Microlopez

Por fin he conseguido completar la primera edición del Manual Práctico de Supervivencia en la Administración Electrónic@.

Algunas de las novedades más importantes ya se comentaron en este artículo que anunciaba la publicación de la revisión del borrador de noviembre y por tanto no las repito aquí.

Esta primera edición ha cambiado otra vez sustancialmente con respecto a la anterior (la revisión de noviembre mencionada). La página dedicada al manual de este blog contiene una descripción general de sus contenidos.

En cuanto a las novedades concretas en primer lugar he cambiado en la parte práctica el orden de algunos capítulos ya que me parece que facilitará el aprendizaje de sus materias y he ampliado los contenidos. Ahora se explica, por ejemplo, cómo configurar Adobe Reader para que valide documentos PDF con firmas electrónicas y como firma electrónicamente documentos PDF.

Por otra parte, se ha puesto al día la parte de aspectos jurídicos para incluir las últimas novedades, el Reglamento de desarrollo de la Ley 11/2007 y los Esquemas Nacionales de Seguridad e Interoperabilidad.

Se ha incluido también contenido sobre algunos productos de administración electrónica que me parecen particularmente útiles y que los proporciona gratuitamente la propia Administración tales como el Sistema Integrado de Gestión Municipal o el cliente firma de @firma.

Finalmente también se han ampliado también contenidos en la parte dedicada a la Web 2.0 e innovación en la administración electrónica y se han actualizado y ampliado  las referencias incluidas en el anexo.

En fin, espero que encontréis esta primera edición del manual completa y práctica. A partir de aquí todas las críticas y sugerencias serán muy bienvenidas.

Después del artículo de ayer  sobre el Esquema Nacional de Seguridad hoy toca el texto equivalente en materia de interoperabilidad. A primera vista este texto puede parecer más simple que su homólogo, pero veréis que se las trae…, especialmente la disposición adicional primera.

Vamos allá:

El Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica, persigue la creación de las condiciones necesarias para garantizar el adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y aplicaciones empleados por las Administraciones Públicas, que permita el ejercicio de derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios públicos, a la vez que redunda en beneficio de la eficacia y la eficiencia.

Al igual que ocurre en el ENS, se han tenido en cuenta antecedentes como los Criterios SNC y las recomendaciones de la Unión Europea como lo es el Marco Europeo de Interoperabilidad elaborado por el programa IDABC, así como a otros instrumentos y actuaciones elaborados por este programa y que inciden en alguno de los múltiples aspectos de la interoperabilidad, tales como el Centro Europeo de Interoperabilidad Semántica, el Observatorio y Repositorio de Software de Fuentes Abiertas y la Licencia Pública de la Unión Europea. También se atiende a la Decisión 922/2009 del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa a las soluciones de interoperabilidad para las administraciones públicas europeas.

Después de definir el objeto y ámbito de aplicación de la norma (que incluye a todas las administraciones), el ENI comienza enumerando sus principios básicos que son la interoperabilidad como cualidad integral, el carácter multidimensional de la interoperabilidad (es decir, interoperabilidad técnica, semántica y organizativa) y el enfoque de soluciones multilaterales.

A continuación se abordan con mayor detalle las dimensiones técnicas, semánticas y organizativas de la interoperabilidad. En la parte técnica se desarrolla el principio de neutralidad tecnológica de la Ley 11/2007 en aspectos concretos como los documentos electrónicos emitidos por las Administraciones Públicas y se reitera su importancia haciendo hincapié en el uso de estándares abiertos a todos los niveles considerando su aplicación particularmente inexcusable en la relación con los ciudadanos. Se introduce además el criterio de coste que no suponga una dificultad de acceso para la selección de estos estándares y se provee una definición de uso generalizado por los ciudadanos.

En cuanto a la interoperabilidad semántica ésta se centra fundamentalmente en la creación y publicación, en su momento, a través del Centro de Interoperabilidad Semántica de la Administración de unos modelos de datos de intercambio que serán de preferente aplicación para el intercambio de información entre las Administraciones públicas.

La parte organizativa se centra, por una parte, en la obligación de las administraciones de la especificación y publicación de los requisitos técnicos de los servicios, datos y documentos electrónicos puestos a disposición de otras administraciones y, por otra parte, prevé la creación de inventarios de información administrativa a través de los cuales las administraciones han de publicar sus procedimiento administrativos y servicios.

En los siguientes dos capítulos se abordan con relativa brevedad cuestiones como la conectividad a la Red Sara y el uso de servicios horizontales prestados por la Administración General del Estado (como lo puede ser @Firma) como medio para facilitar la interoperabilidad. Además se establece que la sincronización de la fecha y la hora se realizarán con el Real Instituto y Observatorio de la Armada.

