El blog de Gunner!!!

Confesiones/crónicas de un internauta asombrado.

27. marzo 2023 14:09
by Gunner
0 Comentarios

La seguridad por bandera!!!

27. marzo 2023 14:09 by Gunner | 0 Comentarios

En un mundo en el que se ha normalizado por parte del ciudadano la tramitación electrónica de solicitudes, y por consiguiente su respuesta por la administración a través de esos mismos canales digitales, los intentos de suplantación y robo de identidad están a la orden del día. Es un problema que preocupa seriamente a los interesados y que se trata por diferentes vías.

Dos veces, dos,  he tenido que enviar mi última colaboración con la revista “EnRed@2.0: Revista digital por y para emplead@s de la Junta de Andalucía”. Hacer las cosas a prisa porque se acercaba el cierre de la edición número 14 hizo que, al repasar la primera versión enviada a redacción, me diese cuenta que dejaba traslucir esas mismas prisas por cumplir fecha. El contenido del texto era básicamente correcto pero contenía serios errores de estilo. Me senté con calma, revisé el texto sin cambiarlo demasiado (hubiese sido "otro" artículo) y me puse en contacto con ellos para solicitarles por favor corregir el texto publicado. El resultado... un texto "decente" y que merece ser leído, tanto por la redacción en sí como por las ideas que trato de transmitir.

El ensayo que les presento ahora aborda de manera somera parte de las herramientas y cuestiones que circundan la cuestión. Confío en que su lectura les resulte amena y de interés.

   

El intercambio electrónico de documentos (EDI) se ha convertido en una herramienta fundamental en la relación entre el ciudadano y la Administración Pública - también internamente en la interrelación entre los propios organismos de la administración -. Agiliza la comunicación, crea un registro evidenciable de las transacciones realizadas en ambos sentidos (Ciudadano <-> Administración, Administración <-> Ciudadano) y evita la pérdida de tiempo necesaria para la atención presencial de las peticiones. Baste decir que ahorra el tiempo innecesario que el ciudadano dedica a desplazarse a las oficinas de las administraciones necesarias y, por otra parte, permite a la administración optimizar el tiempo y número de recursos necesarios para atender la típica “ventanilla”.

Todos recordamos el famoso episodio de la película "Las doce pruebas de Astérix". En él, el noble galo tiene que lidiar con la burocracia romana. Hasta tal punto llega el caos, que los mismos burócratas acababan enloqueciendo víctimas de sus propias formalidades administrativas. Un ejemplo cómico pero que ilustra perfectamente el caos en que puede llegar a convertirse el “diálogo entre las partes”.

Es evidente la mejora que supone la facilidad y comodidad que supone la interrelación electrónica pero, puesto que en estas circunstancias los interlocutores no llegan a “verse”, también que genera una complicación implícita: Garantizar la autenticidad de la comunicación.

En este mundo “moderno”, tan habituado a las estafas electrónicas, se hace imprescindible acreditar que la existencia y las comunicaciones, tanto del ciudadano solicitante como del gestor de la cosa pública (ya sean personas físicas o jurídicas), son reales y no han sido alteradas por el camino.

Por este y otros muchos motivos es necesario securizar todo proceso administrativo. Sin duda, la ciberseguridad se ha convertido en piedra angular de todo tratamiento electrónico de datos en la Junta de Andalucía, que se está dotando tanto de recursos como de personal para conseguir un nivel de respuesta adecuado a los requisitos que los nuevos procesos están reclamando.

¿Qué herramientas se están empleando para ello?

  • Firma electrónica.
  • Medidas de ciberseguridad.
  • Formación en ciberseguridad.

Analicémoslas a continuación.

Firma electrónica.

Como paso previo a cualquier comunicación electrónica, tanto el origen como el destinatario de las transacciones han de acreditar su existencia “física/jurídica” ante un intermediario en el que ambos confían – en la mayoría de los casos la Fábrica Nacional de Moneda y Timbre (FNMT) -. Se trata de una entidad certificadora que acredita la correspondencia unívoca entre el comunicante y un token digital que se le entrega a modo de aval electrónico. Ese token se denomina Firma electrónica.

