1

Business Intelligence y ¿conocimiento?

En el mundo de la informática o en el sector TI cada día mas oímos hablar del Business Intelligence y el Big Data, todas las organizaciones o empresas están invirtiendo dinero en esto y queriendo obtener beneficios de ello. ¿Pero cuál es la realidad? Muchas de las empresas que están invirtiendo dinero en esto no saben con qué objetivo lo hacen bueno si lo hacen con el objetivo de ganar dinero.

Pero como ocurre siempre en caso de que tu único objetivo para realizar algo sea obtener dinero sin seguir ningún otro plan probablemente no vaya del todo bien. Y creo que eso es lo que está ocurriendo, muchas de las empresas están invirtiendo dinero en esto sin saber que quieren obtener de esto o como deben realizarlo, pero como todo el mundo lo está haciendo ellos también se quieren subir al carro. Y como en todo para hacer algo a medias o porsiacaso sale bien, mejor no hacerlo, ya que es mejor no utilizar este tipo de herramientas y acabar recomendando algo a los clientes que no es lo que a ellos les interesa, que es algo con lo que no quedaras muy bien.

Pero que no parezca que este post lo escribe un tío que está en contra de todas estas herramientas, ya que no es así, creo que son unas herramientas increíbles y que las grandes empresas las están utilizando de una forma muy buena y obteniendo información muy interesante de ella. Pensemos en una empresa como Google, toda la información que tiene de nosotros y de todo lo que hacemos en el día a día. Pues mediante este tipo de herramientas sabiendo lo que quieren obtener como ellos que tienen una estrategia clara pueden obtener conocimiento de todas las personas que usan sus sistemas y saben que recomendar a cada uno de sus usuarios, o que tipo de resultados devolver a cada uno de sus usuarios por sus búsquedas anteriores, ¿da miedo no?.

La realidad es que cada día que pasa estamos más conectados a la red y subimos más información nuestra a la red. Pulseras que miden nuestra actividad, sueño, etc., relojes para salir correr que miden nuestros pasos y nuestras constantes vitales y luego sincronizamos con una aplicación que es gratuita que pensándolo bien por algo será gratuita, pagamos con nuestra información. Por tanto, si pueden lograr procesar toda esta información nos pueden conocer de maravilla, si ya saben hasta las horas que dormimos… nos conocen mejor que nuestros padres.

polar10

Es verdad que a mí personalmente me encanta el poder salir a correr y que en todo momento pueda saber el ritmo y los kilómetros que he corrido solamente llevando un reloj y que al llegar a casa conectando el reloj al ordenador o al móvil pueda ver todo el recorrido reloj en una aplicación gratuita gracias a lo que ha avanzado la tecnología. Pero lo piensas y es verdad que donde queda tu privacidad ya que estos datos vete a saber dónde acaban, pero a mí en este caso no me preocupa creo que todo esto repercute al avance tecnológico y creo de todo esto nos podemos beneficiar tanto como usuarios o como empresarios o trabajadores, ya que cuantas más cosas haya alrededor de las tecnologías BINGO más oportunidades para nosotros.

En resumen, creo que este tipo de herramientas si se utilizan bien traen consigo un montón de conocimiento y lo que es más importante muchas oportunidades para nosotros. ¿Cuál creo que es el problema? Que como he dicho antes muchas empresas invierten dinero sin saber que quieren obtener, si bueno dinero, y luego cuando las cosas no van como quieren es más fácil echar la culpa al grupo de BI que contrataron sin saber muy bien para que, la vieja confiable. Por tanto, creo que todo esto es el futuro y aunque algunas personas les de vértigo pensar en esto, tampoco hace 15 años se imaginarían estar conectado con un dispositivo de pequeño tamaño a internet todo el día y no poder vivir sin él, por lo que los cambios siempre van a estar ahí y las cosas llegaran antes o después, pero acabaran llegando y al final serán imprescindibles para nosotros.




Sistemas de información y las personas

Siempre nos habían enseñado o siempre habíamos oído durante nuestros años de grado que los sistemas de información eran herramientas que obtenían información relevante o necesaria para la organización haciendo uso de una cantidad de datos. Pero nunca nos habían hecho pensar en estos sistemas desde el punto de vista de las personas, si no que la idea era más bien pensar en ellos como la unión de hardware y software para la obtención de los distintos objetivos de la organización que lo implante.

Pero si nos paramos a pensar y reflexionar un momento, ¿tiene sentido realizar un sistema de información sin tener en cuenta a las personas?. Yo creo que siempre que se realiza o se implanta un sistema de este tipo en la empresa además de tener en cuenta que concuerde con la estrategia de la compañía se debe tener en cuenta siempre a las personas, ya que son las que aportan valor a la empresa, tanto los clientes como los empleados. Por ejemplo, es como si el Athletic desarrollara e implementara un sistema de información para procesardatos de jugadores e incluyera en los mismos jugadores extranjeros, es decir jugadores que no entran dentro de la filosofía del club. ¿Tendría sentido? La respuesta es no, y es obvia por que el Athletic no se fijaría nunca en esos jugadores, por tanto, el sistema no está en concordancia con la estrategia de la institución, se ve claro que no tiene ningún sentido. Entonces, si esto se ven tan claro porque las empresas implantan nuevos sistemas de información sin que vayan en concordancia con su estrategia o sin tener en cuenta a las personas, en realidad es una perdida de dinero.

descarga (1)

Hay muchas herramientas o tecnologías que eran muy potentes y por no tener en cuenta a las personas han fracasado. Es decir, han salido en un momento al mercado en el que las personas no estaban preparadas para ello o no tenían el nivel de conocimiento necesario para asimilarla. Por lo que por que por muy buena que sea tu aplicación o tu sistema a nivel computacional y de rendimiento, si no cumple con lo que la gente realmente busca o con el nivel de comprensión que tiene la sociedad fracasara estrepitosamente.

