E-Government - una solución para el estado colombiano
83
0
0
Texto completo
(2) ISC-2003-1-19. E-GOVERNMENT, UNA SOLUCIÓN PARA EL ESTADO COLOMBIANO.. FELIPE ALBERTO JARAMILLO MEJÍA. TESIS DE GRADO. BEATRIZ ACOSTA. UNIVERSIDAD DE LOS ANDES FACULTAD DE INGENIERÍA DEPARTAMENTO DE SISTEMAS Y COMPUTACIÓN PREGRADO BOGOTÁ 2003.
(3) ISC-2003-1-19. CONTENIDO. 1.. INTRODUCCIÓN ...................................................................................... 1. 2.. ¿QUE ES E-GOVERNMENT? .................................................................. 2. 3.. SERVICIOS Y USUARIOS........................................................................ 7. 4.. PROBLEMAS Y BARRERAS.................................................................. 12. 5.. TECNOLOGÍAS A IMPLEMENTAR ........................................................ 21. 6.. ALGUNAS HERRAMIENTAS EN EL MERCADO: .................................. 27. 7.. PRIVACIDAD, SEGURIDAD E INTEROPERABILIDAD ......................... 38. 8.. EJEMPLOS E-GOVERNMENT............................................................... 55. 9.. GOBIERNO EN LÍNEA (IMPLEMENTACIÓN DE E-GOVERNMENT EN. COLOMBIA) ................................................................................................... 58 10.. ENTIDAD PARA EL ESTUDIO DE E-GOVERNMENT........................ 62. 11.. MINISTERIO DE RELACIONES EXTERIORES.................................. 63. 12.. http://www.minrelext.gov.co/................................................................ 66. 13.. DESCRIPCIÓN DE LA PROPUESTA A IMPLEMENTAR ................... 68. 14.. BIBLIOGRAFÍA.................................................................................... 70. 15.. ANEXOS.............................................................................................. 71.
(4) 1.. INTRODUCCIÓN. Cada día la tecnología hace que la vida de las personas sea mucho más fácil, y en el gobierno no es la excepción. Uno de los fines esenciales del Estado es el de Servir a la Comunidad y promover la Prosperidad General y mediante la tecnología esto se puede llevar a cabo ofreciendo mejores y nuevos servicios a la comunidad, para así cumplir sus labores y ofrecer una mejor calidad de vida a sus ciudadanos.. El propósito de esta Tesis fue la investigación del concepto de e-government, sus principios y sus metas, como se está implementado en Colombia y como ayudaría para una mejor interacción entre el gobierno y sus ciudadanos. Inicialmente se realizó una indagación sobre todos los temas relacionados con egovernment y luego se escogió una entidad del gobierno Colombiano para la realización de un pequeño “DEMO” y así poder aplicar lo investigado.. 1.
(5) ISC-2003-1-19. 2.. ¿QUE ES E-GOVERNMENT?. E-goverment es una estrategia utilizada por los gobiernos para poder acercarse mas a sus ciudadanos y hacer más fáciles sus servicios. E-goverment proporciona muchas oportunidades de mejorar la calidad de servicios a los ciudadanos.. Las principales características que debe tener un sitio de e-government son las siguientes: -. Debe ser de fácil uso: conectando a las personas con los diferentes niveles del gobierno(federal, estatal, regional, local o gobiernos internacionales), de acuerdo a sus necesidades y preferencias.. -. Disponibilidad para todos: se debe poder tener acceso desde el hogar, el trabajo, las escuelas, las bibliotecas y. lugares convenientes para toda la. comunidad. -. Privado y Seguro: Debe cumplir con los estándares apropiados para la seguridad y autenticación, generando la confianza que es requerida para que el e-goverment crezca y sirva al publico.. -. Innovador y orientado a los resultados: Se debe enfatizar en la velocidad de interacción con los usuarios y tener en cuenta las realizaciones de los últimos avances en tecnología.. 2.
(6) ISC-2003-1-19. -. De colaboración: Las soluciones deben ser desarrolladas colectivamente y abiertamente entre entidades publicas, privadas, sin animo de lucro, grupos investigativos, basándose en su experiencia y maestría.. -. Rentabilidad: Debe ser rentable, con las inversiones estratégicas que producen eficacias significativas a largo plazo y sus respectivos ahorros.. -. Transformacional: Con los últimos cambios tecnológicos a través de personas y lideres organizacionales para cambiar la forma de realizar las labores del gobierno y automatizando las tareas simples que existen.. Con Ayuda del e-government, el gobierno se hace mucho más eficiente y efectivo ya que gracias a la tecnología tiene un acercamiento mucho mas profundo con los ciudadanos ya que tiene un mayor contacto con ellos (foros, chat, e-mail, etc.), y mejora la calidad de sus servicios haciéndolos mucho más rápidos y más sencillos ya que se eliminan muchos tramites que actualmente son innecesarios, además no hay necesidad de desplazarse físicamente de un lugar a otro, porque todo se puede realizar desde un computador que esté conectado a Internet desde cualquier lugar del mundo.. Una de las ventajas de ser un servicio que utiliza las redes digitales es que se pueden generar ahorros y mayor eficiencia en las transacciones realizadas. Aunque la reducción de costos es uno de los objetivos más buscados y más fácil de vender a las autoridades y la opinión pública, el E-government no debe ser presentado como una estrategia para reducir costos. Salvo raras excepciones, las soluciones de e-government no significan ahorros inmediatos para el Gobierno 3.
(7) ISC-2003-1-19. (aunque lo terminan siendo), por el contrario, al principio requiere de una gran inversión en personal capacitado y en infraestructura muy costosa para poder llevar a cabo el proyecto. La mayor eficiencia, se ve reflejada en la mejora y más oportuna comunicación entre los usuarios y el gobierno.. Otro beneficio es el aumento en la transparencia pública y en la eficacia de la lucha anti-corrupción. Si bien este puede ser un objetivo que no siempre se quiera o deba publicitar, puede traer grandes beneficios.. Internet y el e-government pueden aumentar significativamente los ámbitos y formas de participación de la comunidad. Desde la capacidad de dar acceso a toda la información pública a quien la deseé, hasta la posibilidad de participar en discusiones sobre nuevas políticas públicas. En Internet se permiten múltiples formas en que el ciudadano promedio puede romper su aislamiento frente a la política y el Estado, volviendo así a participar en los asuntos públicos. Entre los muchos beneficios de esta e-participación, se puede destacar una renovación del espíritu de "accountability" o rendición de cuenta, que debe caracterizar a los representantes políticos de toda democracia moderna.. Adicionalmente, cabe destacar que los principales usuarios de Internet son precisamente aquellos que se sienten más apartados de la actividad política tradicional: los jóvenes. 4.
