sábado, 19 de febrero de 2011 3 comentarios

Administración electrónica: la "deuda técnica" que se nos avecina.

La entrada en vigor el año pasado del R.D. 3/2010 se anunciaba como un impulso al mercado de la seguridad de la información. Como suele ser habitual en Administraciones Públicas, la legislación solo preocupa cuando vencen los plazos de adecuación.

Llevo desde principios de año buceando más profundamente sobre el cumplimiento de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos que es la columna vertebral de la que emanan tanto el Esquema Nacional de Interoperabilidad como el Esquema Nacional de Seguridad y la situación que se vislumbra es preocupante, al menos en el ámbito en el que yo me estoy moviendo.

El titulo del post va a ser el eje de la reflexión que pretendo plantear. Estamos ante un momento crucial para la Administración Pública Española. Parece muy trascendental la afirmación pero es que creo que así es. La Ley 11/2007 es, además de una declaración de intenciones sobre la modernización de la Administración, una regulación que establece "el proceso de migración del soporte papel al soporte electrónico". Por tanto, es una legislación que sirve para regular y normalizar cómo debe producirse la conversión desde la tramitación presencial hacia la tramitación telemática. En todas las aproximaciones que he presenciado hacia Organismos Públicos que están abordando este tema, se plantean una serie de situaciones repetitivas que a continuación paso a comentar:

  • El proyecto de adecuación a la Ley 11/2007 cae sobre el área tecnológica: esto es un sintoma claro del desconocimiento de la trascendencia de la propia legislación. Lo que pretende la legislación es adecuar los procedimientos administrativos al entorno digital preservando las "garantías jurídicas" de dicho proceso. Por tanto, involucrar sólo al área tecnológica ya supone un grave error desde el diseño puesto que la naturaleza del proceso y su problemática no puede ser conocida por el área TI sino por el área de negocio que habitualmente ejecuta esos procedimientos administrativos.
  • Desconocimiento del marco legal por parte del area tecnológica y jurídica: otro de los factores recurrentes que me encuentro es el desamparo que sienten las áreas tecnológicas respecto a los requisitos legales y sus consecuencias técnicas que ya han sido regulados por reglamentos derivados de la Ley 11/2007. Los servicios jurídicos de las organizaciones no vienen responsabilizándose de la cobertura legal que deben dar a la organización en materia tecnológica. Es cierto que la legislación ha estado muy convulsa  y en 5 años se han publicado leyes y reales decretos que por nuevos son desconocidos, pero son muy relevantes porque dan las pautas para la realización y el diseño de unos sistemas de información robustos y lo que es más importante, dotados de los requisitos jurídicos necesarios para garantizar la validez jurídica de los tramites administrativos. Por tanto, el área técnica debe implantar los diferentes servicios establecidos por la Ley de forma completa y correcta, satisfaciendo los requisitos que la regulación marca. Hay que destacar que existen directrices claras respecto a cómo debe ser la sede electrónica, el archivo y expediente electrónico, las comunicaciones y notificaciones telemáticas, el registro electrónico, etc.
Creo que un equipo de proyecto de Administración electrónica debe estar formado por un personal jurídico y técnico que comparten un fin común: resolver técnicamente las necesidades jurídicas del procedimiento administrativo a adecuar. Informáticos y abogados trabajando conjuntamente para comprender la naturaleza técnica de los requisitos jurídicos que la legislación ha plasmado en los diferentes reales decretos ya publicados. Y para sorpresas de técnicos e informáticos, la legislación a veces concreta tanto como hasta definir qué metadatos debe tener un documento electrónico, cómo debe realizarse el proceso de digitalización del papel, qué requisitos debe tener la sede electrónica o cómo deben plantearse los calendarios de conservación de los documentos electrónicos.
    En las charlas de presentación de la problemática sobre Administración Electrónica siempre empiezo por tratar de contextualizar a los oyentes sobre los grandes cambios que hay entre gestionar papel y gestionar documentos electrónicos. Las diferencias son bastante notables y se centran en estos aspectos:

