de la Seguridad TIC, sino que reciben soluciones de software que van a ayudarles a resolver muchos problemas de su ámbito profesional (o de aquellas empresas que los contraten) en sistemas de calidad/seguridad, en sistemas de firma electrónica, en sistemas de facturación electrónica, en sistemas de Gestión Documental, en sistemas de Gestión de LOPD, en sistemas de Backup y en la preparación de auditorías internas.

 - Los alumnos obtienen la certificación AENOR  “Auditor de ISO 27001” lo que unido a las herramientas obtenidas les sitúa en una buena posición frente a empresas que desean contratar a profesionales pero con un inmediato retorno de inversión, de modo que son “útiles y rentables” desde el primer minuto.

El curso está diseñado con modulos presenciales y online, siempre con la idea de dar las máximas facilidades a cuantos profesionales, trabajadores y desempleados que necesitan formación sin dejar sus actuales actividades.

Nuevos puestos para la empresa del futuro

Quienes creemos que hay un margen muy amplio de trabajo futuro en Seguridad TIC y sobre todo en el establecimiento de modelos de madurez en la empresa inteligente (Sistemas de Gestión de Seguridad de la Información) basados en el estándar ISO 27001, no podemos dejar de ver la profunda crisis actual como una oportunidad para muchas personas y empresas. Se abre un tiempo en el que con cierta rapidez pueden obtenerse unos conocimientos que posibilitarán un aterrizaje en la empresa en nuevas funciones que sin duda se necesitan claramente.

Estoy convencido de que en el futuro no será fácil encontrar una empresa sin un responsable de Seguridad TIC. En la actualidad los jefes de área en Informática compaginan áreas tan dispares como el mantenimiento del parque informático, Sistemas, Seguridad, Diseño web corporativo, cumplimiento normativo, gestión de proveedores y hasta desarrollo. Por supuesto nadie en el mundo puede hacer bien semejantes y tan variados cometidos, lo que genera frustración y malos resultados.

Sólo cuando ocurren desastres, cuando el responsable abandona la empresa, cuando desaparece información o somos conocidos en el mundo por una multa millonaria por parte de la Agencia de Protección de Datos, nos damos cuenta de la importancia de una figura que consolide un modo de hacer en Seguridad TIC, que ocupe su tiempo en el establecimiento de Sistemas de Gestion en Seguridad, que coordine áreas y personas, que defina y ejecute las auditorías internas, que vele por el establecimieto de Planes de Contingencias y de Continuidad del negocio.

Muchas personas van a ser requeridas para esas funciones que están apareciendo ya, y es importante que se aclare desde el principio que no necesitan ser informáticos (aunque necesariamente su nivel irá creciendo paso a paso). Es imprescindible una formación guiada y asumir una línea de trabajo personal propia que logrará objetivos en muy pocos meses, pero siendo apoyado desde el inicio con un buen enfoque y futuros refuerzos.

Mientras nuestros políticos se dan lo suyo pero no se les espera para resolver de verdad los problemas, mientras se cierran docenas de miles de empresas y miles de profesionales llegan al paro, el Instituto Cuatrovientos junto a las personas y organizaciones que hemos participado en el diseño, creyendo en él, ha promovido este primer paso formativo que tiende a preparar personas para esas nuevas líneas que aparecerán en el mundo de la empresa más moderna, independientemente de su tamaño.

La definición del curso.  Inicio de un Itinerario de formación

Los bloques del Postrado son:

•  Seguridad Informática
•  Gestión de la LOPD
•  Gestión Documental Segura
•  Auditor de ISO 27001

Se desarrollará entre mediados de Octubre 2010 y de Enero 2011 y los modulos presenciales se desarrollan los días Lu, Ma y Ju en horario de tarde/noche.

Las herramientas que van a utilizarse en el Postgrado son de empresas del mundo de la seguridad y otras basadas en software libre,  lo que va a permitir desde el primer instante a los alumnos trabajar con gran nivel práctico, asimilar mejor la parte teórica y llevarse soluciones reales a su empresa tras la finalización del curso.

Para muchos es hora de iniciar con fuerza una nueva línea de trabajo, dejándose llevar por una organización de prestigio como el Instituto CuatroVientos, colaborando con empresas del mundo de la seguridad TIC y de las certificaciones.

 Tanto si te has visto afectado por los problemas de tantos miles de empresas cerradas, como si aún no has iniciado tu experiencia laboral, como si deseas incorporar nuevos elementos de valor a tu bagaje técnico actual, puedes contactar con el Instituto CuatroVientos y ver la posibilidad de hacer tu plan, bien sea inscribiéndote a todo el postgrado o realizando un módulo este año para continuar el siguiente con otra fase..

Es cierto que este post mío parece más una noticia que la exposición de una serie de ideas que defiendo permanentemente en mis artículos sobre seguridad TIC, acertadamente o no. Pero siendo consecuente con ellas, con mi experiencia en herramientas profesionales que orbitan sobre la gestión documental segura, y dada la extraordinaria consideracion que tengo de AENOR y del Instituto CuatroVientos, entiendo que soy fiel a mis objetivos de llevar propuestas de valor a aquel que que sea capaz de acoger las ideas que expreso humildemente, que aporto con los mejores deseos de que sirvan a la comunidad.

Todo depende de cómo se mire

He de decir, para que quede claro que puedo no ser objetivo, que el módulo de Gestión Documental Segura lo imparto yo, pero siendo también consecuente he de decir que es un módulo extraordinario para un Postgrado excepcional ;-D

Si coincides conmigo en que es momento de replantear tu camino o reforzarte en previsión de cambios, este Postgrado puede ser un inicio formidable. Dejarte llevar por profesionales que creen en lo que hacen con una orientación de futuro indiscutible, es una buena idea.

Más información podrás obtenerla en el propio Instituto:

Avda. San Jorge 2. 31012 Pamplona

 Tel (34) 948 315558
E-mail info@cuatrovientos.org   Web: www.cuatrovientos.org

( http://www.analitics21.com/2010/05/tiempo-de-conjunciones-planetarias/) , aún cuando miles de empresas y administraciones duermen en la mas completa calma, continúa el trabajo fase a fase que va a permitir que la firma electrónica (e incluso el cifrado) se integren de lleno en Office y OpenOffice y no sólo en el mundo PDF o XML.

Como ha ocurrido con el mundo de los ficheros de Adobe y los distintos estándares abiertos que han consagrado al formato PDF como una de las estrellas en el trabajo documental mundial, Microsoft avanza a toda velocidad para conseguir igualar todas las capacidades y de este modo “inyectar” firma electrónica completa en todos los documentos de su “Suite”, tanto en formatos binarios como OpenXML.

Por supuesto, y aunque con algo menos de velocidad, derivado quizás de que el estándar ODF pudiera ser más débil en algunos aspectos como su integración con XAdES, el mundo de OpenOffice también avanza en la misma línea de permitir la firma electrónica como lo hace Adobe con su formato completo PAdES.

Mientras esto ocurre y el mundo se prepara para generalizar  la comunicación de ficheros de oficina que llevan en su interior firma electrónica completa, con validación OCSP y sellos de tiempo, la pequeña guerra local orientada a las facturas electrónicas sigue su camino en algunas partes del mundo con desigual resultado.

