VERSION
MOVIL - WEB
CHOOSE YOUR LANGUAGE

El personal TIC en la Administración del Estado

Recientemente se ha publicado el informe REINA 2017 de las Tecnologías de la Información y las Comunicaciones en la Administración del Estado en España. A continuación dejo algunas tablas donde se puede ver la evolución del personal TIC así como la distribución por Ministerios.

Evolución Personal TIC

El informe indica un descenso de 2268 efectivos TIC desde el año 2013.

Distribución personal TIC

Se observan diferencias en la distribución de personal TIC entre departamentos ya que el 28% de los efectivos corresponde al Ministerio de Interior, el 22% de Hacienda y Administraciones Públicas, y el 21% a Defensa, quedando el resto de Ministerios con cuotas inferiores al 16%. También existen diferencias en cuanto al % con respecto a la totalidad del personal..

REINA TIC Grupos

No existe homogeneidad entre Ministerios en los ratios entre los grupos A1, destinados a funciones directivas, con respecto a los grupos A2, con funciones de gestión, así como con el resto de grupos dedicados a tareas funcionales y técnicas.


Fuente: Portal de la Administración Electrónica (https://administracionelectronica.gob.es/)





Gestionando el tiempo


Cuando se está involucrado en varios proyectos y actividades con diversos tamaños, presupuestos y criticidades, y en general hay un exceso de trabajo, es primordial realizar una buena gestión del calendario personal para la mejora de la productividad, cumplimiento de compromisos, imagen, así como para la elaboración del trabajo organizadamente y enfocado a prioridades.  También ayudará a autoevaluar el trabajo y en la toma de decisiones para la mejora continua. Además, establecer prioridades, organizarse de forma correcta y una buena administración del tiempo es una herramienta poderosa para reducir el estrés.

Stephen Covey clasifica en 4 generaciones evolutivas el área de la administración del tiempo para acercarnos a un mayor control de nuestra vida y donde cada generación toma como base la anterior:

Primera generación: basada en notas y listas de tareas (“To-do Lists”).
Segunda generación: centrada en agendas.
Tercera generación: priorización y establecimiento de metas con objetivos.
Cuarta generación: el desafío no consiste en administrar el tiempo, sino en administrarnos a nosotros mismos y las expectativas se centran en preservar y realzar las relaciones alcanzando resultados.

Prioridad - Covey

Algunas recomendaciones prácticas que creo que pueden servir de ayuda en la gestión del tiempo en el ámbito profesional y personal e intentar conseguir esta administración personal que comenta Covey:

1.- Es importante conocer y analizar los resultados que queremos conseguir así como nuestras competencias y  roles y especialmente en los proyectos donde hay unos objetivos a cumplir en un periodo de tiempo. Es posible que en sus responsabilidades haya diversas actividades, muchos proyectos y diferentes roles en cada uno de ellos. Por ejemplo, es común ser director o jefe de proyecto en ciertos proyectos mientras que en otros tener responsabilidades de coordinación sobre jefes de de proyecto o simplemente estar afectado por ciertas actividades. (Recordemos el concepto de proyecto como conjunto de actividades con unos objetivos dentro de un ámbito temporal y con unos recursos asignados).

En función de los resultados, roles y competencias hay que decidir que hitos y reuniones son relevantes para el seguimiento personal y cuales otros se deben delegar. No son iguales los hitos a seguir por parte del sponsor del proyecto, del coordinador de un área, del jefe de proyecto del cliente, del jefe de proyecto de una parte proveedora, de un gestor de un servicio etc.

“Sopesa cuidadosamente donde hay que estar y donde no…”  - Sarah Watson (Ref. webforum.org)

2.- La agenda personal debe de estar alineada con los resultados, roles y competencias y al menos debe de incluir:

-Hitos para el seguimiento personal, es decir, que hitos debo de verificar si se han cumplido o no en función de los resultados objetivos y nuestro rol. Los hitos en planificación son actividades con tiempo cero y se refieren a la verificación de cumplimientos clave para ver que el proyecto o actividades avanzan correctamente.

-Tareas o actividades a realizar (“To-Do List” con reserva de tiempo estimada en la agenda).  Si debido a una urgencia no es posible cumplir con la agenda la actividad se debe de posponer y reservar el tiempo necesario en otro momento. Reuniones, presentaciones, formación etc. en el fondo son actividades comunes en cualquier proyecto en las cuales hay dependencias con las agendas de otras personas.

3.- Si surge una actividad no planificada, antes de acometerla, lo primero que debe de hacer es encajarla en su agenda. Si es prioritaria lógicamente se debe de atender, pero también se debe de agendar y considerar las afecciones y cambios sobre las demás responsabilidades, especialmente si afectan a compromisos o cambios de las agendas de otras personas y si verdaderamente tiene más prioridad que las ya planificadas. No se debe de confundir lo urgente con lo importante, hay que intentar dedicar la mayor parte del trabajo a lo importante e intentar anticiparse para que lo importante no llegue a ser urgente. Lo importante debe de estar relacionado con los resultados a conseguir.