El funcionamiento de la Firma Electrónica consiste en una operación en varios pasos:

  • Se aplica al documento un algoritmo matemático que crear una huella digital llamada hash. Este hash es un número que identifica de forma inequívoca el documento.
  • El hash se encripta usando la clave privada del firmante.
  • El hash encriptado y la clave pública del firmante se combinan en una firma digital, que se agrega al documento.

Para verificar la autenticidad del documento, el receptor debe tener un programa que soporte firmas digitales. En nuestra comunidad autónoma el programa "AutoFirmaJA" usa la clave pública para desencriptar el clave hash. Luego calcula un nuevo hash para el documento. De este modo puede comparar el hash calculado con el hash desencriptado; si coinciden, el documento no ha sido modificado. Así, mismo el programa valida que la clave publica usada en la firma pertenezca a la persona/entidad nombre que lo haya firmado.

En la actualidad, la Junta de Andalucía está integrando el uso de la firma electrónica para permitir el acceso en sus aplicaciones horizontales más importantes (SSO, Single Sign-on), así como en los procesos de verificación y validación del intercambio de documentos electrónicos.

Medidas de ciberseguridad.

Dicen que la mejor manera de prevenir un ataque es conocer al enemigo. MITRE ATT & CK es una base de conocimiento accesible a nivel mundial de tácticas y técnicas basadas en observaciones del mundo real sobre las amenazas a la seguridad cibernética. Ésta, muestra de manera organizada las distintas etapas de los ataques, desde el acceso inicial al sistema hasta el robo de datos o el control de la máquina. Da recomendaciones para las plataformas de escritorio más comunes (Linux, macOS y Windows), así como para plataformas móviles.

Se pueden aplicar medidas de todo tipo, pero entre las más recomendables y que figuran en el catálogo de mitigaciones de MITRE encontramos:   

  • Mantener actualizados los productos antivirus de la entidad y verificar que están activadas las opciones de detección de comportamiento sospechoso en los endpoint.
  • Verificar las políticas y el correcto funcionamiento de las herramientas de backup del organismo.
  • Restringir el acceso a ficheros y directorios en unidades locales y de red.
  • Evitar que el usuario pueda instalar Hardware y Software sin autorización.
  • Implementar una herramienta de DLP (Data Loss Prevention). Algunos productos AV ya lo incluyen entre sus funcionalidades.
  • Formar al usuario en el correcto uso de las herramientas informáticas y en la detección de intentos de phishing, ingeniería social, y manipulación de sistemas.
  • Utilizar una herramienta SIEM para la recopilación y análisis de LOGS.

En cualquier caso, todas las recomendaciones de MITRE, junto con el uso de herramientas EDR/SIEM (Endpoint Detection and Response/Security Information and Event Management que combinan IA y BigData), son de utilidad y el responsable de Seguridad del organismo debe hacer patente su importancia ante los directivos de su entidad.

Formación en ciberseguridad.

La formación en Seguridad debe ser un aspecto integral en el currículum de todo empleado de la administración pública. Tenemos como ejemplo la Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.

Como ya se está haciendo en algunos casos, es recomendable distribuir periódicamente boletines de Seguridad y documentos de buenas prácticas entre los usuarios de los distintos organismos. Por otra parte, el Instituto Andaluz de Administración Pública (IAAP), entre sus campañas de formación anuales incluye formación tanto a nivel de usuario como a nivel técnico sobre ciberseguridad.

A riesgo de repetirme y enlazando con una de las recomendaciones de MITRE, es importante insistir en la importancia de formar adecuadamente tanto al ciudadano como a la administración en la necesidad de garantizar un uso correcto y veraz del EDI.

Según algunos informes, el 78 % de los departamentos TIC que consiguen detectar ataques selectivos en minutos emplean alguna solución de seguridad (SIEM) en tiempo real. Por ello, es necesario implementar una solución de este tipo en los organismos que lo precisen. Pero teniendo en cuenta que el factor tiempo de reacción es decisivo a la hora prevenir y/o detener una posible amenaza, considero necesario contar de partida o en su caso la creación de un equipo de técnicos con capacidad para utilizar eficazmente herramientas SIEM para detectar ataques selectivos. A mi juicio, estimo que - virus y ransomware aparte - en el caso de la Administración Púbica, por la naturaleza de los contenidos que gestiona, la prevención de fuga de datos es la amenaza a la que con más probabilidad está sometida. Por último. como obstinadamente recalco en mi exposición, es necesario concienciar al personal de los departamentos de Seguridad en aprovechar la información y las herramientas disponibles en el ámbito tecnológico para estar alertas y valorar adecuadamente  cualquier indicio de ataque.