Así, mientras en España se siguen sucediendo los dimes y diretes, campañas, engaños y mensajes confusos acerca de si es el formato “Facturae” el ideal para la factura (completamente falso como se verá en los próximos años cuando este formato desaparezca dando paso a estándares más abiertos), en el mundo orientado a la pyme más innovadora se prepara software que trabaje en ambas direcciones y sin olvidar la firma en formato CAdES que permite que nos abstraigamos del formato del fichero y es un estándar abierto asumido.

Software moderno que permita tanto a emisores como receptores de factura cumplir cualquier estándar, y sobre todo software que facilite que en el ámbito de la gestión documental moderna, en el día a día de trabajo con documentos electrónicos, pueda firmarse electrónicamente (o cifrarse) con sencillez, haciendo uso de certificados digitales de cualquier Autoridad, utilizando almacenes de certificados tanto de Microsoft como Mozilla, inyectando la firma tanto en ficheros PDF como en los generados por Office u OpenOffice.

Pantalla de Microsoft Word en el contexto de firmar digitalmente un fichero (factura, informe o lo que sea..)

Será por tanto sencillo (y gratis) firmar electrónicamente cualquier documento con el tratamiento de textos u hoja de cálculo preferida, sea factura o informe, historial médico o plano, balance o currículum, así como abrir cualquiera de ellos con esas “suites” de oficina y verificar que siguen siendo íntegros y que están firmados por tal o cual persona.

Significa eso que aplicaciones excepcionales como el Explorador ESecure de KSI dejarán de ser útiles en el cometido de firma o cifrado ?

!! De ningun modo !!

El Explorador ESecure y el equipo de desarrollo de KSI vuelan con una notable velocidad de crucero, por delante de empresas de todo el mundo, y se encuentran en fase avanzada en su interés por facilitar aún más la firma, verificación, cifrado, descifrado de uno o miles de documentos en una sola acción y posibilitando verificar la firma de los documentos sin tener que abrirlos ni tener la aplicación con la que fueron creados.

Un documento que haya sido firmado por tres usuarios con su Microsoft Word, en distintos momentos cada uno de ellos, va a poder ser firmado y verificado por usuarios de ESecure, incluso en sus versiones gratuitas, con lo que se demuestra que aun no teniendo ese tratamiento de textos se podrá interoperar con él o sus documentos generados.

Algo similar ocurrirá con los documentos de OpenOffice, aunque si se descuidan los desarrolladores de este software libre llegarán mucho más tarde a las mismas cotas de funcionalidad. En cuanto a Adobe, tiene su tarea magníficamente hecha y también avanza rápidamente aún por delante de sus enormes competidores, y parece muy difícil que se le desbanque en el mundo de la empresa y Administración ya que PDF es utilizado por todo el mundo con profusión.

Pantalla en la que se procede a firmar un documento desde OpenOffice Writer.

 Dado que allí donde exista normativa de firma electrónica (como España y muchos paises occidentales) es legal enviar un documento electrónico firmado digitalmente (como dice incluso la normativa de factura electrónica en España, no importa en la PYME si el fichero es un gif, doc, xls, xml, pdf etc etc), es ya muy fácil darse cuenta que esa batalla está ganada y que hemos de incorporarnos de un modo u otro a ese mundo.

Como usuarios, en realidad teniendo un certificado electrónico (o varios como es inevitable y deseable que nos ocurra), podremos utilizar todas las herramientas que nos permitirán firmar la información, “suites” ofimáticas, plataformas web, aplicaciones de escritorio, software avanzado de Gestión Documental y ERP, y por tanto no estaremos cautivos de ninguna de ellas, ni nos encontraremos que sólo podemos firmar si nos conectamos a “no sé qué web..”  y que la verificación de identidad del firmante e integridad del contenido es sencilla y transparente.

Dejará la firma de ser importante en ese contexto? Por supuesto que no, como no lo es el uso del ratón en la actualidad!! Sencillamente el software que no firme quedará relegado, como quedaron algunos magníficos tratamientos de texto de consola.

Y qué ocurre con el software de firma y cifrado si ya muchisimas aplicaciones ofrecen esas capacidades?

Tiempo al tiempo.. Parece razonable pensar que se avanzará en estándares nuevos, nuevos sistemas operativos, integración con biometría de un modo más sólido, integración con soluciones de workflow, gestión documental y ERP.. y que iremos ideando más servicios para la pyme y avanzando con ella en la búsqueda de la eficacia y calidad con seguridad.

Vista de la aplicación ESecure y sus capacidades de firma de fircheros de cualquier formato

 No todo el mundo avanza a la vez y lo que en un país ha sido asumido en otros cuesta más.. de modo que tanto en el mundo del software libre como en el del software propietario, ambos legítimos y orientados a dar servicios a clientes, se abre un camino de años en donde nos iremos viendo todos.

En nuestro país, uno de los mas avanzados del mundo en utilización de certificados electrónicos como lo demuestran proyectos como el DNIe, normativa de Factura electrónica, Ley de Firma electrónica, Ley 11/2007  de administración electrónica..etc  pronto deberían ser centenares de millones los documentos electrónicos que por medios telemáticos van y vienen de las empresas y la administración (incluida la de justicia ;-D ) y entonces será posible que cualquier niño pueda saber que un millón de documentos ahorra 60 árboles.

Por tanto si la administración de justicia mueve y genera miles de millones de documentos, expedientes, avisos, cartas, notificaciones, convocatorias.. al año, la cantidad de masa arbolada salvada será muy significativa.

Según vaya avanzando en realidades el Explorador ESecure de KSI y las librerías de firma/cifrado que permiten que otras empresas integren estas capacidades en su software de gestión, iré aportando pequeños comentarios y explicaciones. El avance es tal, que después del verano 2010 podremos ver resultados, sobre todo si algunas entidades hispanoamericanas interesadas imprimen fuerza en sus proyectos y peticiones facilitando con ello un adelanto del mapa de ruta que mantiene el equipo de desarrollo de KSI.

Su responsable de desarrollo fija para finales del 2010 la disponibilidad en ESecure de todas las opciones de firma y validación en ficheros de Office y OpenOffice, lo que supondrá otro avance inmenso en extender la firma a todo el mundo. 

Estas nuevas capacidades y formatos se sumarán a todos los esquemas que hacen en la actualidad de esta aplicación algo extraordinario al disponer por fin en una misma aplicación de todos los formatos y estándares  de firma electrónica y cifrado  para el dia a día de cualquier usuario, profesional o pyme

(Office, OpenOffice, PDF, XML y el formato de firma CAdES que permite la firma de cualquier fichero sea cual sea su formato-en modo attached y detached-).

Hipotéticamente se pretendía además conocer la unión de la seguridad en todo lo que es la información documental de la empresa (gestión documental segura) pero ni la orientación de los ponentes, ni el tiempo dedicado a los implantadores fueron los adecuados por lo que todo quedó en un quiero y no puedo en cuanto a seguridad se refiere. La jornada sólo se salvó en parte por las exposiciones de las empresas implantadas que dieron una clase magistral acerca de cómo su gestión había mejorado los años siguientes al de la implantación de su gestor de documentos.

Si el objetivo era únicamente conocer experiencias de empresas que disponen de gestión documental implantada, entonces la jornada podría plantearse como un rotundo éxito. Sin enbargo fué  una triste experiencia fallida si alguien pensaba que las empresas implantadoras iban a desarrollar los elementos fundamentales de una gestión documental segura para que los asistentes confrontasen sus visiones y productos para resolver problemas actuales.