(8) ISC-2003-1-19. Existen dos beneficios indirectos que poseen los planes de gobierno electrónico (e-goverment) y que hacen que este plan sea una prioridad y una urgencia nacional en especial en los países llamados del “Tercer Mundo”, que son: la masificación de Internet (y otras tecnologías) y la necesidad de acortar la brecha digital.. En la economía globalizada que actualmente estamos viviendo, donde se requiere mayor competitividad, las sociedades relativamente poco tecnológicas como la nuestra, requieren un Estado mucho más activo en la transformación hacia las organizaciones más eficientes y tecnológicas de un país.. Pero no es suficiente con apretar el acelerador en términos de adopción de tecnologías en el Estado, también se deben adoptar nuevas políticas para no dejar marginados a algún sector de la comunidad.. Los proyectos como abrir Enlaces a la comunidad y las bibliotecas públicas conectadas a Internet, van en la dirección correcta. Con todo esto, se debe ser mucho más rápido y también se debe incorporar la creatividad de la comunidad en todas estas tareas... Los gobiernos de todos los países y sistemas económicos del mundo se dirigen hacia la misma dirección: “La paulatina conformación de comunidades integradas en un complejo E-COSISTEMA GUBERNAMENTAL”. 5.
(9) ISC-2003-1-19. Así como la fauna, flora, clima, etc., conviven armoniosamente en los ecosistemas del planeta, también las instituciones, las empresas estatales, los entes fiscalizadores, los Ciudadanos, los proveedores, los gobiernos vecinos y aliados, etc., tienden a conformar e-cosistemas gubernamentales integrados por Internet, donde cada uno dependerá del otro para subsistir.. La transformación a e-Government es un proceso largo que deberá emprenderse tarde o temprano por todos los gobiernos. Los expertos piensan que es la mejor oportunidad que jamás se ha presentado para superar, en un tiempo muy corto, las graves deficiencias en la gestión pública, siempre y cuando se comprenda el impacto profundo que esta transformación conlleva, y sobre todo se cuente con el respaldo de todo el Estado.. 6.
(10) ISC-2003-1-19. 3.. SERVICIOS Y USUARIOS. Existen diferentes tipos de usuarios para un ambiente e-government, y para cada uno de estos existen diferentes tipos de servicios y cada tipo de usuario debe ser tratados independiente, debido a los privilegios que posee cada uno y a sus necesidades. Los usuarios básicos de e-goverment son: -. Ciudadanos: (G2C Government to citizens). -. Negocios: (G2B Government to Business). -. Gobiernos: (G2G Government to Government). -. Usuarios Internos: (IEE Internal Efficiency and Effectiveness). G2C: Usa a la web para el acceso de servicios a los ciudadanos por ejemplo Ayudas, préstamos, sitios recreacionales y material educativo, entre otros. Principal. línea. de. negocios:. Servicios. Sociales,. recursos. naturales. y. recreacionales, impuestos, concesiones o prestamos. G2B: Reduce la carga en los negocios,. adoptando procesos que permiten recoger. datos una vez para las aplicaciones múltiples y eliminar los datos redundantes Principal línea de negocios: Regulación, desarrollo económico, comercio, permisos / licencias, concesiones / prestamos, Management de Activos 7.
(11) ISC-2003-1-19. G2G: Compartir e Integrar los datos entre las diferentes jerarquías y dependencias del gobierno (estados, departamentos, localidades, etc) Principal línea de negocios: Desarrollo económico, recursos naturales y recreacionales, permisos / licencias, Seguridad Publica, Aplicación de la Ley. IEE: Adopta las mejores practicas comerciales y las operaciones internas del gobierno Principal línea de negocios: Desarrollo económico, recursos naturales y recreacionales, permisos / licencias, Seguridad Publica, Aplicación de la Ley.. Los servicios que pueden ser ofrecidos mediante e-goverment pueden ser divididos en cuatro grandes grupos que son:. Trámites electrónicos: que incluyen desde la simple revisión de formularios hasta la tramitación completa de los procedimientos administrativos y el seguimiento de expedientes por el propio interesado Contenidos, se refieren a la promoción de contenidos de calidad por Internet, por ejemplo, en temas culturales (patrimonio, historia, etc.), turismo e innovación (creadores, investigación, etc.) Información Electrónica, se trata de facilitar el acceso a cualquier información suministrada a los ciudadanos desde cualquier departamento de la administración (local, autonómica, nacional o internacional). 8.
(12) ISC-2003-1-19. Atención al Ciudadano, pretende la atención personalizada (individual o como colectivo), no sólo en los servicios administrativos, sino también en todos los aspectos relacionados con la calidad de vida: información sanitaria (historial, telemedicina, etc.), educación y formación, accesibilidad para discapacitados, etc.. Algunos ejemplos de oportunidades que ofrece e-Government a los gobiernos y que sirven como base para establecerlas dentro de cada uno de los entornos deseados son los siguientes:. Compras y abastecimientos: Esta promete ser la principal y más viable oportunidad de e-Government que beneficiará no solamente a los gobiernos sino a las economías de un país en forma general. Permitir que las instituciones compren lo mejor y al mejor precio es el objetivo de e-Government. Esto traerá como consecuencia directa una reducción del gasto de funcionamiento del estado, sin contar el control adicional que se tendrá sobre el flagelo de la corrupción.. 9.
(13) ISC-2003-1-19. Recaudación de impuestos: Tanto al nivel de gobierno central como al nivel de gobiernos regionales y municipales, la recaudación de impuestos es vital para garantizar el cumplimiento de los objetivos de los mismos. E-Government ofrece oportunidades únicas en la creación de redes de colaboración entre organizaciones públicas y / o privadas, que permitan reducir drásticamente la evasión, así como reducir el costo global del proceso mismo de recaudación.. Ejecución presupuestaria: No es un secreto que uno de los obstáculos que impiden la ejecución de obras es la lentitud de los procesos de ejecución presupuestaria, que con el afán de controlar la corrupción, los gobiernos llenan de controles e inspecciones que dificultan reducir el tiempo de los trámites. Una adecuada colaboración electrónica entre cada institución y las instituciones encargadas de controlar y fiscalizar el presupuesto, mejoraría enormemente la eficiencia de ejecución y al mismo tiempo disminuiría los riesgos de malos manejos y de los errores.. Comercio internacional: La integración comercial es un hecho ineludible de nuestro tiempo. Todos los países tienden a incorporarse a bloques económicos y es aquí donde e-Government por ejemplo, permite eliminar definitivamente las barreras de integración entre bloques comerciales por medio de una integración aduanera, intercambio electrónico de información de oferta y demanda de bienes y servicios, etc. 10.
