La gestió acadèmica electrònica: Un equilibri entre la ... · Tensió seguretat-utilitat a la...

La gestió acadèmica electrònica:

Un equilibri entre la seguretat i la utilitat?

Nacho Alamillo

Director

Resum

La digitalització dels tràmits, amb la desaparició del paper, sovintgenera sentiments contradictoris i neuròtics, que oscil·len entre unainsuportable i rígida seguretat informàtica, i una temerària i pocresponsable apetència per la utilitat a qualsevol preu. La legislaciód’administració electrònica ens pot ajudar a trobar un camí raonablei intermedi entre ambdues opcions, d’acord amb els principis deproporcionalitat i accessibilitat.

Aquesta ponència tractarà sobre la cerca d’un equilibri entre laseguretat i la utilitat del sistema, quant a la identitat electrònica, lasignatura electrònica i la gestió electrònica dels documents,expedients i arxius, en el paradigma clàssic de tramitació, ja superat,i els reptes de la Web Social.

Continguts

L’e-Administració i la seguretat

L’ecosistema d’identitat i signatura electrònica

Tensió seguretat-utilitat a la gestió acadèmica

Trobar l’equilibri: la política d’identitat i firma electrònica

Conclusions

L’e-Administració i la seguretat – 1

Principis en relació amb la seguretat (art. 4 LAECSP)Principi de protecció de dades de caràcter personal: “El respecte al

dret a la protecció de dades de caràcter personal en els termes queestableix la Llei orgànica 15/1999, de protecció de les dades decaràcter personal, en les altres lleis específiques que regulen eltractament de la informació i en les seves normes de desplegament,així com els drets a l’honor i a la intimitat personal i familiar.”

Principi d’accessibilitat: “a través de sistemes que permetin obtenir-los de manera segura i comprensible, garantint especialmentl’accessibilitat universal i el disseny per a tots dels suports, canals ientorns amb la finalitat que totes les persones puguin exercir els seusdrets en igualtat de condicions”.

L’e-Administració i la seguretat – 2

Principis en relació amb la seguretat (art. 4 LAECSP)Principi de seguretat: “en la implantació i utilització dels mitjans

electrònics per les administracions públiques, en virtut del quals’exigeix almenys el mateix nivell de garanties i seguretat que esrequereix per a la utilització de mitjans no electrònics en l’activitatadministrativa”.

Límit inferior de seguretat a aportar. No resulta acceptable que el“procediment electrònic” sigui menys segur que el procediment en suportpaper.

Principi de proporcionalitat: “en virtut del qual només s’exigeixen lesgaranties i mesures de seguretat adequades a la naturalesa icircumstàncies dels diferents tràmits i actuacions.”

Límit superior de seguretat. Tampoc resulta acceptable exigir mésseguretat de la necessària, especialment en termes de gestió de dades decaràcter personal.

L’e-Administració i la seguretat – 3

Seguretat Utilitat

L’e-Administració i la seguretat – 4

Drets en relació amb la seguretat (art. 6 LAECSP)A la garantia de la seguretat i confidencialitat de les dades que

figurin en els fitxers, sistemes i aplicacions de les administracionspúbliques (important en relació amb la conservació en formatelectrònic per les administracions públiques dels documentselectrònics que formin part d’un expedient).

A obtenir els mitjans d’identificació electrònica necessaris. Lespersones físiques poden utilitzar en tot cas els sistemes de signaturaelectrònica del document nacional d’identitat per a qualsevol tràmitelectrònic amb qualsevol Administració pública.

A la utilització d’altres sistemes de signatura electrònica admesosen l’àmbit de les administracions públiques.