Un objetivo como ese requiere de algo más que 15 minutos y ninguna de las tres empresas se acercó siquiera a esbozar un planteamiento de ese tipo y se limitaron a mostrar generalidades, aunque incluso en estas cuestiones las empresas invitadas para contar sus experiencias les ganaron por izquierda y derecha.

El representante de Exat Software (SYNERGY) fue el peor con amplísima diferencia ya que en ningún momento conectó con la idea de la sesión (extraña por otra parte como ya he dicho). Se limitó a mostrar algunos ejemplos de uso de su gestor documental (de la seguridad nunca más se supo). Lo que más claro quedó es que son una multinacional holandesa y que son muy grandes (se acordarán de ENRON ? )

Atecna, empresa implantadora del software alemán DOCUWARE, mostró mucho más acierto en su exposición de capacidades de su gestor (era inevitable en todos los ponentes implantadores una razonable orientación comercial a su producto). No apareció la firma electrónica ni cifrado por ningun sitio y cayó en el mismo error anterior de referirse a la importancia de la matriz alemana propietaria del software.

En su descargo hemos de decir que el error de invitar a empresas desarrolladoras que vienen de fuera para una exposición de 15 minutos es totalmente de la organización, que como he dicho dado su interés en escuchar a empresas reales y su experiencia, debería haber prescindido del “paripé” de las empresas desarrolladoras.

Meridian Informáticos (desarrollador de DOCSHARE) hizo un planteamiento de calidad con una orientación muy real a la pyme (los dos casos anteriores se orientan a organizaciones más grandes) y fué el único que se refirió a la firma electrónica (no solo para facturas por supuesto) y al cifrado, como elemementos de seguridad determinantes hoy día en una gestión documental moderna. Curiosamente era la única empresa desarrolladora de verdad, ya que en los otros dos casos los ponentes pertenecían a filiales de las empresas desarrolladoras, de Holanda y Alemania, que implantan el producto pero no lo han desarrollado.

Como ya he comentado más arriba, las dos empresas que asistieron para mostrar al auditorio su experiencia real (muy interesante en los dos casos, además de exitosa) fueron lo mejor de la jornada cuando describieron cómo con Docuware (Pyramide asesores) y con Synergy(Colegio de ingenieros Técnicos Industriales) habían logrado cotas de ahorro y eficacia en la gestión altísimas. Fue una lástima no haber podido contar con la experiencia real de una empresa implantada con Docshare, dado que la mayoría se encuentran en Madrid, Cataluña, Levante y Portugal.

Para lo novedoso del planteamiento de la jornada, hemos de reconocer que fue un fiasco para los que de verdad iban a aprender cómo tres empresas punteras del mundo de la gestión documental habian abordado la seguridad en sus respectivos desarrollos, así como para poder comparar productos punteros.  Es algo que no ocurrió y en los pocos minutos que tuvieron ni siquiera aparentaban tener un marco común.

Tres empresas relevantes del sector, con extraordinarios gestores documentales, con una hora cada uno, hubieran mostrado todo lo necesario, un ejemplo real de uso, características clave de sus desarrollos e incluso detalles de una implantación real con sus aciertos, errores y mejoras aprendidas, también desde la perspectiva de la seguridad, la gran ausente de la jornada.

Algunos de los que asistimos con curiosidad nos sentimos mal al comprobar cómo de una idea estupenda (que tres potentes empresas confronten sus esquemas, nos hablen de su producto, nos convenzan sobre su seguridad, nos hablen de características y mejoras, nos cuenten detalles de implantación) sólo quedó en algo pasado por agua cuando fue evidente que lo que importaba era únicamente la experiencia de las empresas que venían a contar sus realidades de uso en el dia a día y de lo que pensaban tras años de uso.

Desde aquí mi sugerencia a la organización para que dedique en otras ocasiones la mañana a las experiencias vivas de empresas que quieran contar sus casos, y a la tarde para las implantadoras (o al revés) si de verdad le interesan sus visiones y explicaciones. Si se toman la molestia de desplazar a sus equipo de Madrid, Bilbao etc darles 15 minutos de tiempo es insuficiente y no deja contento a nadie, y no es más que cosmética sin sentido útil.

En resumen:  muy buena idea pero francamente mal llevada a la práctica, que no sirvió para conocer índices de uso de gestores documentales, tendencias ni pautas.

Espero que las organizaciones que se planteen un análisis comparativo en gestión documental tengan en cuenta estas ideas, ya que está muy claro que hay un futuro brillante para estos productos si de verdad integran la seguridad y no se orientan sólo a la digitalización de facturas. Por otra parte me remito a uno de mis artículos del blog en los que emulando a Madonna hablaba de “buscando la gestión documental segura … desesperadamente “.

El mundo de la Gestión Documental se mueve y ver cómo ,de verdad, en organizaciones eficaces reales, un gestor profesional cambia muchos elementos de gestión, aportando eficacia y tendiendo a la seguridad digital, es una buena noticia que sólo adelanta lo que muchas empresas en los próximos años van a hacer igualmente.

Lejos de la manida y a veces artificial lucha acerca de si elegir softwar libre o software propietario, algunos proyectos europeos como IDA -por que el varias administraciones trataban de perfilar sistemas de intercambio de datos- dieron lugar al IDABC.

Así, avanzaban en la creación de sistemas paneuropeos de intercambio electrónico de información y abrían la caja de pandora respecto a términos como interoperabilidad y extensión de sistemas de firma electrónica en todas las capas de la gestión entre paises, entre administraciones internas en cada país, entre la Administración, ciudadanos y empresas, y en todo lo que gira en torno a los documentos electrónicos y los distintos estándares que les son de aplicación.

Con buen criterio trataban (y es evidente que han tenido éxito aunque no se vea aún con nitidez) de establecer pautas de interoperabilidad entre administraciones  y sentaban las bases para los distintos paises miembros (y las empresas atentas a los cambios) en proyectos de firma electrónica en los que la estandarización es crucial, en aquellos en que tanto el seguimiento de buenas prácticas de seguridad como la mejora de la eficacia, redundarían en transparencia y mejor servicio a ciudadanos y empresas. Véase  IDABC

Simultáneamente, y de modo similar, se han ido produciendo distintas “batallas” en ámbitos del desarrollo de software, en el desarrollo de líneas de acción sobre seguridad TIC, en la percepción de la necesidad de llegar a acuerdos sobre modelos, en el surgimiento de estándares sobre formatos de ficheros y longevidad, en software y niveles de servicio, en la superación de viejos esquemas que sólo tendían a pensar en la firma electrónica si se hablaba de facturas, lo que ha creado una nube de elementos que conviene no perder de vista aunque al principio puedan marear algo (IDA, IDABC, Ley 11/2007 en España, ENI, ENS, ISO 15489, ISO 27001, ISO 15801, ISO 18492, ISO 23081).

En otra “dimensión” se desarrollaban paralelamente otras luchas igual de interesantes, también tendentes al establecimiento de estándares, sobre los que deberán orbitar el desarrollo de soluciones de software, tanto en su modalidad libre como propietaria, y beneficiando a los ciudadanos (ISO 19005, ISO 26300, ISO 29500, ISO 32000).

Sé que todas estas siglas son horribles para quien esté interesado, pero profundizar en cada una de ellas será obligado para aquellos profesionales que están en el mundo TIC, sea en seguridad, desarrollo de software, adecuaciones a normas legales, adecuación a normas de calidad, establecimiento de sistemas de gestión, formación, consultoría, Administración.

