Modelos de convivencia e integración de la firma electrónica con los sistemas de negocio corporativos Negocio y firma electrónica Juan Carlos de Miguel Pérez-Herce Gerente

Indra Sistemas Enise / León / octubre 2009

Zona para Logotipo organización (es)

Índice

1. Introducción 2. El diseño y definición de los nuevos sistemas 3. La puesta en marcha: modelos de convivencia 4. Conclusiones

2

1. Introducción

La preocupación para no quedarse atrás …

El marco legal existente (ej: LISI, LAECSP, etc.) confiere derechos al cliente / ciudadano de una organización para poder transaccionar con ellos por mecanismos telemáticos.

Los usuarios se ven motivados a vencer las barreras de registro y uso de certificación al percibir un valor añadido suficiente.

3

1. Introducción

Evolución del proyecto en una organización “tipo” nivel de entropía

Conocimiento de la necesidad

FRACASO

Resolución de aspectos relativos al diseño / definición

Aparición de retos de “convivencia”

Eventualidades en la implantación del proyecto: retrasos, etc.

ÉXITO

Fase de Diseño / Definición

Fase de Implantación / Experiencias Piloto

Fase de Puesta en Explotación / Uso Masivo

tiempo

4

2. El diseño y definición de los nuevos sistemas

PASO 1: Interpretación de las necesidades / requisitos La legislación actual obliga a todas las AAPP y Entidades Privadas a trabajar en un nuevo marco en el que deben disponer Sistemas de Información para soportar completamente transacciones en un contexto electrónico. Múltiples canales (fiables y seguros) para que los clientes / ciudadanos se relacionen con la Organización Su finalidad es la recepción y remisión de solicitudes, escritos y comunicaciones dirigidos a la Organización

Canales electrónicos Registro electrónico Plataforma de servicios avanzados de seguridad

Para efectuar el pago de compras, tasas e impuestos, etc.

Seguimiento procedimientos y trámites

Pasarela de pagos Archivo electrónico Almacenamiento y custodia segura de los documentos electrónicos, sus firmas asociadas y expedientes gestionados

Comunicaciones y notificaciones electrónicas

Sistema de comunicaciones con ciudadanos y otras AAPP que incorpore mecanismos para el cómputo de plazos y la práctica de la notificación Proporciona al resto de Sistemas las características necesarias de seguridad, confidencialidad, integridad y no repudio Proporciona al interesado un servicio electrónico de acceso restringido para consultar información sobre procedimientos y trámites

Solución: ●Arquitectura

SOA (servicios web)

●Proporciona

servicios de validación de certificados, firmas, etc. ●Soporte multicertificado, multiformato ●Fecha

y hora oficial y segura ●Compliance con el marco legal

Otros Controles de Seguridad (física, …) 5

2. El diseño y definición de los nuevos sistemas

PASO 2: Modelo de explotación, ¿en tu casa o en la mía? Modelo externalizado ●El Artículo 21 LAECSP establece que la AGE

deberá disponer de una plataforma de libre acceso para la verificación del estado de revocación de todos los certificados admitidos en el ámbito de las AAPP.

●En el ámbito privado, existen organizaciones

●Solución de menor complejidad, al no ser necesario el despliegue, explotación y mantenimiento de las infraestructuras. ●Plazos más cortos y menor coste de adecuación a la legislación.

que ofrecen servicios remotos de firma electrónica mediante arquitecturas SOA.

Modelo “in-house” ●Calidad del servicio garantizada en términos de disponibilidad y rendimiento, con independencia de disponibilidad de infraestructuras de terceros.

●Beneficios de funcionalidad, escalabilidad, modularidad y rendimiento de las plataformas de firma.

●Mitigación de riesgos relativos a la confidencialidad de la información crítica, al no ser necesario el envío de la información o documentos originales a una entidad externa para determinadas operaciones como por ejemplo la validación de firma.

●Flexibilidad para incorporar funcionalidades y servicios adicionales (servicios de cifrado electrónico, nuevos formatos y estándares de firma, información adicional de las firmas y/o los certificados, etc.).

Para una Organización madura que pretende realizar un uso intensivo de las tecnologías de certificación y firma una alternativa recomendable es desplegar una plataforma “in-house”, Además las AAPP pueden beneficiarse utilizando los servicios de verificación de revocación de la plataforma de la AGE como alternativa de contingencia/backup. 6

2. El diseño y definición de los nuevos sistemas

PASO 3: ¿Y qué hago para que firmen mis usuarios? Escenario Escenario yy principales principales necesidades necesidades

■■Las Las Plataformas Plataformas SOA SOA no no solucionan solucionan la la

problemática problemática de de firma firma de de los los usuarios usuarios finales. finales. ■■Las Las funciones funciones necesarias necesarias principalmente principalmente van van orientadas orientadas aa proporcionar: proporcionar: oo Visualización Visualización yy selección selección de de los los certificados certificados

del del usuario. usuario. oo Generación Generación de de la la firma firma electrónica. electrónica.

■■Existen Existen tres tres grandes grandes “procesos “procesos de de

firma”, firma”, con con particularidades particularidades // diferencias diferencias específicas específicas que que aconseja aconseja que que se se aborden aborden por por separado. separado.