A continuación se aborda la reutilización y transferencia de tecnología que promueve la libre disposición de las aplicaciones desarrolladas por una Administración a las demás y las condiciones necesarias para ello inspirándose para su articulación claramente en el modelo de licencia del software libre. Por otra parte, se  establece el compromiso de la Administración General del Estado de mantener a través del CTT un directorio de aplicaciones libremente reutilizables y se describen mecanismos de integración con directorios europeos similares que deben seguir los directorios propios de cada Administración.

El capítulo siguiente trata de la interoperabilidad de la firma electrónica y los certificados. La interoperabilidad se articula en torno a la política de firma electrónica y de certificados que se desarrollará como parte del futuro desarrollo del propio previsto en la disposición adicional primera y que las aplicaciones de las Administraciones públicas deberán respetar.

Esta política tratará, entre otras cuestiones recogidas en su definición en el anexo I, las relacionadas con la interoperabilidad: formatos de firma, los algoritmos a utilizar y longitudes mínimas de las claves, las reglas de creación y validación de la firma electrónica, la gestión de las políticas de firma, el uso de las referencias temporales y de sellos de tiempo, así como la normalización de la representación de la firma electrónica en pantalla y en papel para el ciudadano y en las relaciones entre Administraciones públicas.

Por otra parte se tratan los aspectos de interoperabilidad relativos a los prestadores de servicios de certificación en su vertiente organizativa, semántica y técnica. Se abordan cuestiones como la obligación de publicar en su Declaración de Prácticas de Certificación cuestiones como los usos de sus certificados y sus posibles límites, los niveles de acuerdo de servicio, la indicación expresa de aquellos campos de los certificados que por su unicidad puedan ser usados para la identificación o la obligatoriedad de la incorporación, dentro de los certificados, de información relativa a las direcciones de Internet donde se ofrecen servicios de validación por parte de los prestadores de servicios de certificación.

Por último se tratan las obligaciones de las plataformas de validación de certificados electrónicos y de firma electrónica como lo es, por ejemplo, la incorporación de listas de confianza de los certificados interoperables entre las distintas Administraciones públicas nacionales y europeas.

El capítulo siguiente trata otro tema clave como lo es la recuperación y conservación del documento electrónico. En primer lugar, se establecen las condiciones para la recuperación y conservación del documento electrónico que prevén, entre otras, cosas como la definición de una política de gestión de documentos por parte de las Administraciones públicas, la identificación única e inequívoca de cada documento o la clasificación de acuerdo con un plan de clasificación.

A continuación se establecen medidas de seguridad para asegurar la conservación de los documentos electrónicos, se reitera la obligación de la adecuada protección de los datos personales y se prevé el uso de formatos de firma longeva y otros mecanismos como metadatos de gestión de documentos que permitan la conservación a largo plazo de los documentos electrónicos.

Por otra parte, se aborda la cuestión del formato de los documentos electrónicos.  Se prevén cosas como el uso preferentemente de formatos basados en estándares abiertos y la elección de formatos de documento electrónico normalizados y perdurables que aseguren la independencia de los datos de sus soportes. Incluso se prevé la posibilidad de copiado autentico de los documentos ante un posible riesgo de obsolescencia del formato.

Por último se trata la digitalización de documentos en soporte papel indicando que ésta se deberá ajustar a la norma técnica de interoperabilidad correspondiente a los aspectos del formato estándar utilizado, el nivel de resolución, la garantía de imagen fiel e íntegra y los metadatos asociados al proceso de digitalización.

El capítulo siguiente, el Capítulo XI, establece básicamente la obligación de la conformidad de las sedes electrónicas y el ciclo de vida de los sistemas y servicios con el ENI, junto con la obligación para los órganos y entidades de derecho público de establecer los oportunos mecanismos de control y publicar su declaración de conformidad con el ENI. El último capítulo del ENI es el más corto y más simple ya que se compone únicamente de un único artículo que establece la obligación de mantener el ENI actualizado de manera permanente.

El ENI concluye con una serie de disposiciones y un anexo con un glosario de términos muy útil y completo. Entre las disposiciones se puede destacar especialmente la disposición adicional primera que se refiere al desarrollo del Esquema Nacional de Interoperabilidad. Este desarrollo se concretará en una serie de normas técnicas de interoperabilidad e instrumentos de interoperabilidad.

Las normas técnicas se referirán a cuestiones como un catálogo de estándares que satisfagan las previsiones del ENI, metadatos relativos al documento electrónico, estructura y formato del expediente electrónico, la antes mencionada política de firma electrónica y de certificados de la Administración, relación de modelos de datos comunes en la Administración o una política de gestión de documentos electrónicos.

En cuanto a los instrumentos de interoperabilidad estos se compondrán de un inventario de procedimientos administrativos y servicios prestados, el centro de interoperabilidad semántica de la Administración y el directorio de aplicaciones para su libre reutilización.