Conclusión

Confío en que en los tiempos en los que nos movemos todos ya somos conscientes de la complejidad de los problemas asociados a una falta de atención apropiada a la seguridad en las comunicaciones electrónicas y también de los esfuerzos que la Administración debe y está realizando para garantizar y mejorar la respuesta que se da a las necesidades de los ciudadanos, a fin de cuentas… trabajamos para ellos.

Así pues, enarbolemos la bandera de la Seguridad y tengámosla presente en nuestro día a día digital, damas y caballeros.

Fin.

   

Creo que para ser tan solo una introducción al tema, contiene claras pinceladas tanto técnicas, como filosóficas de algunas de las dimensiones que la problemática del intercambio electrónico de documentos conlleva, alentando incluso a seguir y profundizar en el camino que se intuye en el horizonte digital  por el que estamos abocados a transitar. ¡Mi recomendación!... No se asusten, no suele llegar la sangre al río, hay muchas personas trabajando para que confiemos en que los procesos electrónicos llegan a buen fin!!!

Un saludo, y buenos días/tardes\noches, Damas y/o Caballeros.

P.d.: Aquí tienen el enlace a la publicación oficial. Como siempre, votos (abajo, pulsando sobre las estrellitas) y comentarios pulsando en el enlace azul cerca del título, gracias.

Cool

Categories: Revista | Tags: | Permalink

20. junio 2022 18:26
by Gunner
0 Comentarios

Administración Sostenible!!!

20. junio 2022 18:26 by Gunner | 0 Comentarios

Se acercaba la publicación del nuevo número de la revista “EnRed@2.0: Revista digital por y para emplead@s de la Junta de Andalucía” y se pusieron en contacto conmigo desde la redacción para agradecerme anterior colaboración e invitarme a participar con un nuevo artículo. Me gusta observar cómo evoluciona la sociedad y qué tendencias se adivinan en su horizonte. Precisamente la colaboración que les envié, que consideraron conveniente publicar y que les traigo ahora trata de una de las que viene cobrando más fuerza en la actualidad.

El uso de los recursos naturales, la degradación del medio ambiente, el reciclaje de residuos, el encarecimiento de las materias primas y costos en general, etc, son temas que me/nos preocupan a todos.

De las múltiples perspectivas desde las que podía haber abordado estas cuestiones, mis fieles lectores, decidí enfocar el artículo desde una vertiente que conozco muy bien: Los recursos tecnológicos en marco de la administración pública.

Confío en que el ensayo que les presento a continuación al menos les abra la mente.

   

Se preguntarán ustedes cómo es posible que se cambien con cierta frecuencia las impresoras en sus respectivas Consejerías o Empresas Públicas a pesar de que estas aún funcionen correctamente, ¿verdad? O por qué los periféricos de sus ordenadores se compran en el catálogo de bienes homologados a un precio sensiblemente diferente al que tendría si se adquiriesen en una tienda de informática, un gran almacén y no digamos ya por internet, ¿no?

Respecto al uso de papel reciclable creo que ya nadie duda de los motivos por los que se ha optado por ello a la hora de imprimir documentación: LA SOSTENIBILIDAD.

¿Qué es la “sostenibilidad”?

En ecología, sostenibilidad, se refiere al equilibrio de una especie con los recursos de su entorno. Por extensión se aplica a la explotación de un recurso por debajo del límite de renovación de estos. En general se trata de satisfacer las necesidades de las actuales generaciones sin comprometer las posibilidades de las futuras generaciones para atender sus propias necesidades.

Los tres pilares que se relacionan en el Desarrollo Sustentable son:

  • La economía.
  • El medio ambiente.
  • La sociedad.

¿Y cómo afectan estos factores a la administración?

