Se escribe y se habla mucho sobre las fronteras entre lo real y lo virtual. Fronteras que muchas veces se difuminan, existiendo extraños fenómenos de ósmosis entre ambos. Un ejemplo es el encarcelamiento (real) que ha recibido una mujer en Japón por matar a su esposo virtual en el juego "Maple Story". El motivo había sido no otro que el ataque de celos (real) cuando este decidió divorciarse de ella dentro del juego.
Las personas e instituciones son las bisagras entre estos dos mundos. En el caso de las primeras, la identidad es una declaración de principios de su posicionamiento dentro de lo real o lo virtual, del lugar dónde quieren permanecer, dónde quieren ser, digamos, reconocidos. Podemos ver cómo esto se manifiesta en todos los sectores de actividad, pero podemos centrarnos en el caso de los empleados públicos de las Tecnologías de la Información. Desde los profesionales con amplio bagaje a sus espaldas en el funcionariado hasta los que están en vías de cercana incorporación, encontramos casos de personas que vuelcan sus opiniones en la red con identidades del mundo real (Voz y Voto, Sociedad en Red, Administración 2.0, Xperimentos) y virtual (Mujeres Tic, Opositor tras la máscara). Mientras los primeros mantienen invitablemente unidas sus actividades reales y virtuales compartiendo las redes sociales en que desarrollan las mismas, los segundos se mueven entre ambas de modo disociado en redes diferenciadas. Ambas también se diferencian en tamaño, la redes sociales tienden a un menor tamaño al incrementarse la virtualidad de la misma.
La Web 2.0, de modo inesperado incluso para sus teóricos, ha supuesto una explosión de la herramientas sociales de carácter software. El mismo Tim O´Reilly se manifestaba en una entrevista sorprendido, "Estoy seguro de que no entendí lo bastante a tiempo lo populares que iban a ser herramientas de software social como Facebook". Sin embargo, estas herramientas sociales son incapaces de reflejar las redes sociales reales de las personas y sus actividades, conduciendo a una explosión de relaciones que no se asemeja a su actividad física. Personas que reconocen que sólo mantienen contacto físicos con diez personas baten records del tamaño de sus redes de relaciones construidas con estas herramientas, invalidando con ello la funcionalidad de las mismas, y dando lugar a relaciones más distantes. Generalmente, sólo en el caso de las identidades virtuales son capaces de mantener una red social acorde al tamaño de las relaciones que mantiene.
Paradójicamente, hay quienes pretendemos que para las instituciones, entre ellas la Administración, se produzca el fenómeno inverso, que las herramientas sociales provoquen un acercamiento de las relaciones de estas con las personas. A lo mejor por eso, por no terminar de ver como esto es posible, sigue el escepticismo corporativo al respecto. Y sin embargo, probablemente sea un escepticismo infundando. El secreto es sencillo y reside en la teoría de conjuntos. Con las herramientas sociales, las personas reales tienden a establecer grupos más allá de los límites que manejan, construyen superconjuntos de sus relaciones habituales. Con las instituciones y personas virtuales, sucede al contrario, los grupos que se establecen a través de las herramientas sociales son subconjuntos de los grupos de personas con los que tratan, grupos realmente interesados en estrechar el contacto con ellas.
"Hemos guardado un silencio bastante parecido a la estupidez…” - Junta Tuitiva, La Paz, 16 de Julio 1809
sábado, 25 de octubre de 2008
lunes, 20 de octubre de 2008
Gobierno Electrónico: Estado del Arte
Que ePractice es un punto de referencia imprescindible para mantenerse al tanto de esto que llaman Gobierno Electrónico, no creo que sea un descubrimiento. Es de esas islas de Internet en cuyo puerto conviene arribar con frecuencia. En una de esas visitas, he descubierto el documento Improving Performance and Innovation in Public Administration: Analyses and researches among European e-Government experiences, que es una verdadera joya como recopilación sobre las últimas experiencias de Administración Electrónica y Participación Electrónica a lo largo de Europa.
El documento es la continuación de experiencias similares de años anteriores, poniendo el foco en esta edición en cómo una Administración orientada a la obtención de resultados apoyada en las TIC da lugar a servicios más centrados en el ciudadano. Palancas de apoyo de la transformación de las Administraciones Públicas, según recoge en su introducción, son la cultura de la colaboración entre Administraciones y la eliminación de barreras entre ellas, así como la puesta en práctica de procesos de capacitación para ciudadanos, funcionarios y políticos que les permita extraer todos los beneficios del uso de las TIC en la Administración.
Una recomendable referencia donde buscar apoyo e ideas para el desarrollo de nuevos proyectos.