(14) ISC-2003-1-19. Control de proyectos interinstitucionales: Muchos de los proyectos relevantes para el ciudadano deben ser ejecutados en forma coordinada por múltiples instituciones públicas y/o privadas. Por ejemplo, la construcción de viviendas, la prevención y cura de enfermedades, etc., e-Government es la plataforma de colaboración que puede hacer realidad un manejo eficiente de estos esfuerzos.. Administración de justicia y seguridad pública: Poder brindar seguridad y justicia a los ciudadanos puede ser una tarea en extremo compleja. Para lograr una adecuada cobertura a la misma es necesario coordinar los esfuerzos de las policías (locales e internacionales), los tribunales, las cárceles, etc. e-Government abre todo un abanico de opciones para hacer esta comunidad mucho más eficiente por medio de un intercambio electrónico de información vital para el proceso de administración de seguridad y justicia.. Atención al público: Casi todas las instituciones gubernamentales tienen que brindar una gama de servicios a los ciudadanos. Muchas veces estos servicios se reducen a trámites para obtener documentos, o pago de tasas y/o impuestos. En estos casos, e-Government provee en primer lugar un nuevo canal de comunicación: la Web; y en segundo lugar permite trámites mucho más expeditos cuando éstos involucren muchas instituciones.. 11.
(15) ISC-2003-1-19. 4.. PROBLEMAS Y BARRERAS. Dependiendo de la realidad económica, social y tecnológica de un país, los desarrollos de e-government en general pueden enfrentan una serie de retos tales como: -. Bajo nivel de penetración de la Internet.. -. Restricciones de infraestructura.. -. Brecha digital.. -. Preocupaciones respecto a la privacidad y seguridad.. -. Recursos humano capacitado en TI (Tecnologías de Información) limitado.. -. Un tímido esfuerzo por modernizar el Estado.. -. Falta de una base legal adecuada.. -. Limitada difusión sobre la naturaleza, modalidades y beneficios del egovernment.. Las Barreras, para el desarrollo de un proyecto de e-Goverment, se pueden ver desde cinco grandes grupos diferentes y estas son:. Sociales -. Actualmente no existe una suficiente extensión ni penetración a las Tecnologías de Información y Comunicaciones, y en particular, hacia Internet.. 12.
(16) ISC-2003-1-19. -. Existe una Cultura primitiva hacia del uso de Internet, el cual es un problema que va más allá de la información y la publicidad que esta tiene.. -. No existe confianza en los medios de intercambio electrónicos. Actualmente se exigen más garantías de seguridad a los proyectos de e-Administración (ebusiness) que a las tradicionales tarjetas de crédito.. -. Hay un gran desconocimiento de la existencia de la e-Administración.. Corporaciones -. Hay una mala situación de los sistemas actuales. No se ha trabajado en la integración de sistemas ni en el desarrollo de sistemas corporativos de información y tramitación.. -. Existe una ausencia de un liderazgo institucional claro: Constantemente se confunden proyectos corporativos con injerencias en asuntos propios, cuando el ciudadano ve a la Administración como UNA (única).. -. No existe orientación clara hacia el cliente.. -. En general en la Administración Pública el sentimiento de corporación de cara a la relación con el ciudadano es muy bajo. Se piensa que los ciudadanos conocen las estructuras y se pone la información según las estructuras. Esta situación es negativa para dar información y hace imposible hablar de tramitación electrónica en muchos casos.. Leyes -. Hay un reciente desarrollo normativo de cuestiones relacionadas con la seguridad electrónica, firma digital, protección de datos, etc. 13.
(17) ISC-2003-1-19. -. En ocasiones las Asesorías jurídicas y los funcionarios, por su poca formación y menor experiencia en estas cuestiones, temen a los nuevos sistemas.. -. Con frecuencia se trata de imponer a los procedimientos electrónicos requisitos más severos que los utilizados en los métodos tradicionales.. -. El marco tecnológico avanza más rápido que el marco normativo.. Procedimientos administrativos -. En general los procedimientos están diseñados en función de las necesidades de los órganos de gestión, y no hay orientación clara al cliente. Un mismo hecho puede generar ante una misma Administración, diferentes expedientes con los mismos datos, la misma documentación complementaria, entre otros casos. (duplicación de información). -. Se pide a los ciudadanos documentación que la Administración ya tiene, por ejemplo que ha generado ella misma o que va a generar.. -. En general los procedimientos no están sujetos a un rediseño continuo que tenga como objetivo el aprovechamiento de las Tecnologías de Información al servicio de gestores y ciudadanos.. Falta de integración entre las Administraciones Públicas -. Si difícilmente es posible la colaboración y coordinación interna (intraintegración),. peor. se presenta la. colaboración. y. coordinación. entre. Administraciones (extra-integración) -. La integración entre Administraciones Públicas es un requisito para hacer posible la tramitación electrónica de algunos expedientes administrativos. 14.
(18) ISC-2003-1-19. -. La experiencia no parece apuntar en esta línea y algunos proyectos más que por integrar sistemas, apuesta por la integración de personas (por ejemplo cada vez hay más división de la información entre distintas ventanillas, en lugar de menos ventanillas y más servicios).. Para realizar proyectos que van más allá de presentar la información sobre una organización, se encuentran a menudo con importantes barreras y resistencias para realizarlos, siendo con frecuencia la tecnológica la menos importante. Y esto es porque al igual que las iniciativas para la racionalización y modernización de las Administraciones Públicas, el desarrollo de la e-Administración es ante todo una cuestión política, de voluntades, prioridades de actuación y capacidad de liderazgo, más que una cuestión completamente técnica. De manera que, además de contar con los recursos normativos, humanos, organizativos, económicos y tecnológicos necesarios, será fundamental un compromiso político expreso para liderar los procesos de cambio. Cambios que no deberán reducirse a la instalación de herramientas tecnológicas, sino que deberán abordarse desde un diseño estratégico de la organización, teniendo muy claro qué es lo que se pretende conseguir con el proyecto de e-Administración (e-goverment), cómo, cuándo y con qué recursos. Y es probable que este diseño estratégico de la Administración en Internet lleve consigo la redefinición de los objetivos, las estructuras organizativas y las fórmulas de gestión de los servicios, no sólo en el entorno virtual sino que se irá extendiendo también a la Administración ‘tradicional’.. 15.
(19) ISC-2003-1-19. Algunas de las cosas que se deben tener en cuenta para superar los problemas y barreras que puede tener un proyecto de e-goverment son las siguientes:. 4.1 Se debe facilitar el acceso de los ciudadanos a las tecnologías de información y comunicaciones.. -. Hay que evitar la desigualdad con relación a la tecnológica y facilitar el acceso a colectivos diferenciados.. Internet y las actuales tecnologías suponen una posibilidad inmejorable para acceder a recursos de información casi ilimitados para los ciudadanos, independientemente de la situación geográfica, física, social o económica: evitar la reproducción de dinámicas de exclusión social ya existentes es uno de los grandes retos para las Administraciones Publicas, que deben colaborar para que estas tecnologías lleguen a casi el mayor porcentaje posible de la población, que ahora carece de ellas.. -. Seguridad, encriptación y autentificación. Más. allá. de. virus. informáticos. y. correos. electrónicos. malignos,. las. Administraciones Públicas deberán garantizar la seguridad en sus relaciones con los ciudadanos, de ello depende buena parte del crédito que tenga el uso de Internet en las relaciones entre la Administración y quienes interactúen con ella.. -. Aumento de la calidad democrática. 16.
