sábado, 26 de septiembre de 2009

e-Administración y seguridad

Hace unos días tuve el placer de compartir con varios colegas una interesante participación en los cursos de verano de la Universidad Pablo de Olavide en Carmona, dentro de un curso titulado "Sociedad vigilada y protección de datos" (ver noticia en el blog de Bartolomé Borrego). En concreto mi intervención tuvo lugar en la mesa redonda sobre seguridad y Administración electrónica, para lo cual me resultó de gran utilidad la noticia que sólo unos días antes encontré en uno de mis blogs preferidos: Apuntes de seguridad de la información. En fin, no tenía claro cómo enfocar la intervención, pero una vez más Javier Cao me ayudó a encontrar un planteamiento que no se centrara exclusivamente en un planteamiento jurídico; o, mejor dicho, que ofreciera interés tanto para juristas como para quienes no tuvieran tal condición, ya que seguramente el auditorio estaría integrandos tanto por unos como otros.
La primera duda que me asaltó era conceptual: ¿qué demonios digo que es la seguridad? Pues nada, ya que soy muy devoto de consultar el diccionario, me encuentro que el de la RAE ofrece acepciones muy heterogéneas: cualidad de seguro; libre y exento de todo peligro, daño o riesgo; cierto, indubitable y en cierta manera infalible; firme, constante y que no está en peligro de faltar o caerse; no sospechoso... Y la pregunta es más que evidente: si todo eso lo aplicamos a la Administración electrónica, ¿realmente cree alguien que hay seguridad? ¿hay preocupación generalizada en la Administración pública por las cuestiones relativas a la seguridad, o sólo algunos "locos de la colina" se interesan por estos temas? Desde luego, pienso que el ciudadano de a pie desconfía de la Administración, lo que unido a una gran falta de cultura en TICs resulta sin duda un cóctel peligroso desde el punto de vista de la confianza... Y tiene motivos para desconfiar: las veces que uno se da de bruces con aplicaciones que no funcionan y dan errores sistemáticamente o están mal diseñadas; las veces que nos piden papeles por enésima vez que ya tiene la propia Administración actuante (vulnerando un derecho que existe desde 1992); la brecha digital... Por no hablar de algún caso (que conozco por explicación directa de un afectado) en que al suscitar en un juicio el problema de las medidas de seguridad de una relevante entidad estatal que permite accesos indiscriminados a información de terceros el Abogado del Estado alude a una supuesta Ley de Bases de Datos...
Menos mal que, como jurista, me quedaba una salida: me enrocaré en la seguridad jurídica, aunque para ser sincero tampoco estaba muy convencido, así que empecé a tratar de buscar razones. El régimen jurídico de la e-Administración ¿se caracteriza por la certeza de sus normas? ¿realmente su aplicación es previsible? Ufff, el cerco se estrechaba. Ciertamente, hay que reconocer que la Ley 11/2007 (LAE) ha supuesto un avance incuestionable en relación con la situación anterior, hasta el punto de que se trata de una de las normativas más avanzadas a nivel europeo, que ha ayudado a resolver muchas de las barreras jurídicas que antes existitían en España. Pero no es menos cierto que hay muchas insuficiencias y problemas por resolver, entre otros:
  • existe una evidente falta de coordinación entre la Ley 30/1992 y la LAE en algunas materias;
  • la LAE no se ocupa de la protección de datos (se limita a afirmar que debe respetarse), sin tener en cuenta que la LOPD está basada en un modelo de protección propio de inicios/mediados de los años 90, donde Internet era muy pero que muy distinto y casi nadie sabía ni de qué hablabas;
  • algunas previsiones ESENCIALES de la LAE no tienen carácter básico, por lo que no se aplican ciertas garantías a cualquier Adminitración (pe.: es el caso de las actuaciones automatizadas);
  • el reconocimiento de derechos no siempre es la mejor opción metodológica para imponer obligaciones a la Administración, sobre todo si no está clara la titularidad de los mismos hasta después de ser ejercidos (derecho a no presentar documentos del art. 6.2.b LAE) o se puede renunciar a ellos o ejercerlos sin mayor justificación (caso de la elección del canal).
En fin, aunque me duela decirlo, desde ninguna de las perspectivas pude afirmar ese día en Carmona que la Administración electrónica fuera segura. ¡Mal que me pese!

1 comentario:

  1. Como ciudadano/profesional estoy sinceramente preocupado por la situación que plantea la e-Adminsitración. Quizás por venir asesorando al sector banca puedo decir que "cuando veas las barbas de tu vecino pelar, pon las tuyas a remojar". Es ingenuo pensar que una vez que los procesos administrativos se canalicen por Internet no vaya a haber problemas. El ánimo de lucro es una poderosa motivación y el fraude será el origen de los males que acechen a la e-Administración, como ya lo es de los problemas que sufre la Administración tradicional. Internet no cambia los problemas, sólamente los medios necesarios para causarlos.
    Los técnicos que sabemos de esto nos vemos entre la espada y la pared: por un lado no queremos transmitir miedo porque si las cosas se hacen bien no tiene que haber problemas pero por otro, odiamos el absurdo juego político de vender humo cuando detrás realmente no hay ni por asomo la seguridad que se intenta vender. Ya tenemos la primera víctima, el DNI-e. Aparece cuestionado como "inseguro" cuando esa afirmación no es del todo exacta.(http://www.elconfidencial.com/tecnologia/dni-electronico-internet-no-es-seguro-20090919.html)

    El "USO del DNI-E" supone la relación de tres piezas: soporte electrónico-aplicación-ciudadano. Los fallos de seguridad por ahora vienen de las interacciones soporte-aplicación y aplicación-ciudadano. En sí mismo, la tarjeta electrónica del DNI-e si es segura, tal como demuestra la certificación ISO 15408 otorgada por el CCN. Lo que no es seguro es cómo las aplicaciones usan el DNI-e. En el curso que compartimos en la Universidad del Mar Daniel pudo demostrar ya estos hechos. Por ello el esfuerzo del INTECO por publicar los Perfiles de protección en castellano. Sin embargo, ¿qué software actualmente da garantías de algo? ¿Quién entonces se va a molestar en garantizar que su aplicación usará bien el DNI-e?
    Llevamos tanto tiempo haciendo las cosas mal que ahora va a ser muy complicado cambiar la forma de trabajar. Ni siquiera el Esquema Nacional de Seguridad puede que lo consiga. A nivel teórico es perfecto y propone un buen modelo de seguridad pero la realidad es que no dejará de ser más que un brindis al sol, como lo es actualmente el R.D. 1720/2007 en el titulo VIII de medidas de seguridad.
    Es frustrante ver cómo si las cosas se hacen bien se evitan los problemas pero las miras cortoplacistas de la política no entienden estas premisas y van a apagar fuegos siemrpe. Y así nos va...
    Por terminar, los que nos dedicamos a esto no es que seamos gafes o paranóicos, simplemente nuestro modelo mental juzga las cosas desde otra perspectiva tal como expresé en http://seguridad-de-la-informacion.blogspot.com/2008/04/dentro-de-la-mente-torcida-del.html

    ResponderEliminar