    • Un documento en soporte papel está limitado por las restricciones físicas del mundo real, espacio y tiempo. La información que recoge es el contenido plasmado sobre el soporte utilizado para su representación y no hay más. En cuanto a la capacidad de procesamiento, está limitado también dado que su almacenamiento ocupa lugar físico y su transporte supone el desplazamiento físico por el mundo real del soporte y por tanto restringido a la velocidad que pueda alcanzar el soporte en su traslado de un origen a un destino. El envío de información por las redes de telecomunicaciones siempre supone la generación de una copia puesto que el original siempre permanece en el punto origen emisor de la información. En cuanto a la seguridad del documento, se limita a la protección física del soporte. Teniendo vigilado el soporte se tiene vigilada la información.
    • Un documento electrónico es mucho más. La información intangible es almacenada en un soporte tangible pero también puede trasladarse a través de las redes de telecomunicaciones sin perder ninguna propiedad. La información del documento está compuesta por el contenido, los metadatos del archivo donde esa información se encuentra y en los logs o registros de los sistemas y aplicaciones informáticas que han tratado esa información. Por tanto, una primera y sustancial diferencia es que pasamos a tener Datos y Metadatos, siendo ambos información relevante respecto al contenido del documento. La segunda gran diferencia sustancial es que en un documento electrónico no se pueden presuponer ciertos conceptos sin pruebas previas. No existe original o copia a no ser que éstas se acrediten técnicamente mediante firma digital. Respecto a los metadatos que establecen las fechas de creación o modificación, el tiempo es un parámetro del sistema que habrá que acreditar. Esto quiere decir que para poder demostrar el momento en el que se producen ciertas acciones, habrá que dar fe de ello de forma técnica siendo el sellado de tiempo la forma de producir dicha garantía. Por tanto, desde la perspectiva de la seguridad de la información creo que ya se vislumbra que la cosa se complica y que las necesidades de protección aumentan. 
    En este contexto, la legislación relacionada con la aplicación de la Ley 11/2007 ha pretendido dar garantías jurídicas al documento electrónico para que no se produzcan problemas y sea posible la tramitación en soporte electrónico. Sin embargo, estas necesidades tecnológicas de aportar protección técnica para que los procesos administrativos sean equivalentes en un formato o en otro no están siendo puestas en marcha por parte de las Administraciones lo que equivale a estar migrando los procesos presenciales hacia procesos telemáticos desamparados jurídicamente, lo que implicará problemas en el futuro. Esta situación se justifica en parte por la lentitud con la que han ido apareciendo los Reales Decretos. Hay que pensar que la Ley 11/2007 establecía hasta finales del 2009 como plazo de adecuación y sin embargo los Esquemas Nacionales de Interperabilidad y Seguridad fueron publicados en el 2010.

    ¿Y qué conceptos y legislación es relevante en materia de Administración Electrónica?

    Lo que un responsable de tecnología debe entender es que su misión, al abordar un proyecto de adecuación a la Ley 11/2007 es garantizar la identica protección legal se tramite en papel o en soporte electrónico. Para ello, en el año 2003 se publicó la Ley 59/2003 de firma digital que sienta los cimientos y conceptos esenciales para que la equivalencia jurídica entre papel y soporte electrónico sea idéntica. Esta ley en su artículo 3 define qué es un documento electrónico, la pieza esencial de cualquier gestión administrativa. A continuación podéis ver la redacción de dicho artículo.
    Artículo 3. Firma electrónica, y documentos firmados electrónicamente.

    1. La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

    2. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.

    3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

    4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.

    5. Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.

    Sin perjuicio de lo dispuesto en el párrafo anterior, para que un documento electrónico tenga la naturaleza de documento público o de documento administrativo deberá cumplirse, respectivamente, con lo dispuesto en las letras a o b del apartado siguiente y, en su caso, en la normativa específica aplicable.

    6. El documento electrónico será soporte de:
    • Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso.
    • Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica.
    • Documentos privados.

