archivo

Archivo de la etiqueta: Firma electrónica

¿Cuánto dinero ha costado que prácticamente cada Administración Estatal, Autonómica, Provincial o Municipal tenga una solución de Oficina Virtual y servicios de autenticación y firma electrónica?.

¿Tiene sentido ese gasto?, ¿qué beneficios proporciona esa fragmentación?.

Ese gasto (muchos millones de euros) está muy lejos de ser justificados con los más que mediocres resultados que se están obteniendo con la Administración electrónica.

Y lo peor es que no se trata de un gasto realizado de una sola vez, después hay que mantener toda esa infraestructura, por lo que se están “pagando intereses” por ese motivo.

Esa fragmentación es además tecnológica, por lo que lo que funciona en mi relación administrativa con una determinada Administración no tiene por qué funcionar con otra (aunque esté en el otro lado de la calle).

Esta fragmentación es el resultado de esa velocidad desbocada que cogió la implantación de la Administración Electrónica donde sin la existencia de un plan, cada uno hizo la guerra por su cuenta.

¿La solución? No es fácil, teniendo en cuenta todo lo que hay ya implantado. Desde mi punto de vista se debería tender a servicios de Oficina Virtual y de autenticación y firma electrónica en nubes que engloben a conjuntos de órganos administrativos, por ejemplo, en el caso de una Comunidad Autónoma una sola Oficina Virtual y un solo servicio de autenticación y firma electrónica para todas sus Consejerías (yo incluso iría más allá e intentaría arbitrar las medidas oportunas para que todas sus Diputaciones y Municipios la utilizasen).

Hablo de nube, no de una solución técnica que sea común y después se implante en cada sitio (para mi eso no soluciona nada y el único ahorro que tiene es no desarrollar de cero ese producto, pero que después termina siendo una utopía porque después vienen las personalizaciones, actualizaciones, etc… que al cabo de un par de años da lugar a una infraestructura fragmentada).

¿Y la integración de esas Oficinas Virtuales con los backends que probablemente estén implantados en las infraestructuras de cada entidad administrativa? Respondo con otra pregunta, ¿acaso es eso un millonésima parte más caro o complejo que mantener las infraestructuras actuales?.

Que tenga que haber una conjunción planetaria para poder presentar un trámite (que lo mismo me he llevado decenas de minutos u horas rellenarlo) es uno de los mayores males para la expansión de la firma electrónica.

Si un ciudadano de a pie tiene que empezar a instalar otro navegador, bajar de versión el que ya tiene, instalar un fichero por aquí y otro por allá, que le pregunten por versiones de máquina virtual Java, etc… lo tenemos claro si realmente queremos que se utilicen los servicios de administración electrónica.

La complejidad tenemos que solucionársela al ciudadano y no que sea él quien resuelva lo que no se ha sabido hacer bien. Apple ha enseñado el camino en ese aspecto: hacer esfuerzos importantes de ingeniería para que el usuario disfrute de sus dispositivos y servicios y no para perder el tiempo en aprender a utilizarlos.

Es necesario que la solución de autenticación y firma electrónica elegida tenga una matriz de compatibilidad con los principales navegadores del mercado y con el mayor número de versiones de los mismos y lo más importante que el tiempo existente entre una nueva versión de esa solución que cubra una nueva versión de esos navegadores sea cuestión de horas o de días (como sucede con los principales antivirus cuando surge uno nuevo) y no solo eso, que esa nueva versión llegue al entorno de producción poco después y con el menor coste de instalación (o desatendido con autorización previa de instalación o no).

¿Por qué no termina de arrancar la administración electrónica? La respuesta es compleja y en los siguientes artículos voy a comentar algunos factores que, desde mi punto de vista, tienen gran influencia.