La administración pública es la encargada, mediante políticas sociales, de gestionar, crear y procurar las condiciones adecuadas para que la vida de sus ciudadanos se desarrolle bajo parámetros que favorezcan un clima de satisfacción y mejora continua de la calidad de vida de sus administrados. Por ende, Economía, Sociedad, Medio Ambiente y Políticas Sociales/Administración están claramente ligadas en conjunto.

Prueba de ello es la Estrategia Andaluza de Desarrollo Sostenible 2030, que es el plan estratégico que la Junta de Andalucía ha elaborado, orientado a dar respuesta integrada a sus problemáticas asociadas.

Sí… todo muy teórico, muy altruista, muy bien intencionado… una concepción muy loable y digna, pero… ¿En qué se traduce todo esto?

Podría escribir una laaarga disertación filosófica y/o técnica hablando de las virtudes, aspectos e implicaciones de la “Sostenibilidad” en sus diferentes acepciones. Pero como informático, especializado en el mundo de las tecnologías de la información (TIC), voy a intentar responder a las preguntas que planteé en la introducción de este artículo centrándome en el marco de la sostenibilidad.

Glosario.

Van a escuchar, sino ahora si en poco tiempo, una serie de términos que definen y permiten establecer parámetros medibles acerca de los trabajos necesarios para alcanzar la “Sostenibilidad”.

Algunos conceptos básicos son:

  • ODS: Objetivos de Desarrollo Sostenible. Son 17 objetivos y 169 metas propuestos por las Naciones Unidas como propósitos del desarrollo humano incluyendo esferas como el cambio climático, la desigualdad económica, la innovación, el consumo sostenible, la paz y la justicia, entre otras prioridades.
  • PEDSA: Plan Estratégico de Sostenibilidad Aplicado. Define un conjunto de actuaciones que permiten integrar en la estrategia de la organización objetivos concretos y acciones específicas hacia un desarrollo sostenible y global, mitigando los impactos/costos inherentes a su aplicación.
  • Huella de Carbono: Se define como el conjunto de emisiones de gases de efecto invernadero producidas, directa o indirectamente, por personas, organizaciones, productos, eventos o regiones geográficas, en términos de CO2 equivalentes, y sirve como una útil herramienta de gestión para conocer las conductas o acciones que están contribuyendo a aumentar nuestras emisiones, cómo podemos mejorarlas y realizar un uso más eficiente de los recursos.
  • Análisis del ciclo de vida del producto: Es un proceso objetivo que nos permite evaluar el impacto ambiental asociado a un producto, proceso o actividad, desde la extracción de materias primas hasta el uso y fin de vida del producto, una vez que éste ha sido desechado.


Veamos cómo se aplican a nuestro caso, un pliego para adquisición de nuevas impresoras, donde verán estos conceptos aplicados/resaltados en el ejemplo.

Ejemplo – Pliego para adquisición de nuevas impresoras.

Internamente la impresora utiliza un “no tan pequeño” procesador para interpretar el lenguaje de impresión (normalmente PCL), controlar la parte mecánica y realizar la impresión en sí. Pues bien, ese procesador utiliza un determinado número de ciclos de reloj para ejecutar los algoritmos de impresión, que a su vez consumen milivatios de electricidad, lo que tiene asociado el costo de su consumo eléctrico. Multiplicado por las miles de páginas/operaciones que realiza a lo largo de su ciclo de vida supone un incremento en el consumo global tanto económico como de su huella de carbono necesarios para ejecutar los trabajos requeridos. Reducir el tamaño de los transistores repercute directamente en el tamaño final que tendrá el procesador. Además, reducir el tamaño de los transistores nos otorga mucho más rendimiento, menor disipación térmica y mayor ahorro energético. Por este motivo, las compañías siempre intentan reducir al máximo el tamaño de los procesadores, ya que se resume en más rendimiento, mayor eficiencia y menor tamaño.

Pero el análisis del ciclo de vida del producto no se reduce a la vida operativa de la impresora, sino tanto al desarrollo y fabricación de esta como, cuando se da de baja del inventario de la organización, a su reciclaje y/o eliminación física. Me explico. Para fabricar la impresora y su procesador es necesario tener en cuenta los recursos empleados para producirlos, como la extracción de tierra raras, el trabajo de diseño del procesador en sí, la fabricación de las obleas de los chips, etc. Igualmente podríamos decir lo mismo sobre los plásticos de las carcasas y otros componentes mecánicos de la impresora. ¿Pero qué me dicen de cuando muere el dispositivo y se da de baja del inventario? Tanto su proceso de destrucción, el reciclaje de sus componentes o cartuchos o incluso su reacondicionamiento para su reutilización tienen impacto económico/medioambiental.

