La carrera empieza ahora
Como muchas veces pasa, la cordura del discreto mundo profesional ha dejado las cosas en su sitio: un sí a la firmas electrónicas autenticadas en el contexto de los procesos internos, asunción de los servicios intranet seguros, y una paulatina implantación del esquema de certificación y PSC, toda vez que se deshoje la margarita de la legislación en general, y de los dispositivos seguros de creación de firma en particular.
El final del año 2001 ha estado trufado de novedades: la publicación del excelente borrador de anteproyecto de ley de firma electrónica; las primeras informaciones acerca del proyecto de DNI electrónico; los cambios en el mundo de los registradores de la propiedad, mercantiles y de bienes muebles, y de los notarios en lo referente al uso de la firma electrónica y de su constitución como proveedores de servicios de certificación, previstos en la amenísima ley de acompañamiento de los presupuestos; los finos ajustes en el engranaje de la FNMT-RCM y de su departamento Ceres, la firma del primer Convenio sobre Cibercriminalidad por treinta países, entre ellos España, que lo hizo «Ad Referendum»... Todo bueno, nada malo.
En lo que llevamos de 2002, es decir, en lo que llevamos de presidencia de la UE, las cosas van bien. El ministerio de Ciencia y Tecnología, por ejemplo, parece que tiene en proyecto realizar un piloto de esquema de acreditación de PSC y de certificación de determinados productos de firma, según ha podido saber SIC. La idea, excelente, consiste en realizar una prueba con una entidad de acreditación, una entidad de evaluación y un PSC o fabricante (por este orden).
En el terreno de los proveedores de tecnología y servicios PKI, quizá el devenir de estos movimientos se perciba como lento. Pero una cosa es cierta: hay que estar visible en el mercado, de una forma o de otra. Además, en estos dos últimos años, los grandes usuarios se han estado familiarizando con los productos comerciales basados en criptográfica moderna, aprendiendo mucho de procedimientos operativos, de interoperabilidad, de escalabilidad, de sellado de tiempo, de validación de certificados... Ahora es cuando empieza el juego.
Crecimiento y renovación
El año trae, obviamente, aromas de crecimiento y renovación. No parece tontería recordar que hay más actores en el ramo de seguridad TIC –a un lado y a otro del mercado–; que algunos integradores están adaptando inevitablemente sus estrategias y su relación con los fabricantes; que del futuro nos llegan ecos de externalización de la seguridad y acuerdos de nivel de servicio (cortafuegos, VPN, IDS, antivirus, auditoría, PKI, cumplimiento, mantenimiento y actualización de políticas...); que las estructuras empresariales están asumiendo a marchas forzadas lo que significa la seguridad de la información, los controles, la organización de la seguridad, los planes de contingencia; que la UE tiene una propuesta de directiva relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, llamada a sustituir a la 97/66/CE... Nada hay en lo que se dice de negativo para la buena marcha de las cosas.
Siempre un poco más cerca
Por otra parte, el año en curso –no hay que olvidarlo– va a marcar un hito en lo que al tratamiento de los datos de carácter personal se refiere. De una parte, vencerá el plazo estipulado para realizar la auditoría obligatoria indicada en el Reglamento de medidas de seguridad a partir del nivel medio; de otra, las entidades concernidas deberán incorporar las medidas de nivel alto, extremo delicadísimo en algunos sectores públicos y privados críticos para el buen funcionamiento del país.
Estos dos asuntos –entre otros relativos a la LOPD y, más ampliamente entendidos, a la buena marcha de las empresas– tienen una importancia capital porque, además de constituirse en poderosos motores del mercado, han dado un sentido social y cívico a la necesidad de seguridad TIC, dejando en evidencia a algunos que con ella mercan sin sospechar siquiera para qué debe de servir.