Entre las disposiciones restantes se pueden destacar especialmente las relativas a los plazos de adecuación de los sistemas (ésta ya comentada anteriormente), la relativa al plazo de adaptación de los medios actualmente admitidos de identificación y firma electrónica (24 meses), aquellas que se refieren al papel impulsor en materia de interoperabilidad que deben ejercer el CENATIC y el INTECO en sus respectivas áreas de responsabilidad.

Este viernes pasado se han publicado por fin el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad, previstos en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Aprovechando el resumen que estoy haciendo de cada unos de ellos para incluirlos en la primera edición de mi manual que, por  cierto, tengo a puntito, puntito, aprovecho aquí las virtudes del “copiar y pegar” para adelantar a aquellos interesados en el tema que no tienen ni el tiempo ni la paciencia de leerselo entero una suerte de sinopsis que espero sirva para tener, al menos, una primera idea aproximada de sus contenidos.

Empezamos hoy con el Esquema Nacional de Seguridad y trataremos el Esquema Nacional de Interoperabilidad en un próximo artículo.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Tal como se comenta en la exposición de motivos de esta norma, cuenta con una serie de precedentes que han inspirado su contenido, documentos de la Administración en materia de seguridad electrónica, tales como los Criterios SNC, las Guías CCN-STIC del Centro Criptológico Nacional, la Metodología de análisis y gestión de riesgos MAGERIT o el Esquema Nacional de Interoperabilidad.

Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y  la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

El ENS empieza por definir sus principios básicos que son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. Cabe destacar aquí además que el ENS incluye en las dimensiones de seguridad a tener en cuenta a la trazabilidad de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias, un aspecto de seguridad al que la Ley 11/2007 no aludía de una manera explícita.

En el siguiente capítulo se tratan los requisitos mínimos, se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, esta política de seguridad debe incluir un número importante de requisitos mínimos. Dada la importancia de este punto se enumera a continuación la lista completa de los mismos del artículo 11, junto con algunos de los detalles que se especifican en los artículos siguientes:

• Organización e implantación del proceso de seguridad, que deberá comprometer a todos los miembros de la organización.
• Análisis y gestión de los riesgos.
• Gestión de personal, donde destaca el hecho que todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos en la que se valorarán positivamente los productos certificados.
• Seguridad por defecto, es decir, los sistemas deben diseñarse y configurarse de forma que garanticen, al menos, unos mínimos de seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito donde se presta especial atención a los así considerados entornos inseguros que son los equipos portátiles, PDAs, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
• Prevención ante otros sistemas de información interconectados, se ha de proteger el perímetro, en particular, si se conecta a redes públicas como Internet.
• Registro de actividad. Este requisito está orientado sobre todo a garantizar la protección de los derechos relacionados con la protección de datos personales.
• Incidentes de seguridad.
• Continuidad de la actividad, que se logra fundamentalmente mediante unas políticas adecuadas de copias de seguridad y de respaldo.
• Mejora continua del proceso de seguridad.

En los artículos siguientes se recomienda el uso de las infraestructuras y servicios comunes como lo son la Red Sara y sus servicios horizontales como manera de mejorar la seguridad de los sistemas propios. Por otra parte, se establece al Centro Criptológico Nacional (CNN) como responsable de la elaboración y difusión de guías[1] en materia de seguridad en el ámbito de las TIC y se definen las condiciones bajo las cuales las Administraciones públicas podrán declarar determinados sistemas como excluidos de la aplicación de este Real Decreto.

En los restantes artículos (artículos 31 a 44) se abordan cuestiones muy concretas, cuestiones como las condiciones técnicas de seguridad en las comunicaciones electrónicas, requerimientos de seguridad en las notificaciones, publicaciones electrónicas y firma electrónica, detalles relativos a la realización de auditorias de seguridad o los informes del estado de seguridad y se explicita que los registros electrónicos y las sedes electrónicos se encuentran sujetas a las previsiones de este Real Decreto.

Hay que destacar especialmente por una parte la respuesta ante incidentes de seguridad en la cual se establece el CNN-CERT como equipo técnico de apoyo y coordinación a las Administraciones públicas en los incidentes que pudieran sufrir y se establecen las guías CNN-STIC como documentación de referencia en la materia.

Por otra parte, ocupa un lugar especial el concepto de la categoría de un sistema de información en materia de seguridad, que según el artículo 43, “modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad.”

Para la determinación de la categoría se especifica en el Anexo I un procedimiento detallado para la valoración del impacto que tendría un incidente de seguridad en las diferentes dimensiones de seguridad, un procedimiento que no puede negar sus orígenes inspirados en la metodología MAGERIT.