(20) ISC-2003-1-19. Se deben ampliar las posibilidades de decisión y participación de los ciudadanos en la toma de decisiones, en la medida en que tecnológicamente es posible y los ciudadanos cuentan con más medios para informarse y así crearse una opinión propia. (voto electrónico, debates on-line, la discusión virtual sobre políticas públicas, la transmisión en tiempo real de debates plenarios, la respuesta inmediata a preguntas a través de correo electrónico, news sobre temas sectoriales, grupos de discusión virtuales entre los ciudadanos, participación en la elaboración de políticas públicas, entre otros ejemplos). 4.2 Preparar y adaptar la organización y el municipio a las tecnologías de información.. -. Formación de los empleados en Internet.. Es importante proporcionar a los empleados públicos una visión amplia y real de las oportunidades que ofrecen los diferentes servicios unidos a Internet. Además hay que procurar que la formación que reciban los trabajadores añada valor al trabajo que desempeñan, de manera que ellos estén más satisfechos con los resultados de su trabajo al ofrecer servicios de mayor valor añadido, con mayor eficacia y eficiencia.. -. La orientación de la organización a los problemas y necesidades de los ciudadanos. 17.
(21) ISC-2003-1-19. Los proyectos interesantes de e-Goverment son aquellos que son capaces de convertirse en portales que integren un amplio rango de servicios públicos y provean claras señas sobre cómo acceder a ellos fácilmente. Una vía para facilitar la acción puede ser incorporar esta visión de conjunto basada en las necesidades de los ciudadanos.. -. Desarrollo y mantenimiento de proyectos de e-administración:. Existen varias posibilidades para este aspecto: Contar con las personas de la propia Administración Local para hacer este trabajo, extender el desarrollo y mantenimiento de los proyectos a empresas privadas, o participar con otras Administraciones en el desarrollo de proyectos conjuntos.. -. Keep it size: no ir más allá de las propias posibilidades. El lanzamiento de un portal, una página web o de cualquier iniciativa que tenga por objeto el desarrollo del e-Government debe ser el final de un proceso, “El diseño de una estrategia de optimización de las Tecnologías de Información en la Organización”.. -. Evaluación. Sólo reconstruyendo los diferentes escenarios con los factores y actores que condicionan el grado de cumplimiento de los objetivos será posible conocer los resultados y el rendimiento de un proyecto de e-Government y saber cómo mejorarlo.. 18.
(22) ISC-2003-1-19. 4.3 Dimensión relacional de las administraciones locales en el uso de las tecnologías de información. -. De la ventanilla única(one stop shop) a la dimensión relacional entre administraciones públicas. Una buena fórmula para tratar de garantizar el acceso universal de todos los ciudadanos a las diferentes tecnologías y a sus contenidos, consiste en desarrollar proyectos multinivel en estas. Para hacer frente a la falta de recursos humanos, técnicos y financieros existentes en numerosos Organizaciones del estado, la creación y desarrollo de proyectos conjuntos puede ser una de las soluciones.. -. Relaciones público-privadas y desarrollo local. Los problemas de todo tipo que impiden a las Administraciones Publicas hacer realidad sus proyectos tecnológicos han provocado que muchos de esos proyectos unidos al desarrollo de Internet se hayan fundamentado en la participación activa de determinadas empresas privadas a través de diferentes servicios. (por ejemplo empresas especializadas en pagos on-line).. -. Benchmarking: Aprovechar las buenas prácticas y experiencias de los más innovadores. En la intersección entre lo local e Internet aparece ya una cierta cantidad de documentación a disposición de los interesados: conclusiones de proyectos en proceso o que se encuentran en ejecución, resultados de congresos, encuentros o. 19.
(23) ISC-2003-1-19. jornadas;. estadísticas diversas, bancos de buenas prácticas, premios a las. mejores páginas web que pueden ser modelo a seguir; etc.. 20.
(24) ISC-2003-1-19. 5.. TECNOLOGÍAS A IMPLEMENTAR. XML XML es "Extensible Markup Language". (extensible porque no es un formato prefijado como html). Está diseñado para permitir el uso de SGML en la World Wide Web. XML no es sólo un lenguaje de etiquetas: es un metalenguaje que permite diseñar un propio lenguaje de etiquetas. Un lenguaje de etiquetas normal define la manera de describir información en una determinada clase de documentos (p.e. HTML). XML permite definir un propio lenguaje de etiquetas para múltiples clases de documentos. Esto es posible por que está escrito en SGML, el metalenguaje internacional estándar para lenguajes etiquetados. SGML es el Standard Generalized Markup Language (ISO 8879), el estándar internacional para la definición de la estructura y el contenido de diferentes tipos de documentos electrónicos.. XML Web Services. Los servicios XML Web Services son los elementos fundamentales en la evolución hacia la computación distribuida a través de Internet. Actualmente se están convirtiendo en la plataforma de integración de aplicaciones gracias a los estándares abiertos y al énfasis en la comunicación y colaboración entre personas 21.
(25) ISC-2003-1-19. y aplicaciones. Las aplicaciones se crean utilizando los servicios XML Web Services múltiples de origen distinto que funcionan conjuntamente, sin importar su ubicación o la forma en que se implementaron.. Las ideas generales de los web Services son:. -. Los servicios XML Web Services ofrecen funciones muy útiles a usuarios de Internet ya que emplean un protocolo Web estándar que, en casi todos los casos, es SOAP.. -. Los servicios XML Web Services permiten describir sus interfaces con suficiente detalle para que el usuario diseñe una aplicación cliente que permita comunicarse con ellas. Esta descripción se proporciona normalmente en un documento XML denominado WSDL (lenguaje de descripción de servicios Web).. -. Los servicios XML Web Services se registran para que los futuros usuarios los encuentren fácilmente. Este registro se realiza a través de UDDI (descripción, descubrimiento e integración universales).. Una de las principales ventajas de la arquitectura de los servicios XML Web Services es que permite que los programas escritos en lenguajes y plataformas diferentes puedan establecer comunicación entre sí de forma estándar. Otra ventaja importante es que los servicios XML Web Services funcionan con protocolos Web estándar, como XML, HTTP y TCP/IP. Muchas empresas disponen ya de una infraestructura Web, así como de personal y conocimientos. 22.