Por tanto, en una organización a la hora de desarrollar o implantar un nuevo sistema se debe tener en cuenta a las personas. Si se realiza un sistema que lo ningún empleado vea viable utilizar o que no vean que aporte más valor que el anterior o los anteriores que utilizaban siempre querrán volver al anterior. Por ello una buena forma de acertar es pararnos un momento a conversar y a escuchar a los empleados, y ver cuales son las exigencias que cumplirían sus expectativas para un nuevo sistema ya que si luego los mismos ven sus exigencias cumplidas se sentirán escuchados dentro de la compañía y realizaran su trabajo mucho más motivados, lo cual es vital para una compañía ya que los mismos son una gran parte del valor que se aporta a la compañía.

descarga

Además de tener en cuenta a los empleados como ya hemos mencionado antes la empresa debe tener en cuenta a el otro grupo que aporta valor a la compañía, que son los clientes. Por ello, antes de implantar cualquier sistema deberá analizar si el mismo le acerca al cliente o si ese sistema puede hacer que la imagen de su compañía para los clientes mejore, es decir estén dispuestos a confiar más en esa compañía, lo que se traduce en aportar más valor a las compañías.

Y entonces si resulta tan evidente que no tiene sentido implantar un sistema en una organización sin tener en cuenta a las personas ni pararnos a escuchar lo que necesitan, ¿Por qué lo hacen las empresas? La realidad es que yo creo que ocurre esto porque las personas no sabemos escuchar y es más fácil tomar una decisión, y que si luego sale mal ya nos preocuparemos de echarle la culpa a el empleado que no sabe utilizar el sistema o al cliente que no ve valor en utilizar ese sistema. Por tanto, teniendo en cuenta esto dejo una reflexión ¿no deberíamos comenzar a asumir la responsabilidad de nuestros actos y no estar siempre buscando culpables fuera de nosotros?




La aplicación de la firma electrónica y sus usos fraudulentos

La firma electrónica es utilizada internacionalmente y tal es la seguridad que nos da si se usa de la forma correcta que como podemos encontrar en la prensa puede ser utilizada para dirigir un país. Esto ocurrió en el año 2011 cuando el presidente Hugo Chávez enfermó, y para poder seguir gobernando y tomando decisiones desde otro país, en este caso desde Cuba, implantó un sistema de firma electrónica que le permitía promulgar decretos desde la distancia [1].

Pero como ya introducimos en post anteriores el problema viene cuando no se tienen en cuenta los riesgos y no se toman las medidas necesarias para proteger las claves. Como en todo siempre pensamos a mí no me puede pasar, esas cosas pensamos que solo pasan a la empresa vecina y cuando pasan nos echamos las manos a la cabeza. Uno de los ejemplos es el caso que ha ocurrido en México en el que una serie de personas a través de un mensaje que circulaba en Facebook invitaban a la gente a acudir a recoger su firma electrónica, llamada e-firma en México, y entregarla con su contraseña correspondiente a cambio de dinero. De lo que se aprovechaban es de que alguna gente desconocía los riesgos que tiene ese hecho, y de que con ese certificado pueden hacerse pasar por ellos para cualquier trámite fiscal [2].

Otro de los casos que podemos encontrar en la prensa, es un caso de suplantación de identidad que ocurrió en Estados Unidos. En este caso, tres médicos del Hospital Magee-Womens de Pittsburgh denunciaron al centro médico en el que trabajaban, por incorporar sus firmas sin avisarles y sin su permiso en los resultados de diversas pruebas que se habían realizado en el centro [3].

Otra noticia que nos presenta los riesgos que ya se describieron anteriormente, es una noticia de un periódico español en el que se advierte de los riesgos de guardar los certificados electrónicos directamente en nuestro ordenador. En la noticia se advierte del riesgo real ya que se presenta el programa mediante el cual un consultor de seguridad afirma que puede sustraer todos los certificados almacenados en un ordenador con sistema operativo Windows, y utilizar los mismos para realizar el “mal” [4].

A burglar opening a safe that is a computer screen

Un dato curioso que podemos encontrar en la prensa, es el resultado de una investigación que se ha realizado de la firma electrónica. Los resultados de la misma muestran que las personas que firmaban con la firma manuscrita, es decir con papel y boli, no engañaban ni trataban de obtener más beneficios, mientras que en el caso de los que firmaron con firma electrónica se veía, como los mismos habían obtenido más boletos que los que les correspondían. Por tanto, la conclusión a la que llegaba el estudio es que las personas no se identifican con su firma electrónica, y que solo ven que la misma tiene valor cuando la realizan de forma manuscrita [5].

Y algunos ahora os preguntareis, todo esto de la firma electrónica está muy bien, pero, ¿Puede ayudar la misma a el comercio electrónico internacional? Según un informe realizado en la Universidad de Londres [6], la misma facilita mucho la relación para crear empresas en el extranjero y poder firmar documentos a distancia más rápidamente, pero dictamina que el problema que se encuentra la misma es el hecho de que en cada país se aplica una legislación, y que para la misma pueda ser utilizada con más seguridad debería impulsarse un consenso entre los diferentes países. Podemos decir que esto es lo que ha ocurrido en Europa mediante la publicación del Reglamento (UE) 910/2014, por lo que Europa podríamos decir que ha cumplido, y por tanto ahora los tramites a realizar dentro de Europa contarán con esa garantía que se pedía. Además, se aceptarán también certificados que no provengan de Europa siempre que cumplan con las exigencias descritas en dicho reglamento.

