La gestió acadèmica electrònica: Un equilibri entre la seguretat i la utilitat? Nacho Alamillo Director

Resum La digitalització dels tràmits, amb la desaparició del paper, sovint genera sentiments contradictoris i neuròtics, que oscil·len entre una insuportable i rígida seguretat informàtica, i una temerària i poc responsable apetència per la utilitat a qualsevol preu. La legislació d’administració electrònica ens pot ajudar a trobar un camí raonable i intermedi entre ambdues opcions, d’acord amb els principis de proporcionalitat i accessibilitat. Aquesta ponència tractarà sobre la cerca d’un equilibri entre la seguretat i la utilitat del sistema, quant a la identitat electrònica, la signatura electrònica i la gestió electrònica dels documents, expedients i arxius, en el paradigma clàssic de tramitació, ja superat, i els reptes de la Web Social.

Continguts L’e-Administració i la seguretat L’ecosistema d’identitat i signatura electrònica Tensió seguretat-utilitat a la gestió acadèmica Trobar l’equilibri: la política d’identitat i firma electrònica Conclusions

L’e-Administració i la seguretat – 1 Principis en relació amb la seguretat (art. 4 LAECSP) Principi de protecció de dades de caràcter personal: “El respecte al dret a la protecció de dades de caràcter personal en els termes que estableix la Llei orgànica 15/1999, de protecció de les dades de caràcter personal, en les altres lleis específiques que regulen el tractament de la informació i en les seves normes de desplegament, així com els drets a l’honor i a la intimitat personal i familiar.” Principi d’accessibilitat: “a través de sistemes que permetin obtenir-los de manera segura i comprensible, garantint especialment l’accessibilitat universal i el disseny per a tots dels suports, canals i entorns amb la finalitat que totes les persones puguin exercir els seus drets en igualtat de condicions”.

L’e-Administració i la seguretat – 2 Principis en relació amb la seguretat (art. 4 LAECSP) Principi de seguretat: “en la implantació i utilització dels mitjans electrònics per les administracions públiques, en virtut del qual s’exigeix almenys el mateix nivell de garanties i seguretat que es requereix per a la utilització de mitjans no electrònics en l’activitat administrativa”. Límit inferior de seguretat a aportar. No resulta acceptable que el “procediment electrònic” sigui menys segur que el procediment en suport paper. Principi de proporcionalitat: “en virtut del qual només s’exigeixen les garanties i mesures de seguretat adequades a la naturalesa i circumstàncies dels diferents tràmits i actuacions.” Límit superior de seguretat. Tampoc resulta acceptable exigir més seguretat de la necessària, especialment en termes de gestió de dades de caràcter personal.

Seguretat Utilitat L’e-Administració i la seguretat – 3 Comoditat Mobilitat Accés Comoditat Compliment eAdministració

L’e-Administració i la seguretat – 4 Drets en relació amb la seguretat (art. 6 LAECSP) A la garantia de la seguretat i confidencialitat de les dades que figurin en els fitxers, sistemes i aplicacions de les administracions públiques (important en relació amb la conservació en format electrònic per les administracions públiques dels documents electrònics que formin part d’un expedient). A obtenir els mitjans d’identificació electrònica necessaris. Les persones físiques poden utilitzar en tot cas els sistemes de signatura electrònica del document nacional d’identitat per a qualsevol tràmit electrònic amb qualsevol Administració pública. A la utilització d’altres sistemes de signatura electrònica admesos en l’àmbit de les administracions públiques.

Continguts L’e-Administració i la seguretat L’ecosistema d’identitat i signatura electrònica Tensió seguretat-utilitat a la gestió acadèmica Trobar l’equilibri: la política d’identitat i firma electrònica Conclusions

L’ecosistema d’identitat i signatura-e – 1 Som humans, tot i que ens projectem a l’entorn electrònic! L’administració electrònica, com qualsevol altre entorn nou, precisa referents amb el mon «real»: La «identitat electrònica», La «capacitat d’actuació electrònica», La «signatura electrònica», Les «evidències electròniques» dels actes. No es tracta de una tecnologia concreta, sino d’una percepció social, amb una construcció adequada del risc individual i del col·lectiu.

L’ecosistema d’identitat i signatura-e – 2 El que li «mola» a l’Estat…. Quasi nul nivell d’ús (<5%, SEI 2010). Problemes d’interoperabilitat. Identificació exorbitant, inconvenient per a la participació electrònica. Aplicacions insegures. I no funciona amb iPAD!!!

L’ecosistema d’identitat i signatura-e – 3 El que «admet» l’Estat…. Gairebé tots els problemes del DNIe. Problemes de sostenibilitat financera i competència. Robatori de certificats per troians. No s’aprofiten les oportunitats (certificats de pseudònim, de representant…) Tampoc no funciona amb iPAD... 8-(

L’ecosistema d’identitat i signatura-e – 4 El que més utilitzen les Universitats... Nivell mínim legalment admissible de signatura electrònica. Restringit legalment en sistemes d’informació d’administració electrònica de nivell alt segons l’ENS. Necessitat d’emprar potents controls compensatoris per fer-ho servir en e-Administració, que sovint no es troben instal·lats... Faciliten la mobilitat i els serveis remots.