(26) ISC-2003-1-19. para mantenerla, así el costo de entrada a estos servicios es mucho menor que con las tecnologías antecesoras.. La exposición de aplicaciones existentes como servicios XML Web Services permite que los usuarios creen aplicaciones más potentes que utilicen estos servicios XML Web como elementos constituyentes. Por ejemplo, un usuario puede desarrollar una aplicación de compra para obtener automáticamente de varios fabricantes información sobre precios, permitir seleccionar un fabricante, enviar el pedido de compra y realizar un seguimiento hasta el momento de recibir el envío. Es posible que la aplicación del fabricante, además de exponer sus servicios en Web, utilice los servicios XML Web Services para comprobar el crédito del cliente, cargar el importe del envío en su cuenta y enviar el pedido a través de una empresa de transportes.. SOAP. SOAP es el protocolo de comunicaciones para los servicios XML Web Services. SOAP define el formato XML para mensajes.. Existen partes en la especificación SOAP que describen cómo representar los datos de un programa como XML y cómo utilizar SOAP para realizar llamadas a procedimiento remoto (RPC). Estas partes opcionales de la especificación se utilizan para implementar aplicaciones estilo RPC en las que el cliente envía un mensaje SOAP que contiene una función a la que se puede llamar, además de los parámetros para pasar a la función. El servidor, por su parte, devuelve un mensaje 23.
(27) ISC-2003-1-19. con los resultados de la función ejecutada. Casi todas las implementaciones actuales de SOAP admiten aplicaciones RPC porque los programadores que trabajan con aplicaciones COM o CORBA conocen el estilo RPC. SOAP admite también aplicaciones con estilo de documento en las que los mensajes SOAP cubren un documento XML. Las aplicaciones SOAP con estilo de documento son muy flexibles. Muchos nuevos servicios XML Web Services aprovechan esta flexibilidad para diseñar servicios que sería difícil implementar mediante RPC.. La última parte opcional de la especificación SOAP define los contenidos de un mensaje HTTP que contiene un mensaje SOAP. Este enlace HTTP es importante porque casi todos los sistemas operativos actuales, y otros no tan actuales, admiten HTTP. Este enlace es opcional pero casi todas las implementaciones SOAP lo admiten porque es el único protocolo estandarizado para SOAP. Por esta razón, existe la falsa idea general de que SOAP necesita HTTP. Algunas implementaciones admiten MSMQ, series MQ, SMTP o TCP/IP. Sin embargo, la mayoría de los servicios XML Web Services utilizan HTTP porque es ubicuo. Dado que HTTP es un protocolo imprescindible para el medio Web, muchas empresas disponen de infraestructuras de redes que lo admiten y personal con conocimientos y experiencia para gestionarlo. En la actualidad ya se encuentran disponibles la seguridad, el control y la infraestructura de equilibrio de cargas para HTTP.. La universalidad de HTTP y la sencillez de SOAP los convierte en una base perfecta para implementar servicios XML Web Services que pueden llamarse desde prácticamente cualquier entorno. 24.
(28) ISC-2003-1-19. WSDL. WSDL significa Web Services Description Language. Se puede definir un archivo WSDL como un documento XML que describe un conjunto de mensajes SOAP y la forma en la que éstos se intercambian.. La notación que utiliza un archivo WSDL para describir formatos de mensaje se basa en el estándar XML. Esto significa que es un idioma de programación neutral y basado en estándares, lo cual es perfecto para describir interfaces de servicios XML Web Services que pueden abrirse desde una gran variedad de plataformas y lenguajes de programación. Además de describir el contenido de un mensaje, WSDL define el lugar en el que está disponible el servicio y qué protocolo de comunicaciones se utiliza para hablar al servicio. Esto significa que el archivo WSDL define todos los elementos necesarios para escribir un programa que pueda funcionar con un servicio XML Web. Existen varias herramientas disponibles para leer un archivo WSDL y generar el código necesario para establecer comunicación con un servicio XML Web.. UDDI. UDDI (descripción, descubrimiento e integración universales) constituye las páginas amarillas de los servicios Web. Se puede ofrecer un servicio Web sin tener que registrarlo en UDDI, pero si quisiera ampliar sus expectativas en el. 25.
(29) ISC-2003-1-19. mercado u ofrecer un servicio a nivel internacional , se necesitaría UDDI para poder encontrarlo.. Una entrada en un listín UDDI es un archivo XML que describe un negocio y los servicios que ofrece. Cada entrada tiene tres partes. Las "páginas blancas" describen los datos de la empresa, como nombre, dirección, información de contacto, etc. Las "páginas amarillas" incluyen las categorías industriales basadas en taxonomías estándares, como la NAICS (North American Industry Classification System) y la SIC (Standard Industrial Classification). Las "páginas verdes" describen la interfaz del servicio con información suficiente para que alguien escriba una aplicación para usar un servicio Web. Los servicios se definen por un documento UDDI denominado Type Model o tModel. En muchos casos, tModel contiene un archivo WSDL que describe una interfaz SOAP a un servicio XML Web; tModel es suficientemente flexible para describir prácticamente cualquier tipo de servicio.. El listín UDDI incluye también diferentes formas de búsqueda de servicios para que puede diseñar sus propias aplicaciones. Por ejemplo, puede buscar proveedores de un servicio en una ubicación concreta o negocios de un tipo determinado. El listín UDDI le proporcionará la información, personas de contacto, enlaces y datos técnicos para que evalúe los servicios que satisfacen sus necesidades.. 26.
(30) ISC-2003-1-19. 6.. ALGUNAS HERRAMIENTAS EN EL MERCADO:. Business Intelligence. El "Business Intelligence" de Information Builders da a las Administraciones Públicas, tanto central, como autonómica y local, la posibilidad de acceder a cualquier tipo de dato, convirtiéndolo en información eficaz, permitiendo aprovechar la productividad de Internet.. Utilizando su completa familia de tecnologías "Web Business Intelligence ", puede ayudar a construir sistemas transaccionales online. Estas soluciones se agrupan en "e-government Suite", un completo paquete de aplicaciones web standard que pueden ser implementadas rápida y fácilmente y que soporta una amplia variedad de iniciativas G2C, G2B, G2G y G2E.. Las soluciones desarrolladas para la Administración Pública, realizadas con herramientas de Business Intelligence, que permiten aprovechar al máximo la productividad y efectividad de Internet, ayudándole a crear distintas aplicaciones como:. -. Sistemas de Acceso Público : las cuales posibilitan a los ciudadanos, empresas, funcionarios y otras entidades públicas acceder a la información de forma sencilla a través de Internet. 27.
(31) ISC-2003-1-19. -. Sistemas de Gestión del Conocimiento : que convierten la cantidad de datos de la que dispone la Administración en información útil e "inteligente" con la posibilidad de distribuirla a través de intranets, extranets e Internet a cualquier persona que lo requiera.. -. Sistemas de Transacciones : que integran los anteriores sistemas y permiten a los usuarios finales interactuar con la Administración.. TALLION. Tallion cuenta con un conjunto de soluciones base que han sido exitosamente implementadas para diferentes gobiernos, adaptándolas a sus respectivos requerimientos y necesidades.. Entre estas soluciones destacan: -. Portales gubernamentales, construidos sobre las más avanzadas y seguras tecnologías y concebidos para satisfacer cualquier necesidad informativa o funcional de gobiernos locales, departamentales o centrales.. -. Soluciones Transaccionales y pagos online, concebidas con las máximas garantías de seguridad y confiabilidad, y preparadas para manejar sin dificultad los elevados volúmenes de transacciones y fondos que los gobiernos requieren.. -. e-Procurement o manejo de los procesos de compras a través de internet. Adaptadas a los requerimientos de cada cliente.. 28.