MAtriz del tiempo

4.- Las actas de reunión deben de tener una lista de compromisos con sus responsables y una fecha de finalización. Debe de agendar sus compromisos como actividades y los compromisos de otros participantes de los cuales se necesite hacer el seguimiento en forma de hitos.

5.- Lo primero que debe de hacer al comenzar el día, y especialmente a comienzo de la semana, es revisar su agenda y optimizarla si es posible. Probablemente detectará tareas no prioritarias que se hayan pospuesto varias veces y que se realizarán en periodos con menos carga de trabajo. Que no sean prioritarias no significa que no sean importantes o que en algún momento puedan adquirir grado de urgencia. Hay que tener cuidado que una actividad no “muera de inanición” y nunca se aborde y también habrá tareas que simplemente se puedan cancelar porque se hayan resuelto por si solas o ya no tengan sentido.

6.- Revise y aprenda del pasado de su agenda ya que le servirá para la toma de decisiones posteriores y su mejora continua. Las metodologías modernas de gestión de proyecto siempre dedican una parte a las “lecciones aprendidas” ya que es muy importante aprender del trabajo y de los proyectos que se han realizado y contribuir al aprendizaje tanto organizacional como personal.

7.- Use la tecnología para la gestión de la agenda y manténgala sincronizada con sus dispositivos móviles y haga uso de los avisos y las alarmas. Hoy en día esta gestión está al alcance de todos ya que existen soluciones gratuitas que sincronizan con casi cualquier dispositivo (agenda IOS, Google calendar etc.). Haga uso de las agendas corporativas en su organización para facilitar la relación con las agendas de los demás y la interoperabilidad que pueda haber con las aplicaciones software de la organización.

8.- Aunque comparta la gestión de su agenda con su secretaria es importante que tenga acceso a ella. En ciertas situaciones puede ser útil disponer de una agenda profesional y otra agenda personal. Ambos calendarios se podrán “fusionar” en un único calendario, al cual solo tenga acceso usted, y con el  inconveniente del posible solapamiento de actividades en el mismo momento de tiempo.


Agenda


Como dice Stephen Covey, “mientras que el liderazgo decide qué es lo primero, la administración le va asignando el primer lugar día tras día, momento a momento”. Creo que el control del tiempo personal basado en resultados, roles y competencias así como la decisión de lo importante y urgente contribuyen en gran medida a tener una buena organización y gestión en los proyectos con el consecuente logro de objetivos. Por otro lado también contribuye en determinados escenarios a un control del stress así como a un mejor equilibrio entre la vida profesional y privada.



Los 7 hábitos de la gente altamente efectiva - Stephen Covey

Gestión: Tips para manejar el estrés producido por presión laboral

Psicocode: Gestión del tiempo: Los 4 cuadrantes de Stephen Covey

Puntualidad: una habilidad imprescindible del director de proyectos

Webforum.org: Stay positive and don't forget to delegate - how to manage a heavy workload
https://www.weforum.org/agenda/2016/12/too-much-work-to-juggle-heres-how-to-manage-it

Frases motivadoras
http://www.bloginnova.com/p/frases-celebres.html

Infografía: Administración Electrónica en España

En la siguiente infografía se puede observar la diferencia de porcentajes entre el uso de firma digital de las empresas en su relación con las Administraciones Públicas (71.8%) con respecto a su relación con sus clientes y proveedores (19,8%). 
Asimismo el grado de finalización de los servicios online es bastante alto en España (91,4%) situándose por encima de la media de la Unión Europea (80,6%).


Con respecto a los particulares se observa un crecimiento anual muy moderado en el uso de Internet para tratar con las Administraciones Públicas y algo más de crecimiento con respecto al porcentaje de formularios electrónicos cumplimentados tanto en España como en la media de la Unión Europea.

Referencia y más información:

Observatorio de las Telecomunicaciones y de la Sociedad de la Información (ONTSI):
Indicadores destacados de la Sociedad de la Información en España (Junio 2017)
http://www.ontsi.red.es/ontsi/es/content/indicadores-destacados-de-la-sociedad-de-la-informaci%C3%B3n-en-espa%C3%B1a-junio-2017

Páncreas, servidores webs y ataques DoS


Las previsiones de visitas y accesos son un aspecto importante a considerar en los sistemas informáticos y especialmente en los portales y servicios que se ofrecen de forma pública en Internet donde pueden venir peticiones desde cualquier lugar, en cualquier momento y en algunos casos con objetivos maliciosos. Cuando se pone a disposición un nuevo servicio electrónico es importante haber estimado el dimensionamiento de visitas y es esencial prever la distribución y sobre todo detectar los posibles “picos de máximos”  ya que podría influir en el rendimiento del servicio o que incluso estuviera comprometido. Las infraestructuras y servidores se tienen que dimensionar atendiendo a estos parámetros basados en estimaciones. Por ejemplo, si se trata de un servicio de nóminas es muy común que haya picos de acceso a final o principio de mes, si es un portal profesional los accesos suelen ser mayores en horario de oficina mientras que por ejemplo un servicio de TV online tiene picos de demanda en los horarios de máxima audiencia  (mantener el servicio en el “minuto de oro” es esencial). 

