Los Certificados Electrónicos en la Administración Pública:

1. Los Certificados Electrónicos en la Administración Pública: ¿Solución o Pesadilla? Alberto López Tallón Jefe de Servicio de Proyectos Tecnológicos

2. La Identidad Digital en la Administración Pública

3. La Identidad Digital - Los comienzos: Con el auge de la Administración Electrónica, los certificados electrónicos se establecen como solución de referencia de identidad digital Una de las principales razones es la necesidad de trasladar las garantías jurídicas del derecho administrativo a la vía electrónica Los certificados son una solución potente, interoperable, con un alto nivel de seguridad y aportan importantes ventajas de gestión

4. El Certificado-e en la Administración La Administración asume una posición de liderazgo en el uso de certificados electrónicos, muy por delante del sector privado Al principio (p.ej. IRPF 1999) el entorno tecnológico del usuario se mantiene razonablemente sencillo Entonces, prácticamente el 100% de los casos: Windows + IE + certificado PKCS#12

5. El Certificado-e en la Administración A partir de aquí:

6. El Certificado-e en la Administración

7. El Certificado-e en la Administración Una mayor heterogeneidad del entorno multiplica los problemas de una tecnología no trivial como lo son los certificados digitales El ciudadano se encuentra con pautas de uso y problemas diferentes según qué producto usa El principio de neutralidad tecnológica de la Ley 11/2007 es deseable, pero a la vez resulta problemático en la práctica

8. El Certificado-e en la Administración A mayores, en la Administración aún se comenten errores que confunden al usuario. Ejemplo: uso de CAs propias en webs públicas Muchos de los fabricantes tampoco ayudan: insuficiente soporte al uso de certificados digitales, falta de rigor en las implementaciones,… Aún falta estandarización con lo que ello implica. Ejemplo: firma electrónica en Web

9. El Certificado-e en la Administración Aparecen nuevos requisitos. Ejemplo: VM Java para Applets de firma electrónica Algunos tipos de certificados generan barreras adicionales. Ejemplos: adquisición del lector e instalación de software del DNI electrónico En algunos casos conseguir una usabilidad adecuada implica asumir brechas de seguridad. Ejemplo: instalación vía Web de un cert. PKCS#12

10. Los principales problemas y barreras para el ciudadano

11. Barreras y Problemas para el ciudadano El entorno tecnológico aún no ha logrado que la utilización de los certificados electrónicos sea lo suficientemente transparente al usuario El ciudadano ha de enfrentarse a conceptos no triviales: almacén de certificados, certificado raíz, clave privada, etc. Erroresen las Webs y distribución de certificados raíz generan rechazo e inseguridad al ciudadano

12. Barreras y Problemas para el ciudadano Incomodidad de algunos medios. P.ej.: lentitud y/o excesivas peticiones de introducción del PIN en algunas tarjetas criptográficas y DNIe. Excesivo nivel de incidencias en componentes clave. Ejemplo: Componentes de firma electrónica en páginas Web Confusióncreada por las políticas de algunas fabricantes. Ejemplo: almacenes de certificados

13. Consecuencias

15. Pero… Se trata de una tecnología demasiado buena y segura como para descartarla Además, el problema no está tanto en los propios certificados, sino en el entorno tecnológico

16. Por tanto… Hoy por hoy, salvo para colectivos afines a las nuevas tecnologías, los certificados carecen de la usabilidad necesaria para un uso amplio No obstante, el uso generalizado de certificados electrónicos sigue siendo el ideal al que aspirar Mientras tanto hay que trabajar en las mejoras y contemplar alternativas

17. Algunas claves para encontrar soluciones

18. Claves para encontrar Soluciones Estudiar soluciones para simplificar el uso de los certificados electrónicos Análisis de riesgos individualizado en los trámites para estudiar alternativas a los certificados. Ejemplos: puntos DGT, borrador AEAT, etc. Al funcionario lo podemos formar, al ciudadano no. Quedan prohibidas la soluciones complejas para su uso generalizado

19. Claves para encontrar Soluciones Al ciudadano rechaza «tareas de bricolaje», si queremos un uso generalizado de certificados electrónicos todo ha de ser «plug and play» El problema es mucho más fácil de resolver con funcionarios y profesionales, ya que disponen de departamentos de tecnología y formación … pero, aún no se forma lo suficiente y se delega demasiado en el proveedor en la implantación de soluciones de administración electrónica

20. Claves para encontrar Soluciones ¿Cuál sería la solución ideal?

21. Tarjeta criptográfica (incluido DNI electrónico) tipo «plug and play» + Software eficiente: sin lentitud, ni peticiones excesivas del PIN de usuario + Políticas eficaces que logren la incorporación de los lectores como un dispositivo cotidiano más

22. Claves para encontrar Soluciones Solucionar los problemas expuestos es técnicamente posible y ni siquiera muy difícil Lograrlo es una cuestión de coordinación y voluntad de todos los actores implicados: fabricantes, instituciones de normalización, Gobiernos y Administración

23. Muchas Gracias Más información en: www.microlopez.org Alberto López Tallón Jefe de Servicio de Proyectos Tecnológicos