En cuanto al uso que se hace la misma en la industria, está claro que uso está en auge, como ejemplo podemos utilizar el caso de la empresa estadounidense Docusign [7] que está trabajando en hacer digital la documentación de empresas, particular y gobiernos y que ya opera en 43 países a nivel mundial. Es interesante ver como en la industria relacionada con la firma electrónica están trabajando y trayendo nuevas novedades que permitan hacerla más segura de lo que ya es, además de las soluciones biométricas que ya existían ahora se están introduciendo nuevas formas de firmar. Una de estas nuevas formas es la de realizar la firma mediante el uso de la voz, este sistema llamado FirVox [8] ha sido lanzado por una empresa española y el mismo convierte la voz en una firma electrónica avanzada, y cumple con lo establecido en el Reglamento (UE) 910/2014.

firvox-logo-med

Por último y no menos importante, en el post anterior, hablamos de los prestadores de servicios de certificación y de cómo ahora los mismos debían de ser auditados, pero nos dejamos algunas cosas en el tintero, por ello ahora voy a introducir cuales son los controles a realizar:

  • Verificar que la infraestructura TI que soporta el proceso de firma electrónica está correctamente configurado, para garantizar que la información crítica está correctamente protegida contra modificaciones y accesos no autorizados.
  • Verificar que los datos críticos de la firma electrónica están respaldados y almacenados de forma segura.
  • Verificar que los dispositivos de creación de firma utilizados son auténticos.
  • Verificar que para cada una de las firmas que se realizan con cada uno de los certificados, se guarda el registro de quien, en qué fecha y donde ha realizado dicha firma.
  • Verificar que la firma permite comprobar los datos principales de los firmantes a partir del certificado, sin necesidad de usar herramientas especiales.
  • Verificar que los documentos son verificables en cualquier momento por un tercero a partir de la información de representación visible del documento.
  • Se debe revisar toda la documentación relacionada con la política de seguridad, la gestión de riesgos, la continuidad del negocio, gestión de incidentes, términos y condiciones, contratos firmados con terceros, seguros, planes de auditoria internos, listas de control de accesos y evidencias para contrastar las operaciones seguras, es decir protocolos y logs.
  • Verificar que se cumplen los requisitos de las normas establecidas, que se utilizan las medidas criptográficas necesarias y otras medidas de seguridad.
  • En caso de que sea necesario realizar pruebas para garantizar la conformidad de los prestadores de servicios de certificación, se podrán reutilizar las pruebas realizadas por el prestador y en caso de que estas se vean que no son como deberían o no contemplen todos los casos necesarios se podrán realizar pruebas adicionales.

Referencias

[1] “Chávez gobernará desde La Habana con una firma digital”, El País, consultado el 27 de noviembre,

http://elpais.com/diario/2011/07/18/internacional/1310940008_850215.html

[2] “Alertan por fraude en emisión de firma electrónica por redes sociales”, Noticias 360º, consultado el 27 de noviembre,

http://noticias360.com.mx/index.php/2016/10/31/alertan-por-fraude-en-emision-de-firma-electronica-por-redes-sociales-matamoros/

[3] “Second lawsuit charges medical report falsification”, Post-Gazzete, consultado el 27 de noviembre,

http://old.post-gazette.com/localnews/20031219lawsuitr2.asp

[4] “La seguridad de los certificados para hacer la declaración en internet, ¿en riesgo?”, 20 minutos, consultado el 27 de noviembre,

http://www.20minutos.es/noticia/378330/0/vulnerabilidad/certificados/digitales/

[5] “La firma electrónica nos tienta a actuar de manera deshonesta”, Investigación y Ciencia, consultado el 28 de noviembre,

http://www.investigacionyciencia.es/noticias/la-firma-electrnica-nos-tienta-a-actuar-de-manera-deshonesta-13786

[6] “A review of electronic signatures regulations: do they facilitate or impede international electronic commerce?”, ACM Digital Library, consultado el 27 de Noviembre,

http://dl.acm.org/citation.cfm?id=1151458

[7] “Docusign busca desterrar el papel”, El País, consultado el 26 de Noviembre,

http://economia.elpais.com/economia/2014/08/01/actualidad/1406915943_812439.html

[8] “FirVox convierte la voz en una firma electrónica avanzada imposible de falsificar”, Europapress Portaltic, consultado el 27 de Noviembre,

http://www.europapress.es/portaltic/software/noticia-firvox-convierte-voz-firma-electronica-avanzada-imposible-falsificar-20161011144048.html

[9] “Electronic Signature (E-Sign) Audit Work Program”, Knowledge Leader, consultado el 27 de Noviembre,

https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/WPElectronicSignature!OpenDocument

[10] “Auditing Framework for TSPs”, European Union Agency for Network and Information Security, consultado el 27 de noviembre,

https://www.enisa.europa.eu/publications/tsp-auditing-framework

[11] “Auditoria”, Firma electrónica de confianza, consultado el 27 de noviembre,

http://firmacertificada.es/auditoria/




Prestadores de servicios de certificación

En este post hablare acerca de la figura de los prestadores de servicios de certificación, los cuales han ido apareciendo en repetidas ocasiones durante los post anteriores. Un prestador de servicios de certificación es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Es decir, es la figura a la que tenemos que dirigirnos cuando tenemos un documento o un contrato y necesitamos una firma para poder establecer nuestra identidad como firmantes. Esta figura da fe que esa firma electrónica corresponde a una persona concreta, y por ello los certificados también son firmados por ellos.