El documento es la continuación de experiencias similares de años anteriores, poniendo el foco en esta edición en cómo una Administración orientada a la obtención de resultados apoyada en las TIC da lugar a servicios más centrados en el ciudadano. Palancas de apoyo de la transformación de las Administraciones Públicas, según recoge en su introducción, son la cultura de la colaboración entre Administraciones y la eliminación de barreras entre ellas, así como la puesta en práctica de procesos de capacitación para ciudadanos, funcionarios y políticos que les permita extraer todos los beneficios del uso de las TIC en la Administración.
Una recomendable referencia donde buscar apoyo e ideas para el desarrollo de nuevos proyectos.
Etiquetas:
e-Administración,
ePractice,
Referencias,
Sociedad de la Información
sábado, 18 de octubre de 2008
Administración colaborativa: La crisis como oportunidad
Las consecuencias negativas de la crisis económica sobre el sector de las TIC, en general, y sobre la Administración Electrónica, en particular, son fáciles de adivinar. Por lo pronto, estamos empezando a ver sus primeras manifestaciones en forma de suspensión de eventos y EREs, y es de esperar que los proyectos relacionados con la Administración Electrónica sufran algún tipo de relentización. La prueba del algodón está a la vuelta de la esquina, dentro de poco más de un año cuando podamos comprobar como ha afectado la crisis a hacer realidad el objetivo de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007): Ver nacer el 2010 con la materialización del derecho de los ciudadanos a relacionarse por medios electrónicos con la Administración.
Sin embargo, esta crisis, precisamente por la necesidad de ajuste presupuestario de todos los actores sociales, entre ellos las Administraciones Públicas, traerá con probabilidad un beneficio: El aumento de la colaboración y la creación de redes en todos los ámbitos de la prestación de servicios, como un método de abaratar la puesta en marcha y mantenimiento de estos. Disiento de alorza que eso vaya a significar una mayor participación del Estado en el sector público, sino que será una participación más abierta a formas de colaboración, tanto con el sector privado como con otras Administraciones.
En lo referente a la colaboración con el sector privado, no estoy abogando por la externalización de servicios que muchos de sus actores persiguen en busca de un salvavidas en el turbulento mar de la crisis. La colaboración pública privada habrá de basarse en un nuevo paradigma, similar al programa de plataformas de colaboración establecido por Amazon. Una plataforma de acceso a la información pública generada por la Administración que permita a los actores privados crear nuevos negocios, y, al mismo tiempo, acelerar los ciclos de innovación en el sector público. Puede parecer utópico, pero Administraciones como la Británica han puesto en marcha iniciativas para desatar este potencial.
Por el lado de la colaboración entre Administraciones, la crisis dará la excusa para hacer realidad el ya amplio acervo de interoperabilidad acumulado. Sin ir más lejos, ha sido aprobado a finales de septiembre el programa ISA, destinado a dar continuidad al programa IDABC y, consecuentemente, a continuar la senda de la eliminación de las fronteras electrónicas entre Administraciones. Nuevos servicios transnacionales y la implementación de los puntos únicos de acceso previstos en la Directiva 2006/123/CE del Parlamento Europeo y del Consejo de 12 de Diciembre de 2006 relativa a los servicios en el mercado interior (Directiva de Servicios), seran la materialización de esta colaboración entre Administraciones, que dará lugar a servicios públicos digitales más centrados en el ciudadano, y consecuentemente mas saisfactorios para éste.
En definitiva, la crisis nos va a permitir avanzar hacia una Administración en Red, pero no por un aumento de su papel en el sector público, sino porque las dificultades económicas provocarán la creación de nuevos marcos de colaboración. Hacer de la necesidad, virtud.
Sin embargo, esta crisis, precisamente por la necesidad de ajuste presupuestario de todos los actores sociales, entre ellos las Administraciones Públicas, traerá con probabilidad un beneficio: El aumento de la colaboración y la creación de redes en todos los ámbitos de la prestación de servicios, como un método de abaratar la puesta en marcha y mantenimiento de estos. Disiento de alorza que eso vaya a significar una mayor participación del Estado en el sector público, sino que será una participación más abierta a formas de colaboración, tanto con el sector privado como con otras Administraciones.
En lo referente a la colaboración con el sector privado, no estoy abogando por la externalización de servicios que muchos de sus actores persiguen en busca de un salvavidas en el turbulento mar de la crisis. La colaboración pública privada habrá de basarse en un nuevo paradigma, similar al programa de plataformas de colaboración establecido por Amazon. Una plataforma de acceso a la información pública generada por la Administración que permita a los actores privados crear nuevos negocios, y, al mismo tiempo, acelerar los ciclos de innovación en el sector público. Puede parecer utópico, pero Administraciones como la Británica han puesto en marcha iniciativas para desatar este potencial.