Un ataque de denegación de servicio (DoS) consiste en el lanzamiento de peticiones en el mismo tiempo sobre un servicio informático (por ejemplo un portal de Internet) con el objetivo de conseguir un pico máximo lo suficientemente alto para que comprometa el rendimiento, seguridad o incluso deje de prestarse el servicio. Si el ataque se produce desde diferentes sitios se denomina distribuido (DDoS) y es más difícil de detectar ya que pudieran tratarse de peticiones legítimas. Asimismo, la mayoría de estos ataques son lanzados desde equipos de forma no consciente mediante la ejecución de virus o programas con malas intenciones, y  que con el desarrollo del Internet de las Cosas (IoT), el dispositivo origen puede ser de cualquier tipo: ordenadores, dispositivos móviles, enrutadores, impresoras conectadas, wearables etc…

Tráfico Web

 Analogía con el páncreas
Según la Real Academia de la Lengua española una “Analogía es la relación de semejanza entre cosas distintas o el razonamiento basado en la existencia de atributos semejantes en seres o cosas diferentes”.
¿Y si hacemos la analogía de demanda de peticiones de Internet con la demanda insulina para metabolizar la comida y cuya función es liberar la glucosa en sangre para que llegue a las células? Análogamente,  la infraestructura WEB atenderá visitas y de la misma forma nuestro páncreas atenderá “Peticiones de demanda de insulina”. El  páncreas tendrá más demanda puntual de esta hormona si fuera necesario un pico de insulina que si precisara una liberación constante, es decir, si consumimos gran cantidad de carbohidratos de absorción rápida (con índice glucémico alto) tendremos más necesidades de insulina puntuales con valores más acentuados que si consumimos  carbohidratos de absorción más lenta y la liberación es más larga en el tiempo, donde  “el trabajo” estará más repartido, la entrada de glucosa en sangre será más constante y los valores altos y bajos estarán más próximos. Seguramente sea muy exagerado hablar de ataques DoS a nuestro páncreas, y a corto plazo tenga poco sentido, aunque seguramente si se mantienen hábitos no saludables a largo plazo con la ingesta no moderada de azúcares se estará exigiendo un rendimiento más extremo, capacidades anormales de producción de insulina y sería más probable llegar a sufrir episodios de hiperglucemia o hipoglucemia. ¿Se podría hablar de una denegación del servicio en estos casos?  

Mantener estas subidas y bajadas acentuadas de niveles de glucosa en sangre no son saludables y contribuyen a la formación de grasa corporal. Continuando con la analogía, a fecha de hoy, nuestro cuerpo y nuestro páncreas no puede ser dimensionado como una infraestructura WEB donde podemos poner más o menos servidores o contratar servicios en la nube con dimensionamiento variable en función de las necesidades de demanda. Tampoco disponemos de mecanismos que ayuden en la seguridad como pudiera ser firewalls o sistemas IPS (Sistemas de Prevención de Intrusos) que rechacen por ejemplo determinadas peticiones o cuando se alcance un máximo. Sin embargo, sí podemos regular los “diferentes orígenes” y las “peticiones de acceso” con pautas nutricionales, y parece que en este sentido hay cierto consenso entre los expertos en nutrición, y la mayoría recomiendan mantener una dieta sana repartida en varias comidas (¿repartimos las peticiones?),  moderar la ingesta de azúcares o carbohidratos de absorción rápida con índice glucémico alto,  equilibrar el consumo de macronutrientes y consumir la cantidad de fibra necesaria  (¿peticiones de acceso más constantes con carga glucémica más baja?). (*)

(*) Según los nutricionistas las grasas y la fibra ayudan a que la absorción de los carbohidratos sea más lenta regulando así el nivel de glucosa en sangre. El equilibrio recomendado de macronutrientes (carbohidratos, proteínas y grasas) y la fibra necesaria puede ser consultado en cualquier guía nutricional oficial.

Pico insulina Pancreas


Pico visitas WEB


"La forma más económica de conseguir una buena salud es cuidando la nutrición." - Anónimo

Con el avance de los sensores tanto en comodidad, autonomía y grado de exactitud cada vez será más sencillo medir y controlar los niveles de glucosa en sangre de forma continua y así poder valorar el impacto de determinados alimentos. Ya existen líneas de trabajo muy avanzadas para la creación de “páncreas artificiales” que con la información recibida controlarán la glucosa en sangre y ajustarán automáticamente los niveles de insulina a inyectar a pacientes diabéticos dotándolos de más autonomía, control y libertad. Dentro de un entorno doméstico, con el avance de los dispositivos IoT para la salud, no parece muy lejano que en unos años podamos disponer de un informe diario con la evolución de nuestra glucosa en sangre a lo largo del día y que nos sirva para tomar decisiones acerca de qué alimentos consumir y que hábitos mantener con fines de salud, deportivos o simplemente por educación nutricional. ¿Impactará toda esta información en el mercado y se autoregulará la composición nutricional de algunos alimentos procesados?