Cada prestador de servicios de certificación debe disponer de un servicio de consulta, en el cual se puedan consultar los certificados expedidos por los mismos y el estado en el que se encuentran. Es decir, si los mismos siguen vigentes, han expirado o si han sido suspendidos. De esta forma el receptor del documento podrá comprobar si el certificado correspondiente corresponde a el firmante y este no ha sido modificado durante el envío y recepción del mismo. Por ello, podemos decir que los prestadores de servicios de certificación son los sujetos que hacen posible el empleo de la firma electrónica, ya que son los que realizan esa función de nexo o pegamento entre el emisor o firmante y el receptor.

Como se indica en el artículo 19 de la ley de firma electrónica [1] cada uno de los prestadores deberá realizar una declaración de prácticas de certificación. El mismo deberá contener todos los requisitos exigidos a los prestadores en la ley, como por ejemplo como se custodiarán los datos de creación de firma o como se comunicarán con los Registros públicos para notificarles de los cambios. Esta declaración tiene la misma consideración frente a la ley que el documento de seguridad, el cual hemos visto en clase y nos fue introducido también en la charla de uno de los invitados.

Ahora os voy a hablar un poco de cómo ha cambiado el mundo de los prestadores de servicios de certificación en España en los últimos años. Estos se regían por la ley de firma electrónica vigente en España[1], por tanto, cumpliendo lo que establecía esa ley, los mismos eran considerados con el máximo grado de confianza. ¿Qué ha ocurrido entonces? La Unión Europea lanzo el “Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza en las transacciones electrónicas en el mercado interior” [2]. Como ya sabemos los reglamentos expedidos por la Unión Europea son de obligado cumplimiento por todos los estados miembros. Este reglamento entro en vigor el 17 de septiembre de 2014, pero la fecha en la que ha sido empezado a aplicar en su totalidad ha sido este año, exactamente el de 1 de julio.

Reglam-PD-UE

¿Qué cambia entonces con la entrada en vigor de este nuevo reglamento? Se distinguen dos tipos de prestadores de servicios de certificación, por un lado, los prestadores cualificados de servicios electrónicos de confianza y por otro lado los prestadores no cualificados. Y os preguntareis cual es la diferencia entre los mismos, pues es simple, para ser cualificado debe cumplir con los requisitos aplicables establecidos en el Reglamento (UE) 910/2014.

¿Cuáles son esos requisitos que deben cumplir? Cuando un prestador de servicios de certificación tiene la intención de pasar a ser considerado cualificado, debe presentar su intención de convertirse en un organismo cualificado a el organismo de supervisión junto a un informe de que le evalué, expedido por un organismo de evaluación de la conformidad. Una vez recibidas estas dos cosas el organismo de supervisión supervisara si todo cumple con lo establecido en el nuevo reglamento. En caso de que todo este correcto, le concederá la cualificación y actualizara la lista de confianza. En este párrafo, he introducido muchos términos nuevos y que posiblemente no se reconozcan, por ello voy a pasar ahora a explicar cada uno de ellos.

El primero de ellos es el termino de organismo de supervisión, el reglamento define que cada Estado miembro tiene la obligación de designar un organismo que realice esa función. Este organismo es responsable de supervisar a los prestadores de servicios de certificación establecidos en el Estado y de tomar las decisiones oportunas referentes a cada uno de los prestadores no cualificados. En el caso de España, el organismo designado para realizar esta función es el Ministerio de Energía, Turismo y Agenda Digital. Este organismo debe elaborar además la citada lista de confianza, en la que se incluye información relativa a cada uno de los prestadores cualificados y la información relacionada con los servicios que presta cada uno de ellos. En el caso de España se puede acceder de dos formas a esta información, la primera es mediante el documento de lista de confianza [3] que obliga a realizar el reglamento y por otro lado mediante una página web en la que se accede de forma más sencilla y más visual a la información [4]. Además de esto, el organismo de supervisión también deberá tener accesible la información de cuáles son los prestadores que ofrecen servicios no cualificados.

energia-turismo-agendadigital-Gob-Web

Por último, tenemos el término de organismo de evaluación de la conformidad, que se corresponde a los organismos que auditan y certifican a los prestadores de los servicios de certificación. La acreditación de estos organismos de evaluación de la conformidad en España corresponde a Entidad Nacional de Acreditación (ENAC) [5]. ENAC se encuentra en disposición de acreditar conforme a la norma EN 319 403 que establece los requisitos para asegurar la competencia técnica, la operatividad e imparcialidad de aquellos organismos que auditan y certifican a los proveedores de servicios de identificación electrónica y prestadores de servicios electrónicos de confianza para transacciones electrónicas [6].

Por tanto, como hemos visto los prestadores deben de ser auditados. Esta auditoria debe ser realizada al menos cada 24 meses, es decir 2 años, y debe ser realizada por uno de los organismos de evaluación de la conformidad acreditados por la ENAC. La finalidad de la auditoria que se debe realizar es confirmar que tanto los prestadores de servicios certificación cualificados como los servicios que prestan los mismos cumplen con lo establecido en el Reglamento (UE) 910/2014. Los prestadores de servicios de certificación cualificados deben enviar el informe recibido como resultado de la auditoria, a el organismo de supervisión en el plazo máximo de tres días hábiles desde su recepción.