El Real Decreto concluye una serie de disposiciones y anexos como el mencionado. Las disposiciones abordan asuntos como la creación del Comité de Seguridad de la Información de las Administraciones Públicas o el establecimiento de un plazo inmediato de adecuación de los sistemas nuevos al ENS y la adecuación de los existentes en un plazo inicial de 12 meses que, solo si las circunstancias lo justifican, puede llegar al máximo de 48 meses.

Los 5 anexos son de carácter fundamentalmente técnico. El primero especifica el procedimiento de determinación de la categoría de un sistema arriba mencionado, el segundo y tercero especifican respectivamente un procedimiento apoyado en el anterior para la determinación medidas de seguridad a aplicar y las directrices bajo las cuales han de ejecutarse las auditorias de seguridad. En los dos anexos restantes se aporta un glosario de términos y acrónimos utilizados en el ENS, junto con un modelo de cláusula administrativa particular que debe servir como plantilla en los contratos a través de la cual se le exige al licitador una especificación precisa de la certificación de sus productos en el ámbito de la seguridad, en su defecto, la justificación debida de su idoneidad para la contratación.

Hace unas semanas, durante un curso de Administración electrónica, tuve una vez más la oportunidad de comprobar las dificultades que se experimentan en el uso del DNI electrónico como herramienta de autenticación y firma electrónica.

Mantuvimos un animado debate sobre cuales podían ser las posibles causas y, aunque ya se ha escrito mucho sobre el tema de las barreras que dificultan el acceso a la sociedad de la información y a la Administración electrónica en particular, creo que merece la pena reproducir aquí alguna de las conclusiones, aderezadas junto con algunas propuestas para mejorar la mala situación en la que hoy por hoy desafortunadamente sigue el DNIe como medio universal de autenticación y firma electrónica, a pesar del ser un paso importantísimo en la dirección correcta y un medio ideal para el uso de certificados electrónicos y la firma electrónica.

Según los datos del Ministerio del Interior, en España se han expedido cerca de 14 millones de DNIs electrónicos hasta la fecha, lo que posiciona a nuestro país como líder mundial en este terreno. Sin embargo, según la última Encuesta sobre Equipamiento y Uso de las TIC en los Hogares, de las personas de 16 a 74 años que disponen de un DNIe sólo el 3,4% lo ha usado en sus relaciones con las administraciones públicas, mientras que un 14,2% ha utilizado otros certificados de firma electrónica.

Por las impresiones que he podido sacar en diversas ocasiones (y por sentido común, vaya) la causa más importante de esto es que la mayoría de los ciudadanos aún desconocen las ventajas que el DNIe les ofrece para simplificar y agilizar sus tareas con la Administración y una oferta limitada de servicios electrónicos en el sector privado que lo soporten. Iniciativas como la Red 060 como punto de acceso general a los servicios electrónicos de la Administración Pública parece que aún son grandes desconocidos para el ciudadano medio.

Se ha corrido la voz de cosas concretas como, por ejemplo, la declaración de la Renta por Internet, las cifras de más de 15 millones de solicitudes para el ejercicio 2008 lo avalan, si bien es cierto que este éxito se explica en parte por la delegación de la declaración en gestorías profesionales. Pero en definitiva sigue habiendo poca cultura y concienciación sobre los servicios electrónicos existentes en su conjunto.

Las principales causas son en mi opinión una falta de difusión masiva y formación habida hasta el momento, con ejemplos concretos a través de los ciudadanos entiendan fácilmente las ventajas obtenidas. Por otra parte es cierto que hasta hace poco no ha habido una masa crítica de DNIs expedidos que justificaran campañas masivas a través de medios “caros” como la televisión o los periódicos.

En esto ha estado trabajando y esperemos que el reciente plan de actuación que cuenta con anuncios a página completa en periódicos de gran tirada, la distribución gratuita de cerca de 800.000 lectores de DNIe o el reportaje en TVE que hace unos meses logró una auténtica avalancha de visitas a la Web Usa Tu DNI cambien esta situación.

Junto con material audiovisual para la guía y formación de los ciudadanos disponible en la Web, tanto en la www.dnielectronico.es como en www.usatudni.es, creo que en definitiva este aspecto se está empezando a abordar razonablemente bien.

El resto de los problemas a abordar gira en mi opinión en torno a un sencillo principio: una vez que se conoce lo que es en realidad el DNIe y las ventajas que aporta, su uso tiene que ser absolutamente simple e inmediato, sin condicionantes previos como la adquisición de un lector o la instalación de un programa. Que haya estos condicionantes no solamente da pereza al ciudadano medio, sino que además le supone barreras nada fáciles de superar, barreras que ante la más mínima dificultad o desorientación que se encuentre en el camino le invitan a retirarse del intento, lo cual, a juzgar por la situación, debe ocurrir con frecuencia.