L’ecosistema d’identitat i signatura-e – 5 El que utilitzen els «nadius digitals»… Identitat de primera part. Molt elevat nivell d’ús, frau real baix (atacs Playstation server). Nul·la verificació física d’identitat – controls compensatoris basats en reputació i interès. Gaming, xarxes socials, Web 2.0. Problemes amb menors d’edat i robatori d’identitat…

Continguts L’e-Administració i la seguretat L’ecosistema d’identitat i signatura electrònica Tensió seguretat-utilitat a la gestió acadèmica Trobar l’equilibri: la política d’identitat i firma electrònica Conclusions

Identitat Evidència Privadesa Tensió seguretat-utilitat a la gestió acadèmica – 1 L’ús dels mitjans electrònics s’ha de construir socialment a partir de la tensió entre valors en conflicte. Una excessiva identificació, no justificada, genera rebuig social... A banda de poder ser... Il·legal! Identitat Evidència Privadesa

Tensió seguretat-utilitat a la gestió acadèmica – 2 Com determinar el nivell d’identitat o signatura? Pas 1) Existència de normativa jurídica que imposi un nivell concret de signatura electrònica a emprar. Per exemple, la normativa de contractació pública electrònica exigeix l’ús de la signatura electrònica reconeguda. Pas 2) Dret del ciutadà o de l’Administració a emprar la signatura electrònica. Per exemple, la normativa d’Administració electrònica estableix el dret del ciutadà a emprar el DNI electrònic o determinats sistemes de signatura electrònica avançada. Pas 3) Nivell de seguretat de l’actiu documental d’acord amb els criteris del RDENS, dintre del nivell mínim marcat per la llei, per determinar necessitats addicionals de seguretat. Per exemple, en sistemes de nivell mig en les dimensions d’integritat i autenticitat es requereix l´ús d’algorismes acreditats.

Tensió seguretat-utilitat a la gestió acadèmica – 3 Com determinar el nivell d’identitat o signatura? Pas 4) Requisits del RDENI que resultin aplicables al sistema de signatura electrònica aplicable, seleccionat d’acord amb els criteris anteriors. Per exemple, la necessitat d’aplicar determinats formats de signatura electrònica als documents a intercanviar amb els ciutadans. Pas 5) Condicions addicionals en funció de cada procediment, d’acord amb allò establert a l’article 4 de la Llei 59/2003. Per exemple, en general es considera necessari restringir l’ús dels certificats amb pseudònim en el procediment administratiu.

Tensió seguretat-utilitat a la gestió acadèmica – 4 Identitat i signatura dels estudiants La Universitat sempre ha d’acceptar l’ús de la identitat i la signatura electrònica del DNI-e. Actes com la declaració responsable o l’aportació de documentació digitalitzada s’han de fer com a mínim amb signatura electrònica avançada basada en certificat reconegut. Actes com la sol·licitud o l’accés a la notificació han de permetre, com a mínim, l’ús de certificats reconeguts, ja que l’estudiant hi té dret. Altres actes es poden fer amb contrasenya d’estudiant, com l’aportació de documentació complementària o l’accés a l’expedient. Les queixes i suggeriments es poden fer amb identitat al·legada, sense que sigui necessari cap altre sistema.

Tensió seguretat-utilitat a la gestió acadèmica – 5 Identitat i signatura dels càrrecs i professorat La Universitat sempre ha d’acceptar l’ús de la identitat i la signatura electrònica del DNI-e, en procediments administratius en els quals el professorat i el personal tenen la condició d’interessat. Es pot dotar al professorat i al personal de sistemes propis de signatura electrònica, que en general s’hauran de basar al menys en certificat reconegut (nivell mig integritat i autenticitat ENS). També resultaria acceptable, tot i que de forma residual, l’ús de mecanismes no criptogràfics, sempre que es complementi amb una forta política d’evidència electrònica, internament, i que es protegeixi mitjançant un segell o codi de verificació electrònica quan el document / expedient hagi de sortir a l’exterior. En els actes a l’exterior, la política la marca el destinatari, d’acord amb la NTI de política de signatura de l’Esquema Nacional d’Interoperabilitat.

Continguts L’e-Administració i la seguretat L’ecosistema d’identitat i signatura electrònica Tensió seguretat-utilitat a la gestió acadèmica Trobar l’equilibri: la política d’identitat i firma electrònica Conclusions

La política d’identitat i signatura electrònica – 1 Les polítiques de signatura són un element clau per a la seguretat del document electrònic, el seu reconeixement per altres Administracions i la interoperabilitat. Es troben regulades als dos Reials Decrets que desenvolupen per a totes les institucions públiques la Llei 11/2007: Esquema Nacional d’Interoperabilitat, RD 4/2010. Esquema Nacional de Seguretat, RD 3/2010.