Referencias

[1]” Apartado 31 del Código de Derecho de la Ciberseguridad 22 de noviembre de 2016, Ley 59/2003 de la firma electrónica”, BOE,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, BOE,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

[3] “Lista de Confianza de prestadores de servicios de certificación cualificados del 2 de noviembre de 2016”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 22 de noviembre de 2016,

https://sede.minetur.gob.es/Prestadores/TSL/TSL.pdf

[4] “Prestadores de servicios electrónicos de confianza cualificados”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de noviembre de 2016,

https://sedeaplicaciones2.minetur.gob.es/prestadores/

[5] “Pagina web de ENAC”, Entidad Nacional de Acreditación, consultado el 23 de noviembre de 2016,

https://www.enac.es/inicio

[6] “Nuevo esquema de acreditación en el marco del Reglamento UE 910/2014”, Entidad Nacional de Acreditación, consultado el 24 de noviembre de 2016,

https://www.enac.es/prestadores-servicios-confianza-identificacion-electronica

[7]“PREGUNTAS FRECUENTES SOBRE EL REGLAMENTO (UE) Nº 910/2014 SOBRE IDENTIFICACIÓN ELECTRÓNICA Y SERVICIOS DE CONFIANZA (EIDAS)”, Ministerio de Energía, Turismo y Agenda Digital, consultado el 23 de Noviembre de 2016,

http://www.minetad.gob.es/telecomunicaciones/es-ES/Servicios/FirmaElectronica/Paginas/preguntas-frecuentes.aspx#dt12




Los riesgos de la firma electrónica

En este post voy a hablar acerca de los riesgos que tiene el uso de la firma electrónica. En el mundo en el que vivimos como ya sabemos toda tecnología puede ser “hackeada” y debido a ello se presentan una serie de riesgos.

La firma electrónica avanzada es confiable y segura debido a que como ya sabemos hace uso de un cifrado asimétrico. Por tanto, esta firma que es considerada al mismo nivel que la firma manuscrita es segura, entonces os podéis preguntar ¿de dónde vienen los riesgos?. Estos riesgos provienen como siempre del eslabón más débil que como ya podéis intuir es el usuario final que hace uso de la misma. Para realizar la firma electrónica avanzada se debe hacer uso de dos claves la pública y la privada. La clave pública es la que puede ser mostrada y accedida por un tercero y la privada será la que en ningún caso podrá ser conocida o accedida por otra persona, ya que esta clave lleva integrada nuestra identidad y nuestra firma. Por tanto, aquí podemos encontrar el mayor riesgo, que es la forma en la que se guarda esta clave privada en nuestros sistemas o si la misma es compartida o esta visible para otras personas.

Post-It-Note-Passwords

El tener al descubierto la clave privada es un riesgo muy grave, ya que la custodia exclusiva de la misma es la garantía de no repudio de nuestras futuras firmas electrónicas, por lo que cualquier persona que disponga de la misma podrá realizar firmas fraudulentas con el mismo valor legal que si firmara a mano alzada. Por ello, es un riesgo muy grave ya que el conocimiento de una tercera persona de la clave puede traer consigo la suplantación de identidad, se podrá hacer pasar por nosotros y firmar en cualquier sitio.

Lo que ocurre muchas veces entre las empresas y los usuarios es que presuponen que únicamente ya el uso de una firma electrónica avanzada es una garantía de seguridad, pero esto es un error muy grave si no se tienen en cuenta dos reglas que son claves en este tema.

La primera de las reglas es tener la certeza de que nuestros certificados han sido generados por un prestador de servicios de certificación confiable y que para la creación de los mismos han hecho uso de un hardware criptográfico, el cual debería estar reconocido internacionalmente y aprobado por un laboratorio especializado en el tema. Esto es importante porque como hemos dicho antes la fuerza de estos certificados o su clave en cuanto a la seguridad reside en sus claves, clave privada, por tanto, la forma en la que ha sido generada la misma también es importante para mantener la seguridad de las mismas.

La segunda de las reglas es como ya he introducido antes la forma en que se custodian las claves de los certificados de los que hacemos uso. Una de las formas en las que los usuarios guardan estás claves es haciendo uso de una Smart Card que es seguro, ¿Pero ¿qué ocurre?  para las empresas hacer uso de este tipo de tarjetas puede hacer que se ralentice el proceso, y por tanto lo que hacen muchas es guardarla directamente en el ordenador para acceder directamente a ella, en cualquier carpeta, vamos como si nosotros dejáramos en nuestro ordenador en un documento de texto accesibles todas nuestras contraseñas de nuestras cuentas. Si a esto le añadimos la ausencia de control y gestión de los usuarios que tienen acceso a las claves dentro de la empresa, estamos corriendo el riesgo de la suplantación de identidad y de no saber al final quien es la persona que firma realmente.

Parece que las empresas no son conscientes del riesgo que corren dejando accesibles de esta forma sus claves, ya que es como si compramos una puerta blindada pero luego dejamos puesta la llave dentro de la cerradura. En este caso por mucha seguridad que nos de esta puerta si dejamos la llave accesible estamos dando acceso a la misma, pues lo mismo ocurre con la firma electrónica es un sistema fiable y seguro, pero en caso de dejar la clave a la vista o disponible para otros estamos dando la llave a terceros para que accedan como quieran.

054_cierrepuzzle_gi_medium

Un ejemplo de este tipo de fraude que se ha presentado, de suplantación de identidad podemos encontrarlo en una noticia de este año [4] en la que se presenta el caso de que el banco BBVA ha estado usando durante dos años la firma de un empleado jubilado para firmar certificaciones de deuda del banco sin su permiso. El banco achaca el caso a que ha sido un error, pero aunque esto sea cierto es un ejemplo claro de una suplantación de identidad que se da por una mala gestión de las claves de firma de la compañía, ya que se estaba firmando como una persona que no estaba en la empresa, con los consecuentes consecuencias que podría haber traído el firmar esos documentos con la identidad del mismo.