No obstante antes de entrar a analizar esos factores es importante poner sobre la mesa una realidad (al menos para mi) y no es otra de que las expectativas puestas en la administración electrónica eran demasiadas, se disparó la inversión y se empezaron a hacer leyes sin tener en cuenta el contexto real en el que nos encontramos.

Las Administraciones Públicas se lanzaron a montar oficinas virtuales, aplicaciones que en tenían en sí una oficina virtual embebida, a contratar sistemas de autenticación y firma electrónica y todo con poco orden y concierto. El fin evidentemente era positivo pero las acciones para llegar a ese fin no.

¿Por qué digo demasiadas expectativas? Pues porque se pensaba que a base de dinero se conseguiría una implantación eficaz de la misma y no ha sido así. Se han conseguido resultados, es evidente, pero ¿están acordes a la inversión realizada?.

No quiero que entendáis que estoy en contra de la Administración Electrónica, antes al contrario, soy un defensor a ultranza de la misma y lo que critico es cómo se han hecho las cosas, se ha ido a un ritmo de 1000 km/h cuando en realidad se hubiera requerido un ritmo inferior y que hubiera conseguido unos resultados como mínimo similares y con una inversión mucho menor.

¿Por qué algo que a todas luces es beneficioso e incrementa la productividad en las organizaciones y en las relaciones entre ellas y sus clientes (sean otras empresas o particulares) no termina de extenderse de manera generalizada?.

Los motivos pueden ser muchos. Yo no soy un profesional del mundo de la firma electrónica y los certificados digitales por lo que lo más probable que aquellos que se dedican directamente a esto tengan un criterio más acertado y sólido que el mío.

Un problema importante que nos solemos encontrar cuando queremos realizar la firma electrónica o la autenticación es la fragmentación tan importante que existe en el software que permite hacer estas funciones, algo que podemos notar sobre todo en su compatibilidad con los navegadores. Es decir, para una organización concreta hacer un trámite implica una conjunción planetaria para instalar una versión de navegador que te permita realizarlo (probablemente una versión obsoleta del que ya utilizas u otro navegador que juraste desterrar para siempre jamás de tu sistema operativo), después de haber conseguido esta magia, toca de nuevo hacer un sortilegio cuando vayamos a intentar hacer otro con otra organización.

Es evidente que tener una amplia matriz de compatibilidad con los navegadores es una ventaja competitiva para este tipo de software y que todas las empresas que se dedican a esto invierten en esto, sin embargo los clientes de las mismas, sobre todo si se trata de administraciones tardan en recibir e instalar las actualizaciones, entre otras cosas por la fragmentación que existe en las mismas en relación a los servidores locales que tienen instalados.

Otra ventaja competitiva de las empresas de este sector podría ser minimizar el tiempo que existe entre la liberación de una nueva versión del software y su instalación en el cliente con el menor impacto posible (a ser posible nulo) sobre el software que hace uso de los servicios de autenticación y firma electrónica.

Sin embargo los propios acuerdos de licencia que se suelen establecer favorecen la fragmentación ya que suelen restringir las actualizaciones del software, obligando a volver a realizar un nuevo contrato de licencia tras una evolución significativa (o tal vez no tanto) del producto.

Es lógico que las empresas quieran ganar dinero pero a veces lo que se gana por un lado se pierde por el otro, ya que este tipo de circunstancias no favorecen ni mucho menos la expansión del negocio.

Otro aspecto que se suele olvidar es que el ciudadano de a pie está acostumbrado a que documentos serios tengan una rúbrica, eso da legitimidad al documento desde el punto de vista psicológico. Eso está impregnado en la sociedad y dudo muchísimo que a corto/medio plazo eso varíe.

No se trata de emular la rúbrica, en cierto modo eso ya se hace con el “sello de firma” que se suele colocar en los documentos que se han firmado electrónicamente cuando son descargados o se envían a una persona o entidad concreta, entonces, ¿dónde está el problema? pues en la escasa capacidad que tiene el receptor del documento en un formato físico de verificar si efectivamente ese documento es válido o no, en unos casos porque no se ofrece esa posibilidad y en otros por la fragmentación existente en este tipo de sistemas, lo que te obligaría a tener que llamar a prácticamente tantas “puertas” distintas (en el caso de que las haya) como entidades u organizaciones de las que has recibido este tipo de documentos.