Nutricion Edison


En 2018 los diabéticos podrán disponer del páncreas artificial

El “arsenal” contra la diabetes

Cómo mantener un nivel de azúcar en sangre estable durante todo el día

Control riguroso de la diabetes

Cuando la glucosa en la sangre es demasiado alta o baja

Información básica sobre la insulina

IEDGE – 21 herramientas gratuitas para estimar el tráfico de un website

Ataque de denegación de servicio - Wikipedia

Top 10 de Ataques DoS (Denial of Service o Denegación de Servicios)

¿Firma digital en la nube?


Cuando los ciudadanos firmamos trámites en Internet con certificado electrónico la realidad es que existe una excesiva dependencia tecnológica del dispositivo cliente que hace que la configuración pueda llegar a ser ciertamente compleja y que requiera de ciertos conocimientos técnicos (Por ejemplo con el certificado de firma del DNI electrónico). Personalmente me ha ocurrido varias veces, en el momento de firmar un trámite electrónico, que la mayor parte del tiempo lo he dedicado a asuntos informáticos actualizando la última versión de Java, verificando la configuración y versión del navegador, los permisos de seguridad, que reconozca el lector de tarjetas etc.

Habitualmente los problemas están relacionados con:

a) Gestión e instalación correcta del software (y/o hardware en algunas situaciones) necesario para firmar: desde la versión del navegador, la máquina virtual de Java, drivers para el certificado o para la tarjeta criptográfica, el dnie, el software de firma etc. Es especialmente problemático en equipos obsoletos o con sistemas operativos de versiones anteriores que suelen tener problemas con la capacidad de recursos para poder disponer todo lo necesario.

b) La firma electrónica con terminales móviles, como smartphones o tablets, a fecha de hoy no es muy usada o la tecnología está poco madura y especialmente con la gestión e instalación de los certificados electrónicos o encontrar lectores de tarjeta criptográficas que sean compatibles con estos dispositivos. (Con la versión 3.0 del DNIe, que soporta tecnología inalámbrica de proximidad NFC,  se ha intentado minimizar evitando la necesidad del lector en terminales compatibles, sin embargo no es suficiente y la realidad es que el uso de firma electrónica en terminales móviles no está demasiado extendido y no todos los terminales soportan NFC).

Firma digital

Si bien la identificación electrónica parece que está relativamente resuelta, sin embargo, la firma digital supone una barrera en el uso de muchos procedimientos electrónicos que están a disposición para los ciudadanos.


“En cuanto a las causas por las que los usuarios de Internet con necesidad de enviar algún formulario cumplimentado a las Administraciones Públicas NO lo hicieron a través de Internet en el último año, el 49,0% declaró que fue porque lo tramitó por Internet otra persona en su nombre -un gestor, un asesor fiscal, un familiar o un conocido-, el 19,0% por falta de habilidades o conocimientos, el 13,6% por estar preocupado por la protección y seguridad de los datos personales y el 13,0% por no disponer de firma o certificado electrónico o por tener problemas con los mismos.“ – Instituto Nacional Estadística 2016.


Con el objetivo de simplificar la firma al interesado (aislando de las dependencias tecnológicas de su equipo) y manteniendo las suficientes garantías requeridas existen diferentes enfoques para intentar paliar los problemas anteriores:

1.- Sistemas de firma sin certificado electrónico, es decir, se prescinde del documento firmado por el prestador de servicios de certificación que garantiza el vínculo de los datos de firma con el firmante confirmando su identidad.  Normalmente se tratan de sistemas de firma basados en claves dinámicas en tarjetas, OTP (One-Time Password) enviadas a terminales móviles etc.

Estos sistemas son muy comunes en el ámbito privado y sobre todo en la banca online, sin embargo, en las administraciones públicas (al menos en España) normalmente no son lo suficientemente garantistas para cumplir la normativa y en la mayoría de los procedimientos administrativos precisan de mecanismos de firma con certificado electrónico.

Certificado electrónico


2.- Delegar la firma en la comparecencia electrónica: se trata de firmar solo cuando sea estrictamente necesario y considerar,  que para determinados servicios, si el interesado ha comparecido electrónicamente con las suficientes garantías en la autenticación y las acciones han sido auditadas por el sistema,  el propio sistema informático da fe y firma con un sello electrónico (certificado electrónico del organismo). Por ejemplo, si nos identificamos y accedemos a la apertura de una notificación, el sistema puede garantizar que el ciudadano autenticado ha realizado la apertura correspondiente en una determinada fecha y hora sin necesidad de que esta sea firmada electrónicamente por el ciudadano.

