Español | English
rss facebook linkedin Twitter

Retos para la Administración Pública de la Ley 11/2007

Con la publicación de la Ley 11/2007, nuestro país ha dado un paso de gigante hacia la Administración electrónica (lo que se ha venido denominando e-Administración) al reconocernos a los ciudadanos nuestro derecho a relacionarnos con las Administraciones Públicas a través de los medios electrónicos. Evidentemente, esto que, para los ciudadanos es una ventaja, para la propia Administración es un gran reto desde una perspecitva operativa pero también en lo relativo a la seguridad.

De todas formas, esta situación no es nueva, el sector financiero español se enfrentó al mismo tipo de problema al principio de la década. Las entidades financieras tuvieron que exportar su modelo de negocio hacia Internet para lograr que los usuarios pudiesen realizar el mismo tipo de operaciones en la vida digital que ya hacían cotidianamente en el mundo físico. En mayor o menor medida, esos retos, dentro del sector financiero, están ya resueltos. Para lograrlo, fue necesario tomar medidas correctivas, puesto que no se planificó el despliegue de esos servicios desde un punto de seguridad, sino desde el punto de vista de negocio, cosa completamente legítima, pero que demostró que planteaba problemas.

La experiencia durante estos años nos ha enseñado que uno de los problemas principales es poder demostrar que el usuario ha realizado una determinada operación a nivel informático. Lo que comúnmente conocemos por trazabilidad. Un usuario realizará los trámites que la e-Administración le brinde y tendremos que, además de prestarle el servicio adecuadamente, verificar que ese trámite se hizo en forma y tiempo. No solo para una correcta tramitación, sino para poder demostrar, en caso de que sea necesario, de una manera conforme al principio de legalidad establecido en el artículo 4 de la Ley, en cuanto al mantenimiento de la integridad de las garantías jurídicas de los ciudadanos ante las AA.PP. establecidas en la Ley 30/1992.

El reto es poder demostrar que el usuario ha entrado en nuestas aplicaciones, que ha hecho el trámite necesario, que fue él quién realmente lo hizo, y que él mismo ha firmado documentos, en fin, asegurar el timeline (trazarlo).

Una mala planificación de la entrada en vigor de los servicios prestados nos lleva a tener que realizar inversiones adicionales, a demoras en el tiempo de despliegue y a una enorme dificultad en el tratamiento de los datos. Pero si somos capaces de encontrar una vía de desarrollo adecuado, podremos incurrir en menor gasto y ahorrarnos gran parte de los dolores de cabeza que aquí planteamos.

Nuestra sugerencia, sobre la base de las lecciones aprendidas, pasaría por un ciclo de vida completo de los logs necesarios para dicha trazabilidad, desde la definición inicial, pasando por una herramienta capaz de gestionar la información de los logs hasta una auditoría que verifique que se cumplen las condiciones necesarias para evitar el no repudio.

La definición inicial debe permitirnos marcar cuáles son los requisitos que establecemos para dicho sistema de gestión de logs, qué tipo de información deben generar las aplicaciones que se creen para posibilitar los trámites electrónicos y poder así planificar adecuadamente todas las acciones necesarias para llevar a cabo la implantación de dicho sistema. Por otra parte, los criterios definidos en esta primera fase deberían ser la base para la realización de las auditorías de verificación una vez implementado el sistema.

Para el último punto, es necesaria una aplicación que controle los logs de las aplicaciones, que los centralice, con propósito de restaurar de alguna manera la actividad y que nos permita, no solo reconstruir la sesión, sino asegurar que se produjo. Tenemos que tener en cuenta que algunos de los datos que encontraremos están sujetos a LOPD u otros controles. Así mismo, es necesario la firma y sellado de tiempo, si procede, de esos logs. En algunos casos será incluso necesario cifrarlos. Y por supuesto, tendremos que ser capaces de buscar entre todos los datos almacenados, para poder demostrar al ciudadano, u a otra instancia superior, que esa relación entre el ciudadano y la Administración Pública se ha producido.

Sabemos que es un proceso largo y que las aplicaciones no serán todas iguales pero mejor abordar las cuestiones de seguridad incluidas en la Ley antes del despliegue de los servicios online a los ciudadanos.

Antonio Ramos, Director S21sec Galicia
Fernando Carrazón, Consultor tecnológico preventa

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login