La Ley 11/2007 en España supone un avanze increíble, y no se limita a acoger directivas e ideas europeas sino que se lanza a extender (debemos ver resultados en estos años si la crisis no rompe todo) servicios de Administración electrónica y aportar a los ciudadanos nuevos modos de interrelación, entroncados plenamente sobre la firma electrónica y las potentes infraestructuras de clave pública existentes en España. Era evidente que la factura electrónica y/o el DNIe no podían prosperar de verdad sino dentro de un ámbito más ambicioso e importante como el que impulsará esta norma y los dos reales decretos surgidos de ella (ENS -Esquema Nacional de Seguridad- y ENI -Esquema Nacional de Interoperabilidad-), así como todos los desarrollos de software que se lancen en este ambiente.

Una de las cruzadas que se han visto muy recientemente tienen que ver con el formato PDF/A y se presenta en ocasiones como la piedra filosofal que resoverá los problemas de los documentos que deben permanecer durante mucho tiempo respetando la capacidad de ser vistos como cuando fueron creados. A veces se exageran de modo extraordinario este tipo de cosas en algunas charlas. Parecen olvidar que la ISO 19005, donde se consagra PDF/A  en base a un subconjunto de funciones de PDF 1.4, surgió en 2005 y no es sino un eslabón más que podrá ser seguido por aquellos que deseen utilizar ese formato con altas cotas de longevidad (visual) en ficheros realmente importantes (no facturas precisamente) y que no requieran ningún tipo de edición.

En la eterna y nada limpia lucha entre software libre y propietario, en estos años hemos asistido al intento de dos grandes empresas de ámbito mundial por tratar de fijar un estándar en los formatos de documentos de oficina. Los gladiadores del software libre rugieron cuando ISO publicó ISO 26300, que definía el formato Open Document Format (ODF) como estándar y daba no solo un empujón al mundo de OpenOffice sino al parecer una patada al “mundo Microsoft”.

En un sorprendente pequeño espacio de tiempo Microsoft logró que su formato Office Open XML pasase también a estándar abierto (OOXML -ISO 29500) con la implementación de Office 2007 como demostración de realidad.

Ambos formatos son estándares abiertos y por tanto las distintas aplicaciones de software libre o propietario tienen libertad de desarrollar sabiendo que, tratándose de estándares, todos los fabricantes respetarán la interoperabilidad (aquí se preveen movimientos y muchas críticas por la existencia de dos estándares para el mismo objetivo- ver los interesantes comentarios de Fernando Acero).

Adobe no ha estado quieta precisamente y tambien ha conseguido que su “universal” formato PDF entrase como estándar abierto mediante ISO 32000, lo que supone cinco años más tarde una actualización de algunos trabajos hechos en el pasado y la introducción de mejoras enormes en formatos de firma electrónica (PAdES) en la misma línea del CAdES-firma de ficheros en cualquier formato- y XADES-firma de ficheros xml- del ETSI(Instituto Europeo de normas de Telecomunicaciones).

Disponemos por primera vez de varios estándares abiertos sobre formatos de ficheros que deberán garantizar la interoperabilidad entre aplicaciones. Disponemos de varios estándares de firma electrónica que permiten que tanto en ficheros PDF, como ficheros ODF de OpenOffice, como ficheros de Office  2007, como ficheros con cualquier formato, mantengan la longevidad al adecuarse a PAdES, CAdES y XAdES y permitan que en el futuro cualquier usuario, empresa o administración puedan no sólo editar o ver el documento,sino validarlo, verificarlo sin perder nada en ningún sentido, utilizando cualquier aplicación que se adecúe a los estándares planteados.

Hay otra ”conjunción estelar” que ha ido librándose y que va a beneficiarse también de todos estos cambios y mejoras.

La Gestión Documental dispone de normas legales actualizadas (LOPD) y se va a ver enormemente potenciada por leyes como la esperanzadora  11/2007 en España, que pone el foco en “lo electrónico”. Las mejores prácticas en seguridad y creación de sistemas de gestión de seguridad de la información (SGSI) será otro frente de apoyo para una Gestión Documental que puede elevarse sobre otras áreas de negocio, dada la gran confluencia de intereses, normas y sistemas de calidad de distinto rango. La firma electrónica en España no es una tendencia sino una realidad, que va a llegar a todos los sistemas y entornos que no se duerman en los laureles, y por supuesto, lo que yo he venido a denominar como Gestión Documental Segura, es realmente una síntesis de todas estas corrientes y esfuerzos de innovación que han ido produciéndose en estos años de movimientos planetarios.

Sólo espero que cuando alguien diga a tu lado en una charla que el formato “novísimo” PDF/A es el futuro, estés en condiciones de saber que exageran aunque sea un estándar, que es sólo una opción más aunque interesante, que facilita que en un largo plazo alguien pueda ver el documento igual que lo ves ahora con tu aplicación/visor preferido y por tanto no tiene mucho sentido en aquellos documentos cuyo tiempo de vida es corto.

El último comentario tiene que ver con la línea de trabajo sobre documentos y archivística que desembocó en 2001 en la especificación MoReq. Estas especificaciones trataban de establecer una serie de indicaciones y requerimientos para la industria europea orientada a la creación de productos que orbitasen sobre la gestión de documentos electrónicos.

Las especificaciones MoReq no  trataban de trabajar sólo sobre archivística, sino que impulsaban un intento formal de establecer un marco para que los responsables de la gestión de documentos tuviesen una guía adecuada a la hora de incorporar software.

En 2005 se actualizan dichos requerimientos, dando entrada a otras ideas que venían de especificaciones de diversos paises (DOMEA CONCEPT, NOARK-4, REMANO, y otras como la británica o la americana DoD 5015). Se resuelven problemas como la falta de flexibilidad, la necesaria  integración con normas como la ISO 15489 ya citada, además de otros elementos sobre rigurosidad en los metadatos, mediciones objetivas de cumplimiento de las especificaciones o la integracion de los documentos con los procesos de las entidades implicadas, surgiendo en 2006 la especificación MoReq 2.

Como puede verse en los últimos años han existido múltiples líneas convergentes de trabajo por parte de administraciones, desarrolladores y empresas, que puede apreciarse por las múltiples normativas, estándares y aplicaciones surgidas que giran sobre el universo documental.

Pero es la confluencia de todas ellas, propiciada por múltiples casos y tendencias, lo que hace de este momento una “conjunción planetaria” en todo aquello que trata de documentos electrónicos, PKI, firma electrónica, DNIe, voto electrónico, otros modos de relacionarse ciudadanos y Administración, seguridad documental, buenas prácticas y establecimiento de sistemas de gestión de la seguridad de la información.

En este nuevo escenario surgen oportunidades de todo tipo y tambien riesgos claro, pero a estos últimos estamos acostumbrados. Las empresas que disponen de soluciones de gestión documental tienen en los próximos años una gran pero prometedora tarea para su negocio y mejora de los aplicativos, sobre la base de la creciente importancia que toda la información digital va cogiendo.