Por el lado de la colaboración entre Administraciones, la crisis dará la excusa para hacer realidad el ya amplio acervo de interoperabilidad acumulado. Sin ir más lejos, ha sido aprobado a finales de septiembre el programa ISA, destinado a dar continuidad al programa IDABC y, consecuentemente, a continuar la senda de la eliminación de las fronteras electrónicas entre Administraciones. Nuevos servicios transnacionales y la implementación de los puntos únicos de acceso previstos en la Directiva 2006/123/CE del Parlamento Europeo y del Consejo de 12 de Diciembre de 2006 relativa a los servicios en el mercado interior (Directiva de Servicios), seran la materialización de esta colaboración entre Administraciones, que dará lugar a servicios públicos digitales más centrados en el ciudadano, y consecuentemente mas saisfactorios para éste.
En definitiva, la crisis nos va a permitir avanzar hacia una Administración en Red, pero no por un aumento de su papel en el sector público, sino porque las dificultades económicas provocarán la creación de nuevos marcos de colaboración. Hacer de la necesidad, virtud.
Etiquetas:
Administración Pública,
Crisis,
Economía,
Gobernanza,
Redes Sociales
miércoles, 15 de octubre de 2008
Este año, no hay SIMO
Aunque hacía ya tiempo que no me pasaba por los certámenes del SIMO, no puede dejar de sentir dolor ante la no celebración este año de la feria. Recuerdo aún la primera vez que fuí, cuando aún andaba por la facultad, con el único objetivo, no vamos a decir lo contrario, de ligarme a una rubia que andaba por mi misma clase y por la que bebía los vientos. La rubia se instaló y después se fue de mi vida. Como ahora el SIMO.
Dejando a un lado los apuntes autobiográficos, que tras más de cuarenta años deje de celebrarse la más importante cita global de las TIC en España es un indicio de la que se avecina sobre el sector. Y no es el único. Hace unos días también se anunciaba otro más de los ERE en marcha en la principal empresa del sector en España, Telefónica. Además del ERE dentro del sector de la telefonía móvil, la multinacional tiene otras dos iniciativas similares en marcha dentro de su empresa de consultoría (Telefónica Soluciones) y su filial de investigación y desarrollo (Telefónica I+D).
Dada la composición del mercado de las TIC, en el que el sector financiero y las AAPP son sus dos principales motores, es de esperar que no se cumplan las optimistas previsiones de IDC de comienzo de año. El especial impacto de la crisis sobre el sector financiero y las anunciadas restricciones presupuestarias de las AAPP, no auguran nada bueno. Más vale, tomárselo con el humor de Forges.
Dejando a un lado los apuntes autobiográficos, que tras más de cuarenta años deje de celebrarse la más importante cita global de las TIC en España es un indicio de la que se avecina sobre el sector. Y no es el único. Hace unos días también se anunciaba otro más de los ERE en marcha en la principal empresa del sector en España, Telefónica. Además del ERE dentro del sector de la telefonía móvil, la multinacional tiene otras dos iniciativas similares en marcha dentro de su empresa de consultoría (Telefónica Soluciones) y su filial de investigación y desarrollo (Telefónica I+D).
Dada la composición del mercado de las TIC, en el que el sector financiero y las AAPP son sus dos principales motores, es de esperar que no se cumplan las optimistas previsiones de IDC de comienzo de año. El especial impacto de la crisis sobre el sector financiero y las anunciadas restricciones presupuestarias de las AAPP, no auguran nada bueno. Más vale, tomárselo con el humor de Forges.
Etiquetas:
Autobiografía,
Crisis,
Economía,
Ferias y Eventos,
SIMO,
Sociedad de la Información
domingo, 12 de octubre de 2008
Validación de certificados digitales
El incremento del uso de la firma electrónica en las relaciones de los ciudadanos y empresas entre sí y de ambos grupos con las Administraciones Públicas, sólo es posible que se realice si existen mecanismos de verificación de la validez de las credenciales que garantizan su validez: Los certificados digitales. Dichos mecanismos tienen dos vertientes: La existencia de un marco legal que obligue a los Prestadores de Servicios de Certificación (PSCs) a facilitar los medios que hagan posible esta validación y la disponibilidad de las herramientas tecnológicas para ello. En este texto haremos una revisión de ambos aspectos, para acabar con un reflejo de la práctica real en España.
Marco legal en España de la validación de certificados
Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.
Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.
En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.
Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos
Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.
En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.
Algún aspecto tecnológico sobre la validación de certificados
El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes
Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.
La disponibilidad de uno u otro método de consulta por parte de un PSC, puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto
El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.