¿Cómo solucionar el problema de la gestión de claves en una compañía? Se debe tener una clara política de control y protección de claves, e implementar un sistema centralizado y seguro para la gestión de las mismas. Ese sistema debería tener el hardware criptográfico necesario para almacenar y gestionar las claves y permitir el acceso únicamente a los usuarios autorizados, y que nos permita saber quién firmo que y cuando.

A continuación, para terminar voy a presentar algunos consejos para poder tratar de evitar este tipo de fraudes. En caso de que se contrate un servicio de factura electrónica por internet, es interesante contratar el servicio que ofrece la firma electrónica en el que el cliente entra en la aplicación y usa el certificado que está instalado de forma segura en su propio ordenador y así de esta forma no se tiene que entregar acceso a la firma a la empresa que nos da ese servicio. En caso de haber entregado la firma ya, al dejar de trabajar con un proveedor se debe revocar ese certificado y generar uno nuevo que queda vigente desde el mismo momento en el que se genera, ya que así les obliga la ley a los prestadores de servicios de certificación. En el caso de que sea inevitable el uso de la firma por terceros, lo recomendable es que ese tercero compre su certificado propio y se le da la autorización para que con ese certificado realice los trámites correspondientes, y así de esta forma nunca conocerá ni hará uso de nuestras claves.

Referencias:

[1] “Los riesgos de no utilizar la firma electrónica avanzada”, Signaturit, consultado el 17 de noviembre de 2016,

https://blog.signaturit.com/es/los-riesgos-de-no-utilizar-la-firma-electronica-avanzada

[2] “Certificado digital peligros y riesgos para las empresas y autónomos”, Blog sobre la relación de las Administraciones Públicas con las empresas, asesores y despachos de abogados, consultado el 17 de noviembre de 2016,

http://blog.notificaciones060.com/certificadodigital-notificaciones060.html

[3]”Cómo utilizar los certificados minimizando los riesgos de fraude”, Red seguridad, consultado el 17 de noviembre de 2016,

http://www.redseguridad.com/opinion/articulos/como-utilizar-los-certificados minimizando-los-riesgos-de-fraude

[4]”Un exempleado reclama 140 millones al BBVA por usar su firma sin permiso”, El País, consultado el 17 de noviembre de 2016,

http://economia.elpais.com/economia/2016/05/24/actualidad/1464104022_490054.html

[5] “Consejos para evitar fraudes con la firma electrónica”, Enternet, consultado el 17 de noviembre de 2016,

https://www.enternet.cl/consejos-para-evitar-fraudes-con-la-firma-digital/

 




Legislación acorde con la firma electrónica

En este post daré paso a la legislación acorde con la firma electrónica. La ley que rige el uso de la firma electrónica en España es la Ley 59/2003 [1] cuya última modificación se realizó a fecha de 2 de octubre de 2015. Como se presenta en el apartado 2 del artículo 1 de esta ley lo contenido en la misma no modifica las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualquier otro acto jurídico ni las relativas a los documentos en las que aparezcan las misma.

La ley a la que he hecho referencia regula la firma electrónica, su eficacia jurídica y la prestación de servicios de certificación. El termino prestador de servicios de certificación es nuevo ya que no fue introducido en el post anterior, y se refiere a la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica. Como se define en el artículo 5 la prestación de servicios de certificación no necesita autorización previa y habrá libre competencia, y no podrán realizarse ningún tipo de restricciones para servicios de certificación que provengan de otro Estado miembro del Espacio Económico Europeo, ya que esta ley se presenta a consecuencia de la Directiva 1999/93/CE [2] mediante la cual se establece un marco comunitario para la firma electrónica. Esta directiva quedo derogada con la entrada en vigor del Reglamento (UE) nº 910/2014 [3] introducido por el Parlamento Europeo, el cual actualmente rige la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior.

Volviendo a ley que rige en España, también regula el uso de la firma electrónica en el ámbito de las Administraciones públicas (artículo 4), sus organismos y sus entidades tanto entre las relaciones entre ellos como en las mismas con los particulares. Para poder garantizar las garantías de los procedimientos podrán añadir condiciones adicionales como por ejemplo la fecha en la que se ha realizado dicha firma.

En cuanto a los certificados electrónicos en esta ley también se regula cuales con las causas por las que se puede llevar a cabo la extinción de un certificado (artículo 8). Una de ellas es que el periodo de validez del certificado expire, podemos decir que el mismo caduca. Otra de las causas es que se pida la revocación de la misma por parte del firmante o que se viole o se ponga en peligro el secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación. También figuran como causas una resolución judicial, posible fallecimiento o fin de representación de una persona, o la alteración de los datos con los que se creó la firma. Otra posibilidad que se contempla es que cierre del prestador de servicios de certificación en cuyo caso se extinguirá la firma a no ser que se llegue a un acuerdo con el firmante, para que regule la misma otra entidad distinta. En caso de la extinción del certificado, respecto a los efectos de la misma frente a terceros, en caso que sea por que expira el periodo de validez surtirá efecto desde ese mismo momento y en los demás casos desde el momento que se refleje esa situación en el servicio de consulta del prestador de servicios.

También se define lo que es un certificado reconocido y que debe cumplir el mismo (artículo 11), que como ya sabemos es el certificado electrónico que equivale a la firma manuscrita. Una de las cosas destacables del mismo es que su vigencia no podrá ser superior a 5 años. Un certificado reconocido deberá incluir todos los siguientes datos según la ley: indicar que se entrega como tal, su código único identificativo, la identificación del prestador que emite el mismo y su firma electrónica avanzada, la identificación del firmante en la que en caso de ser una persona física serán los datos del D.N.I. y en caso de que sea una persona jurídica por su denominación y su código de identificación fiscal. También deberán incluir los datos de verificación de firma que corresponden a los datos de creación de firma bajo control del firmante y el periodo de validez del mismo. También se podrán añadir límites de uso o un límite de valor máximo en las transacciones para las que se pueda utilizar el mismo.