La La solución solución tecnológica tecnológica

■■Sobre Sobre la la integración integración con con los los SSII SSII

corporativos: corporativos: oo Los Los Sistemas Sistemas Propietarios Propietarios son son cerrados, cerrados, ee

implementan implementan mecanismos mecanismos de de firma firma electrónica electrónica propios y con funcionalidad limitada. propios y con funcionalidad limitada. oo Los Los Sistemas Sistemas Abiertos Abiertos (ej: (ej: aplicaciones aplicaciones web) web) permiten usar / incorporar componentes permiten usar / incorporar componentes estándar. estándar. ■■Sobre Sobre los los certificados certificados aa utilizar: utilizar: oo La La zona zona geográfica geográfica yy el el proceso proceso de de negocio negocio condicionan el uso de determinados condicionan el uso de determinados certificados. certificados. oo Algunas Algunas organizaciones organizaciones disponen disponen de de Tarjetas Tarjetas de de Empleado Empleado // Ciudadano. Ciudadano. oo El El DNIe DNIe tiene tiene una una amplia amplia penetración, penetración, genera genera confianza confianza yy tiene tiene un un alto alto grado grado de de aceptación. aceptación. 7

2. El diseño y definición de los nuevos sistemas

PASO 4: Convivencia con otros sistemas corporativos Existe una estrecha relación entre el Gestor Documental de una organización y las necesidades de archivado de documentos firmados

Almacenamiento / recuperación Establecer relaciones entre documentos Gestión de firmas Gestión de metadatos Borrar

Sistema de archivo de documentos firmados

No obstante, hay características específicas adicionales que debe proporcionar el Sistema de Archivo: ● Mantener la validez y perdurabilidad de las firmas electrónicas y de los documentos almacenados en el

tiempo (preferible según estándares) ● Tener capacidad de guardar metadatos asociados a la firma electrónica (extendiendo el modelo de

datos del gestor) ● Proporcionar seguridad (confidencialidad, integridad, disponibilidad) a los documentos almacenados

(preferible solución “in-house”, complementada con mecanismos de protección contra el borrado). 8

3. La puesta en marcha: modelos de convivencia

La “convivencia” con las aplicaciones corporativas

INTEGRAR

USAR

• Identificación de las necesidades de seguridad y firma en el proceso de negocio.

• Interpretación de los resultados.

• Definición del proceso de firma.

• Necesidad de referencias temporales.

• Certificado que necesita cada proceso y cómo usarlo. • Formatos a utilizar.

• Visualización de las firmas.

EXPLOTAR • Se requiere un nivel de servicio mínimo en términos de: ■ Disponibilidad. ■ Seguridad. ■ Rendimiento

y tiempos de respuesta.

■ Soporte

ante incidencias.

El fracaso en alguna de estas fases generalmente provoca un impacto negativo en el proceso de negocio asociado 9

3. La puesta en marcha: modelos de convivencia

La “convivencia” con el marco legal existente

Firma Electrónica


Directiva

Protección de datos personales y su procesamiento


Directivas

Específicas


Ley

199/93/CE

59/2003 (LFE)

1995/46/CE, 97/66/EC, 2002/58/CE


Reglamento

(EC) 45/2001


Ley

Orgánica 15/1999 (LOPD) y Real Decreto 1720/2007


Ley

56/2007 (LISI)


Ley

11/2007 (LAECSP)

 La principal preocupación hoy día es poder garantizar que una firma es “válida” según establece la legislación.  Al tratarse de tecnologías relativamente jóvenes y con apenas referencias jurídicas, es aconsejable la utilización de estándares y buenas prácticas como los principales medios para garantizar la validez. 10

3. La puesta en marcha: modelos de convivencia

La “convivencia” con los usuarios ■ Actitudes de rechazo por

■ Generar confianza.

desconocimiento / sensación de inseguridad. ■ Negativa a la utilización de medios

personales (ej: DNIe).

■ Divulgación, concienciación y

sensibilización. ■ Tarjetas Corporativas. ■ Utilizar certificados de cargo / puesto.

■ Falta de apoyo (especialmente de la

dirección) por la poca usabilidad del proceso de firma, al demandar:

■ Portafirmas Electrónico.


Herramienta centralizada, muy intuitiva y fácil de utilizar
Automatización del proceso (firma en

bloque)

■ Dificultades para firmar (ej: problemas técnicos del lector, bloqueo/caducidad del certificado, etc.).

■ Flexibilizar los certificados permitidos. ■ Soportar escenarios de movilidad. ■ Disponer de soporte especializado (CAUs).

11

3. La puesta en marcha: modelos de convivencia

La “convivencia” con otras organizaciones: interoperabilidad AA.PP. Organización Niveles de Interoperabilidad:

1

2

3

4

5

1-Establecimiento de un marco común 2-Comunicaciones 3-Protocolos 4-Contenidos 5-Procesos / Negocio

AA.PP.

Otros Organización

Podemos hablar de interoperabilidad a partir de los niveles 3 y 4. Un diseño / tecnología errónea pueden abocar a problemas de interoperabilidad que hagan inútil el sistema desplegado 12

4. Conclusiones ● La incorporación de la firma electrónica en los procesos y sistemas de información de negocio exige la estrecha convivencia entre ambos, que se consigue mediante un detallado análisis de las necesidades y de cada situación ● Un buen diseño tecnológico apoyado en estándares es importante para el éxito de una iniciativa de firma electrónica, pero también deben tenerse muy presentes otros factores antes de su despliegue y uso masivo ● Las grandes organizaciones necesitan infraestructuras que puedan adaptarse a sus necesidades, manteniendo una definición flexible de Políticas y Prácticas, en aspectos como las credenciales y e-ID confiables, las funciones proporcionadas, o la custodia y recuperación de información electrónica. ● Una estrategia adecuada para gestionar los aspectos relativos a la firma-e es la utilización de soluciones y tecnologías gestionadas de forma centralizada para posibilitar un mejor aprovechamiento de los recursos y un menor coste total de propiedad. 13

Gracias por su atención Juan Carlos de Miguel Pérez-Herce Seguridad Lógica [email protected] Avda. de Bruselas 35 28108 Alcobendas, Madrid España T +34 91 480 50 00 F +34 91 480 50 80 www.indra.es

14

Fin de la presentación

Muchas gracias

15