    7. Los documentos a que se refiere el apartado anterior tendrán el valor y la eficacia jurídica que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable.

    8. El soporte en que se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio. Si se impugnare la autenticidad de la firma electrónica reconocida con la que se hayan firmado los datos incorporados al documento electrónico se procederá a comprobar que se trata de una firma electrónica avanzada basada en un certificado reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para este tipo de certificados, así como que la firma se ha generado mediante un dispositivo seguro de creación de firma electrónica.

    La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado el documento electrónico firmado con firma electrónica reconocida. Si dichas comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la firma electrónica reconocida con la que se haya firmado dicho documento electrónico siendo las costas, gastos y derechos que origine la comprobación exclusivamente a cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.

    Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.

    9. No se negarán efectos jurídicos a una firma electrónica que no reúna los requisitos de firma electrónica reconocida en relación a los datos a los que esté asociada por el mero hecho de presentarse en forma electrónica.

    10. A los efectos de lo dispuesto en este artículo, cuando una firma electrónica se utilice conforme a las condiciones acordadas por las partes para relacionarse entre sí, se tendrá en cuenta lo estipulado entre ellas.

    Estas definiciones de la Ley 59/2003 son de vital importancia dentro de las AA.PP. porque establecen qué es un "documento público en soporte electrónico" y como se puede ver, la necesidad de la firma digital es un requisito de la propia definición. Todo documento en soporte electrónico sin firma digitalmente es papel mojado. Además, en rojo he marcado las partes del artículo donde la legislación atribuye las equivalencias jurídicas entre el papel y el soporte electrónico. El artículo 4 también de la Ley 59/2003 se encarga de establecer cómo debe emplearse la firma electrónica dentro de las AA.PP.

    Partiendo de las definiciones de la Ley de Firma digital, la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos ha ido regulando otros requisitos necesarios para que se produzca el proceso de transición de forma correcta. Ello queda perfectamente reflejado en los siguientes Reales Decretos:


    A este marco jurídico desarrollado específicamente para extender la Ley 11/2007 hay que añadir, y es de suma importancia, que cuando se habla de tramitación administrativa siempre hay detrás un ciudadano. Por tanto, es de gran relevancia considerar en todo momento el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su desarrollo reglamentario en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Hay que recordar que el Titulo VIII de dicho reglamento establece las medidas de seguridad que debe garantizar todo tratamiento de estos tipos de datos.

    Ya para terminar y tras esta enumeración de legislación que establece  requisitos y condicionantes tecnológicos concretos que habrá que implantar, quiero también recomendar y enlazar al blog Microlopez, toda una referencia en materia de Administración Electrónica al que ya nombré con su magnífico manual de supervivencia de la @Administración Electrónica.

    Su última reflexión habla de la "deuda técnica: la Burbuja de las TIC" y la define en el siguiente párrafo:

    La deuda técnica es una metáfora de Ward Cunningham que describe como hacer las cosas rápido y mal va generando, con mecanismos propios de las burbujas financieras, una deuda similar a nivel técnico. En realidad el problema no es nuevo en absoluto en el mundo del software, se puede ver como una variante de lo que ya fue denominado en los años 60 como la “crisis del software”.

    La deuda técnica tiene asociado el pago de intereses que se concretan en el esfuerzo extra necesario en el futuro por una elección rápida y mala de diseño, la cosa va creciendo y se vuelve cada vez más insostenible. Al igual que en el mundo financiero, si te pasas, el exceso acabará en un gran desastre del cual, en el mejor de los casos, se “sale” con un costoso rescate que conlleva una nueva deuda como lo puede ser en las TIC la sustitución apresurada de un sistema o conjunto de sistemas ante un problema inminente e insalvable, fruto de errores pasados, por otros nuevos que tampoco se han examinado lo suficiente.

    En otros casos el desastre a nivel informático puede ser más sutil, pero no menos importante: se puede manifestar en una estructura de costes que al haber perdido control va creciendo poco a poco hasta un punto que pone en duda el sentido de las aplicaciones en cuestión o dicho de otro modo: que la supuesta mejora de productividad que se logra con la utilización de estas aplicaciones corporativas se vuelve negativa.