Servicios de validación de certificados de los PSCs españoles
Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.
Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.
Marco legal en España de la validación de certificados
Comenzando por la vertiente legal, nuestra legislación obliga a que los PSCs ofrezcan tal servicio. Podemos encontrar dos referencias claras de ello, una en la Ley de Firma Electrónica (Ley 59/2003, LFE) y otra en la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007, LAESCP). En la primera de las leyes que regula el régimen de los PSCs emisores de certificados de personas físicas y jurídicas, mantener un servicio de consulta sobre la vigencia de los certificados figura entre las obligaciones que han de cumplir.
Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.
d) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.
Dado que no se fija condición adicional alguna a este servicio de consulta, y cómo se verá más adelante, cada PSC ha hecho una intepretación particular de esta obligación, adaptándolo a su modelo de negocio.
En la segunda de las leyes, se caracteriza algo más dicho servicio, si bien sólo en lo referente a las condiciones que ha de cumplir de cara a las AAPP, indicando de modo explícito que los PSCs han de ofrecer de modo gratuito toda la información que precisen. Se entiende, que la información sobre la vigencia de los certificados es parte de esta información.
Artículo 21. Interoperabilidad de la identificación y autenticación por medio de certificados electrónicos.
1. Los certificados electrónicos reconocidos emitidos por prestadores de servicios de certificación serán admitidos por las Administraciones Públicas como válidos para relacionarse con las mismas, siempre y cuando el prestador de servicios de certificación ponga a disposición de las Administraciones Públicas la información que sea precisa en condiciones que resulten tecnológicamente viables y sin que suponga coste alguno para aquellas.
Dentro de la misma ley, si bien no se indica de modo expreso para certificados de sedes electrónicas y de empleados públicos, si se obliga a que las AAPP ofrezcan medios para verificación de sus sellos electrónicos
Artículo 18. Sistemas de firma electrónica para la actuación administrativa automatizada.
3. La relación de sellos electrónicos utilizados por cada Administración Pública, incluyendo las características de los certificados electrónicos y los prestadores que los expiden, deberá ser pública y accesible por medios electrónicos. Además, cada Administración Pública adoptará las medidas adecuadas para facilitar la verificación de sus sellos electrónicos.
Dado que dichos sellos, al igual que el resto de lo certificados que usan las AAPP, los emiten PSCs en condiciones de libre mercado, ello implica una obligación sobre los PSCs de mantener un servicio de consulta para los certificados utilizados por las AAPP. Resaltar una vez más que, sin embargo, no se fija condición sobre la gratuidad del servicio.
En conclusión, los PSCs han de disponer de un servicio de consulta de vigecia de los certificados que emiten, aunque la gratuidad de estos servicios sólo está garantizada a las AAPP.
Algún aspecto tecnológico sobre la validación de certificados
El estándar en que se basa el formato de los certificados digitales, X509v3, prevé dos modos de comprobar la validez de los mismos. Históricamente, el primer método que fue utilizado fue la consulta de listas de certificados revocados (CRL, Certificate Revocation List). Básicamente, consistía en la emisión por parte del PSC de la lista de los números de serie de los certificados que había revocado de oficio o parte junto con la causa de la revocación. Este método planteaba dos inconvenientes
- Necesidad de actualización de la listas con periodicidad baja para que sea un método efectivo
- Ineficiencias derivadas de su crecimiento excesivo
Ello llevó a buscar un método más óptimo, la consulta de estado de certificados en línea (OCSP, Online Certificate Status Protocol). Basado en la RFC 2560, permite la consulta individual del estado de un certificado en tiempo real con un protocolo sobre HTTP.
La disponibilidad de uno u otro método de consulta por parte de un PSC, puede deducirse de cada uno de los certificados que ha emitido. El formato de certificado X509v3 contempla la existencia de dos campos no críticos que prorcionan información al respecto
- Punto de distribución de las CRLs, que informa de dónde obtener la lista de certificados revocados
- Acceso a información de la Autoridad, que informa de dónde se encuentra el sevidor OCSP para consultar el estado del certificado
El uso de dichos campos por las aplicaciones permiten comprobar de modo automático la validez de unas credenciales digitales. Aplicaciones como Firefox o Acrobat permiten la configuración del uso de estos campos.