(32) ISC-2003-1-19. La variada gama de soluciones se complementa con la capacidad para ofrecer servicios de hosting y mantenimiento de las soluciones una vez han sido suministradas, con el consiguiente ahorro de inversión y costos operativos para los clientes.. Metodología de e-government Tallion ha adaptado la metodología Action Team al Sector Público, poniendo especial énfasis en dos aspectos que han sido cruciales para el éxito de sus proyectos en el área del e-government: -. Comprensión de las necesidades de los clientes o análisis de las oportunidades.. -. Capacitación de los recursos humanos de los clientes, no sólo durante la etapa de desarrollo de la solución, en la que sus profesionales trabajan en equipo con los de los clientes, sino también posteriormente a la puesta en operativo de la solución, con el fin de aprovechar al máximo las posibilidades que ésta ofrece.. La metodología Action Team se basa en la utilización de un equipo único, que trabajará de forma cercana y continuada con el cliente sin sufrir alteraciones en sus integrantes a lo largo de la vida del proyecto, y multidisciplinario, que incorporará profesionales con acreditada experiencia en las áreas principales que componen cada proyecto. Estas áreas son: gestión de la solución, estrategia, consultoría, creatividad y tecnología.. 29.
(33) ISC-2003-1-19. MySAP Public Sector. mySAP Public Sector convierte las posibilidades del e-government en una realidad para las Administraciones Públicas, conectándolas electrónicamente con los ciudadanos, proveedores y otras organizaciones a través de Internet. Todo ello, mejorando las comunicaciones, agilizando los procesos y racionalizando los servicios. mySAP Public Sector ayuda hoy a las Administraciones Públicas a enfrentarse al reto de mejorar la atención a sus ciudadanos, gracias a su amplia funcionalidad y sus grandes capacidades de gestión.. SAP entrega con mySAP Public Sector todo lo necesario para hacer realidad una solución de e-government, ya que incluye, tanto los componentes de mySAP Public. Sector,. como. algunas. de. sus. soluciones. intersectoriales.. Este. empaquetamiento permite a las organizaciones mejorar el servicio y la atención a los ciudadanos, partners y funcionarios. Algunos de sus beneficios son:. -. Nuevos procesos de Gestión: integra de manera homogénea los flujos de proceso de las administraciones públicas para crear nuevos procesos de gestión rápidos, productivos y perfectamente organizados.. -. Potencia y sofisticación: ofrece procesos de gestión de alta calidad que permiten una administración orientada a los servicios y una gestión eficaz de los costos.. 30.
(34) ISC-2003-1-19. -. Disponibilidad de la información: proporciona información vital tanto para la toma de decisiones como para una precisa planificación y control de los recursos, costos y productos.. mySAP Public Sector ofrece muchas oportunidades para la administración pública. Las funcionalidades clave incluyen:. -. E-Government :Marketplaces y portales ,CRM y servicios online , y , Sistema de pago online .. -. Gestión de registros electrónicos: E-Procurement .. -. Gestión de impuestos e ingresos: Cuentas unipersonales y Procesamiento integrado de datos masivos.. -. Finanzas y Administración: Gestión integrada de fondos y posiciones, Gestión de subvenciones, y Recursos humanos.. -. Gestión del conocimiento: E-Learning y Librerías y desarrollo del conocimiento.. -. Gestión de recursos: Mantenimiento de instalaciones y equipos, y Administración de la propiedad.. Microsoft (.NET). La visión de Microsoft respecto al gobierno electrónico consiste en permitir al sector público liderar la sociedad de la información al ofrecerle un software excelente gracias al cual podrá proporcionar servicios a los que se puede obtener 31.
(35) ISC-2003-1-19. acceso en cualquier momento, desde cualquier lugar y por medio de cualquier dispositivo.. La tecnología de la información puede ayudarle a crear valor en lo que respecta a la infraestructura, las transacciones, la información y la estrategia. Microsoft ofrece una excelente relación precio / rendimiento para una completa gama de productos y servicios, desde sistemas operativos, herramientas de desarrollo, servidores (redes, correo electrónico y bases de datos), herramientas de creación y diseño de páginas Web y aplicaciones de productividad personal hasta soluciones de comercio electrónico y movilidad y servicios Web. Pero Microsoft no sólo se compromete con los gobiernos como proveedor de tecnología, sino también como socio estratégico que les puede ayudar a utilizar la tecnología de la información (TI) para conseguir sus objetivos.. Siendo el sector público un mercado vertical tan importante, Microsoft está trabajando estrechamente con sus socios para crear soluciones que generen valor y modelos de servicios y ofertas de soluciones para miles de clientes del gobierno. Las asociaciones establecidas con el gobierno y los consumidores tienen como objetivo desarrollar soluciones que permitan crear sistemas confiables para Internet, fomentar la innovación tecnológica y generar crecimiento económico. Para ayudar a los gobiernos a lograr sus metas y llegar a los ciudadanos, Microsoft ha desarrollado tres iniciativas:. 32.
(36) ISC-2003-1-19. -. Esquema. para. gobiernos. electrónicos. (EGF,. Electronic. Government. Electronic. Government. Framework) -. Portal gubernamental. -. Portal de servicios para la comunidad digital. Esquema. para. gobiernos. electrónicos. (EGF,. Framework) Los gobiernos requieren un entorno de TI ágil y con capacidad de adaptación. Microsoft afronta los desafíos del intercambio de información entre distintos organismos gubernamentales y sus integrantes con diferentes modelos de datos, aplicaciones e infraestructuras de la iniciativa EGF. Los productos y servicios de Microsoft están basados en tecnologías abiertas y de uso extendido, como XML (Extensible Markup Language, Lenguaje de marcado extensible) y XSL (Extensible Stylesheet Language, Lenguaje de hojas de estilo extensible). Este enfoque reduce al mínimo los problemas de integración y permite un acceso completo a los servicios gubernamentales, en cualquier momento y lugar y desde cualquier dispositivo. Las principales ventajas que ofrece el esquema para gobiernos electrónicos son: -. Flexibilidad/capacidad de respuesta: los gobiernos pueden volver a ajustar rápidamente sus estrategias "de negocios" como respuesta a las demandas de servicios de los ciudadanos.. -. Velocidad que beneficia: los servicios a los ciudadanos estarán disponibles más rápidamente.. 33.
