–
¿Qué entiende por seguridad de los sistemas de información,
y qué papel juega en el desarrollo de la sociedad de la información?
– Esta Dirección General orienta principalmente sus actividades
hacia el usuario, no hacia el mundo profesional. Por otra parte, yo no
soy un tecnólogo. Hechas estas dos acotaciones, le diré
que el concepto que tengo de seguridad en TIC es exactamente el mismo
que tengo de la seguridad en abstracto. La palabra seguridad viene de
securus, que significa andar sin cuidado, no andar blindado. Cuando uno
anda por la calle sin cuidado es porque tiene sensación de seguridad.
Ésta, la seguridad, tiene tres componentes esenciales: el psicológico,
el tecnológico y el jurídico. El elemento más importante
en el contexto no es el tecnológico, que con ser esencial, ya cuenta
con profesionales expertos que se deben ocupar de cubrirlo, sino el psicológico,
porque es el que nos lleva a la confianza. Este factor pertenece al mundo
de las sensaciones subjetivas, y ya sabe que en este universo, a igualdad
de temperatura, hay personas que tienen frío y otras calor.
Tenemos, pues, un componente objetivo, el que permite conseguir técnica
y profesionalmente entornos de TIC razonablemente seguros, y un componente
subjetivo, que afecta a la sensación de seguridad del usuario.
Para ganar la batalla psicológica, la batalla de la confianza,
una de las herramientas básicas en la de informar, puesto que la
falta de información produce inseguridad. Lo más recomendable
para combatir los virus informáticos es usar las herramientas antivirus;
pero no sólo, además hay que ofrecer información
bien elaborada a fin de que las personas, los usuarios, puedan aprehender
qué comportamientos son proclives a causar y padecer una infección,
y cuáles minimizan este riesgo.
He dejado para el final, y no porque sea menos crítico que los
anteriores, el componente de seguridad jurídica. Podemos avanzar
en la implantación y uso de herramientas tecnológicas y
normas de seguridad, podemos llevar a cabo campañas de información
para fomentar la confianza, pero sin un marco jurídico que dé
seguridad, fracasaremos. El tráfico mercantil en el entorno virtual
necesita desarrollarse en un marco de seguridad jurídica.
– ¿Está resultando arduo el trabajo de elaboración
del anteproyecto de ley de servicios de la sociedad de la información
de comercio-e? ¿Para cuándo tendremos ley?
– La elaboración resulta compleja, ya que afecta a numerosas
vertientes de nuestra sociedad. El Ministerio de Ciencia y Tecnología
actúa de ponente en su desarrollo, pero el núcleo más
intenso de trabajo ha correspondido a los Ministerios de Justicia y de
Economía, con intervención importante de Sanidad y Consumo,
y de Interior. El asunto es delicado, porque toca de lleno a diferentes
áreas de nuestro ordenamiento jurídico, incluido el Código
Civil. En todo momento hemos procurado no diferenciar el mundo físico
del mundo digital, porque sólo hay un mundo, el de las personas
de carne y hueso, que están en algún territorio con una
legislación aplicable. El mundo romántico de los punto.com,
hay que reconocerlo, no propicia la confianza. La Directiva tiene que
estar incorporada a nuestra legislación antes de enero de 2002,
y vamos a intentar adelantarnos a esa fecha. Con las lógicas reservas,
esperamos que para antes de verano entre en el Parlamento para su tramitación.
 |
“La
legislación sobre firma electrónica se está
desarrollando en paralelo con la de servicios de la sociedad de
la información y con la de nombres de dominio”.
|
–
Ya que menciona a las punto.com, hablemos de comercio electrónico
vía web y de confianza.
– Con las reservas lógicas ante algo que se está
todavía construyendo, le diré que es nuestra intención
coordinar la legislación antedicha con la normativa que vamos
a desarrollar sobre nombres de dominio. Al ser el .es un dominio con
presencia efectiva en el territorio español, le será de
aplicación una legislación y una normativa, a fin de conseguir
una seguridad jurídica adecuada. Hemos escuchado las observaciones
de más de cincuenta instituciones al respecto, a través
del procedimiento de consulta pública, y, como sabe, hemos optado
por no crear nuevos registros. El comerciante
electrónico
no tiene por qué ser distinto al de toda la vida. Y un comerciante
de toda la vida, cuando realice sus actividades por medios electrónicos,
deberá indicar en su página web su número del Registro
Mercantil, y en el Registro Mercantil se indicará cuál
es su página web. Además se impondrán unas obligaciones
de identificación acerca de sus datos esenciales, algo necesario
para generar confianza en un medio que no permite el cara a cara.