Esta opción no siempre es válida, sin embargo, es muy importante analizar el nivel de garantía requerido que permita la normativa para cada procedimiento y solicitar la firma al ciudadano solo cuando sea necesario.


3.- Firmar en la nube: el proveedor de servicio (o recomendablemente un tercer actor) será el responsable de la gestión y custodia de los certificados de firma.  Al realizar la firma el interesado expresará su voluntad (por ejemplo con una contraseña y un código OTP generado en el momento y enviado a un dispositivo móvil). En ese momento se desencadenará la firma del documento  en el servidor (“nube”) de tal forma que el certificado electrónico nunca saldrá del servidor custodio. El responsable de la custodia de los certificados debe ser una entidad de confianza y cumplir con las garantías de seguridad necesarias.

Un ejemplo de este enfoque en la administración española es la plataforma cl@ve y del dni en la nube (DNI-Nb) que se resume a continuación.


Cl@ve: Firma centralizada en la nube

Se trata de una plataforma que permite, para aquellos portales de administraciones públicas que se adhieran, autenticación (mediante certificado electrónico, una cl@ve permanente o un pin de 24 h de duración) y servicio de firma electrónica centralizada.

Centrándonos en la firma, el ciudadano podrá registrarse en el servicio presencialmente o con certificado electrónico y en este momento se generará su “certificado en la nube” (o dni-NB) en una infraestructura de servidores HSM (Hardware Security Module) donde estará doblemente encriptado y custodiado. (También se podrá elegir que la generación del certificado se produzca en la primera firma realizada).

Cada vez que firme un documento introducirá una clave  y recibirá un código OTP en su móvil. Cuando se haya realizado esta doble confirmación (“voluntad de firma”) se desencadenará el proceso de firma en el servidor (Básicamente se enviará una función resumen o hash al servidor donde se efectuará la firma y se devolverá un justificante). El certificado nunca sale del servidor que lo custodia.

La gran ventaja es que el ciudadano no tendrá que tener instalado un certificado y ningún dispositivo en su equipo y además se pretende que sea un sistema unificado para poder firmar digitalmente en los portales de internet de las administraciones públicas (quizá a futuro también se ofrezca para la adhesión de compañías en el ámbito privado).


Reseñar que el gestor de la plataforma y el responsable del fichero de los datos personales es la Secretaría General de la Administración Digital del Ministerio de Hacienda y Función Pública. Los certificados son generados y custodiados por la Dirección General de Policía (autoridad de certificación y prestador de Servicios de confianza), las firmas se realizarán en los servidores de la Seguridad Social (que dispondrá de un clon del servidor HSM con los certificados), y el registro o alta en el servicio será gestionado por la Agencia Tributaria.

Referente a los aspectos legales es importante comentar que se trata de un sistema de firma electrónica cualificado conforme la legislación europea (Reglamento UE 910/2014) y tiene la misma validez jurídica que la firma manuscrita (equivalente a la firma reconocida de la ley 59/2003 en España que trasponía la directiva 1999/93/CE derogada).

Se podría concluir que con el sistema cl@ve de firma centralizada en la nube se aportan las mismas garantías que con una firma digital en cliente con certificado electrónico, se facilita el proceso de firma al ciudadano y se amplía el uso de dispositivos para su relación electrónica con las administraciones. Por otro lado,  también se aprovechan las ventajas de tener un sistema unificado de firma para los portales de las administraciones públicas así como usar y compartir una plataforma común con la consecuente eficiencia y ahorro de costes.


HSM: Hardware Security Module, dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas.

NFC: Near Field Communication, Tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos.

OTP: One-Time Password,  Contraseña o pin temporal es válida en solo una transacción o sesión y habitualmente es recibida en otro terminal asociado al interesado (por ejemplo su móvil).

Certificado electrónico: documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. (El prestador de servicios de certificación debe seguir una regulación: Ley 59/2003 en España).


DNI-nb - Cl@ve

Emisión y uso del dni - Cl@ve

Realización de la Firma - - Cl@ve

REGLAMENTO (UE) No 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE

Encuesta sobre Equipamiento y Uso de TIC en los hogares - Nota de prensa Ine (Octubre 2016)

Indicadores del eGovernment en España

A continuación dejo 4 indicadores de Eurostat acerca de la situación del eGovernment y la relación electrónica con las administraciones públicas en España:

Aproximadamente el 50% de los individuos usa Internet para interactuar. (Media UE28: menos del 48%)

Más del 46% de los individuos usan Internet para obtener información. (Media UE28: por encima del 40%)

Más de un 35% usa Internet para descargar formularios oficiales. (Media UE28: aproximadamente un 27%)

Por encima de un 30% usa Internet para enviar formularios oficiales. (Media UE28: aproximadamente un 26%)


eGovernment Spain


Se puede ver más detalle en:

eGovernment en España - Comisión Europea
https://joinup.ec.europa.eu/sites/default/files/ckeditor_files/files/eGovernment_in_Spain_March_2017_v2_00.pdf

Factsheets del resto de países de la Unión Europea - Comisión Europea
https://joinup.ec.europa.eu/community/nifo/og_page/egovernment-factsheets#eGov2017

Transformando con blockchain


Blockchain es una de las tecnologías más disruptivas en la transformación digital y algunos expertos prevén que cambiará el paradigma de Internet, basado en servicios ofrecidos por un tercero, por modelos de transacciones descentralizados, sin necesidad de intermediarios, y basados en registros públicos donde la confianza estará distribuida.