Una de las conclusiones que sacamos en el debate mencionado fue que campañas como la mencionada están bien (los lectores se agotaron en días) y ayudan a mejorar la situación, pero no van al fondo del problema porque no se trata de ayudar a superar las barreras, se trata de que no existan barreras.

Para ello es imprescindible que se consiga una amplia disponibilidad de lectores incorporados en los ordenadores vendidos en España, ya sea incorporados en el mismo teclado u otra ubicación fácilmente accesible. Y también es necesario que haya una oferta razonablemente amplia, al menos en los principales fabricantes, de accesorios de amplio uso que también soporten tarjetas inteligentes como, por ejemplo, las combinaciones teclado-ratón, incluidos los inalámbricos.

En la misma línea no se puede cargar al usuario con la instalación de un programa para empezar a utilizar su DNIe. Otra excusa perfecta para no utilizarlo. Creo que de lo contrario seria muy deseable que tanto este software como certificados se encuentren instalados desde un principio con el propio sistema operativo, y que se tomen medidas para que en las diferentes versiones de sistemas operativas instalados se incorporen automáticamente como un “parche” más a través de los mecanismos de actualización del mismo.

Mucho me temo que si no se cumplen estas condiciones en un futuro breve los avances en las tasas de uso del DNIe van a seguir siendo decepcionantes durante un periodo de tiempo largo, a pesar de las campañas realizadas, y el dato de líder mundial se convertirá así en una cifra hueca que quedará para la galería. Conseguirlo probablemente no sea fácil, en un blog se proponen fácilmente este tipo de medidas, pero luego hay que conseguir que los fabricantes las adopten. Pero por otra parte tampoco estoy seguro si desde el Gobierno y Administración se habrán agotado todas las iniciativas y posibilidades de negociación con los fabricantes en este sentido.

Quizás sería posible pensar en iniciativas como negociar con los principales fabricantes el soporte directo del DNIe desde su sistema operativo y canalizar futuros presupuestos destinados a los lectores regalados y su distribución hacia compromisos de ayudas a los ciudadanos para la adquisición de dispositivos preparados para el DNIe. Este mismo argumento podría convencer a los fabricantes para que los fomenten en su oferta de productos.

Esto es lo que pediría a los Reyes Magos. Si se cumpliesen estas condiciones el uso del DNIe se convertiría en algo natural e inmediato, introducir el DNIe en el hueco cuando se pida y teclear el PIN, nada más, sin requisitos previos que espanten al usuario final. Por fin ya no quedarían excusas para no usarlo.

Y ahora toca una pequeña bulla al sector privado, al cual deseo que los Reyes Magos traigan este año abundantes cantidades de carbón en lo relativo al DNIe. Hay que reconocer que poco a poco el uso del DNIe va siendo soportado por las empresas del sector, pero dicho esto, se siguen viendo ejemplos de hacer las cosas realmente mal y que generan así una imagen negativa y contraproducente del DNIe.

Veamos algunos ejemplos: En Caja Madrid se sigue después de más de un año con la política de pedir la contraseña de usuario en la autenticación con DNIe, de modo que antes el usuarios introducía su número de DNI y contraseña, y ahora, en la modalidad de DNIe, resulta que debe introducir el DNIe, el PIN de protección del certificado, y además también la contraseña que ya se introducía anteriormente. Buenos argumentos para pasar del DNIe…

Este caso de Caja Madrid no es ni mucho menos aislado. Existen muchos otros, uno de ellos y del mismo sector es Bankinter, que por razones de seguridad insiste en un proceso de introducción del usuario y contraseña convencional para asociarlos al DNIe, a partir de ahí ya no se usan. Es decir, ¿usar el DNIe sin más es inseguro?  Si no lo supiera mejor, éste desde luego sería el mensaje que me llevaría de esta experiencia. Añadir, por cierto, que después de diferentes intentos, tanto desde Internet Explorer como Firefox no conseguí terminar con el proceso de asociación, ya que en los diferentes pasos a ejecutar llega uno en el que simplemente la aplicación se cuelga y ya no salta a la siguiente pantalla. Así que ahí sigo, con mi viejo usuario y contraseña…

Parece realmente irónico que un sector que ha sido tan avanzado e innovador en los servicios electrónicos como la banca electrónica se encuentre en este estado a estas alturas. En fin, recomendaría a estas empresas y las no mencionadas practicar un poco de Administración electrónica y tomar nota, en los servicios electrónicos ofrecidos en el sector público, que ya van siendo muchos, ya que desde luego aquí no he visto estos grados de incoherencias y mal funcionamiento.

Después de estos ejemplos decepcionantes un ejemplo positivo: Vodafone, su oficina virtual dispone de la posibilidad de funcionar con el DNIe. Aquí he podido acceder sin más requisitos que el propio DNIe y sin fallos. Esto ya es otra cosa.

