Feeds:
Entradas
Comentarios

Archive for 25 octubre 2008

Se escribe y se habla mucho sobre las fronteras entre lo real y lo virtual. Fronteras que muchas veces se difuminan, existiendo extraños fenómenos de ósmosis entre ambos. Un ejemplo es el encarcelamiento (real) que ha recibido una mujer en Japón por matar a su esposo virtual en el juego “Maple Story”. El motivo había sido no otro que el ataque de celos (real) cuando este decidió divorciarse de ella dentro del juego.

Las personas e instituciones son las bisagras entre estos dos mundos. En el caso de las primeras, la identidad es una declaración de principios de su posicionamiento dentro de lo real o lo virtual, del lugar dónde quieren permanecer, dónde quieren ser, digamos, reconocidos. Podemos ver cómo esto se manifiesta en todos los sectores de actividad, pero podemos centrarnos en el caso de los empleados públicos de las Tecnologías de la Información. Desde los profesionales con amplio bagaje a sus espaldas en el funcionariado hasta los que están en vías de cercana incorporación, encontramos casos de personas que vuelcan sus opiniones en la red con identidades del mundo real (Voz y Voto, Sociedad en RedAdministración 2.0, Xperimentos) y virtual (Mujeres Tic, Opositor tras la máscara). Mientras los primeros mantienen invitablemente unidas sus actividades reales y virtuales compartiendo las redes sociales en que desarrollan las mismas, los segundos se mueven entre ambas de modo disociado en redes diferenciadas. Ambas también se diferencian en tamaño, la redes sociales tienden a un menor tamaño al incrementarse la virtualidad de la misma.

La Web 2.0, de modo inesperado incluso para sus teóricos, ha supuesto una explosión de la herramientas sociales de carácter software. El mismo Tim O´Reilly se manifestaba en una entrevista sorprendido, “Estoy seguro de que no entendí lo bastante a tiempo lo populares que iban a ser herramientas de software social como Facebook”. Sin embargo, estas herramientas sociales son incapaces de reflejar las redes sociales reales de las personas y sus actividades, conduciendo a una explosión de relaciones que no se asemeja a su actividad física. Personas que reconocen que sólo mantienen contacto físicos con diez personas baten records del tamaño de sus redes de relaciones construidas con estas herramientas, invalidando con ello la funcionalidad de las mismas, y dando lugar a relaciones más distantes. Generalmente, sólo en el caso de las identidades virtuales son capaces de mantener una red social acorde al tamaño de las relaciones que mantiene.

Paradójicamente, hay quienes pretendemos que para las instituciones, entre ellas la Administración, se produzca el fenómeno inverso, que las herramientas sociales provoquen un acercamiento de las relaciones de estas con las personas. A lo mejor por eso, por no terminar de ver como esto es posible, sigue el escepticismo corporativo al respecto. Y sin embargo, probablemente sea un escepticismo infundando. El secreto es sencillo y reside en la teoría de conjuntos. Con las herramientas sociales, las personas reales tienden a establecer grupos más allá de los límites que manejan, construyen superconjuntos de sus relaciones habituales. Con las instituciones y personas virtuales, sucede al contrario, los grupos que se establecen a través de las herramientas sociales son subconjuntos de los grupos de personas con los que tratan, grupos realmente interesados en estrechar el contacto con ellas.

Read Full Post »

Que ePractice es un punto de referencia imprescindible para mantenerse al tanto de esto que llaman Gobierno Electrónico, no creo que sea un descubrimiento. Es de esas islas de Internet en cuyo puerto conviene arribar con frecuencia. En una de esas visitas, he descubierto el documento Improving Performance and Innovation in Public Administration: Analyses and researches among European e-Government experiences, que es una verdadera joya como recopilación sobre las últimas experiencias de Administración Electrónica y Participación Electrónica a lo largo de Europa.

El documento es la continuación de experiencias similares de años anteriores, poniendo el foco en esta edición en cómo una Administración orientada a la obtención de resultados apoyada en las TIC da lugar a servicios más centrados en el ciudadano. Palancas de apoyo de la transformación de las Administraciones Públicas, según recoge en su introducción, son la cultura de la colaboración entre Administraciones y la eliminación de barreras entre ellas, así como la puesta en práctica de procesos de capacitación para ciudadanos, funcionarios y políticos que les permita extraer todos los beneficios del uso de las TIC en la Administración.

Una recomendable referencia donde buscar apoyo e ideas para el desarrollo de nuevos proyectos.