Esta tecnología nació con la moneda virtual bitcoin que se basa en un sistema de transacciones monetarias soportado por un modelo de confianza distribuido donde no hay un intermediario central. Según Brock Pierce, presidente de la Fundación Bitcoin, habrá empresas de blockchain tan importantes como Google o Facebook.


CONOCIENDO BLOCKCHAIN
A grandes rasgos en cualquier sistema transaccional, sea centralizado o no, existen actores, activos y transacciones. Los actores podrán poseer activos y realizarán transacciones con ellos. Las transacciones básicamente serán transferencias u operaciones de estos activos entre actores. Al definir el sistema transaccional, conforme requerimientos y necesidades, se definirán los actores (ciudadanos, clientes, empleados, pacientes, centros, hospitales, empresas...), los activos, que podrán ser tangibles o intangibles (monedas, contratos, títulos, expedientes…) y las normas para realizar las transacciones. 

Blockchain será la bitácora de transacciones o el libro de cuentas distribuido entre todos los actores, basado en un modelo de confianza descentralizado y soportado por una combinación de tecnologías ya existentes (P2P-peer to peer, bases de datos distribuidas, criptografía etc.) y con la particularidad de la resolución del problema del “Doble Gasto” o la gestión del posible “doble uso” de un activo. 

Un sistema de blockchain tiene las siguientes características:

-Es una base de datos distribuida en los nodos (P2P “Peer to Peer”). Cada nodo tiene una copia del libro de cuentas y también cede capacidad de computación. Con el Internet de las Cosas el concepto nodo es muy amplio ya que podría ser cualquier dispositivo conectado con capacidad de computación.

-La base de datos almacena bloques donde cada bloque tiene una marca de tiempo, un enlace al bloque previo y una firma del proceso. Cada bloque registra transacciones (por ejemplo transferencia de recursos de un usuario a otro). 

Bloque: grupo de transacciones confirmadas

Cadena: enlazados cronológicamente

-Existe un algoritmo de “consenso” en la actualización de las transacciones. 

-Los actores son identificados como parte de su firma digital.

-Aunque los registros de las transacciones son públicos existen mecanismos para proteger la privacidad de los actores en caso de ser necesario.

Confidencialidad: en los participantes

Transparencia: las transacciones son públicas

“El modelo bancario tradicional logra un nivel de privacidad al limitar el acceso a la información a las partes involucradas y al tercero de confianza. La necesidad de anunciar públicamente todas las transacciones excluye este método, pero la privacidad todavía se puede mantener rompiendo el flujo de información en otro lugar: manteniendo anónimas las claves públicas.” - Satoshi Nakamoto

(Satoshi Nakamoto es el nombre adoptado por la persona o grupo de personas anónimas que crearon la cripto-divisa Bitcoin y su software)



PROBLEMA DEL DOBLE GASTO
Se busca que un usuario no use el mismo activo más de una vez (por ejemplo no se puede gastar el mismo bitcoin dos veces). En un sistema centralizado su resolución es relativamente sencilla ya que el proveedor que ofrece el servicio es el que realiza la cuenta en su base de datos, sin embargo, en un sistema distribuido donde hay copias de los libros de cuentas es necesario llegar a un consenso que es resuelto mediante criptografía y una cola de transacciones no confirmadas. Básicamente, las transacciones de la cola se van confirmando por algoritmos que mediante criptografía comprueban la autenticidad y de tal forma que si llega otra transacción posterior haciendo uso de un mismo activo y por el mismo propietario esta es rechazada. Este proceso es distribuido y en bitcoin se denomina “minería” (Minar bitcoins es el proceso de invertir capacidad de computacional para procesar transacciones, garantizar la seguridad de la red, y conseguir que todos los participantes estén sincronizados).

Las actualizaciones compartidas de Windows 10 o sistemas como Torrent o eMule son modelos P2P donde todos comparten con todos (actualizaciones o descargas), en este caso, no precisan esta gestión de la duplicidad de transacciones o el doble uso de un activo como por ejemplo monedas como Bitcoin o Ether u otros sistemas transaccionales.


PÚBLICOS O PRIVADOS
Las blockchain públicas son aquellas que están en Internet y accesibles a todo el mundo donde la base de datos está masivamente distribuida y todo el mundo tiene acceso a la cadena de bloques. (Bitcoin y Ethereum serían ejemplos de blockchain públicos).

