Modelos de convivencia e integración de la firma electrónica con los sistemas de negocio corporativos Negocio y firma electrónica Juan Carlos de Miguel Pérez-Herce Gerente
Indra Sistemas Enise / León / octubre 2009
Zona para Logotipo organización (es)
Índice
1. Introducción 2. El diseño y definición de los nuevos sistemas 3. La puesta en marcha: modelos de convivencia 4. Conclusiones
2
1. Introducción
La preocupación para no quedarse atrás …
El marco legal existente (ej: LISI, LAECSP, etc.) confiere derechos al cliente / ciudadano de una organización para poder transaccionar con ellos por mecanismos telemáticos.
Los usuarios se ven motivados a vencer las barreras de registro y uso de certificación al percibir un valor añadido suficiente.
3
1. Introducción
Evolución del proyecto en una organización “tipo” nivel de entropía
Conocimiento de la necesidad
FRACASO
Resolución de aspectos relativos al diseño / definición
Aparición de retos de “convivencia”
Eventualidades en la implantación del proyecto: retrasos, etc.
ÉXITO
Fase de Diseño / Definición
Fase de Implantación / Experiencias Piloto
Fase de Puesta en Explotación / Uso Masivo
tiempo
4
2. El diseño y definición de los nuevos sistemas
PASO 1: Interpretación de las necesidades / requisitos La legislación actual obliga a todas las AAPP y Entidades Privadas a trabajar en un nuevo marco en el que deben disponer Sistemas de Información para soportar completamente transacciones en un contexto electrónico. Múltiples canales (fiables y seguros) para que los clientes / ciudadanos se relacionen con la Organización Su finalidad es la recepción y remisión de solicitudes, escritos y comunicaciones dirigidos a la Organización
Canales electrónicos Registro electrónico Plataforma de servicios avanzados de seguridad
Para efectuar el pago de compras, tasas e impuestos, etc.
Seguimiento procedimientos y trámites
Pasarela de pagos Archivo electrónico Almacenamiento y custodia segura de los documentos electrónicos, sus firmas asociadas y expedientes gestionados
Comunicaciones y notificaciones electrónicas
Sistema de comunicaciones con ciudadanos y otras AAPP que incorpore mecanismos para el cómputo de plazos y la práctica de la notificación Proporciona al resto de Sistemas las características necesarias de seguridad, confidencialidad, integridad y no repudio Proporciona al interesado un servicio electrónico de acceso restringido para consultar información sobre procedimientos y trámites
Solución: ●Arquitectura
SOA (servicios web)
●Proporciona
servicios de validación de certificados, firmas, etc. ●Soporte multicertificado, multiformato ●Fecha
y hora oficial y segura ●Compliance con el marco legal
Otros Controles de Seguridad (física, …) 5
2. El diseño y definición de los nuevos sistemas
PASO 2: Modelo de explotación, ¿en tu casa o en la mía? Modelo externalizado ●El Artículo 21 LAECSP establece que la AGE
deberá disponer de una plataforma de libre acceso para la verificación del estado de revocación de todos los certificados admitidos en el ámbito de las AAPP.
●En el ámbito privado, existen organizaciones
●Solución de menor complejidad, al no ser necesario el despliegue, explotación y mantenimiento de las infraestructuras. ●Plazos más cortos y menor coste de adecuación a la legislación.
que ofrecen servicios remotos de firma electrónica mediante arquitecturas SOA.
Modelo “in-house” ●Calidad del servicio garantizada en términos de disponibilidad y rendimiento, con independencia de disponibilidad de infraestructuras de terceros.
●Beneficios de funcionalidad, escalabilidad, modularidad y rendimiento de las plataformas de firma.
●Mitigación de riesgos relativos a la confidencialidad de la información crítica, al no ser necesario el envío de la información o documentos originales a una entidad externa para determinadas operaciones como por ejemplo la validación de firma.
●Flexibilidad para incorporar funcionalidades y servicios adicionales (servicios de cifrado electrónico, nuevos formatos y estándares de firma, información adicional de las firmas y/o los certificados, etc.).
Para una Organización madura que pretende realizar un uso intensivo de las tecnologías de certificación y firma una alternativa recomendable es desplegar una plataforma “in-house”, Además las AAPP pueden beneficiarse utilizando los servicios de verificación de revocación de la plataforma de la AGE como alternativa de contingencia/backup. 6
2. El diseño y definición de los nuevos sistemas
PASO 3: ¿Y qué hago para que firmen mis usuarios? Escenario Escenario yy principales principales necesidades necesidades
■■Las Las Plataformas Plataformas SOA SOA no no solucionan solucionan la la
problemática problemática de de firma firma de de los los usuarios usuarios finales. finales. ■■Las Las funciones funciones necesarias necesarias principalmente principalmente van van orientadas orientadas aa proporcionar: proporcionar: oo Visualización Visualización yy selección selección de de los los certificados certificados
del del usuario. usuario. oo Generación Generación de de la la firma firma electrónica. electrónica.
■■Existen Existen tres tres grandes grandes “procesos “procesos de de
firma”, firma”, con con particularidades particularidades // diferencias diferencias específicas específicas que que aconseja aconseja que que se se aborden aborden por por separado. separado.