Los que perseguimos bien el cumplimiento de la LOPD, la mejora de la calidad interna, un mayor control documental, disponer de trazabilidad profunda, lograr una conservación digital longeva, mejorar en gestión de la seguridad y mantenimiento del negocio, pero de hecho todos los profesionales TIC, tenemos un buen conjunto de elementos de valor por los que apostar y desde aquí mi mayor ánimo en el aterrizaje, sobre todo a las empresas que de verdad caminan hacia la Gestión Documental Moderna.

Existe ya muchísima información sobre los distintos elementos que se mencionan en este artículo, hechos por magníficos profesionales, por lo que os animo  a documentaros sin prisa pero sin pausa. Yo haré lo mismo, por supuesto, y en lo sucesivo trataré monográficamente algunos de los elementos que en este artículo se han referenciado.

Es ya el momento de aportar soluciones a los que ven que el universo documental, tanto a nivel particular como a nivel de empresa, no se reduce a las facturas sino que en su visión se asume la información de todo tipo que entra y sale de nuestro  ambiente (correo electrónico, proyectos, nóminas, facturas, informes, información íntima, secretos, inventos, libros, recetas, imágenes, vídeos, código fuente etc etc).

Aquellos que hayais utilizado en el pasado PGP o GPG disfrutaréis de verdad con esta solución.

El Explorador ESecure es una herramienta que se está extendiendo con fuerza por España y también en hispanoamérica, donde de la mano de GSE Colombia (Autoridad de Certificación) está avanzando por diferentes países de su entorno.

Según mi particular visión, en este momento, una verdadera gestión documental daría opción a todos los usuarios (si hablamos de una familia,  todos los miembros de ésta) a guardar, buscar, escanear, firmar, cifrar, enviar con seguridad, bloquear, verificar, auditar etc además de posibilidad un salvado de toda la información de un modo sencillo que permita que en minutos se dispone de toda la información incluso de muchos años atrás.

Imagen de ESecure y sus capacidades con ficheros PDF. Naturalmente nuestros amigos, colegas o clientes sólo necesitan su Adobe Reader para verificar o descifrar, aunque podemos pasarles una copia gratuita de la aplicación.

Como aún está lejos el momento en que cada familia tenga un gestor documental integral (atención fabricantes de software, porque nadie parece darse cuenta de que la necesidad existe incluso en el ámbito de toda familia), voy a mostrar algunas aplicaciones que sin ser gestores documentales pueden ayudar decisivamente a mejorar muchos aspectos que inciden en la gestión documental, tanto a nivel de seguridad como de reducción de riesgos de robo, pérdida o modificacion.

Aporta  firma digital, cifrado de ficheros, borrado adecuado, correo seguro y muchas más funciones.

Si bien los usuarios particulares y las empresas tenemos contextos y necesidades diferentes, todos sufrimos en la actualidad los mismos tipos de amenazas, somos más o menos vulnerables a ellas y necesitamos soluciones amigables que actúen como salvaguardas efectivas.

Imagen que muestra la capacidad de firmar cualquier formato de archivo e incluso cifrarlo.

Amenazas a las que responde el Explorador ESecure

• Pérdida o robo de información.
• Ataques a la integridad de la información (evitar que alguien modifique sin que lo sepamos).
• Robo de cuentas y contraseñas (podremos tener un fichero cifrado con las claves y contraseñas).
• Pérdida de confidencialidad (cifrado, tanto en nuestros PC´s como en el envío de correo).
• Recuperación ilegítima de datos en ficheros temporales o borrados poco eficazmente.
• Copias de seguridad no cifradas (cumplir la ley será sencillo respecto a backups externos)
• Incumplimiento de normativa legal LOPD
• Utilización compartida de locales y/o recursos entre varias entidades o departamentos
• Utilización de directorios compartidos por usuarios
• Acceso inseguro a datos de la empresa desde el exterior
• Envío de información crítica por correo electrónico normal
• Transporte inseguro de copias de seguridad o información sensible  al exterior u otra sede
• Imposibilidad de comprobar el creador, o si se han producido cambios en los datos.

Las amenazas pertenecen a todos los ámbitos que se analizan en un análisis de riesgos: Accidentes, Errores, actuación maliciosa presencial y remota.

Entornos donde es útil el Explorador ESecure

1. PC doméstico: Datos personales y familiares críticos, fotos especiales, protección de contraseñas y cuentas bancarias, transporte en memorias USB, CD o DVD de datos convenientemente protegidos ante pérdida o robo. Tambien el envío por email de información especial.
2. PC departamental: Funciones de seguridad para el usuario de empresa: firma, cifrado, comprobación de integridad, borrado seguro.
3. Servidor de empresa: Cifrado y/o firma de backups o conjunto de sistemas de archivos- Linux y Windows-.
4. Portátiles: Transporte asegurado de información sensible.
5. Dispositivos de archivos: Almacena ficheros de usuarios y/o sedes cifrados y firmados. Los usuarios los descargan y descifran/verifican en su PC tras la descarga).

Descripción de la aplicación

Facturación electrónica:

La capacidad de almacenar facturas digitalmente en lugar de en papel, y las capacidades extraordinarias de ESecure en la Firma electrónica reconocida y avanzada tanto de una persona como varias ( varias Firmas en un archivo) posibilita que los emisores de facturas aprovechen toda la cobertura que da la aplicación utilizando certificados digitales.

Además de la capacidad de firma de cualquier fichero en el estándar PKCS#7, el Explorador ESecure también posibilita la firma digital avanzada y reconocida de ficheros PDF de Adobe Acrobat y el formato avanzado CAdES XL y XAdES XL, incluyendo las firmas de varias personas o entidades, con lo que cualquiera con el lector Acrobat Reader puede ver el fichero y comprobar firmas e la integridad.

Copias de seguridad cifradas.-

Si bien la exigencia legal de cifrado de las copias de seguridad solamente se precisa para los datos de carácter personal correspondientes a un nivel alto de sensibilidad, la aplicación permite cifrar todos los datos independientemente del tamaño proporcionando un blindaje especial para el caso de hurto de soportes, pérdida de cintas, discos o CD, haciendo imposible que personas externas, o nuestra competencia, puedan hacer uso de la información que custodiamos. Las copias de seguridad que se almacenen en el exterior de la empresa no serán usadas por estar cifradas, con lo que en caso de extravío o robo no podrá utilizarse la información por personas o entidades ilegítimas.

Cumplimiento de normativa del Departamento de Defensa americano 5220.22-M

Permite que los ficheros temporales sean borrados por un procedimiento seguro. Asimismo, posibilita que el usuario elimine información cumpliendo este estándar con el fin de impedir su acceso a esa información borrada.

Desarrollo continuo:

El Explorador ESecure es constantemente actualizado para los clientes que desean un soporte anual, aportando optimizaciones y corrección de vulnerabilidades que pudieran ir apareciendo con el avance de la tecnología y el descubrimiento de debilidades en protocolos, algoritmos de cifrado o cualquier otro aspecto. Los clientes que no contratan el mantenimiento pueden hacer uso a perpetuidad de la aplicación que adquirieron, sin acceso a las actualizaciones y soporte.

Señalar de nuevo que el mundo de la educación puede recibir las licencias profesionales sin coste alguno.

Basado en estándares de la industria:

ESecure es una solución para la empresa pero también para el ciudadano (existe una versión gratuita). Está integrada por elementos que son estándares en la industria, entrando de lleno en el mundo de las soluciones de seguridad para la empresa.