He recibido comunicaciones de un lector de mi blog indicándome que me moje e indique cuánto tiempo se tardaría realmente. No obstante, tal como comenté en el artículo anterior sobre este tema no puedo ser preciso, ya que depende entre otros factores, de los siguientes:

– Suponiendo que ya se tiene elegida la plataforma a implantar (sobre esto, mi recomendación es que la adquisición de este producto, dada su importancia estratégica, se haga evaluando la opción elegida mediante un proyecto piloto, lo que puede demorar el proceso desde que se toma la decisión de utilizar este tipo de productos, hasta que se tiene en funcionamiento) y lo que se quiere es implantar exclusivamente la plataforma y se dispone de la plataforma hardware y software de base donde alojarla (es importante (para organizaciones con un cierto tamaño) que la plataforma admita instalaciones de alta disponibilidad y rendimiento, ya que así será más sencillo su escalado), el proceso es prácticamente inmediato (aunque puede tardar algo más (pero poco más, si las instrucciones de instalación son buenas) si se quiere instalar con medios propios en lugar de con medios de la empresa que lo ha desarrollado).

– Ahora bien, si se quiere integrar el uso de la misma en los procesos de la organización, se requerirá más tiempo. Es decir, podemos tener la plataforma funcionando, utilizándose en algunas actividades o procesos, pero sin tener un uso extendido, generalizado o sistemático. La integración en los procesos no será sencilla salvo que se cuente con el apoyo de la alta dirección, se haga en base a un plan de trabajo y se haga su correspondiente seguimiento. Mi recomendación es que la integración sea paulatina, con el objetivo de poder tenerla controlada en todo momento y también para que pueda ser una opción realista en una organización grande con un buen número de procesos gestionados mediante sistemas de información, en las cuales no se puede, ni se debe, entrar como un elefante en una cacharrería.

– Facilitará la incorporación a los procesos, el hecho de que la plataforma de firma electrónica venga acompañado por productos que le proporcionan un valor añadido, como son el portafirmas electrónico y un sistema de comunicaciones electrónicas.

– Por supuesto servirá de ayuda la aportación de soluciones de movilidad.

– También lo facilitará bastante si la plataforma (o los productos de valor añadido comentados anteriormente) cuentan con un juego rico de APIs de integración, se encuentra bien documentado y probado y proporcionan casos de ejemplo. Esto es lo que puede llevar más tiempo ya que requerirá además de modificar la descripción de las actividades de un proceso, hacer cambios en el sistema o sistema de información que lo sostienen, para adaptarse a la plataforma. Este tiempo dependerá además del presupuesto que se tenga para llevar a cabo esos cambios.

Por tanto, si se quiere implantar y tenerla funcionando podemos hablar de que se puede tener a corto plazo, ahora bien, para alcanzar un grado de penetración importante en los procesos de la organización (para empresas de tamaño medio/grande) estamos hablando en la mayor parte de los casos de largo plazo.

Depende de si requiere o no integración con sistemas ya existentes, ya que si es así, será necesario hacer en los mismos las modificaciones oportunas para integrarlos con la plataforma o bien para integrarlos con el sistema de portafirmas electrónico (opción esta que recomiendo para los circuitos de firma internos de la organización).

Sin embargo, aún planteándonos el objetivo final de integrarlos con los sistemas de información de la organización, es posible tener la plataforma funcionando prácticamente de inmediato y con una alta productividad si se acompaña al menos con una solución de portafirmas electrónico, ya que la misma permite el envío de documentos a firmar al destinatario que se elija (generalmente). Si además se acompaña con una solución de comunicaciones electrónicas pues todavía se tendrá más potencia, ya que permitirá definir flujos de validación y firma más complejos.