La conclusión principal que queda después de este pequeño análisis de situación es que hay que rematar la faena iniciada. No rematarla seria deslegitimar todo el esfuerzo e inversión económica realizada hasta la fecha en este asunto. Nos encontramos en una situación magnifica de implantación del DNIe que ofrece un enorme potencial de avance en cuestiones de sociedad de la información, Administración electrónica y con ello de mejora de productividad en la economía. Es la oportunidad de acabar de una vez por todas con el lastre de las malas cifras en cuestiones de sociedad de la información, así que aprovechémosla.

Después de unos cuantos meses desde la publicación de la primera edición en borrador  del Manual Práctico de Supervivencia en la Administración Electrónic@, he subido una nueva revisión a este sitio.

Aunque en su momento califiqué la primera versión publicada como “casi definitiva” al final la cosa no ha sido así, sino que, aún tratándose de una edición borrador, cuenta con una gran cantidad de cambios.

Los principales cambios son una nueva estructuración en 4 grandes bloques temáticos y un cambio en el orden de los capítulos con el fin de lograr un orden más lógico para asimilar los conceptos tratados y adaptarse mejor a los diferentes perfiles de lectores, contenidos nuevos como el repaso, obligado a estas alturas, del software libre y de fuentes abiertas en la Administración Pública, o un resumen de los contenidos de las principales normales legales en torno a la Administración electrónica.

También se ha ampliado la parte de servicios horizontales de la Red SARA y se han cambiado muchos pequeños detalles como nuevos ejemplos de aplicaciones de Administración electrónica o un repaso de los gráficos para sustituir algunos que se encontraban en inglés por gráficos en castellano.

El motivo por el cual me he inclinado a ampliar la edición ha sido fundamentalmente la buena acogida y difusión del manual gracias a su tan favorable mención en blogs como eFuncionario de Felix Serrano, Administraciones en Red de Iñaki Ortiz y Alberto Ortiz de Zárate, o i-public@ de Oscar Cortés.

Muchas gracias desde aquí a ellos, que han sido los primeros en divulgar la existencia del manual, y a los que vinieron a continuación, como lo han sido Carlos Guardían en K-Government, la Junta de Castilla y León que lo ha re-publicado en su Web de Municipios Digitales y otras Administraciones Públicas que han decido usarlo en sus cursos de formación. Estas cosas son muy gratificantes y motivan para continuar trabajando en este documento.

Me hizo especial gracia el cierto grado de ironía que supone el hecho de haber sido además un ejemplo real, aunque involuntario, de aplicación de mecanismos de marketing viral a la Administración electrónica, algo de lo que el manual hablaba precisamente en su parte de perspectivas futuras y cosas a fomentar en la Administración Pública. Todo empezó con un simple post en el grupo de mi promoción de compañeros funcionarios para ponerlo a su disposición; a partir de ahí, a través de alguien la cosa llegó a Felix Serrano y a luego la red hizo el resto. Así que no deja de ser una simpática ironía que yo mismo me viera sorprendido por el alcance estos fenómenos de la red.

Dicho ésto, me gustaría animar desde aquí a las críticas constructivas que se consideren oportunas, de contenidos, exposición de los contenidos, peso específico de los contenidos, omisiones, etc. Lo que se tercie, aunque sean duras serán muy bien recibidas, siempre que sean constructivas. Y es que ya sabéis: el mejor trabajo es, sin duda, el realizado en equipo, y sin una realimentación de otras personas es muy difícil darse cuenta de muchas cosas.

La versión definitiva del manual pienso publicarla como muy tarde para enero del año 2010, justo a tiempo para la plena entrada en vigor de la Ley 11/2007 …

Contendrá un conjunto de mejoras como un índice alfabético bastante más extenso, ampliaciones en la parte legal como la inclusión de un pequeño resumen del Reglamento de desarrollo de la Ley 11/2007 y una considerable amplicación de referencias en el anexo; faltan aún muchos sitios y documentos interesantes que incluiré.

Mientras tanto espero que los nuevos contenidos ampliados, aunque aún un poco verdes, ya sean de utilidad. Espero también que hasta la publicación de la edición definitiva se me perdonen los gazapos en la redacción y cuestiones similares que aún no he podido revisar a fondo.

En la Administración electrónica es cada vez más frecuente el uso de documentos PDF firmados electrónicamente. Un ejemplo reciente es la Orden EHA/2784/2009, de 8 de octubre, por la que se regula la interposición telemática de las reclamaciones económico-administrativas, dónde se establece como formato obligatorio para los acuses de recibo devueltos al ciudadano.