DNI electrónico:

ESecure prepara al usuario para el uso del DNI digital. Las pruebas realizadas con dispositivos lectores de tarjetas de empresas relevantes del mercado nacional e internacional han demostrado su óptimo funcionamiento, lo que aporta un valor adicional al propio ciudadano al permitirle con sencillez la firma de sus ficheros, teniendo un control de integridad que hasta ahora tenía complicado.

Posibilitar el envío seguro de datos a clientes:

ESecure posibilita no sólo un ahorro en el envío de información a nuestros clientes preferenciales (historiales, nóminas, presupuestos, planos, listados), sino que permite que nuestros clientes se aprovechen de este elemento de seguridad ya que ven cómo custodiamos su información. Al realizarse mediante autenticación segura y cifrado, estaremos cumpliendo la ley incluso en casos de alto nivel de ficheros, la cumplirán ellos y mostramos cómo salvaguardamos su confidencialidad aportándoles un mecanismo ágil e innovador para nuestras comunicaciones críticas.

Damos fin de este modo al tránsito inseguro, cuando no ilegal, de información crítica entre la empresa y clientes (proveedores, socios, directiva, empleados) mediante una solución integrada y de uso sencillo, potenciando el envío por correo seguro de datos especialmente sensibles, pero también si el transporte de información se produce vía FTP, Web o dispositivos de almacenamiento (USB, CD, DVD ..etc).

Correo Seguro:

ESecure, en todas sus versiones  promueve el correo seguro. Permite enviar mensajes firmados y cifrados con múltiples certificados, bien se encuentren almacenados en Windows, bien en tarjetas criptográficas o en almacenes PKCS#12 de usuarios, o cifrar los ficheros que enviarán adjuntos.

Firma de ficheros y firmas múltiples:

Ahora podremos estampar nuestra firma en un fichero, como si firmásemos un papel aunque con más seguridad. Además, ese fichero podrá ser firmado por más personas, por ejemplo para reuniones o acuerdos entre personas distantes, y en sistemas de entrada de ficheros firmados electrónicamente, que son Visados electrónicamente incluso con sello de tiempo para recoger el instante de la entrada (Registros, Colegios profesionales…) sin limitación de tamaño de ficheros de otras soluciones del mercado.

Firma, cifrado y verificación de ficheros PDF de Adobe:

Además de la firma y cifrado de cualquier fichero, las versiones EDU, PRO y PYME incorporan un nuevo y potente servicio orientado a los ficheros PDF de la empresa Adobe.  De este modo, cuando abramos un PDF con nuestro Acrobat Reader, podremos ver la firma en el documento PDF, así como verificarlo. La nueva posibilidad de proteger un PDF con contraseña o mejor aun, cifrándolo en su interior con certificados, es una nueva posibilidad de gran alcance, habida cuenta de que la comunidad internacional utiliza este formato de fichero de un modo generalizado. De este modo, cuando en la pyme vayamos a hacer facturación electrónica con este tipo de ficheros, podremos estampar nuestra firma digital, así como otras adicionales si fuese necesario.

Firma digital con conexión a Servidores de Tiempo (NTP):

La aplicación permite guardar en el fichero firmado tanto la hora local del PC como la hora que en ese instante le solicita al servidor NTP, por ejemplo el Real Observatorio de la Armada, encargado de la hora oficial en España. Permite aumentar una capa más el control del momento en que se firma el fichero.

Si bien no llega al formalismo de un servidor seguro de un tercero de confianza (como la FNMT, CAMERFIRMA, ACA, FIRMA PROFESIONAL, GSE…etc), la posibilidad de conectar a un servidor de tiempo NTP aumenta de una manera clara el control de ese momento en que se firma un documento, ya que en algunos contextos de negocio, jurídicos y de certificación, es vital conocer el instante en que se produce.

Servidores OCSP o de validación de certificados:

ESecure puede comprobar la validez de un certificado además de con las ya conocidas CRL (Certificate Revocation Lists), contra servidores OCSP que permiten tener centralizada la gestión de la revocación y/o validez de los certificados que se han emitido o de los que es poseedor el usuario. Hace falta poseer conexión con un Servidor OCSP y la consulta se realiza en tiempo real, pero algunas Autoridades no dan ese servicio gratuito, como la FNMT.

Sellos de Tiempo (TSP):

El sellado de tiempo permite asegurar que un fichero ha sido firmado en un instante de tiempo determinado. Ésta información tampoco se puede falsificar por consiguiente. Es necesario poseer conexión con un Servidor de Sellado de Tiempo que algunas instituciones aportan (ejemplo CAMERCIRMA, IZENPE, GSE).

ESecure en el cumplimiento de la LOPD:

Estamos obligados a cumplir determinadas medidas en relación a los datos de carácter personal que custodiamos (empleados, clientes..etc.).  Mediante ESecure sabemos que tanto esos datos como aquellos que son críticos para el mantenimiento del negocio son tratados y por quién. Por encima del cumplimiento de la ley, o de modo paralelo, los responsables de la empresa desean dar a su información la seguridad que permita un control y levantarse de un impacto crítico de destrucción, incendio, inundación o robo, mostrando a sus clientes una seguridad extrema en la salvaguarda de sus datos.

ESecure para empresas interesadas en la ISO 27001:

En la actualidad está cobrando una gran importancia mundial la creación de SGSI (Sistemas de Gestión de Seguridad de la Información). Promovido por múltiples instituciones y certificadoras, la norma ISO 27001 proyecta a la empresa en el cumplimiento de buenas prácticas, el control de su información y la de sus clientes, el cumplimiento de normas legales (Europeas y españolas) clave como las Leyes de Protección de Datos de carácter personal.

Las empresas interesadas en mantener un sistema de gestión de la seguridad, y con él un control muy definido de activos y riesgos, valorarán ESecure como una herramienta que hace fácil en el día a día el trabajo con buenas prácticas, firma electrónica de cualquier archivo y cifrado/descifrado de modo amigable.

Normas a las que apoya y potencia:

• CFR21 Part 11, LOPD, GAMP4, HIPAA, ISO 27001

Pido disculpas por la longitud del artículo para describir capacidades de la herramienta, pero he eliminado muchas cosas que tendrán más sentido para empresas que en entornos personales o familiares.

Como ya he comentado al principio, el Explorador ESecure es una herramienta que se está extendiendo con fuerza por España e hispanoamérica, donde de la mano de GSE Colombia (Autoridad de Certificación) está avanzando por diferentes países de su entorno.

Qué nos cuesta por tanto tener todos nuestros ficheros firmados para detectar siempre si alguien los ha modificado? Unos segundos nada más, ya que el Explorador ESecure facilita la selección múltiple y la firma de todos ellos en un solo “click”.

Habrá siempre quien considere que es demasiado complicado para el ciudadano la firma o cifrado, pero esas personas olvidan fácilmente cómo en su día la Banca demostró con los cajeros automáticos que no es necesario ser informático para utilizar un cajero, una tarjeta y los PIN´s correspondientes, incluyendo la banca electrónica desde internet.

Descárgalo gratis desde la web de KSI.

Cómo los guardo mejor.. cómo los organizo de modo que cuando necesite…cómo evito su pérdida.. cómo encuentro aquel que hice para…y el que mi compañero hizo a nuestro cliente preferencial ?…

Según la complejidad en las organizaciones crece, aparecen nuevas problemáticas:

Dónde guardo esas toneladas de papel.. cómo organizo la búsqueda en el archivo de papel e incluso qué sistemas de control dispongo..debo prevenir su destrucción o confiar… Aprovechar el conocimiento situado en el papel.. cómo puedo escanear y digitalizar de modo conveniente.. podré hacerlo legalmente.. Cómo puedo defenderme de la modificación de documentos..