Es decir, basta con que se llegue a un acuerdo con un proveedor, que te lo instale o que lo instales y ya tienes en funcionamiento el sistema. Si modificas las procesos para que los documentos a firmar te lleguen a través del portafirmas electrónico o que las comunicaciones que recibas deban ir en digital y firmadas, ya habrás dado un importante paso hacia adelante.

Si tu organización no dispone de una infraestructura informática para mantener este tipo de sistemas (aunque realmente no se requiere gran cosa, salvo que el volumen de documentación a firmar sea muy importante), siempre existe la posibilidad de contratar este tipo de servicios como si de un sistema SaaS (Sofware as a Service) se tratara.

En cualquier caso, lo que digo siempre sobre este tema, si no lo tienes muy claro o si tienes dudas acerca de la mejora de la productividad que te puede ofrecer, solicítale al proveedor o proveedores un proyecto piloto y pruébalo. En mi organización, toda persona con potestad de firma y que firma de manera cotidiana un número más o menos importante de documentos y que ha probado este tipo de sistemas, no tiene voluntad de volver atrás, ¿quiere decir esto que desaparece completamente la firma manuscrita? aunque sería lo ideal, no es así, pero el grado de penetración cada vez es más grande.

Un aspecto muy importante a la hora de elegir una plataforma de firma electrónica que permita la firma en bloque o en lotes de documentos es su rendimiento. Es fundamental que se solicite esta información a los proveedores (y si es posible que lo puedas ver con tus propios ojos), es decir, es conveniente que sepa antes de contratar a la plataforma cuanto tarda aproximadamente en firmar n documentos de un tamaño t con una carga de firmas en el servidor de f y conocer cuánto se tarda para distintos valores de n, t y f (además de saber las características del servidor o servidores sobre el que se han hecho las pruebas).

Ya que buscamos mejorar la productividad de las personas que firman documentos con este tipo de firmas no hay que olvidar que resulta más importante de lo que parece el tiempo que se tardan en procesar la firma de todos esos documentos.

Es importante señalar que tampoco se deben pedir milagros a este tipo de sistemas, es decir, si se quieren firmar 10.000 documentos de 500kb, va a tardar y si no se dispone de una plataforma eficiente y robusta, lo más probable es que en más de una ocasión (y de dos) no se llegue a completar el proceso de firma por colapso del servidor.

Otros aspecto relacionado con el anterior y que también resulta muy importante es lo que carga al servidor la firma de esos documentos. Si lo queremos implantar en una organización donde pueden firmar concurrentemente muchas personas un buen número de documentos, si no tenemos una plataforma eficiente tendremos que montar una infraestructura muy importante para que sostenga este funcionamiento (habrá veces donde no haya más remedio, pero siempre que se pueda ahorrar en ese sentido es importante).

Otras peculiaridades interesantes hay que buscarlas sobre todo en los sistemas de portafirmas electrónico, como por ejemplo la posibilidad de realizar otras tareas en el mismo mientras se firma un conjunto de documentos (avisándote cuando se haya terminado esa tarea), informarte del tiempo aproximado que queda para que se terminen de firmar, etc…

Otra característica a tener en cuenta es la transaccionalidad de la firma en lote o en bloque. Yo soy partidario de que el sistema sea totalmente transaccional, es decir, o se firma todo el conjunto de documentos que envío o no se firma ninguno, esto evita problemas posteriormente tanto a los sistemas clientes (de la plataforma de firma electrónica o del portafirmas) y también a los usuarios, que se encontrarían con documentos firmados dentro de un bloque o de un lote y con otros no. Puede ser un rollo tener que volver a enviar los documentos (no necesariamente el lote deberá ser el mismo), pero a la larga os aseguro que es mejor así.