Adobe Acrobat Reader incorpora un soporte completo a la firma electrónica, pero desafortunadamente la enorme mayoría de los usuarios desconocen cómo configurar esta aplicación para que valide las firmas electrónicas de aquellos documentos que las incluyen, algo que es realmente una pena porque bien configurado el Reader no solamente comprueba que la firma está basada un certificado entre los habitualmente reconocidos sino que es incluso capaz de consultar vía OCSP en el acto si el certificado usado en la firma sigue vigente en el momento que se abre el documento.

Como las cosas hay que procurar no reinventarlas, no explicaré aquí como se configura correctamente, sino que me limitaré a recomendar la guía que publicada el BOE para la configuración de la validación de sus boletines. Se explica en detalle cómo configurar Adobe Acrobat para que sea capaz de validar la firma, el sello de tiempo si el documento lo incluye, y habilitar la consulta vía OSCP del estado de revocación del certificado.

Lógicamente se ciñe al caso del BOE que desde 1 de enero de este año publica sus boletines en el formato PDF/A (ISO 19005) y con firma electrónica, pero se extrapola fácilmente a firmas realizadas en base a certificados emitidos por otras autoridades de certificación que no sean la FNMT.

En cierto modo casi recomiendo esta guía casi más por el valor didáctico que tiene configurar una validación completa de una firma electrónica con consulta OCSP incluida como ésta para documentos PDF que la necesidad práctica que tiene un particular de validar los documentos de una fuente con el grado de fiabilidad del BOE u otros organismos públicos. Además de alguna manera a quien no lo haya visto antes seguramente le producirá un cierto grado de fascinación ver cómo se valida en tiempo real la firma contra el proveedor del certificado electrónico de la misma (se puede ver cuando el Reader al dar por buena la firma incluye la fecha y hora de la respuesta OSCP en su panel de firma electrónica).

La guía tiene 24 páginas, pero con un poco de paciencia se siguen rápidamente sus instrucciones en unos 20-30 minutos y el resultado merece sin duda la pena.

Resulta sorprendente que en una tarea tan básica que todos realizamos a diario como lo es navegar por Internet se encuentren hoy por hoy tan pocas personas que tengan bien organizados sus sitios favoritos.

Seguramente una de las razones más importantes sea lo que me ocurría a mi mismo hasta hace un tiempo: es un lío organizarlos cuando usas varios ordenadores a la vez, en el trabajo, en casa, el portátil de tus suegros…

Al final uno acaba con diferentes versiones de sus favoritos (o marcadores, o bookmarks según guste llamarlos el navegador en cuestión) en diferentes sitios e imposibles de unificar, lo cual lleva inevitablemente a una frustración en el propósito de organizarse que hace que tarde o temprano uno abandone el intento por completo.

Hace un tiempo descubrí el complemento gratuito foxmarks de Firefox que es de esos pequeños inventos que marcan realmente una diferencia y no son solamente un enredo más, sino que tienen realmente un impacto en tu día a día. Hace relativamente poco dejó de ser un complemento exclusivo para Firefox, y ahora mismo ya se ofrecen versiones para IExplorer, Safari y Chrome. En consecuencia cambió su nombre y ahora se denomina ‘xmarks‘.

Este complemento va ligado a un servicio que permite crear una cuenta personal bajo la cual se mantiene una copia de referencia de los favoritos personales. Cada vez que el usuario cambia algo en sus favoritos estos cambios se sincronizan a esta copia, de modo que si se realizan desde diferentes ordenadores con el complemento instalado cada vez que se hace un cambio éste se sincronizará hacia los demás la próxima vez que el usuario trabaje con ellos. Todo el proceso se realiza de manera transparente y por tanto muy cómoda para el usuario, no percibe nada especial, es como si editara los favoritos en local como toda la vida.

El resultado en definitiva es que se logra mantener sin esfuerzo alguno una única copia de los favoritos personales en todos los ordenadores en los que se haya instalado xmarks.

Por otra parte el complemento no solamente soluciona el problema de la sincronización, sino que permite además mantener una copia de seguridad, con puntos de restauración. Es decir, si se han hecho por error cambios que no se desean, el complemento permite ir hacia atrás en el historial de cambios hasta el punto que se desea restaurar. Otro caso es la instalación o re-instalación del ordenador personal, ya no es necesario hacer una copia de los favoritos, y ya no pasa nada si se ha olvidado de hacerla y no se da cuenta hasta después de formatear su PC…

Mi experiencia personal ha sido que desde que uso xmarks no solo tengo una colección decente de favoritos, sino que por fin evoluciona, ya que sabiendo que los voy a conservar siempre y en cualquier sitio, ahora merece la pena dedicarles un poco de tiempo.

Además puedo certificar que se trata de un complemento muy fiable, hasta la fecha no he tenido ni una sola incidencia. En definitiva: una experiencia plenamenta satisfactoria en todos los sentidos.