Read Full Post »

Las consecuencias negativas de la crisis económica sobre el sector de las TIC, en general, y sobre la Administración Electrónica, en particular, son fáciles de adivinar. Por lo pronto, estamos empezando a ver sus primeras manifestaciones en forma de suspensión de eventos y EREs, y es de esperar que los proyectos relacionados con la Administración Electrónica sufran algún tipo de relentización. La prueba del algodón está a  la vuelta de la esquina, dentro de poco más de un año cuando podamos comprobar como ha afectado la crisis a hacer realidad el objetivo de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007): Ver nacer el 2010 con la materialización del derecho de los ciudadanos a relacionarse por medios electrónicos con la Administración.

Sin embargo, esta crisis, precisamente por la necesidad de ajuste presupuestario de todos los actores sociales, entre ellos las Administraciones Públicas, traerá con probabilidad un beneficio: El aumento de la colaboración y la creación de redes en todos los ámbitos de la prestación de servicios, como un método de abaratar la puesta en marcha y mantenimiento de estos. Disiento de alorza que eso vaya a significar una mayor participación del Estado en el sector público, sino que será una participación más abierta a formas de colaboración, tanto con el sector privado como con otras Administraciones.

En lo referente a la colaboración con el sector privado, no estoy abogando por la externalización de servicios que muchos de sus actores persiguen en busca de un salvavidas en el turbulento mar de la crisis. La colaboración pública privada habrá de basarse en un nuevo paradigma, similar al programa de plataformas de colaboración establecido por Amazon. Una plataforma de acceso a la información pública generada por la Administración que permita a los actores privados crear nuevos negocios, y, al mismo tiempo, acelerar los ciclos de innovación en el sector público. Puede parecer utópico, pero Administraciones como la Británica han puesto en marcha iniciativas para desatar este potencial.

Por el lado de la colaboración entre Administraciones, la crisis dará la excusa para hacer realidad el ya amplio acervo de interoperabilidad acumulado. Sin ir más lejos, ha sido aprobado a finales de septiembre el programa ISA, destinado a dar continuidad al programa IDABC y, consecuentemente, a continuar la senda de la eliminación de las fronteras electrónicas entre Administraciones. Nuevos servicios transnacionales y la implementación de los puntos únicos de acceso previstos en la Directiva 2006/123/CE del Parlamento Europeo y del Consejo de 12 de Diciembre de 2006 relativa a los servicios en el mercado interior (Directiva de Servicios), seran la materialización de esta colaboración entre Administraciones, que dará lugar a servicios públicos digitales más centrados en el ciudadano, y consecuentemente mas saisfactorios para éste.

En definitiva, la crisis nos va a permitir avanzar hacia una Administración en Red, pero no por un aumento de su papel en el sector público, sino porque las dificultades económicas provocarán la creación de nuevos marcos de colaboración. Hacer de la necesidad, virtud.

Read Full Post »

Aunque hacía ya tiempo que no me pasaba por los certámenes del SIMO, no puede dejar de sentir dolor ante la no celebración este año de la feria. Recuerdo aún la primera vez que fuí, cuando aún andaba por la facultad, con el único objetivo, no vamos a decir lo contrario, de ligarme a una rubia que andaba por mi misma clase y por la que bebía los vientos. La rubia se instaló y después se fue de mi vida. Como ahora el SIMO.

Dejando a un lado los apuntes autobiográficos, que tras más de cuarenta años deje de celebrarse la más importante cita global de las TIC en España es un indicio de la que se avecina sobre el sector. Y no es el único. Hace unos días también se anunciaba otro más de los ERE en marcha en la principal empresa del sector en España, Telefónica. Además del ERE dentro del sector de la telefonía móvil, la multinacional tiene otras dos iniciativas similares en marcha dentro de su empresa de consultoría (Telefónica Soluciones) y su filial de investigación y desarrollo (Telefónica I+D).

Dada la composición del mercado de las TIC, en el que el sector financiero y las AAPP son sus dos principales motores, es de esperar que no se cumplan las optimistas previsiones de IDC de comienzo de año. El especial impacto de la crisis sobre el sector financiero y las anunciadas restricciones presupuestarias de las AAPP, no auguran nada bueno. Más vale, tomárselo con el humor de Forges.

Read Full Post »

El incremento del uso de la firma electrónica en las relaciones de los ciudadanos y empresas entre sí y de ambos grupos con las Administraciones Públicas, sólo es posible que se realice si existen mecanismos de verificación de la validez de las credenciales que garantizan su validez: Los certificados digitales. Dichos mecanismos tienen dos vertientes: La existencia de un marco legal que obligue a los Prestadores de Servicios de Certificación (PSCs) a facilitar los medios que hagan posible esta validación y la disponibilidad de las herramientas tecnológicas para ello. En este texto haremos una revisión de ambos aspectos, para acabar con un reflejo de la práctica real en España.