Continguts

L’e-Administració i la seguretat

L’ecosistema d’identitat i signatura electrònica

Tensió seguretat-utilitat a la gestió acadèmica

Trobar l’equilibri: la política d’identitat i firma electrònica

Conclusions

L’ecosistema d’identitat i signatura-e – 1

Som humans, tot i que ens projectem a l’entorn electrònic!L’administració electrònica, com qualsevol altre entorn nou,precisa referents amb el mon «real»:

La «identitat electrònica»,La «capacitat d’actuació electrònica»,La «signatura electrònica»,Les «evidències electròniques» dels actes.

No es tracta de una tecnologia concreta, sino d’unapercepció social, amb una construcció adequada del riscindividual i del col·lectiu.

L’ecosistema d’identitat i signatura-e – 2

El que li «mola» a l’Estat….

Quasi nul nivell d’ús (<5%, SEI 2010).

Problemes d’interoperabilitat.

Identificació exorbitant, inconvenient per a la participació electrònica.

Aplicacions insegures.

I no funciona amb iPAD!!!

L’ecosistema d’identitat i signatura-e – 3

El que «admet» l’Estat….

Gairebé tots els problemes del DNIe.

Problemes de sostenibilitat financera i competència.

Robatori de certificats per troians.

No s’aprofiten les oportunitats (certificats de pseudònim, de representant…)

Tampoc no funciona amb iPAD... 8-(

L’ecosistema d’identitat i signatura-e – 4

El que més utilitzen les Universitats...

Nivell mínim legalment admissible de signatura electrònica.

Restringit legalment en sistemes d’informació d’administració electrònica de nivell alt segons l’ENS.

Necessitat d’emprar potents controls compensatoris per fer-ho servir en e-Administració, que sovint no es troben instal·lats...

Faciliten la mobilitat i els serveis remots.

L’ecosistema d’identitat i signatura-e – 5

El que utilitzen els «nadius digitals»…

Identitat de primera part.

Molt elevat nivell d’ús, frau real baix (atacs Playstation server).

Nul·la verificació física d’identitat – controls compensatoris basats en reputació i interès.

Gaming, xarxes socials, Web 2.0.

Problemes amb menors d’edat i robatori d’identitat…

Continguts

L’e-Administració i la seguretat

L’ecosistema d’identitat i signatura electrònica

Tensió seguretat-utilitat a la gestió acadèmica

Trobar l’equilibri: la política d’identitat i firma electrònica

Conclusions

Tensió seguretat-utilitat a la gestió acadèmica – 1

L’ús dels mitjans electrònics s’ha de

construir socialment a partir de la tensió entre

valors en conflicte.Una excessiva

identificació, no justificada, genera

rebuig social... A banda de poder ser...

Il·legal!

Identitat

EvidènciaPrivadesa

Tensió seguretat-utilitat a la gestió acadèmica – 2

Com determinar el nivell d’identitat o signatura?Pas 1) Existència de normativa jurídica que imposi un nivell concret

de signatura electrònica a emprar.Per exemple, la normativa de contractació pública electrònica exigeix

l’ús de la signatura electrònica reconeguda.

Pas 2) Dret del ciutadà o de l’Administració a emprar la signaturaelectrònica.

Per exemple, la normativa d’Administració electrònica estableix el dretdel ciutadà a emprar el DNI electrònic o determinats sistemes designatura electrònica avançada.

Pas 3) Nivell de seguretat de l’actiu documental d’acord amb elscriteris del RDENS, dintre del nivell mínim marcat per la llei, perdeterminar necessitats addicionals de seguretat.

Per exemple, en sistemes de nivell mig en les dimensions d’integritat iautenticitat es requereix l´ús d’algorismes acreditats.

Tensió seguretat-utilitat a la gestió acadèmica – 3

Com determinar el nivell d’identitat o signatura?Pas 4) Requisits del RDENI que resultin aplicables al sistema de

signatura electrònica aplicable, seleccionat d’acord amb els criterisanteriors.

Per exemple, la necessitat d’aplicar determinats formats de signaturaelectrònica als documents a intercanviar amb els ciutadans.

Pas 5) Condicions addicionals en funció de cada procediment,d’acord amb allò establert a l’article 4 de la Llei 59/2003.