La política d’identitat i signatura electrònica – 2 Política de signatura electrònica Conjunt de normes de seguretat, d’organització, tècniques i legals per determinar com es generen, verifiquen i gestionen signatures electròniques, incloent-hi les característiques exigibles als certificats de signatura. Norma tècnica d’interoperabilitat de política de signatura electrònica i certificats (D.A.1ª RDENI), aplicable a totes les Administracions Públiques. Política de signatura electrònica pròpia de cada Administració pública. Pot conviure juntament amb altres polítiques particulars per a una transacció determinada en un context concret.

La política d’identitat i signatura electrònica – 3 Efectes de la política de signatura electrònica (RDENI) Les administracions públiques receptores de documents electrònics signats han de permetre la validació de les signatures electròniques contra la política de signatura indicada en la signatura del document electrònic, sempre que l’esmentada política de signatura estigui dins de les admeses per cada Administració pública per al reconeixement mutu o multilateral amb altres administracions públiques. Recomanació «forta» d’emprar signatures de tipus AdES-EPES, en la creació de signatures, i emprar les polítiques pròpies per a la validació de signatures AdES-BES.

La política d’identitat i signatura electrònica – 4 Esquema Nacional de Seguretat , art. 33 Els mecanismes de signatura electrònica s’han d’aplicar en els termes que indica l’annex II d’aquesta norma i d’acord amb el que preceptua la política de signatura electrònica i de certificats, segons estableix l’Esquema Nacional d’Interoperabilitat. La política de signatura electrònica i de certificats ha de concretar els processos de generació, validació i conservació de signatures electròniques, així com les característiques i requisits exigibles als sistemes de signatura electrònica, els certificats, els serveis de segellament de temps, i altres elements de suport de les signatures, sense perjudici del que preveu l’annex II, que s’ha d’adaptar a cada circumstància.

La política d’identitat i signatura electrònica – 5 Diferents significats del concepte «política de signatura» En l’Esquema Nacional d’Interoperabilitat – Directrius bàsiques per a les signatures electròniques (nivell altament polític i de norma de consens... O agressió competencial?) En el domini de cada Administració Pública (ex. CertiCA en l’àmbit de l’Administració General de l’Estat) – Normes genèriques d’autoorganització + condicions addicionals de signatura en el sentit de l’article 4 de la llei 59/2003 (nivell de decisions funcionals) ETSI TS 101 733 / TS 101 903 – Entrades de l’algorisme de validació de signatura (nivell tècnic i operatiu – configuració dels sistemes... PSIS, TrustedX, ASF, @firma...)

La política d’identitat i signatura electrònica – 6 Algunes recomanacions generals Les polítiques de signatura electrònica tenen molt de sentit en relació amb els actes jurídics: sol·licitar, fer una declaració responsable, resoldre, notificar... Les directrius (NTI, CertiCA...) estan bé per establir un marc general de treball, però no són interpretables pels sistemes d’informació. Les polítiques de signatura han de ser concretes, i han de ser estàndards per a l’organització. Les polítiques de signatura són un input per al procés de configuració de les plataformes tècniques, no un element constant de discussió dintre de la organització...

La política d’identitat i signatura electrònica – 7 Model de política de signatura electrònica i certificats per al sector públic de Catalunya Projecte en Creative Commons, liderat per la comunitat d’usuaris de signatura electrònica del sector públic, gestionat per Astrea: http://www.astrea.es/biblio Generació compartida de coneixement sobre el domini de seguretat documental, a partir de projectes amb les Administracions líder a Catalunya: Generalitat de Catalunya, Diputacions de Barcelona i Tarragona, BASE, Ajuntament de Barcelona, Sincrotró... CATCert com a Community Leader de la branca del domini de signatura electrònica de la política model. Basat en millors pràctiques provades, per reutilitzar el coneixement i eliminar barreres d’entrada als usuaris. Alineat amb les NTI de l’Esquema Nacional d’Interoperabilitat.

La política d’identitat i signatura electrònica – 8

La política d’identitat i signatura electrònica – 9

La política d’identitat i signatura electrònica – 10

La política d’identitat i signatura electrònica – 11

La política d’identitat i signatura electrònica – 12

La política d’identitat i signatura electrònica – 13

La política d’identitat i signatura electrònica – 14

Continguts L’e-Administració i la seguretat L’ecosistema d’identitat i signatura electrònica Tensió seguretat-utilitat a la gestió acadèmica Trobar l’equilibri: la política d’identitat i firma electrònica Conclusions

Conclusions És possible establir una posició equilibrada i raonable en relació amb la tensió seguretat-usabilitat. El principi de proporcionalitat – i elevades dosis de sentit comú – ajuden a establir normes. Cal determinar conjunts de regles, en atenció a les tipologies d’actuacions, en especial en atenció al procediment administratiu. Els resultats s’han de plasmar en una política de signatura electrònica. Els models de la política de signatura electrònica per al sector públic de Catalunya us ajudaran.

Moltes gràcies per la vostra atenció! Dubtes i comentaris? Nacho Alamillo: nacho@astrea.cat Director