Servicios de validación de certificados de los PSCs españoles
Debido a que la LFE no impone la universalidad de los servicios de consulta de estado de los certificados ni unos mínimos referidos a su tiempo de respuesta o su ajuste a la situación real del estado de los certificados, los servicios de validación que ofrecen los PSCs no son uniformes. Dos ejemplos en los que se puede apreciar esta diferencia son la FNMT y Camerfirma. El primero de ellos, ofrece servicios de consulta via OCSP de pago, para cuyo es necesario además disponer de un certificado especial denominado de servicios avanzados. Por su lado, Camerfirma, ofrece un servicio OCSP de carácter gratuito para la validación de los certificados que emite, y la alternativa también gratuita de descargar la CRL vigente, figurando los puntos de acceso a ambos servicios en los certificados que emite este PSC.
Los distintos modelos utilizados por ambos PSCs tienen su base en el modelo de negocio que eligieron inicialmente para su desarrollo. Mientras la FNMT facilita los certificados de persona física de modo gratuito y cobra por la validación, Camerfirma eligió la opción opuesta.
jueves, 9 de octubre de 2008
Confianza de la confianza en las infraestructuras de clave pública
Las Autoridades de Certificación son también denominadas como tercera parte de confianza. Sin embargo, en general, dicha confianza no es nacida de si mismas, sino basadas en un marco legal, como puede ser la Directiva Európea de Firma Electrónica (Directiva 1999/93 ) o la Ley de Firma Electrónica Española (LFE, Ley 59/2003). Ello implica que la validación de una firma electrónica debería conllevar tres pasos:
A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, ... Son algunos de los mecanismos en uso.
Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea
En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el"Esquema de identificación y firma electrónica de las AAPP" confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.
Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.
- Validar que la firma esta realizada por quien posee la clave privada asociada al certificado presentado que lleva la clave pública
- Validar que el certificado no está revocado acudiendo a la Autoridad de Certificación que lo emitió
- Validar que la Autoridad de Certificación es realmente una tercera parte de confianza
A diferencia de los tres primeros, el último de los pasos no es un paso que haya sido automatizado de modo generalizado. Aunque existen países en los que de un modo u otro la autoridad reguladora da esta opción, no existe una implementación homogénea de los mecanismos para ello: Certificados raices de las Autoridades de Certificación firmados, listas blancas o negras de Autoridades de Certificación, ... Son algunos de los mecanismos en uso.
Esta situación, paradójicamente, no sucede por que no exista una estándar para ello. Existen al menos dos documentos ETSI que recogen una propuesta en esta línea
- ETSI TR 102 030 (2002-03) Provision of harmonized Trust Service Provider status information (Technical Report)
- ETSI TS 102 231 (2003-10) Provision of harmonized Trust Service Provider status information (Technical Specification)
En ella las autoridades reguladoras de acuerdo a un formato concreto emiten las denominadas Trusted Services Status Lists (TSL). Estas listas recogen aquellos proveedores de servicios de confianza (no solo Autoridades de Certificación) que han pasado los requisitos para iniciar su actividad y siguen cumpliéndolos en el momento de emisión de la lista. Apoyándose en este estándar, se propone construir el modelo de confianza entre la AGE y las CCAA en el"Esquema de identificación y firma electrónica de las AAPP" confeccionado por la AGE, ligándolo a una infraestructura de confianza global dentro de la UE basada en el mismo modelo. Básicamente, las autoridades reguladoras de que ámbito de competencia serían interrogadas por las restantes para conocer si una Autoridad de Certificación sigue o no siendo válida.
Queda por ver si este modelo jerárquico de confianza, cuyos primeros trabajos datan del 2002, consigue o no por fin arrancar.
lunes, 6 de octubre de 2008
El proceso de implantación de la firma electrónica en las CCAA
Tras la creación del "Esquema de Identificación y Firma de las AAPP" por la AGE, puede deducirse que el proceso de implantación de la firma electrónica en las AAPP queda totalmente clarificado. A partir del mismo, los siguientes pasos parecen reducidos a la mera expedición de certificados a los empleados públicos, la implantación en las sedes electrónicas y el uso del sello de órgano por las aplicaciones que permiten el ejercicio automatizado de las potestades. Si bien, y con matices, esto puede ser cierto dentro de los órganos y organismos del ámbito de la AGE, no lo es desde luego dentro del ámbito de las Administraciones Autonómicas, que pueden realizar a partir del marco básico su propio desarrollo legislativo.
Los pasos que habría de seguir cualquier CCAA son fácilmente identificables a partir del Esquema de la AGE. En primer lugar, habría de definir su propia "Política de Certificación", identificando la tipología y perfiles de certificados de cada uno de los tres tipos definidos en la LAECSP (empleado, sede y sello) y el ciclo de vida de los mismos. Ni lo uno ni lo otro es un tema baladí o directamente extrapolable de la política definida para la AGE. De un lado, tiene peso la visión de la firma electrónica como herramienta que cada Administración tenga, la población de sus empleados a los que quiera que esta llegue y con que uso. De otro lado, la distribución de los certificados va intimamente ligado a las estructuras de RRHH y los procesos asociados a su gestión, que tienen, aún dentro de un mismo marco, aspectos diferenciales.