Las blockchain privadas son aquellas en las que el proceso de consenso, la participación o la lectura de la información registrada en la cadena de bloques pudiera estar limitado a determinados participantes. Normalmente los actores se suscriben y tienen un rol.

Algunos autores diferencian, dentro de las blockchain privadas, entre cadenas de bloque de consorcio y cadenas de bloque completamente privadas donde las primeras responderían a una cadena de bloques en la que el consenso es alcanzado por un consorcio de instituciones o miembros mientras que las cadenas de bloques completamente privadas son aquellas en las que los permisos de escritura se mantienen centralizados dentro de una sola organización.


USOS POTENCIALES
Aunque el uso más extendido son las cripto-monedas como Bitcoin o Ether, realmente este modelo podría ser aplicado a cualquier sistema de transacciones y sobre todo si es necesaria una gran escalabilidad, crecimiento y si se considera más adecuado un modelo de confianza sin una entidad central. Recordemos que el modelo puede ser también privado, o entre consorcios, y además si fuera necesario se puede garantizar la privacidad de los individuos.

Existen gran potencialidad e iniciativas de uso en diferentes ámbitos, algunos de ellos podrían ser:

-Gestión de bienes digitales e Internet de las Cosas. Especialmente importante por la cantidad de dispositivos a registrar y la escalabilidad necesaria.
-Expedientes sanitarios, información de pacientes. Compartición y actualización entre centros autorizados etc.
-Registros académicos, titulaciones. Podría estar distribuido entre todos los centros y con niveles de acceso y sin necesidad de un registro central.
-“SmartContracts”. Contratos distribuidos como soporte a los convencionales (¿una especie de notario distribuido?).
-Compartición de vehículos. Directamente entre propietarios y sin necesidad de una plataforma intermediaria como por ejemplo UBER.
-Bases de datos nutricionales de alimentos y control alimentario, sin necesidad de un registro central y con la colaboración de los actores implicados.
- Base de datos de medicamentos distribuidas entre los centros y fomentando la colaboración.
-Crowdfunding. Este modelo se ajusta muy bien a la obtención de micro fondos con muchos orígenes.
-Datos abiertos. Para la actualización por determinados actores.




Gartner predice que para el año 2022 blockchain tendrá un valor de 10 mil millones de dólares y que esta tecnología será la próxima revolución en historiales de transacción ya que reduce costes y acelera los procesos de negocio. Es obvio que blockchain y su modelo de transacciones con confianza distribuida ofrece nuevas posibilidades y un gran potencial en muchos sectores y lógicamente se tendrá que analizar cada caso concreto antes de establecer proyectos de implantación con esta tecnología. Reseñar que existen varias iniciativas de consorcios de instituciones financieras, aseguradoras y tecnológicas que están apostando por diferentes modelos y plataformas, por otro lado las blockchains públicas sí que parece que pueden cambiar ciertos paradigmas de servicios en la nube e iremos viendo su evolución en determinados servicios en internet en los próximos años.



The CIO’s Guide to Blockchain - Gartner
Top Predictions for IT Organizations and Users in 2017 and Beyond - Gartner
How blockchains could change the world - McKinsey
Blockchain o la transformación digital de Internet (I) – Innovación activa IECISA
Fundamentos básicos de Blockchain - IBM
Problema del doble gasto en Bitcoin – Oro y finanzas
Diferencias entre las cadenas de bloques – Oro y finanzas
Blockchain (I): Más allá del Bitcoin, la Deep Web, el ransomware y la mala fama - ElevenPaths
Privacidad y BlockChain, una aproximación – Privacidad Digital Abogados

Predicciones Gartner para organizaciones IT y usuarios


Dejo un resumen de las predicciones y la referencia al enlace de Gartner con más detalle.


Predicciones Gartner 2017

Predicciones Gartner 2017




Gartner reveals top predictions for IT Organizations and users in 2017 and beyond


Los datos biométricos son datos personales


No cabe duda que la identidad electrónica es un aspecto esencial en la transformación digital tanto por la seguridad de la información como por la personalización de los servicios digitales. En los últimos tiempos se está produciendo un gran avance y auge de la autenticación biométrica que identifica al individuo mediante alguna de sus características físicas únicas y con la ventaja de que el usuario no tiene que recordar contraseñas o disponer de dispositivos para identificarse (tarjetas, tokens etc.)



Biometria


Autenticación e identificación. Protocolo AAA.
En algunos textos se diferencian los conceptos de identificación y de autenticación, en el sentido de que identificación es el momento en que el usuario se da a conocer en el sistema mientras que la autenticación es la verificación que realiza el sistema sobre la identificación anterior. En cualquier caso, el objetivo es que el sistema informático sepa quién ha accedido con las garantías necesarias. En este sentido es interesante citar el “protocolo AAA” (Authentication, Authorization and Accounting) con las tres funciones a tener en cuenta:

Autenticación, la identidad digital es verificada por el sistema.
Autorización, a que información puede acceder el identificado y que operaciones puede hacer normalmente en función de un perfil asociado al individuo.
Auditoría, o contabilidad de accesos y operaciones, es decir, que trazas o rastro es necesario guardar derivadas de las necesidades del propio servicio o atendiendo a razones de seguridad.