Hoy quiero aprovechar la ocasión para aclarar dudas que he visto que se repiten en personas que contactaron conmigo para preguntarme sobre el uso que pueden dar al manual, ya que parece ser que, en particular, el apartado de la licencia Creative Commons sobre el reconocimiento da lugar a confusión.

Utilicé la licencia de Creative Commons precisamente para no poner barreras a la divulgación del manual y uso por organizaciones interesadas en él en todo tipo de actividades, pero ya son varias personas las que me han pedido mi autorización para su uso (como en este comentario) en cursos de formación. Aunque efectivamente es una actividad normalmente remunerada, era uno de los usos principales para los cuales precisamente quería dejar total libertad.

El límite está para mí en un uso que descaradamente mencioné lucrativo. Por ejemplo: que alguien lo imprima y/o venda (tanto el original como una obra derivada) aprovechando que dispone de una potente red comercial.

Un uso en un curso no lo entiendo como comercial en términos de las restricciones de la licencia, ya que en este caso se cobra fundamentalmente por impartir las clases, y no hay ningún lucro descarado basado exclusivamente en el uso del manual, sino que se realiza una actividad en la que se el aporta valor principalmente con la propia actividad, usando el manual simplemente como un apoyo, como un elemento más entre diferentes fuentes de material para los alumnos.

Lo que sí se pide en el marco de la licencia es la mención al original en el caso de las posibles obras derivadas (que se autorizan expresamente antes en la propia licencia). Personalmente me vale con que se mencione simplemente cuál es el original y que la obra derivada en cuestión está basada en él.

Con ésto espero que haya podido eliminar las dudas o, al menos, que haya podido aclarar la mayoría de ellas. Así que a disfrutarlo y, por cierto, espero publicar en breve una nueva edición considerablemente revisada, en base a la enorme cantidad de feedback recibido a través de la blogosfera. Aún estoy sorprendido de ello

En la Administración electrónica, la seguridad es uno de los elementos más importantes, para ello hace uso de diferentes tecnologías como la firma digital (o electrónica, en el manual práctico sobre administración electrónica se explica la diferencia), certificados electrónicos y criptografía.

La firma electrónica se realiza generalmente desde el navegador o desde aplicaciones concretas como, por ejemplo,  Adobe Acrobat para documentos PDF. Pero a veces se quiere poder firmar de una manera agnóstica a la aplicación Web o formato de documento en cuestión, para ello hay diferentes herramientas. Me gustaría destacar la herramienta IntecoFIRMA, ya que es gratuita, en castellano y capaz de generar firmas digitales con formato XAdES. En cualquier caso el Inteco por si solo ya merece una visita a su Web por la multitud de actividades e información interesante que ofrece a los usuarios en las TIC en general y temas específicos como seguridad y calidad del software.

Por otra parte, para la seguridad personal y/o profesional es muy interesante poder proteger información como determinados documentos, claves de acceso, etc. En este último caso desafortunadamente además aún se ve con cierta frecuencia la mala costumbre de guardarlas en post-it pegados en la pantalla…

Existen herramientas muy sencillas de usar y cómodas para hacer las cosas bien, por ejemplo AxCrypt, que cifra sobre la marcha cualquier fichero mediante el algoritmo AES que representa el estado del arte actual para este cometido. Destaca además porque aparte de ser open source y gratuita, se integra a la perfección con el explorador de Windows conviertiéndose simplemente en una opción más que aparece al hacer “click” con el botón derecho sobre cualquier fichero.

Una herramienta parecida es KeePass, pero en este caso se trata de una herramienta especializada en la protección de claves de acceso e información similar. La página original de esta aplicación se encuentra en inglés, pero el Observatorio Tecnológico del Ministerio de Educación ofrece aquí una guía fantástica en castellano sobre el uso y la instalación de la aplicación.

La última aplicación que quiero presentar en este artículo es TrueCrypt, muy aclamada por los expertos por su potencia y calidad, de todas formas aquí me limitaré por cuestión de espacio a destacar simplemente que se trata de una aplicación para la creación de unidades virtuales cifradas. Aparte de la capacidad de crear unidades virtuales como si fueran discos físicos con la consiguiente comodidad y flexibilidad que esto implica destacan especialmente las funcionalidades orientadas a impedir que el usuario pueda ser extorsionado, pero ese tema ya os lo dejo para que lo investiguéis en su web…

Finalmente es obligada la referencia a los recursos sonre criptografía del Centro Nacional de Inteligencia. Como nos recomienda Isabel en su comentario si se quiere saber más de criptografía y seguridad TIC en la Administración Pública, es conveniente visitar la página web del Centro Criptológico Nacional y la del CCN-CERT. En las que se pueden encontrar, sobre todo en la última, numerosas herramientas y guías sobre la seguridad de los sistemas de informacion y manuales de configuración. Gracias desde aquí a Isabel por esta sugerencia.