A partir de la "Política de Certificación", es posible ya definir la operativa de gestión de los certificados, denominada "Declaración de Prácticas de Certificación" (DPC) y que ha de cumplir los requisitos descritos en la política. No esta labor necesariamente de la AAPP, al no ser que se dote a si misma y de forma interna de las herramientas de firma electrónica, sino del Prestador de Servicios de Certificación (PSC), que habrá, adicionalmente, que cumplir con el resto de la legislación de firma electrónica. Bajo dicha DPC, ya podrían ser emitidos los certificados requeridos por la AAPP. Aunque por razones de economía de escala lo lógico es que un mismo PSC emita todos los tipos de certificados requeridos por una misma AAPP, nada impediría que no fuera así, si bien entonces, además, habría de solventar los problemas de interoperabilidad interna derivados de esa opción.
Existen sin embargo, al menos, otros dos aspectos que una AAPP habría de considerar. El primero de ellos sería el rol del DNIe como medio de identificación del empleado público, definido como posible herramienta de firma de este en el artículo 19.3 de la LAECSP. Dado que el DNIe, como es obvio, no contiene "identificación de forma conjunta del titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios" que recomienda el artículo 19.2 que han de incluir los sistemas de firma electrónica facilitados a los empleados públicos, su uso implica la necesidad de obtener esta información de los Registros Centrales de Personal de la AAPP, y contemplar en las aplicaciones como combinar con la firma electrónica generada.
El segundo de los aspectos que resta por contemplar es la interoperabilidad con las restantes Administraciones. Pero sobre él, ya hable bastante en un anterior post.
Los pasos que habría de seguir cualquier CCAA son fácilmente identificables a partir del Esquema de la AGE. En primer lugar, habría de definir su propia "Política de Certificación", identificando la tipología y perfiles de certificados de cada uno de los tres tipos definidos en la LAECSP (empleado, sede y sello) y el ciclo de vida de los mismos. Ni lo uno ni lo otro es un tema baladí o directamente extrapolable de la política definida para la AGE. De un lado, tiene peso la visión de la firma electrónica como herramienta que cada Administración tenga, la población de sus empleados a los que quiera que esta llegue y con que uso. De otro lado, la distribución de los certificados va intimamente ligado a las estructuras de RRHH y los procesos asociados a su gestión, que tienen, aún dentro de un mismo marco, aspectos diferenciales.
A partir de la "Política de Certificación", es posible ya definir la operativa de gestión de los certificados, denominada "Declaración de Prácticas de Certificación" (DPC) y que ha de cumplir los requisitos descritos en la política. No esta labor necesariamente de la AAPP, al no ser que se dote a si misma y de forma interna de las herramientas de firma electrónica, sino del Prestador de Servicios de Certificación (PSC), que habrá, adicionalmente, que cumplir con el resto de la legislación de firma electrónica. Bajo dicha DPC, ya podrían ser emitidos los certificados requeridos por la AAPP. Aunque por razones de economía de escala lo lógico es que un mismo PSC emita todos los tipos de certificados requeridos por una misma AAPP, nada impediría que no fuera así, si bien entonces, además, habría de solventar los problemas de interoperabilidad interna derivados de esa opción.
Existen sin embargo, al menos, otros dos aspectos que una AAPP habría de considerar. El primero de ellos sería el rol del DNIe como medio de identificación del empleado público, definido como posible herramienta de firma de este en el artículo 19.3 de la LAECSP. Dado que el DNIe, como es obvio, no contiene "identificación de forma conjunta del titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios" que recomienda el artículo 19.2 que han de incluir los sistemas de firma electrónica facilitados a los empleados públicos, su uso implica la necesidad de obtener esta información de los Registros Centrales de Personal de la AAPP, y contemplar en las aplicaciones como combinar con la firma electrónica generada.
El segundo de los aspectos que resta por contemplar es la interoperabilidad con las restantes Administraciones. Pero sobre él, ya hable bastante en un anterior post.
Etiquetas:
Firma Electrónica,
Implantación Firma Electrónica,
Ley 11/2007
domingo, 5 de octubre de 2008
Lucha por tus derechos: 7/10 todos contra la jornada de 65 horas
El martes 7/10/2008 está convocada una jornada mundial de reivindicación de una regulación del trabajo uniforme y conforme con la dignidad de las personas. En los estados de Europa Occidental, gozamos de unas condiciones laborales mejores que en la mayoría del resto de los países, sin embargo, ésta no es ni una situación generalizada ni una situación que no esté en riesgo. El proyecto de Directiva sobre la jornada laboral aprobado por el Consejo Europeo en Junio es prueba de los peligros que acechan sobre nuestros derechos.