Marco legal en España de la validación de certificados

Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.

Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.

d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.

En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.

Artículo 21. Interoperabilidad de la identificación y autenticación por medio de certificados electrónicos.

1. Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.

Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos

Artículo 18. Sistemas de firma electrónica para la actuación administrativa automatizada.

3. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos.

Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.

En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.

Algún aspecto tecnológico sobre la validación de certificados

El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes

  • Necesidad de actualización de la listas con periodicidad baja para que sea un método efectivo
  • Ineficiencias derivadas de su crecimiento excesivo

Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.

La disponibilidad de uno u otro método de consulta por parte de un PSC,  puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto

  • Punto de distribución de las CRLs, que informa de dónde obtener la lista de certificados revocados
  • Acceso a información de la Autoridad,  que informa de dónde se encuentra el sevidor OCSP para consultar el estado del certificado

El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.

Servicios de validación de certificados de los PSCs españoles

Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.

Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.

Read Full Post »

Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93 ) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:

  1. Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
  2. Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
  3. Validar que la Autoridad de Certificación es realmente una tercera parte de confianza

A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, … Son algunos de los mecanismos en uso.

Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea

En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el“Esquema de identificación y firma electrónica de las AAPP” confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.

Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.

Read Full Post »

Tras la creación del “Esquema de Identificación y Firma de las AAPP” por la AGE, puede deducirse que el proceso de implantación de la firma electrónica en las AAPP queda totalmente clarificado.  A partir del mismo, los siguientes pasos parecen reducidos a la mera expedición de certificados a los empleados públicos, la implantación en las sedes electrónicas y el uso del sello de órgano por las aplicaciones que permiten el ejercicio automatizado de las potestades. Si bien, y con matices, esto puede ser cierto dentro de los órganos y organismos del ámbito de la AGE, no lo es desde luego dentro del ámbito de las Administraciones Autonómicas, que pueden realizar a partir del marco básico su propio desarrollo legislativo.

Los pasos que habría de seguir cualquier CCAA son fácilmente identificables a partir del Esquema de la AGE. En primer lugar, habría de definir su propia “Política de Certificación”, identificando la tipología y perfiles de certificados de cada uno de los tres tipos definidos en la LAECSP (empleado, sede y sello) y el ciclo de vida de los mismos. Ni lo uno ni lo otro es un tema baladí o directamente extrapolable de la política definida para la AGE. De un lado,  tiene peso la visión de la firma electrónica como herramienta que cada Administración tenga, la población de sus empleados a los que quiera que esta llegue y con que uso. De otro lado, la distribución de los certificados va intimamente ligado a las estructuras de RRHH y los procesos asociados a su gestión, que tienen, aún dentro de un mismo marco, aspectos diferenciales.

A partir de la “Política de Certificación”, es posible ya definir la operativa de gestión de los certificados,  denominada “Declaración de Prácticas de Certificación” (DPC) y que ha de cumplir los requisitos descritos en la política. No esta labor necesariamente de la AAPP, al no ser que se dote a si misma y de forma interna de las herramientas de firma electrónica, sino del Prestador de Servicios de Certificación (PSC), que habrá, adicionalmente, que cumplir con el resto de la legislación de firma electrónica. Bajo dicha DPC, ya podrían ser emitidos los certificados requeridos por la AAPP. Aunque por razones de economía de escala lo lógico es que un mismo PSC emita todos los tipos de certificados requeridos por una misma AAPP, nada impediría que no fuera así, si bien entonces, además, habría de solventar los problemas de interoperabilidad interna derivados de esa opción.

Existen sin embargo, al menos, otros dos aspectos que una AAPP habría de considerar. El primero de ellos sería el rol del DNIe como medio de identificación del empleado público, definido como posible herramienta de firma de este en el artículo 19.3 de la LAECSP. Dado que el DNIe, como es obvio, no contiene “identificación de forma conjunta del titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios” que recomienda el artículo 19.2 que han de incluir los sistemas de firma electrónica facilitados a los empleados públicos, su uso implica la necesidad de obtener esta información de los Registros Centrales de Personal de la AAPP, y contemplar en las aplicaciones como combinar con la firma electrónica generada.

El segundo de los aspectos que resta por contemplar es la interoperabilidad con las restantes Administraciones. Pero sobre él, ya hable bastante en un anterior post.

Read Full Post »

Older Posts »