Per exemple, en general es considera necessari restringir l’ús delscertificats amb pseudònim en el procediment administratiu.

Tensió seguretat-utilitat a la gestió acadèmica – 4

Identitat i signatura dels estudiantsLa Universitat sempre ha d’acceptar l’ús de la identitat i la signatura

electrònica del DNI-e.Actes com la declaració responsable o l’aportació de documentació

digitalitzada s’han de fer com a mínim amb signatura electrònicaavançada basada en certificat reconegut.

Actes com la sol·licitud o l’accés a la notificació han de permetre,com a mínim, l’ús de certificats reconeguts, ja que l’estudiant hi tédret.

Altres actes es poden fer amb contrasenya d’estudiant, coml’aportació de documentació complementària o l’accés a l’expedient.

Les queixes i suggeriments es poden fer amb identitat al·legada,sense que sigui necessari cap altre sistema.

Tensió seguretat-utilitat a la gestió acadèmica – 5

Identitat i signatura dels càrrecs i professoratLa Universitat sempre ha d’acceptar l’ús de la identitat i la signatura

electrònica del DNI-e, en procediments administratius en els quals elprofessorat i el personal tenen la condició d’interessat.

Es pot dotar al professorat i al personal de sistemes propis designatura electrònica, que en general s’hauran de basar al menys encertificat reconegut (nivell mig integritat i autenticitat ENS).

També resultaria acceptable, tot i que de forma residual, l’ús demecanismes no criptogràfics, sempre que es complementi amb unaforta política d’evidència electrònica, internament, i que es protegeiximitjançant un segell o codi de verificació electrònica quan el document/ expedient hagi de sortir a l’exterior.

En els actes a l’exterior, la política la marca el destinatari, d’acordamb la NTI de política de signatura de l’Esquema Nacionald’Interoperabilitat.

Continguts

L’e-Administració i la seguretat

L’ecosistema d’identitat i signatura electrònica

Tensió seguretat-utilitat a la gestió acadèmica

Trobar l’equilibri: la política d’identitat i firma electrònica

Conclusions

La política d’identitat i signatura electrònica – 1

Les polítiques de signatura són un element clau per a laseguretat del document electrònic, el seu reconeixement peraltres Administracions i la interoperabilitat.

Es troben regulades als dos Reials Decrets que desenvolupenper a totes les institucions públiques la Llei 11/2007:

Esquema Nacional d’Interoperabilitat, RD 4/2010.Esquema Nacional de Seguretat, RD 3/2010.

La política d’identitat i signatura electrònica – 2

Política de signatura electrònicaConjunt de normes de seguretat, d’organització, tècniques i legals

per determinar com es generen, verifiquen i gestionen signatureselectròniques, incloent-hi les característiques exigibles als certificats designatura.

Norma tècnica d’interoperabilitat de política de signaturaelectrònica i certificats (D.A.1ª RDENI), aplicable a totes lesAdministracions Públiques.

Política de signatura electrònica pròpia de cada Administraciópública.

Pot conviure juntament amb altres polítiques particulars per a unatransacció determinada en un context concret.

La política d’identitat i signatura electrònica – 3

Efectes de la política de signatura electrònica (RDENI)

Les administracions públiques receptores de documents electrònicssignats han de permetre la validació de les signatures electròniquescontra la política de signatura indicada en la signatura del documentelectrònic, sempre que l’esmentada política de signatura estigui dinsde les admeses per cada Administració pública per al reconeixementmutu o multilateral amb altres administracions públiques.

Recomanació «forta» d’emprar signatures de tipus AdES-EPES, en la creació de signatures, i emprar les polítiquespròpies per a la validació de signatures AdES-BES.

