Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

martes, 23 de julio de 2013

ISACA, Barcelona, la firma electrónica y una guía de auditoría, parte 2.

Como ya comenté hace una semana y pico, el pasado 4 de junio, el capítulo de  Barcelona de ISACA, realizó la sesión "La Signatura Electrònica" en la que tuve la suerte de participar como ponente.

En esta entrada continúo comentando las tendencias de mercado allí expuestas.

Éste se mueve entre dos extremos en el modelo de implantación:
  1. El clásico, basado en certificados en tarjeta criptográfica+lector de tarjeta o en token criptográfico.
  2. El modelo servicio en cloud con las claves vaya usted a saber dónde, eventualmente en un módulo hardware seguridad (HSM por sus siglas en inglés)

Entre los extremos hay soluciones intermedias, obviamente. El primer modelo ofrece más garantías legales, es más seguro (las claves las tengo yo, conmigo, en mi cartera) pero es más complejo (hace falta cacharrería varia y que todo funcione) y, si el número de usuarios crece, más caro (el coste variable es importante)

Por otro lado, el segundo modelo es mucho más cómodo y ágil de implantar, pero no ofrece tanta seguridad y su validez legal como prueba es, en general, inferior (en I'm siiiiiiiigning in the cloud ... detallo los pormenores)

firma electrónica o digital, según regionesDesde mi punto de vista, la pregunta no es si en Europa se admitirá o no la firma centralizada (en un HSM, por ejemplo) como firma electrónica reconocida, sino CUANDO se admitirá. Si Europa quiere ser competitiva, quizá tendrá que dejar de proteger tanto a sus grandes fabricantes de tarjetas criptográficas y permitir que el mercado se dinamice.

Según las regiones, en Catalunya se ha seguido el modelo de CATCert, más flexible y dinámico, con certificados en software, diferentes perfiles y servicio de key escrow, a nivel España, se ha optado por un modelo tipo 1. puro, esto es DNI electrónico, lector te lo pillas donde puedas (o, en algunos momentos, gratis en las comisarías) y PIN y middleware infernales.

A nivel Europeo hay diversidad de implantaciones e interpretaciones de la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco común para la firma electrónica, habiendo soluciones en HSM, clásicas y propietarias (de nuevo, más detalles en  I'm siiiiiiiigning in the cloud ... )

Latinoamérica ha seguido un enfoque legislativo más parecido al europeo que al Norteamericano, lo que ha facilitado junto con los lazos culturales, que empresas españolas pudieran exportar sus servicios, productos y conocimientos allende los mares.

En EE. UU., como comentaba en Un puente de firma electrónica entre continentes, parece que las soluciones pivotan entorno a dos opciones: captura de firma manuscrita para el sector privado, presencial o firma electrónica basada en PKI para las agencias federales. No aburriré comentando de nuevo lo mismo que en la entrada referida.

El futuro

El futuro de la firma electrónica pasa, desde mi punto de vista, por dos cuestiones: la primera, ya comentada, la firma "centralizada", matizando que el acceso a la misma o la activación de las claves para firmar pueda realizarse desde el móvil

La segunda, por rebajar el nivel de firma necesario para los trámites a realizar con la administración pública. Tenemos que pasar, no sólo a nivel español, a que la inmensa mayoría de los trámites puedan realizarse con firma electrónica avanzada (FA), requiriendo la firma electrónica reconocida (FR) para unos pocos trámites con una carga legal realmente pesada y la firma electrónica, digamos, "ordinaria" (FO), para meras consultas de muy bajo impacto (aquí, las definiciones de FR, FA y FO.)

pasando de la firma electrónica reconocida a la avanzada

Por otro lado, no debemos caer en la trampa del "análisis de riesgos" para todo. No empecemos a definir, niveles, subniveles y metaniveles y otros tantos mecanismos de firma y autenticación.

Y sobre la  "Guía para la Auditoría de Sistemas que hayan implantado y usen la firma electrónica", hablaremos en una tercera y final entrada, esperando que se haya publicado. Así, pues ...

... continuará ...

--
Si este artículo te ha parecido interesante, por favor, compártelo usando cualquiera de los botones de debajo.