La La solución solución tecnológica tecnológica
■■Sobre Sobre la la integración integración con con los los SSII SSII
corporativos: corporativos: oo Los Los Sistemas Sistemas Propietarios Propietarios son son cerrados, cerrados, ee
implementan implementan mecanismos mecanismos de de firma firma electrónica electrónica propios y con funcionalidad limitada. propios y con funcionalidad limitada. oo Los Los Sistemas Sistemas Abiertos Abiertos (ej: (ej: aplicaciones aplicaciones web) web) permiten usar / incorporar componentes permiten usar / incorporar componentes estándar. estándar. ■■Sobre Sobre los los certificados certificados aa utilizar: utilizar: oo La La zona zona geográfica geográfica yy el el proceso proceso de de negocio negocio condicionan el uso de determinados condicionan el uso de determinados certificados. certificados. oo Algunas Algunas organizaciones organizaciones disponen disponen de de Tarjetas Tarjetas de de Empleado Empleado // Ciudadano. Ciudadano. oo El El DNIe DNIe tiene tiene una una amplia amplia penetración, penetración, genera genera confianza confianza yy tiene tiene un un alto alto grado grado de de aceptación. aceptación. 7
2. El diseño y definición de los nuevos sistemas
PASO 4: Convivencia con otros sistemas corporativos Existe una estrecha relación entre el Gestor Documental de una organización y las necesidades de archivado de documentos firmados
Almacenamiento / recuperación Establecer relaciones entre documentos Gestión de firmas Gestión de metadatos Borrar
Sistema de archivo de documentos firmados
No obstante, hay características específicas adicionales que debe proporcionar el Sistema de Archivo: ● Mantener la validez y perdurabilidad de las firmas electrónicas y de los documentos almacenados en el
tiempo (preferible según estándares) ● Tener capacidad de guardar metadatos asociados a la firma electrónica (extendiendo el modelo de
datos del gestor) ● Proporcionar seguridad (confidencialidad, integridad, disponibilidad) a los documentos almacenados
(preferible solución “in-house”, complementada con mecanismos de protección contra el borrado). 8
3. La puesta en marcha: modelos de convivencia
La “convivencia” con las aplicaciones corporativas
INTEGRAR
USAR
• Identificación de las necesidades de seguridad y firma en el proceso de negocio.
• Interpretación de los resultados.
• Definición del proceso de firma.
• Necesidad de referencias temporales.
• Certificado que necesita cada proceso y cómo usarlo. • Formatos a utilizar.
• Visualización de las firmas.
EXPLOTAR • Se requiere un nivel de servicio mínimo en términos de: ■ Disponibilidad. ■ Seguridad. ■ Rendimiento
y tiempos de respuesta.
■ Soporte
ante incidencias.
El fracaso en alguna de estas fases generalmente provoca un impacto negativo en el proceso de negocio asociado 9
3. La puesta en marcha: modelos de convivencia
La “convivencia” con el marco legal existente
Firma Electrónica
Directiva
Protección de datos personales y su procesamiento
Directivas
Específicas
Ley
199/93/CE
59/2003 (LFE)
1995/46/CE, 97/66/EC, 2002/58/CE
Reglamento
(EC) 45/2001
Ley
Orgánica 15/1999 (LOPD) y Real Decreto 1720/2007
Ley
56/2007 (LISI)
Ley
11/2007 (LAECSP)
La principal preocupación hoy día es poder garantizar que una firma es “válida” según establece la legislación. Al tratarse de tecnologías relativamente jóvenes y con apenas referencias jurídicas, es aconsejable la utilización de estándares y buenas prácticas como los principales medios para garantizar la validez. 10
3. La puesta en marcha: modelos de convivencia
La “convivencia” con los usuarios ■ Actitudes de rechazo por
■ Generar confianza.
desconocimiento / sensación de inseguridad. ■ Negativa a la utilización de medios
personales (ej: DNIe).
■ Divulgación, concienciación y
sensibilización. ■ Tarjetas Corporativas. ■ Utilizar certificados de cargo / puesto.
■ Falta de apoyo (especialmente de la
dirección) por la poca usabilidad del proceso de firma, al demandar:
■ Portafirmas Electrónico.
Herramienta centralizada, muy intuitiva y fácil de utilizar Automatización del proceso (firma en
bloque)
■ Dificultades para firmar (ej: problemas técnicos del lector, bloqueo/caducidad del certificado, etc.).
■ Flexibilizar los certificados permitidos. ■ Soportar escenarios de movilidad. ■ Disponer de soporte especializado (CAUs).
11
3. La puesta en marcha: modelos de convivencia
La “convivencia” con otras organizaciones: interoperabilidad AA.PP. Organización Niveles de Interoperabilidad:
1
2
3
4
5
1-Establecimiento de un marco común 2-Comunicaciones 3-Protocolos 4-Contenidos 5-Procesos / Negocio
AA.PP.
Otros Organización
Podemos hablar de interoperabilidad a partir de los niveles 3 y 4. Un diseño / tecnología errónea pueden abocar a problemas de interoperabilidad que hagan inútil el sistema desplegado 12
4. Conclusiones ● La incorporación de la firma electrónica en los procesos y sistemas de información de negocio exige la estrecha convivencia entre ambos, que se consigue mediante un detallado análisis de las necesidades y de cada situación ● Un buen diseño tecnológico apoyado en estándares es importante para el éxito de una iniciativa de firma electrónica, pero también deben tenerse muy presentes otros factores antes de su despliegue y uso masivo ● Las grandes organizaciones necesitan infraestructuras que puedan adaptarse a sus necesidades, manteniendo una definición flexible de Políticas y Prácticas, en aspectos como las credenciales y e-ID confiables, las funciones proporcionadas, o la custodia y recuperación de información electrónica. ● Una estrategia adecuada para gestionar los aspectos relativos a la firma-e es la utilización de soluciones y tecnologías gestionadas de forma centralizada para posibilitar un mejor aprovechamiento de los recursos y un menor coste total de propiedad. 13
Gracias por su atención Juan Carlos de Miguel Pérez-Herce Seguridad Lógica
[email protected] Avda. de Bruselas 35 28108 Alcobendas, Madrid España T +34 91 480 50 00 F +34 91 480 50 80 www.indra.es
14
Fin de la presentación
Muchas gracias
15