– Han pensado arbitrar medidas, como por ejemplo la obligatoriedad
de que al menos el servidor web de comercio se identifique técnicamente
ante el extremo comprador. Me refiero al uso de los servicios comunmente
llamados de servidor seguro.
– La ley de servicios de la sociedad de la información y
de comercio-e, configura un marco jurídico y no entra en especificaciones
técnicas, aunque sí fija conceptos que se van a desarrollar
en por ejemplo la futura ley de firma electrónica y en el sistema
de acreditación de prestadores.
– ¿Qué opina sobre la polémica surgida
a raiz de la privacidad y el uso del correo-e por los empleados de empresas
para usos particulares?
– El debate es positivo. Respecto a la utilización del correo-e
por los empleados, conviene distinguir entre lo que es el medio, el
correo-e, y lo que es la dirección de correo-e. Está claro
que las direcciones de correo-e que pertenecen a la empresa, y que se
tienen por razón del cargo, no sólo no son privadas, sino
que con independencia de quién ocupe ese puesto, pertenecen a
la empresa, como la dirección física a la que llegan los
paquetes. Cosa distinta ocurre con las direcciones personales, que son,
obviamente, privadas.
Por supuesto, en organizaciones y/o departamentos en los que la observancia
de unas medidas de seguridad rigurosas resulta esencial, la cosa cambia,
puesto que todos sabemos que el correo-e es una vía muy eficiente
de entrada y salida de información, y una fuente potencial de
problemas de seguridad. Existen herramientas tecnológicas cuyo
propósito es controlar el uso de los recursos, y que son útiles
para este fin sin necesidad de entrar materialmente en los contenidos
de los correos-e, por ejemplo.
– ¿En qué fase de desarrollo se encuentra la futura
ley de firma electrónica?
– España fue un país pionero en la materia, tras
la publicación del correspondiente Real Decreto-ley, incluso
antes de la aparición de la Directiva. Como sabe, un Real Decreto-ley
se tiene que hacer por motivos de urgencia, y luego, estando vigente,
hay un compromiso de tramitación como proyecto de ley. En la
pasada legislatura se empezó a tramitar la legislación
correspondiente como proyecto de ley, pero con la disolución
de las Cámaras y la convocatoria de elecciones, decayó
dicho trámite. Actualmente está previsto realizar la tramitación
como proyecto de ley. La ley de firma electrónica se está
desarrollando en paralelo con la ley de servicios y con la normativa
de nombres de dominio, tres proyectos esenciales a efectos de la seguridad
y confianza a cuya tramitación parlamentaria espero que podamos
asistir este mismo año.
– ¿Se tiene previsto cambiar notablemente su contenido,
en relación con el del Real Decreto-ley?
–
Notablemente no, puesto que aunque la legislación vigente se
publicó antes que la Directiva, obviamente se conocía
el contenido de ésta. Digamos que se está enriqueciendo
el texto con la experiencia acumulada y en los márgenes que permite
la Directiva a los Estados miembro; por ejemplo, se van a desarrollar
conceptos que en la legislación disponible están sólo
apuntados.
– ¿Está en la misma coyuntura el sistema de acreditación
de prestadores de servicios de certificación?
– También estamos trabajando en él, y, efectivamente,
en paralelo con lo dicho y muy vinculado con Ceres y con el proyecto
de DNI electrónico del Ministerio del Interior, dentro del plan
de acción Info XXI. Todo tiene relación, empezando por
el de la identidad digital. Por calendario, el sistema de acreditación
de prestadores se encuentra en fases preliminares, y no me gustaría
adelantar algo más concreto; no porque sea secreto, ya que como
en la ley de servicios de la sociedad de la información, queremos
ser muy abiertos, sino porque, en verdad, no estoy en disposición
de decirle si va a cambiar o no va a cambiar mucho sobre el texto vigente,
puesto que nuestra línea es aceptar observaciones y sugerencias
al respecto.
–
Uno de los proyectos, recogido en Info XXI, y como ha mencionado, consiste
en proporcionar, además del DNI físico, uno parejo, que
sirva para el mundo digital. ¿Le parece proporcional el revuelo
que dicha iniciativa, por sus implicaciones, viene causando en muchos
ambientes?
– Antes de entrar en materia le hago una precisión: uno parejo,
como usted dice, o uno para todos los entornos. Bien, el plan de acción
Info XXI contiene varias medidas referidas a la seguridad que se mueven
en el contexto de ámbitos competenciales de varios Ministerios.