Por ejemplo, al acceder al área privada en un portal de Internet, primero de todo nos identificamos y el sistema verifica quién somos (mediante usuario y contraseña, certificado electrónico, huella etc.). La primera autorización es verificar si tenemos acceso o no (autenticación) y posteriormente permitirá consultar los datos a que estemos autorizados  y permitirá realizar determinadas operaciones sobre ellos (autorización). Finalmente el sistema registrará en un repositorio de almacenamiento los accesos y operaciones con su fecha y hora por si fuera necesario realizar un análisis posterior o para la obtención de estadística (auditoría).

Tipos de autenticación
Las autenticaciones se pueden agrupar en tres tipos  y usar de forma individual o combinada en función de la seguridad requerida y de la tecnología o recursos que se disponga:

“Lo que sabes”, por ejemplo una contraseña o un patrón.
“Lo que tienes”, una tarjeta criptográfica, una llave, un móvil etc.
“Lo que eres”, o mediante autenticación biométrica, por ejemplo, mediante la huella, el iris del ojo o reconocimiento facial.

No debemos de confundir la autenticación con las técnicas para diferenciar humanos de posibles bots como pudieran ser por ejemplo los CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) cuyo objetivo es determinar que se trata de una persona quién está haciendo uso del servicio y no de una máquina que pudiera hacer un uso masivo e incluso malicioso del mismo realizando por ejemplo un ataque de denegación de servicio (DoS).

La autenticación biométrica se basa en la autenticación de las personas en función de sus características físicas y consiste en la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos de la persona con el objetivo de verificar su identidad. Básicamente, en un primer registro de alta, se “escanea” la característica biométrica que es analógica, mediante un algoritmo se digitaliza, se asocia a la identidad personal y se guarda de forma cifrada. Cuando se autentica el individuo, se compara la información recogida con el repositorio de características biométricas digitalizadas y se determina la identidad. Podemos observar que el algoritmo de conversión en la recogida biométrica, el cifrado de la información con la vinculación con la identificación, la forma de comparar en el proceso de autenticación y la limitación de los protocolos de acceso a estos datos son aspectos a controlar.

Los datos biométricos son datos personales
Un dato de carácter personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, esto quiere decir que cuando el sistema opera con datos biométricos que nos identifican se está trabajando con datos personales. Además, en el propio proceso de autenticación se está recogiendo y comparando el dato para identificar a la persona por lo tanto también se está haciendo un “tratamiento de datos personales” ya que encaja con la propia definición que define la normativa: “cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

Reconocimiento huella

Por lo tanto se deben declarar en la Agencia de Protección de Datos los ficheros de datos biométricos que se traten y aplicar las normas legales y de seguridad requeridas para su protección. Asimismo, conforme la normativa de protección de datos, implica que tiene que existir una determinación de los fines para los que se recogen y se tratan estos datos biométricos y además sería necesario evaluar el cumplimiento de la proporcionalidad y especialmente si los fines perseguidos pueden alcanzarse o no de una manera más moderada. Por otro lado, desde un punto de vista de seguridad, hay que ser conscientes que cambiar o revocar una característica biométrica, al contrario de una contraseña o un certificado electrónico, es imposible o muy difícil. ¿Se podría por ejemplo robar y suplantar una identidad hackeando una huella dactilar? ¿Cómo se revertiría el daño si estos repositorios de identificaciones biométricas cayeran en manos no deseadas?

Parece razonable que la identificación mediante datos biométricos deba de confiarse a entidades con las suficientes garantías legales y técnicas para cumplir los aspectos de datos personales, privacidad y seguridad ya que  se trata de datos prácticamente permanentes e inherentes a la propia persona. (¿Prestadores de servicio de certificación de datos biométricos regulados por alguna normativa similar a la ley 59/2003 en España?).  Asimismo, se debe de analizar cuando es proporcional el uso de datos biométricos o si existen otras formas menos intrusivas de conseguir los fines perseguidos en el servicio y sin perder de vista que la seguridad está basada en el impacto y en los riesgos o probabilidades y no se puede garantizar al 100%.


Agencia Española de Protección de Datos - Glosario de términos

Grupo de Protección de Datos - Documento de trabajo sobre biometría (1 de agosto de 2003)

InformacionSeguridad.com - El auge de los controles biométricos

Seguridad Lógica - Identificación y Autentificación

IBM - Identificación y autenticación

Wikipedia - Protocolo AAA

El País - Consiguen hackear el sensor de huella dactilar en los Android

BBC - ¿Pueden realmente hackear tus huellas dactilares usando tus fotos en internet?

Expansión – Hackeos de biométricos son hackeos permanentes