Las distintas normativas a nivel mundial han ido avanzando en protección social, defensa de la intimidad y del ciudadano en distintos ámbitos y de sus datos, y tras los desastres de algunas compañías estrella (Enron, Arthur Andersen y otras que parecían monstruos que nunca podían caer) o sucesos clave como el 11S, la seguridad en distintos aspectos ha ido adquiriendo más fuerza, también desde la perspectiva de la gestión y el control.

Es curioso, pero tanto si una persona está haciendo su proyecto fin de carrera como una empresa trabajando año a año con clientes, tienen similares necesidades y problemas.

Muy pocos tiene un control total de las documentaciones, ni control de acceso ni mucho menos trazabilidad. En muchas ocasiones no pueden reponder a “y si perdiese la documentación de ese proyecto.. ?  no sé qué haríamos…”

Recuerdo la crisis que sufrió el familiar de un compañero de trabajo cuando perdió TODO su proyecto fin de carrera (Arquitectura) a pocos días de tener que entregarlo…

Sin embargo no puedo ni imaginar que a cualquiera de los médicos que conozco los acusen de negligencia porque en un documento “que él hizo..” aparecía una dosis mayor de la debida para el paciente.. Se equivocó o realmente alguien pudo cambiar ese dato “sin querer”?..

Cuando hablamos de gestión documental podemos llegar a acuerdos enseguida acerca de lo que sería el ideal, aunque normalmente los distintos ficheros de las empresas seguirán estando dispersos por portátiles, estaciones de trabajo, servidores y dispositivos móviles de almacenamiento..

Gestionamos la documentación que entra o la que sale?  la que llega en papel o sólo en formato electrónico?

Podemos “levantarnos” de la pérdida del portátil del gerente o un alto directivo sin problemas ? Accedemos con seguridad desde fuera de la empresa a los documentos que necesitamos? Existe un control de integridad que evite cambios “accidentales” en documentos clave (planos de maquinaria o locales, código fuente de autómatas, información crítica y secreta) ? Sabemos quién lee o copia documentos y en qué momento ? 

Los administradores del sistema también quedan “logueados” o estan fuera de control de la empresa? Existen backups adecuados de todo, con una periodicidad argumentada?

Muchisimas de esas preguntas deben ser respondidas por personas de distintos niveles en la empresa.

 Pero si pasásemos una lista de estas preguntas a 100 empresas, en un porcentaje muy alto el “check list” sería endosado al departamento de informática, lo que denota una dejación impresionante del nivel directivo en aspectos críticos de la seguridad de su información.

Algunas de estas razones están en la base del surgimiento de normativas como la ISO 27001, tendentes a mejorar las condiciones de control, seguridad y calidad de modo que no se deje en el nivel informático lo que compete al nivel directivo en cuanto sistema de gestión.

Gestionar la documentación no es lo mismo para un estudiante de último año que hace su proyecto que para una empresa o administración, pero se enfrentan a casi la misma problemática. Sean 100 documentos o 10 millones, los elementos fundamentales están ahí:

-Es mi documentación y guardo en ella cosas muy importantes para mi..

-No quiero perderlo, que me lo roben o modifiquen (accidentalmente o maliciosamente) los datos, cálculos o gráficos..

-Debo poder acceder a ella, así como mis compañeros, pero no cualquiera de ellos. Unos determinados colegas..

-Sé dónde está toda mi documentación, sea un ordenador o veinticinco..

-Dispongo un sistema de backup que me mantiene tranquilo..

-No pierdo mucho tiempo cuando busco algo de mi documentación..

-Todo el papel que me llega y es parte del proyecto lo escaneo y guardo como evidencias localizables..

-Lo que es verdaderamente fundamental y crítico lo tengo cifrado y solo tres personas podemos acceder a esa información..

Es evidente que no es lo mismo gestionar la documentación de una empresa de tecnología que desarolla (inventa) maquinaria industrial, que la documentación de una clínica privada centrada en la salud de famosos, que una Asesoría que trata información de cientos de clientes tanto económica como de otro tipo..

Cuando la complejidad crece, como hemos dicho, cuando hay más sedes, muchos usuarios que acceden, información sensible, sea de carácter personal o de negocio, cuando existe movilidad, cuando hay disparidad de sistemas operativos entre los usuarios, cuando aparecen normas legales por cumplir, cuando lo que vale nuestra información es más que la propia empresa.. entonces podemos centrarnos en buscar una Gestión Documental Segura, que nos ayude DE VERDAD a responder a todas las preguntas y dudas que hemos dajado atrás.

Aquí hay alguna pregunta más que puede ayudarnos en la búsqueda. Si estas preguntas puedes responderlas afirmativamente, dispones de un sistema verdaderamente especial, y podrías compartir tu éxito ;-)

La Gestión Documental Segura va a dar que hablar en los próximos años. Es increíble que durante tanto años hayamos gestionado la documentación desde la perspectiva de lo que cada usuario hace desde su criterio.

Cuando elementos como la trazabilidad, workflow, firma electrónica, cifrado, digitalización y búsqueda avanzada aparecen en un sistema documental, podemos pensar que nos encontramos, o disfrutamos ya, de un sistema avanzado.

Este artículo no es más que una aproximación  y habrá tiempo de analizar productos con nombres y apellidos. De momento enfoquemos las características clave que debiera tener un sistema “ideal” buscado.

Dada el escasez de auténticos sistemas documentales que nos ayuden en el marco de la empresa, podremos decir que estamos en el contexto “buscando desesperadamente la gestión documental segura”.

Como una base muy bien planteada, a aquellos interesados en rascar más sobre la superficie de la gestión documental os gustará lo que dice wikipedia, que aunque básico es muy bueno:

 http://es.wikipedia.org/wiki/Gesti%C3%B3n_documental

Por último, y con el fin de alejarnos de teorías, grandes sistemas y gran complejidad, pensemos qué tipo de sistema necesitaríamos en nuestro ámbito doméstico y que nos permitiese guardar, salvar, buscar, evitar la pérdida de cartas, facturas, fotos y resto de documentos que normalmente ven el basurero como medio de evitar el colapso, aunque siempre acabamos necesitándolos más adelante (pagos, estratos bancarios, facturas, actas, nóminas, escrituras, fotografías, seguros, agendas médicas, temas familiares varios..).

De verdad en cada familia no existe un contexto de necesidad de gestión documental segura, adecuada lógicamente a una menor complejidad que en la empresa o la Administración?

Un simple ordenador, un escaner decente y el gestor documental especial que buscamos resolverían todo el problema en este caso, permitiéndonos almacenar y buscar con rapidez cualquier cosa de los ultimos años.

En el próximo artículo os hablaré de un software minúsculo y extraordinario que os permitirá, a falta de un gestor documental seguro, aportar seguridad a todos vuestros documentos, aunque no los tengáis bajo el paraguas de un gestor sino distribuidos en los distintos sistemas de ficheros de vuestros PC´s. 

Si a alguien le interesa se lo hago llegar claro, sin coste, pero el pago será que obtenga un certificado digital gratuito de la FNMT.