En resumen, todos estos factores tienen un costo asociado y huella de carbono que es necesario tener en cuenta, medir y valorar mediante criterios objetivos de cara a la adquisición correspondiente al pliego que estamos tratando. Hay software que nos ayuda a ello, como por ejemplo PaperCut MF, que suele ofertarse como paquete de control de impresión en las distintas licitaciones que hacen los proveedores de soluciones de impresión a la Junta de Andalucía. Genera reveladores resúmenes ejecutivos que valoran el impacto medioambiental en árboles consumidos, Kg de Co2 y equivalencias de horas de bombilla de luz.

Una impresora tecnológicamente más moderna, con un procesador más rápido, pequeño y de menor consumo y, en general, un producto de fabricación más respetuosa con el medio ambiente repercute claramente en un menor coste global del proceso de impresión. Es un hecho demostrable, medible y deseable. Vemos pues que aparte de la obsolescencia, una nueva generación de impresoras a la larga redunda en un beneficio económico claro.

Verificar que los ODS se cumplen requiere trabajo, tiempo y, por ende, coste, lo que como consecuencia puede parecer que encarece el precio del producto final, pero puestos en la balanza los costes puntuales frente a los beneficios globales, el resultado es incuestionable. Por otra parte, adquirirlos a empresas certificadas del Catálogo de Bienes Homologados, garantiza (o debería garantizar) que los productos que estas ofertan se atienen (o deberían) a normas y reglas de sostenibilidad.

Conclusiones.

Como verán (y pueden intuir), hilando fino y aplicando criterios de sostenibilidad recursivamente se puede llegar a un nivel de reducción de costos, y emisiones de carbono insospechados.

Disculpen que insista… Es más, si el conjunto de la propia tramitación del posible pliego del que estamos tratando se hace de manera electrónica, evitaremos la impresión de cantidades importantes de papel tanto por la propia administración como por las empresas ofertantes, contribuyendo aún más a la reducción de la huella de carbono.

Para los ejemplos que propuse al principio del artículo aplicado añadí además un periférico tan común y un simple ratón de PC o una webcam para su equipo de teletrabajo. Para ellos se podrían hacer consideraciones similares a las que he expuesto antes, pero como no quiero extenderme más en este artículo les dejo como ejercicio el imaginar cómo “sostenibilizar” su adquisición.

La Junta de Andalucía está inmersa en un proceso de toma en cuenta y aplicación de criterios de sostenibilidad en todo aquel ámbito que revierta en beneficios para la sociedad. Está comprometida con los objetivos de desarrollo sostenible (ODS) y está elaborando planes estratégicos de sostenibilidad aplicados (PEDSA) a múltiples terrenos, patrocinados por la Agenda 2030. Confío en que no pierda fuelle esa carrera que ha emprendido, y que se vea respaldada por el resto de los organismos y proveedores que componen el ecosistema de la administración pública.

Ya saben que me gusta apostillar con alguna moraleja o proverbio. Para el caso que nos ocupa decían los indígenas americanos que:

“La tierra no es herencia de nuestros padres, es un préstamo de nuestros hijos”.



Dejémosles un mundo mejor.

   

¿Qué les ha parecido? Quizá podría haberlo tratado de mil maneras diferentes, pero esta es una de ellas. Como decía en la presentación del articulo, confío en que les haya despertado la curiosidad y las ganas de investigar sobre los aspectos que he intentado sacar a relucir. Son relevantes para las arcas y la gestión de la "cosa pública" pero además también es extrapolable al ámbito personal y doméstico.

Un saludo, y buenos días/tardes\noches, Damas y/o Caballeros.

P.d.: Disfruten del verano. Por cierto, aquí tienen el enlace a la publicación oficial. Como siempre, votos (abajo, pulsando sobre las estrellitas) y comentarios pulsando en el enlace azul cerca del título, gracias.

Cool