    El propio autor lo explica en este video colgado en Youtube.





    En esta página tenéis la transcripción del video.

    Aquellos proyectos de Administración Electrónica que no implanten con rigurosidad todos los requisitos establecidos por la legislación anteriormente nombrada estarán generando en sus correspondientes organismos una "deuda tecnica" que pasará factura en el futuro. Si se gestionan documentos electrónicos que no son firmados digitalmente o se recogen en los registros electrónicos documentación que no dispone de una referencia temporal válida, dichos documentos en soporte electrónico podrían tener dudosa validez jurídica y dar como resultado la nulidad del trámite administrativo dado que siempre quedará al ciudadano la posibilidad del repudio de dicha información. No se dispondrán de garantías técnicas suficientes para afirmar la autenticidad e integridad de dicha información y por tanto, el conflicto está servido.
    El primer problema es que el ciudadano común desconoce también la necesidad de garantizar estos requisitos técnicos y tendrán que ser los abogados más puestos en la materia los que usen como argumento estas deficiencias técnicas en sus alegatos.
    El segundo problema será que el juez entienda el meollo de la cuestión, aunque si el abogado cuenta con un buen perito informático, este podrá mostrarle al juez que es posible generar información en soporte electrónico con idénticas propiedades a las presentadas por la Administración cuando esta no está firmada digitalmente ni sellada en tiempo. La evidencia digital es así de frágil cuando no se la dota de las medidas de seguridad adecuadas.
    sábado, 5 de febrero de 2011 5 comentarios

    Los errores informáticos, ¿Deben pagarse?

    "Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los médicos se tapan con tierra". Esta frase atribuida a Frank Lloyd Wright va a ser el origen del post de esta semana.

    Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software.

    Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.

    Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.

    Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.

    Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro. Las cifras de Gartner estiman que costará alrededor de $ 1 millón al año en promedio para una empresa con entre 2.500 y 3.000 máquinas la aplicación de parches de software.


    Las noticias recogidas en prensa dan tal sensación de cotidianidad a este tema que tenemos más que asumido el "error informático" como parte del precio que hay que pagar por el alto desarrollo industrial. Obviamente la complejidad de los sistemas va en aumento y la torre de cartas es cada vez más alta, lo que hace que cualquier problema en una de ellas tenga consecuencias. En cualquier caso, la dificultad no debe ser nunca excusa para no abordar el problema. Hay incidentes que sí tienen una culpabilidad clara y que si debieran penalizar a la empresa que lo genera. Esta semana también ha sido conocido el problema de seguridad de los "Cargadores USB Energizer" que incluyen de regalo un troyano.
    No nos damos cuenta pero hay software por todos lados, incrustado sobre hardware o desarrollado sobre sistemas operativos pero casi todo los electrodomésticos están transformándose en "inteligentes" debido al software de control que llevan embebido. Y pronto cada uno de estos cacharros tendrá una IP. ¿Tendremos que ver cómo una oleada de malware inutiliza los frigoríficos de medio mundo para tomarnos en serio esto de considerar como fase indispensable del diseño a la "seguridad".

    "Nadie es perfecto: los errores de los cocineros se tapan con mayonesa, los errores de los albañiles se tapan con cemento y los errores de los medicos se tapan con tierra". En el futuro habrá que añadir, "Los informáticos lo tienen más facil, basta con apagar y volver a encender para solucionarlo". Así nos ve la sociedad y así nos paródia como se puede ver en la serie "Los Informáticos". Es triste pero es nuestra realidad. Lo que más duele es que en otras áreas y disciplinas jamás se habría dado lugar a esta situación, pero como la "Informática" no es una "Ingeniería real" como el resto y no tiene atribuciones profesionales, pues así estamos. Sabemos que "la informática es una ciencia", "un arte" y en el futuro "una religión". Habrá que creer y tener fe en ella para que las cosas funcionen.


     
    ;