¿Qué obligaciones se deben cumplir antes de expedir un certificado reconocido? (artículo 12) Los prestadores de servicios tienen la obligación de comprobar que incluye toda la información necesaria (la indicada en el párrafo anterior) y que la misma es exacta. También deberán comprobar la identidad del firmante y asegurarse de que el mismo es el único que tiene el control sobre los datos de creación de firma. También deberán garantizar la conexión entre los datos de verificación y creación de firma siempre que los dos sean creados por el prestador de servicios.

¿Cómo se debe llevar a cabo la comprobación de la identidad del solicitante de un certificado reconocido? (artículo 13) En caso de la identificación de una persona física será preciso que se presente en persona ante los que deben comprobar su identidad y se realizara mediante su D.N.I., pasaporte u otro medio que lo acredite. Se podrá prescindir de presentarse en persona en caso de que su firma haya sido realizada frente a notario. Para el caso de certificados reconocidos de personas jurídicas o los que reflejan una relación de representación voluntaria, además comprobarán los datos relativos a la constitución y personalidad jurídica y a la extensión y vigencia de capacidades de representación del solicitante, mediante los documentos públicos necesarios o mediante su registro público en caso de que así sea necesario.

La comprobación podrá no ser necesaria en caso de que el prestador de servicios de certificación ya tenga identificado al firmante o en caso de que se utilice otro certificado expedido por el mismo prestador de servicios para ese firmante, siempre que no se supere el periodo de 5 años desde la identificación.

En los siguientes post seguiré hablando de la legislación relacionada con la firma electrónica y de los puntos que no se han podido presentar en este.

Referencias:

[1] “Apartado 31 del código de derecho de la ciberseguridad presentado por el BOE, es la ley referente a la firma electrónica (12 de agosto de 2016)”, Agencia Estatal Boletín Oficial del Estado, acceso el 23 de octubre,

http://www.boe.es/legislacion/codigos/codigo.php?id=173_Codigo_de_Derecho__de_la_Ciberseguridad

[2] “Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica”, Agencia Estatal Boletín Oficial del Estado, acceso el 24 de octubre,

https://www.boe.es/buscar/doc.php?id=DOUE-L-2000-80059

[3] “REGLAMENTO (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE”, Agencia Estatal Boletín Oficial del Estado, acceso el 24 de octubre,

https://www.boe.es/doue/2014/257/L00073-00114.pdf

 




¿Qué significa formar parte de un equipo o de un grupo?

Hoy voy a hablar acerca de lo que para mí significan los términos grupo y equipo, y de las diferencias que para mí hay entre ellos. Para poder explicarlo de otra forma me voy a permitir la libertad de llevarlo un poco a el mundo del fútbol para poder ilustrarlo todo con un ejemplo.

Pensemos en dos equipos españoles de fútbol el Madrid y el Barcelona, al fin al cabo se pueden interpretar como grandes empresas, ya que todos sabemos cuál es su principal objetivo en el fútbol moderno que es el ganar dinero a toda costa. Vale ahora comencemos a pensar en los términos grupo y equipo, en el caso del Barcelona se aprecia que todos contribuyen y juegan por el bien común es decir como un verdadero equipo, en caso contrario tenemos al Madrid que es un grupo ya que está lleno de individualidades y todos buscan lo mejor para ellos. Por tanto, aquí tenemos la primera gran diferencia entre los términos, en un equipo todos trabajan codo con codo por intentar conseguir lo mejor de esa unión, frente a un grupo en el que cada uno al final siempre mira por su persona antes de tener esa visión general.

Otra de las cosas que un equipo debe tener, es el reconocer el trabajo que realizan sus miembros y lo que han aportado cada uno de ellos a esa empresa, lo que en el caso del Madrid por ejemplo en los últimos años hemos visto que no ocurría con los casos de jugadores de la casa como Casillas o Raúl que habían dado todo por ellos. Esto como en el mundo del fútbol también ocurre en el mundo de las empresas ya que los trabajadores y los clientes, es decir las personas son el mayor activo de la compañía y en muchas ocurre que se les trata como meros objetos o números en una factura, y una vez que se obtiene lo que se quería de ellos “si te he visto no me acuerdo”. Esto en un verdadero equipo no ocurre, ya que se reconoce un sentimiento de amistad o de segunda familia entre los miembros del mismo y por lo tanto se respeta y se reconoce el trabajo realizado. Llevado de nuevo al mundo del fútbol, como en el caso del Madrid no se ha realizado el caso del Barcelona en el que si se valora a los jugadores por lo que verdaderamente son y no únicamente como el número de goles o número de camisetas que venden a final de temporada es un ejemplo de cómo debe actuar un equipo.

gracies-xavi-barcelona

Otra de las cosas que caracterizan a un equipo frente a un grupo es el tener clara la forma en la que se debe trabajar y actuar para alcanzar los objetivos, y el tener un plan claro de cómo lograrlos. Por ello el tener clara la estrategia a seguir y el trabajarla antes de comenzar a realizar cualquier trabajo es algo que diferencia claramente a un equipo de un grupo. Por tanto, llevándolo otra vez al mundo del fútbol y prometo que es la última vez que lo hago, cuando ves jugar al Barcelona sabes antes de ver el partido y tienes claro a lo que va a jugar, porque tienen inculcada esa forma desde hace muchos años, tienen definido un claro plan estratégico y lo siguen. En el caso contrario, cuando ves jugar el Madrid es todo lo contrario puedes esperarte cualquier cosa y no tienen definido un plan claro, sino que el mismo va cambiando sobre la marcha.