A este Ministerio le corresponden las funciones de coordinación
de Info XXI, y por ello quiero ser muy prudente. Obviamente, el DNI electrónico
algo tendrá que ver con el departamento que tiene competencias
sobre el DNI normal, en tanto que Ceres compete a la FNMT. En todo caso,
son iniciativas importantes que hemos querido poner separadas, porque
aunque puedan tener que ver, para empezar, y así se puso en el
Plan de Acción, el DNI electrónico tiene una función
igual a la que cumple el físico, que es la de identificación,
en este caso digital. El DNI electrónico está enfocado a
la identidad digital. No queramos correr más.
A medida que lo permitan no sólo los desarrollos tecnológicos
en TIC, sino también los de administración electrónica,
se podrá ir accediendo a más servicios públicos por
medios electrónicos, y optando por los modelos más oportunos,
en consonancia con la legislación sobre privacidad y con las distintas
necesidades de seguridad de tales servicios. Ciertamente, existe la voluntad
o el deseo de que no haya una multiplicación de tarjetas inteligentes
para cada uno de los servicios de las distintas administraciones
– No sólo me estaba refiriendo a las administraciones,
sino también al sector privado...
– Sabemos que un proyecto tan importante como éste puede solucionar,
ante la inexistencia de un DNI electrónico, algunas funciones que
otras iniciativas intentan cubrir, si bien es cierto que parcialmente,
al no tener la posición del Estado, cuyo ámbito afecta a
todos los ciudadanos. Pero, sinceramente, no debe pensarse que el proyecto
se ha planteado para trastornar a estas iniciativas, sino en cumplimiento
del deber que tiene el Estado de poner en igualdad de condiciones a todos
los ciudadanos en el acceso a la sociedad de la información.
– Una de las iniciativas tomadas por el Ministerio de Ciencia
y Tecnología ha sido la creación del Sistema de Alerta Temprana
Antivirus. ¿Cuál es su estado del arte?
– Está en su fase inicial. Hemos trabajado intensamente con
el MAP por el servicio que viene manteniendo; también con la RedIris,
por el Cert, y con laboratorios especializados en otros países,
y estamos avanzando. Está previsto que el Centro se presente dentro
de poco en sociedad y en la estructura que se está actualmente
ultimando de Red.es, la entidad pública empresarial creada justamente
como apoyo a las acciones de desarrollo de la sociedad de la información.
Su núcleo central es el de la gestión de nombres de dominio,
pero a su lado se encuentra el área denominada Observatorio de
la Sociedad de la Información, y otra específicamente dedicada
a la seguridad, en la que se encuadra, en principio, el Sistema de Alerta
Temprana Antivirus, aunque entra dentro de nuestros planes incorporar
otras líneas de seguridad TIC. La idea es que Red.es se convierta
en una entidad de referencia, una especie de vigía, frente a alarmas
de seguridad y su análisis.
– ¿Se admite la colaboración del sector privado?
– Por supuesto. En el Observatorio de la Sociedad de la Información
tenemos intención de trabajar con todas las entidades que manejan
datos del sector para ponernos de acuerdo y crear unos indicadores comunes;
en materia de seguridad dispondremos de un departamento en línea
directa con todos aquellos que estén interesados en la materia:
sensores, difusores, colaboradores... Desde esta área de seguridad
de Red.es se pretende diseñar, en colaboración con la iniciativa
privada y las administraciones, sistemas de seguridad, ya que se le va
a dotar, muy posiblemente, de la capacidad de propuesta a la administración
de regulaciones o de normas tecnológicas.
– España no dispone, en el contexto civil, de un Esquema
Nacional de Evaluación y Certificación de la Seguridad de
productos TIC. ¿Se va a hacer algo al respecto?
– Este particular se va a solucionar en breve, y para ello estamos
trabajando en la materia junto a otros departamentos ministeriales. Créame,
no puedo facilitarle más información.
– ¿Tendrá algo que ver en este asunto Red.es?
– Pudiera ser y pudiera no ser. Lo importante no es de dónde
vaya a depender, sino que se preste esa función, llenando el vacío
que ahora existe.
– Una última cuestión: existe intención de
crear una Agencia Nacional de Seguridad, que entiendo debería tener
competencias sobre algunos aspectos relacionados con la seguridad TIC.
¿Podría adelantar algo al respecto?
– Le contesto lo mismo que a su pregunta anterior: página
en construcción.
Fotografía: Jesús A. de Lucas