 Cada día más en el mundo de la empresa se pretende dotar a los distintos actores de herramientas más versátiles, más sencillas, más potentes. Aunque existen aplicaciones de Nóminas, de RRHH, de Gestión, Financieras, Contables, Estadísticas.. sin embargo el mundo de los ERP se ha ido haciendo con el mercado ya que aporta a la empresa prácticamente todo lo que necesita de un modo integrado.

En lugar de utilizar media docena de aplicaciones inconexas, el ERP facilita todo al empleado, directivo, consultor, auditor.. La firma electrónica no es ajena a esa explicación. Cualquier introducción de datos, formulario, apunte contable, fichero, grabación de vídeo o sonido es susceptible de ser firmada electrónicamente…  si los desarrolladores han pensado de verdad en la seguridad (Autenticación, Confidencialidad, Integridad, Confidencialidad).

Del mismo modo, los Gestores Documentales, que se van a incrementar enormemente en el futuro (al tiempo..), ofrecerán a los usuarios todo tipo de capacidades para gestionar el ciclo de vida de todo tipo de documentos, revisiones, versiones, trazabilidad, control de acceso, firma electrónica, cifrado, workflow..

Por qué un gestor documental va a tener un workflow si existen “fuera” aplicaciones de ese tipo? Por qué se necesita la firma electrónica en un Gestor Documental si existen aplicaciones “externas” que ya firman?

Pues porque el mundo cambia, necesitamos integrar funcionalidades relevantes, diferenciarnos de la competencia, aportar valor y seguridad a nuestros clientes para vender vender vender ;-)

Crear un documento en nuestro Gestor y “solicitar” una revisión del usuario A, después del usuario B y la firma final de aprobación del responsable X, hace necesario un control exhaustivo de todo el sistema, actuando inteligentemente y facilitando (e informando) a cada usuario de la tarea que le toca. Una vez el fichero esté firmado por los cuatro se habrá finalizado la tarea y el “ordenante” será notificado, pudiendo verificar que el fichero está íntegro y ha sido firmado por cada uno de los participantes. Este es el futuro. Cada usuario podrá haber firmado con su certificado digital, sea de la FNMT, Verisign, Camerfirma, Izenpe, Firma Profesional, DNIe etc de modo que el Gestor realmente facilita y aporta valor y control total.

Es más comprensible la pregunta del usuario de un ERP, porque la inmensa mayoría de los desarrolladores de ERP se encuentran aún en la fase prenatal en cuanto a integración de PKI (Public Key Infraestructure) o utilización plena de certificados digitales, y como mucho piensan en firmar facturas que es lo que está de moda y lo que la administración (véase la AEAT y otras en España) promocionan como el “súmum” de ahorro de papel ;-D 

Pero el estado de los Gestores Documentales en todo el mundo, y por supuesto en España, es penoso ya que, a pesar de ser el software por excelencia orientado al uso pleno de certificados electrónicos, pocos fabricantes están mostrando el talento necesario para darse cuenta y adelantarse a la competencia (ojo, que en España hay al menos dos muy avanzados que en próximas fechas darán que hablar y trataré de resumir).

Firmar con herramientas externas? Por supuesto, en cualquier contexto y lugar!! Pero eso no significa que no podamos firmar, verificar, cifrar, descifrar con nuestro Gestor Documental, salvo que lo vendamos como un mero cajón donde “se tiran” los documentos hasta que se los vaya a buscar. De hecho debemos mostrar plena interoperabilidad con otras herramientas que también “sepan” firmar o verificar firma digital, ya que en el ciclo de vida de un documento ocurre a veces que un fichero “debe” abandonar el Gestor para volver a él más adelante, a veces con alguna firma electrónica más que debe saber interpretar.

La Gestión y Calidad sin Seguridad hará aguas en el futuro más inmediato, igual que la Seguridad sin eficacia y/o usabilidad. Es por eso que los desarrolladores más avispados corren a integrar calidad, gestión, facilidad y seguridad, de modo que la empresa poseedora de un Gestor Documental disfrute de una herramienta que le facilita la vida enormemente tanto en el cumplimiento de la LOPD como en la activación de un Sistema de Gestión de Seguridad de la Información, con mayores opciones para certificarse por ejemplo en la ISO 27001 que define claramente qué empresa piensa de verdad en la seguridad, suya y de sus clientes.

Por tanto, !! atención a los Gestores Documentales que vienen con integración de PKI!!, porque hay quien está haciendo la tarea pensando tanto en sus clientes como en sus verdaderas opciones de venta en este mercado movido por la tormenta actual y que algunos aprovechan como oportunidad de cambio e innovación.

Os mantengo informados.

Una parte importante de los directivos en el mundo de la PYME renuncian a cuestiones relativas a la seguridad, como si únicamente se tratase de instalar cortafuegos, antivirus o cualquier dispositivo más o menos complejo, dejándolo todo en manos de “los informáticos”. En realidad están renunciando la mayor parte de las veces a GESTIONAR. Muchos directivos conocen la metodología PDCA que se aplica en muchos contextos de calidad y eso mismo pueden aplicarlo cuando se ponen manos a la obra en la dirección de crear un Sistema de Gestión en Seguridad de la Información. La ISO 27001 es el camino.  En los próximos años veremos cómo las empresas que DE VERDAD están sensibilizadas con las TIC, seguridad, calidad, cumplimiento normativo y activación de planes de contingencia, aquellas concienciadas en la necesidad de custodiar la información de sus clientes y en mantener el prestigio, implantarán su SGSI y en muchos casos se certificarán como un medio de mostrar al mundo su nivel de calidad y seguridad y tambien con el fin de poder seguir siendo proveedor de grandes empresas y la Administración, so pena de verse fuera de esos mercados.

Un buen consejo para los que veis como yo la necesidad no sólo de mejorar la seguridad sino de gestionar correctamente el proceso, es que os hagáis con la Guía de aplicación de la norma UNE-ISO IEC 27001 para pymes. Es un material que no os decepcionará y os va a ser de una utilidad increible, aunque no penséis todavía en certificaros. La web a la que accedeis es la empresa de los autores de la Guía, a los que desde aquí envío mis sinceras felicitaciones por el magnífico trabajo.

He de deciros por último que si hubiéramos dispuesto de un gestor documental profesional en mi empresa nos habría resultado mucho más sencillo el proceso de implantación y sobre todo el de certificación.

Desde INTECO en España se están haciendo verdaderos esfuerzos por impulsar la mejora de la seguridad TIC. Una muestra de ello es este interesante curso online gratuito  !! que está muy bien !!

Entra y disfruta con estos recursos.  https://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/

Ya no se concibe que una empresa publique a bombo y platillo que ya tienen internet, que ya tienen página web, fax o un ERP. Sin embargo prácticamente nadie en el mundo actual puede decir que tiene ya una GESTION DOCUMENTAL SEGURA integrada con firma electrónica y cifrado.

Está aún por aparecer un gestor documental en el mundo que profundice realmente en las PKI, certificados, firma electrónica, cifrado o workflow con firma incluida, pero sabemos que en muy poco tiempo eso va a cambiar en España y trataremos desde aquí de dar cumplida información de soluciones y empresas.

En pocos años éste será un elemento más que se sumará al conjunto de mejoras que la empresa que busque la excelencia va a tener y va a mostrar al mundo y a sus clientes un nuevo modo de hacer y de utilizar la tecnología en la mejora y en el tratamiento de la información documental.