La política d’identitat i signatura electrònica – 4

Esquema Nacional de Seguretat , art. 33

Els mecanismes de signatura electrònica s’han d’aplicar en elstermes que indica l’annex II d’aquesta norma i d’acord amb el quepreceptua la política de signatura electrònica i de certificats, segonsestableix l’Esquema Nacional d’Interoperabilitat.

La política de signatura electrònica i de certificats ha de concretar elsprocessos de generació, validació i conservació de signatureselectròniques, així com les característiques i requisits exigibles alssistemes de signatura electrònica, els certificats, els serveis desegellament de temps, i altres elements de suport de les signatures,sense perjudici del que preveu l’annex II, que s’ha d’adaptar a cadacircumstància.

La política d’identitat i signatura electrònica – 5

Diferents significats del concepte «política de signatura»

En l’Esquema Nacional d’Interoperabilitat – Directrius bàsiques per ales signatures electròniques (nivell altament polític i de norma deconsens... O agressió competencial?)

En el domini de cada Administració Pública (ex. CertiCA en l’àmbit del’Administració General de l’Estat) – Normes genèriquesd’autoorganització + condicions addicionals de signatura en el sentit del’article 4 de la llei 59/2003 (nivell de decisions funcionals)

ETSI TS 101 733 / TS 101 903 – Entrades de l’algorisme de validacióde signatura (nivell tècnic i operatiu – configuració dels sistemes... PSIS,TrustedX, ASF, @firma...)

La política d’identitat i signatura electrònica – 6

Algunes recomanacions generals

Les polítiques de signatura electrònica tenen molt de sentit enrelació amb els actes jurídics: sol·licitar, fer una declaració responsable,resoldre, notificar...

Les directrius (NTI, CertiCA...) estan bé per establir un marc generalde treball, però no són interpretables pels sistemes d’informació.

Les polítiques de signatura han de ser concretes, i han de serestàndards per a l’organització.

Les polítiques de signatura són un input per al procés de configuracióde les plataformes tècniques, no un element constant de discussiódintre de la organització...

La política d’identitat i signatura electrònica – 7

Model de política de signatura electrònica i certificats per alsector públic de Catalunya

Projecte en Creative Commons, liderat per la comunitat d’usuaris designatura electrònica del sector públic, gestionat per Astrea:http://www.astrea.es/biblio

Generació compartida de coneixement sobre el domini de seguretatdocumental, a partir de projectes amb les Administracions líder aCatalunya: Generalitat de Catalunya, Diputacions de Barcelona iTarragona, BASE, Ajuntament de Barcelona, Sincrotró...

CATCert com a Community Leader de la branca del domini designatura electrònica de la política model.

Basat en millors pràctiques provades, per reutilitzar el coneixement ieliminar barreres d’entrada als usuaris.

Alineat amb les NTI de l’Esquema Nacional d’Interoperabilitat.

La política d’identitat i signatura electrònica – 8

La política d’identitat i signatura electrònica – 9

La política d’identitat i signatura electrònica – 10

La política d’identitat i signatura electrònica – 11

La política d’identitat i signatura electrònica – 12

La política d’identitat i signatura electrònica – 13

La política d’identitat i signatura electrònica – 14

Continguts

L’e-Administració i la seguretat

L’ecosistema d’identitat i signatura electrònica

Tensió seguretat-utilitat a la gestió acadèmica

Trobar l’equilibri: la política d’identitat i firma electrònica

Conclusions

Conclusions

És possible establir una posició equilibrada i raonable enrelació amb la tensió seguretat-usabilitat.

El principi de proporcionalitat – i elevades dosis de sentitcomú – ajuden a establir normes.

Cal determinar conjunts de regles, en atenció a les tipologiesd’actuacions, en especial en atenció al procedimentadministratiu.

Els resultats s’han de plasmar en una política de signaturaelectrònica.

Els models de la política de signatura electrònica per alsector públic de Catalunya us ajudaran.

Moltes gràcies per la vostra atenció!

Dubtes i comentaris?

Nacho Alamillo: nacho@astrea.cat

Director