Este blog que acaba de nacer, se adhiere a la campaña contra las 65 horas semanales, y recuerda los lugares y horas a las que están convocadas manifestaciones el 7/10/2008 en el estado español.
Este blog que acaba de nacer, se adhiere a la campaña contra las 65 horas semanales, y recuerda los lugares y horas a las que están convocadas manifestaciones el 7/10/2008 en el estado español.
- Barcelona, 7 de octubre, 18:30h en Via Laietana.
- Madrid, 7 de octubre, 18:30h en la Plaza Mayor.
- Vigo, 7 de octubre, 20:00h en el cruce de Vía Norte con Urtáiz.
Etiquetas:
Economía,
Laborales,
No a las 65 horas
viernes, 3 de octubre de 2008
Interoperabilidad de los sistemas de firma electrónica de las AAPP
La interoperabilidad de los sistemas de firma electrónica utilizados y reconocidos por las distintas AAPP con las que se relacionan los ciudadanos, es una piedra angular de la Administración Electrónica. Esta importancia queda resaltada dentro de la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP, Ley 11/2007) incluyéndola como uno de los principios a los que ha de ajustarse el uso de las tecnologías de la información dentro de las AAPP
La necesidad de esta interoperabilidad se deriva de la potestad de autoorganización de las AAPP. Esta potestad, llevada al campo de la identidad electrónica, implica la definición autónoma por cada Administración de las credenciales digitales usadas por los empleados públicos que tiene adscritos y los sistemas de la información en que se apoyan los servicios públicos que prestan, así como de las que reconocen como medio de identificación de los ciudadanos en las relaciones por medios electrónicos. Dado el entorno de competencias fragmentadas, dónde Administraciones de ámbito supranacional, estatal, regional y local han de colaborar en la prestación de servicios electrónicos, la interoperabilidad se convierte en una obligación.
Haciendo referencia a los distintos medios de identificación manejados por la LAECSP, la interoperabilidad de los sistemas de firma electrónica ha de centrarse fundamentalmente en tres campos:
El primero de los campos de interoperabilidad de la identidad digital, está garantizado por la Ley de Firma Electrónica (LFE, Ley 59/2003) en el ámbito nacional, regional y local y por la Directiva 1999/93/CE en el ámbito supranacional. Si bien el estándar X509v3 da flexibilidad en cuanto los campos de los certificados digitales y el orden de los mismos, el marco legal referido establece cuál ha de ser la información mínima a contener y los requisitos legales que los prestadores, si bien bajo régimen de libre establecimiento, han de cumplir.
En el caso de los certificados electrónicos de los empleados públicos, hemos de acudir a la LAECSP para encontrar el conjunto mínimo de atributos de los mismos
Deja por tanto un amplio margen de autonomía para que cada Administración ejerza su potestad de autoorganización, por lo que parece conveniente que acuerden entre ellas un perfil común. Dicho perfil común es, en principio, el recogido en el "Esquema de Identificación y Firma Electrónica de las AAPP", si bien a día de hoy aún no es marco legal oficial. El carácter básico de la LAECSP no impediría sin embargo que, manteniendo la existencia de la información recogida en el Artículo 19.2, cada AAPP tuviera su propio perfil de certificados. Dicha situación no sería tampoco mayor problema, tan sólo sería necesario tratar cada uno de ellos como el de los certificados emitidos por los restantes Prestadores de Servicios de Certificación en las Plataformas de Validación existentes en cada Administración (@firma en el caso de la AGE). El caso del uso de los certificados del DNIe como herramienta de firma electrónica por los empleados públicos, merece, sin embargo, capítulo aparte y no profundizaremos en el, ya que claramente no cumple lo indicado en el artículo 19.2 y tiene otras implicaciones de carácter organizativo.
La interoperabilidad de los sellos electrónicos, por último, no presentan mayor complejidad más allá del nivel organizativo de la interoperabilidad, ya que han de establecerse los mecanismos de comunicación adecuados entre las Administraciones para comunicarse los sellos que cada una usa. Una vez resuelto el primer nivel de interoperabilidad, el nivel semántico quedaría resuelto con el "Esquema de Identificación y Firma electrónica" que define los perfiles de los mismos y el nivel técnico es resuelto por @firma o una plataforma similar.