Para finalizar, está claro que hay grandes diferencias entre un equipo y un grupo, y que ha todo el mundo le gustaría decir cuando realiza cualquier trabajo que forma parte de un equipo. Creo que es lo que toda empresa debería buscar ya que de esta forma el trabajo se realiza de forma más cómoda y se tiene mayor predisposición a trabajar, por tanto, podríamos decir que esto ayuda a estar más cerca de lograr objetivos, ¿y no es esto lo que toda empresa ansia lograr?




¿Cómo dar solución a la firma de documentos en la nueva industria?

Históricamente la sociedad y los negocios se regían por la comunicación cara a cara entre las personas, y por firmar los contratos en persona y a mano alzada. De esta forma, no había ningún tipo de duda de suplantación o de que por el camino alguien interceptara el documento y realizara algún cambio en el mismo o espiara la información del mismo. En los últimos años, las relaciones interpersonales y la industria en general han cambiado completamente, hoy en día se realizan compras con un solo clic y se realizan negocios a miles de kilómetros de distancia, la llegada de Internet ha supuesto un cambio increíble y todo el mundo debe adaptarse al mismo.

Ya que se realizan negocios a distancia y por lo tanto envíos de documentos o de contractos mediante la red, surge la necesidad de poder firmar los mismos y de acreditar que los mismos no han sido alterados o espiados durante su envió por la red, debido a todas las amenazas que se presentan en la misma. En este punto, se introduce el termino de firma electrónica, que es mediante el cual se intenta dar solución a este problema. La definición de este término según el BOE es la siguiente: “Conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.”. Gracias a la firma electrónica se puede validar el origen del documento y la integridad del mismo, por lo tanto, es lo que estaba buscando conseguir.

La firma electrónica es un concepto jurídico, es un método de identificación, que como hemos indicado busca tener la misma garantía que la firma manuscrita. Esta implica que una persona verifica la realización de una acción determinada a través de cualquier dispositivo electrónico, estableciendo un registro con la fecha y hora de la misma. Esto es algo que vemos todos en nuestro a día a día, cuando vamos a comprar algo a una tienda o recibimos una carta certificada en casa y firmamos sobre un dispositivo electrónico, se crea un registro con nuestra firma que verifica que hemos recibido el mismo o cuando metemos la tarjeta en el banco e introducimos nuestro PIN, todos estos casos son ejemplos de firmas electrónicas.

La firma digital es una de las más destacables dentro de la firma electrónica, ya que la misma es un tipo de firma electrónica que ofrece mucha más seguridad que la misma. La firma digital como la manuscrita es única por cada firmante y se realiza siguiendo el protocolo PKI, el cual requiere el uso de un algoritmo matemático para la creación de una clave pública y una privada. Mediante estas claves lo que se busca es la creación de una firma y la encriptación del documento y que solo se pueda abrir en el origen y en el destino del archivo, ya que de esta forma se garantiza la integridad del mismo enviando por la red el documento con esa firma digital. Se logra dar solución al problema de la firma, ya que se garantiza que el documento no ha sido modificado y nadie puede negar haberlo firmado.

procesodefirma

En el caso de España la firma electrónica está contemplada en la legislación como se puede contemplar en el Boletín Oficial del Estado (BOE) sobre el código de derecho de la ciberseguridad. En este boletín se marca cual debe ser el proceso a seguir para que sea válida la misma, como deben actuar los servicios de certificación, que dispositivos son válidos, como lograr las certificaciones necesarias y también se describen las condiciones a cumplir para aceptar como valido un documento expedido fuera de la legislación del Espacio Económico Europeo. En el caso de España aparece una nueva forma de realizar una firma electrónica que también se contempla en el BOE que es mediante el DNI, mediante el cual se puede realizar una firma que funciona como un certificado electrónico de forma sencilla.

¿Por lo tanto, porque no confiar en esta firma? Yo creo personalmente, que mediante el uso de este tipo de proceso se consigue perfectamente sustituir a la firma manuscrita y que en un mundo como el actual es totalmente necesario ya que acelera mucho los procesos administrativos y es algo que ayuda a confiar en la realización de negocios mediante medios electrónicos. Sí que es verdad que un mundo en el que la ciberseguridad está a la orden del día la gente es reticente a confiar en esto, pero este sistema hoy en día es confiable y da la posibilidad de confiar en la integridad del documento lo cual es vital. Pongámonos en el caso de que debemos enviar un contrato o un documento desde España a Rusia y optamos por enviarlo por correo, de esta forma podría ocurrir que alguien intercepte ese documento y que lo suplante o espié la información del mismo para tomar ventaja de ello. Esto mediante la firma digital no ocurre porque logramos que se garantice la integridad, entonces, ¿Por qué no usarla?

Referencias:

“Firma electrónica”, Portal administración electrónica, acceso el 8 de octubre 2016,

http://firmaelectronica.gob.es/Home/Ciudadanos/Firma-Electronica.html

“Electronic and Digital Signatures: A Global Status Report – Executive Introduction”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Electronic-and-Digital-Signatures-A-Global-Status-Report-Executive-Introduction.aspx

“Digital Signatures – Security & Controls”, Isaca, acceso el 9 de octubre de 2016,

https://www.isaca.org/bookstore/extras/Pages/Digital-Signatures-Security-andamp-Controls-Executive-Summary.aspx

“What are digital signatures?”, DocuSign, acceso el 9 de octubre de 2016,

https://www.docusign.com/how-it-works/electronic-signature/digital-signature/digital-signature-faq

BOE del Código de Derecho de la Ciberseguridad, edición actualizada a 21 de julio de 2016.