(37) ISC-2003-1-19. -. Menor costo total de propiedad: las operaciones más simplificadas y efectivas reducen los costos de operación y permiten ahorrar impuestos.. Portal gubernamental Tanto los consumidores como los ciudadanos esperan el mismo tipo de funcionalidad, como el acceso a servicios de los portales desde numerosos dispositivos, incluidos los equipos personales, televisores, telefonía de Internet e incluso aparatos inteligentes y dispositivos de juegos electrónicos. El esquema de Microsoft para portales gubernamentales se basa en la importante experiencia técnica y de negocio adquirida por Microsoft en el desarrollo y funcionamiento de la red MSN® de servicios de Internet.. El esquema es compatible con el desarrollo de aplicaciones que mejoran la interacción entre:. -. Ciudadanos y servicios gubernamentales: promover el autoservicio por parte del consumidor para los pagos de licencias y permisos, así como la interacción con las organizaciones relacionadas con el gobierno, la educación y el entretenimiento.. -. Negocios y gobierno: acelerar las tareas de procesamiento y compartir información, reducir los costos y aumentar las oportunidades de interacción.. -. Gobierno y gobierno: fomentar la cooperación entre los distintos organismos.. 34.
(38) ISC-2003-1-19. Portal de servicios para la comunidad digital El esquema de Microsoft para portales de servicios para la comunidad digital está enfocado principalmente a la mejora de la capacidad de las autoridades locales de administrar sus relaciones con los electores y permitir a los ciudadanos participar más directamente en las decisiones del gobierno local. Entre los servicios que podrían incluirse en un portal de servicios para comunidades digitales se incluyen: -. Servicios. básicos:. calendario,. correo. electrónico,. administración. de. suministros -. Servicios de las autoridades: identificación / autenticación, pagos, encuestas, debates y votaciones. -. Servicios de la comunidad: portales personales para funcionarios electos, sitios de la comunidad y ofertas de empleo El portal de una comunidad digital también sería compatible con el desarrollo de negocios, permitiendo a las empresas pequeñas desarrollar cooperativas locales (electrónicas) con el fin de incrementar el poder adquisitivo individual.. Los servidores .NET Enterprise Servers , que pueden ayudar como soporte para la constitución de un e-government son:. -. Microsoft. Application. Center. 2000:. herramienta. de. distribución. y. administración para aplicaciones Web de alta disponibilidad, integrada en Windows 2000.. 35.
(39) ISC-2003-1-19. -. Microsoft BizTalk™ Server 2000: organiza los procesos de negocio y servicios Web entre organizaciones y dentro de ellas.. -. Microsoft Commerce Server 2000: solución para el diseño rápido de eficaces transacciones en línea.. -. Microsoft Exchange 2000: solución de mensajes y colaboración, confiable y fácil de utilizar, para unir usuarios y conocimientos.. -. Microsoft SQL Server™ 2000: solución completa de base de datos y análisis para aplicaciones Web.. -. Microsoft Host Integration Server 2000: componentes de integración para sistemas host.. -. Microsoft Internet Security y Acceleration Server 2000: servidor integrado de seguridad y de caché Web creado para mejorar la seguridad, rapidez y gestión de la empresa Web.. -. Microsoft Mobile Information 2001 Server: plataforma confiable y escalable para soluciones inalámbricas que une usuarios de teléfonos móviles e información en cualquier momento, lugar y dispositivo.. Además otra ventaja que tiene Microsoft es la Microsoft Government Open License que está diseñada para reducir los costos asociados con la adquisición, actualización, mantenimiento y administración de software al proporcionar precios flexibles por un período de dos años. Esta opción de licenciamiento por volumen está disponible para entidades gubernamentales pequeñas y medianas que sean elegibles. Es ideal para aquellos. 36.
(40) ISC-2003-1-19. que requieren adquirir cantidades más pequeñas de licencias y que requieren de un modelo simple y flexible.. 37.
(41) ISC-2003-1-19. 7.. PRIVACIDAD, SEGURIDAD E INTEROPERABILIDAD. Existen mecanismos, tanto de Hardware como de Software, que son necesarios para brindar una mayor tranquilidad a los usuarios de un servicio de e-government y para tener una máxima seguridad y un mayor rendimiento en todas las funcionalidades ofrecidas.. Algunos de estos elementos son:. 7.1 Sistemas de Criptografía. Los sistemas criptográficos sirven para el envío de información de un lugar a otro y que sea entendible únicamente por el receptor autorizado. Estos se clasifican en dos tipos principales, los de clave simétrica y los de clave pública (asimétrica). Los modernos algoritmos de encriptación simétricos mezclan la transposición y la permutación, mientras que los de clave pública se basan más en complejas operaciones matemáticas.. Los sistemas simétricos se caracteriza por que se usa la misma clave para encriptar y para desencriptar, y los principales algoritmos simétricos actuales son DES, IDEA y RC5.. 38.
(42) ISC-2003-1-19. Los sistemas asimétricos se basan en el uso de dos claves diferentes, claves que poseen una propiedad fundamental: una clave puede desencriptar lo que la otra ha encriptado. En este sistema, para enviar un documento con seguridad, el emisor (A) encripta el mismo con la clave pública del receptor (B) y lo envía por el medio inseguro. Este documento está totalmente protegido en su viaje, ya que sólo se puede desencriptar con la clave privada correspondiente, conocida solamente por B. Al llegar el mensaje cifrado a su destino, el receptor usa su clave privada para obtener el mensaje en claro. Una variación de este sistema se produce cuando es el emisor A el que encripta un texto con su clave privada, enviando por el medio inseguro tanto el mensaje en claro como el cifrado. Así, cualquier receptor B del mismo puede comprobar que el emisor a sido A, y no otro que lo suplante, con tan sólo desencriptar el texto cifrado con la clave pública de A y comprobar que coincide con el texto sin cifrar. Como sólo A conoce su clave privada, B puede estar seguro de la autenticidad del emisor del mensaje. Este sistema de autentificación de denomina firma digital.. Varios son los aspectos que hay que manejar en el proceso de transferencia de un documento electrónico y que definen una comunicación segura:. -. Autenticidad: consiste en la seguridad de que las personas que intervienen en el proceso de comunicación son las que dicen ser. El método más usado para proporcionar autenticidad es la firma digital, basada en la criptografía.. 39.
(43) ISC-2003-1-19. -. Confidencialidad: se trata de la seguridad de que los datos que contiene el documento permanecen ocultos a los ojos de terceras personas durante su viaje por el medio desde A hasta B. La confidencialidad se consigue generalmente mediante métodos criptográficos.. -. Integridad: consiste en la seguridad de que los datos del documento no sufren modificación a lo largo de su viaje por el medio inseguro desde un punto A hasta un punto B. La comprobación de la integridad se suele realizar mediante firmas electrónicas, generalmente basadas en funciones hash. La Autenticidad es condición suficiente para la Integridad, si un documento es auténtico es integro, pero no al revés.. -. No repudio: se trata de que una vez enviado un documento por A, éste no pueda negar haber sido el autor de dicho envío. El No repudio es condición suficiente para la Autenticidad, si un documento es no repudiable es auténtico, pero no al revés.. El proceso de firma digital consta de dos partes:. -. Proceso de Firma: en el que el emisor encripta el documento con su llave privada, enviando al destinatario tanto el documento como el encriptado.. -. Proceso de Verificación de la Firma: el receptor desencripta el documento cifrado con la clave pública de A y comprueba que coincide con el documento. 40.