Artículo 4. Principios generales
La utilización de las tecnologías de la información tendrá las limitaciones establecidas por la Constitución y el resto del ordenamiento jurídico, respetando el pleno ejercicio por los ciudadanos de los derechos que tienen reconocidos, y ajustándose a los siguientes principios:
...
e) Principio de cooperación en la utilización de medios electrónicos por las Administraciones Públicas al objeto de garantizar tanto la interoperabilidad de los sistemas y soluciones adoptados por cada una de ellas como, en su caso, la prestación conjunta de servicios a los ciudadanos. En particular, se garantizará el reconocimiento mutuo de los documentos electrónicos y de los medios de identificación y autenticación que se ajusten a lo dispuesto en la presente Ley.
...
La necesidad de esta interoperabilidad se deriva de la potestad de autoorganización de las AAPP. Esta potestad, llevada al campo de la identidad electrónica, implica la definición autónoma por cada Administración de las credenciales digitales usadas por los empleados públicos que tiene adscritos y los sistemas de la información en que se apoyan los servicios públicos que prestan, así como de las que reconocen como medio de identificación de los ciudadanos en las relaciones por medios electrónicos. Dado el entorno de competencias fragmentadas, dónde Administraciones de ámbito supranacional, estatal, regional y local han de colaborar en la prestación de servicios electrónicos, la interoperabilidad se convierte en una obligación.
Haciendo referencia a los distintos medios de identificación manejados por la LAECSP, la interoperabilidad de los sistemas de firma electrónica ha de centrarse fundamentalmente en tres campos:
- Reconocimiento de un conjunto común de credenciales digitales que pueden utilizar los ciudadanos
- Certificados electrónicos de empleados públicos con un mínimo de información común
- Sellos electrónicos para la actuación automatizada de cada Administración que puedan ser verificados por las restantes y permitan el intercambio de documentos administrativos en formato electrónico
El primero de los campos de interoperabilidad de la identidad digital, está garantizado por la Ley de Firma Electrónica (LFE, Ley 59/2003) en el ámbito nacional, regional y local y por la Directiva 1999/93/CE en el ámbito supranacional. Si bien el estándar X509v3 da flexibilidad en cuanto los campos de los certificados digitales y el orden de los mismos, el marco legal referido establece cuál ha de ser la información mínima a contener y los requisitos legales que los prestadores, si bien bajo régimen de libre establecimiento, han de cumplir.
En el caso de los certificados electrónicos de los empleados públicos, hemos de acudir a la LAECSP para encontrar el conjunto mínimo de atributos de los mismos
Artículo 19. Firma electrónica del personal al servicio de las Administraciones Públicas.
1. Sin perjuicio de lo previsto en los artículos 17 y 18, la identificación y autenticación del ejercicio de la competencia de la Administración Pública, órgano o entidad actuante, cuando utilice medios electrónicos, se realizará mediante firma electrónica del personal a su servicio, de acuerdo con lo dispuesto en los siguientes apartados.
2. Cada Administración Pública podrá proveer a su personal de sistemas de firma electrónica, los cuales podrán identificar de forma conjunta al titular del puesto de trabajo o cargo y a la Administración u órgano en la que presta sus servicios.
3. La firma electrónica basada en el Documento Nacional de Identidad podrá utilizarse a los efectos de este artículo.
Deja por tanto un amplio margen de autonomía para que cada Administración ejerza su potestad de autoorganización, por lo que parece conveniente que acuerden entre ellas un perfil común. Dicho perfil común es, en principio, el recogido en el "Esquema de Identificación y Firma Electrónica de las AAPP", si bien a día de hoy aún no es marco legal oficial. El carácter básico de la LAECSP no impediría sin embargo que, manteniendo la existencia de la información recogida en el Artículo 19.2, cada AAPP tuviera su propio perfil de certificados. Dicha situación no sería tampoco mayor problema, tan sólo sería necesario tratar cada uno de ellos como el de los certificados emitidos por los restantes Prestadores de Servicios de Certificación en las Plataformas de Validación existentes en cada Administración (@firma en el caso de la AGE). El caso del uso de los certificados del DNIe como herramienta de firma electrónica por los empleados públicos, merece, sin embargo, capítulo aparte y no profundizaremos en el, ya que claramente no cumple lo indicado en el artículo 19.2 y tiene otras implicaciones de carácter organizativo.
La interoperabilidad de los sellos electrónicos, por último, no presentan mayor complejidad más allá del nivel organizativo de la interoperabilidad, ya que han de establecerse los mecanismos de comunicación adecuados entre las Administraciones para comunicarse los sellos que cada una usa. Una vez resuelto el primer nivel de interoperabilidad, el nivel semántico quedaría resuelto con el "Esquema de Identificación y Firma electrónica" que define los perfiles de los mismos y el nivel técnico es resuelto por @firma o una plataforma similar.
Suscribirse a:
Entradas (Atom)