(44) ISC-2003-1-19. original, lo que atestigua de forma total que el emisor del mismo ha sido efectivamente A.. El método de la firma digital no sólo proporciona autenticidad al mensaje enviado por A, si no que también asegura el no repudio, ya que sólo el dueño de una llave privada puede encriptar un documento de tal forma que se pueda desencriptar con su llave pública, lo que garantiza que ha sido este y no otro el que ha enviado dicho documento.. Asimismo proporciona Integridad de datos, ya que si el documento fuera accedido y modificado en el camino el resumen del documento cambiaría también.. La firma digital suele usarse en comunicaciones en las que no existe una confianza inicial total entre los comunicantes. Se usan para autentificar mensajes, para validar compras por Internet, para realizar transferencias de fondos bancarios y para otras transacciones de negocios.. 7.2. Firewalls. Un Firewall en Internet es un sistema o grupo de sistemas que impone una política de seguridad entre la organización de red privada y el Internet. El firewall determina cuales de los servicios de red pueden ser accesados dentro de esta por los servicios que están fuera, es decir quien puede entrar, para utilizar los recursos de red pertenecientes a la organización. Para que un firewall sea efectivo, todo el 41.
(45) ISC-2003-1-19. trafico de información que provenga de Internet deberá pasar a través del firewall, donde podrá ser inspeccionada la información. El firewall podrá únicamente autorizar el paso del trafico, y el mismo podrá ser inmune a la penetración. Este tipo de sistema no puede ofrecer protección alguna una vez que el agresor lo traspasa o permanece entorno a este.. Un aspecto importante es tener claro que un firewall de Internet no es un enrutador, un servidor de defensa, o una combinación de elementos que proveen seguridad para la red. El firewall es parte de una política de seguridad completa que crea un perímetro de defensa diseñada para proteger las fuentes de información. Esta política de seguridad podrá incluir publicaciones con las guías de ayuda donde se informe a los usuarios de sus responsabilidades, normas de acceso a la red, política de servicios en la red, política de autenticidad en acceso remoto o local a usuarios propios de la red, normas de dial-in y dial-out, reglas de encriptación de datos y discos, normas de protección de virus, y entrenamiento. Todos los puntos potenciales de ataque en la red podrán ser protegidos con el mismo nivel de seguridad.. Las Bases para el diseño decisivo del firewall son las siguientes: -. Posturas sobre la política del Firewall.. -. La política interna propia de la organización para la seguridad total.. -. El costo financiero del Proyecto "Firewall".. -. Los componentes o la construcción de secciones del Firewall.. 42.
(46) ISC-2003-1-19. Posturas sobre la Políticas del firewall.. Las posturas del sistema firewall describen la filosofía fundamental de la seguridad en la organización. Estas son dos posturas diametralmente opuestas que la política de un firewall de Internet puede tomar: -. "No todo lo específicamente permitido esta prohibido". -. "Ni todo lo específicamente prohibido esta permitido". Política interna de la seguridad. Un firewall de Internet es parte de la política de seguridad total en una organización, la cual define todos los aspectos en competentes al perímetro de defensa. Para que esta sea exitosa, la organización debe de conocer que es lo se está protegiendo. La política de seguridad se basara en una conducción cuidadosa analizando la seguridad, la asesoría en caso riesgo, y la situación del negocio. Si no se posee con la información detallada de la política a seguir, aun que sea un firewall cuidadosamente desarrollado y armado, estará exponiendo la red privada a un posible atentado.. Costo del firewall. “¿Cuánto puede ofrecer una organización por su seguridad?”, un simple paquete de filtrado firewall puede tener un costo mínimo ya que la organización necesita un enrutador conectado al Internet, y dicho paquete ya esta incluido como estándar 43.
(47) ISC-2003-1-19. del equipo. Un sistema comercial de firewall provee un incremento mas a la seguridad pero su costo puede variar dependiendo de la complejidad y el numero de sistemas protegidos. Finalmente requiere de soporte continuo para la administración, mantenimiento general, actualización de software, reparación de seguridad, e incidentes de manejo.. Componentes del sistema firewall. Un firewall típico se compone de uno, o una combinación, de los siguientes obstáculos. -. Enrutador Filtra-paquetes.. -. Gateway a Nivel-aplicación.. -. Gateway a Nivel-circuito.. Enrutador filtra-paquetes. Este enrutador toma las decisiones de rehusar / permitir el paso de cada uno de los paquetes que son recibidos. El enrutador examina cada datagrama para determinar si este corresponde a uno de sus paquetes filtrados y que a su vez haya sido aprobado por sus reglas. Las reglas de filtrado se basan en revisar la información que poseen los paquetes en su encabezado, lo que hace posible su desplazamiento en un proceso de IP. Esta información consiste en la dirección IP fuente, la dirección IP destino, el protocolo de encapsulado (TCP, UDP, ICMP, o IP tunnel), el puerto fuente TCP/UDP, el puerto destino TCP/UDP, el tipo de 44.
(48) ISC-2003-1-19. mensaje ICMP, la interface de entrada del paquete, y la interface de salida del paquete. Si se encuentra la correspondencia y las reglas permiten el paso del paquete, este será desplazado de acuerdo a la información a la tabla de ruteo, si se encuentra la correspondencia y las reglas niegan el paso, el paquete es descartado. Si estos no corresponden a las reglas, un parámetro configurable por incumplimiento determina descartar o desplazar el paquete.. Gateways a nivel-aplicación Los gateways nivel-aplicación permiten al administrador de red la implementación de una política de seguridad mas estricta que la que permite un enrutador filtrapaquetes. Es mucho mejor que depender de una herramienta genérica de filtrapaquetes para administrar la circulación de los servicios de Internet a través del firewall, se instala en el gateway un código de “propósito especial” (un servicio Proxy) para cada aplicación deseada. Si el administrador de red no instala el código Proxy para la aplicación particular, el servicio no es soportado y no podrán desplazarse a través del firewall.. Gateway a nivel-circuito Un Gateway a nivel-circuito es una función que puede ser perfeccionada en un Gateway a nivel-aplicación. A nivel-circuito simplemente trasmite las conexiones TCP sin cumplir cualquier proceso adicional en filtrado de paquetes. El Gateway a nivel-circuito se usa frecuentemente para las conexiones de salida donde el administrador de sistemas somete a los usuarios internos. La ventaja preponderante es que el servidor de defensa puede ser configurado como un 45.
(49) ISC-2003-1-19. Gateway "híbrido" soportando nivel-aplicación o servicios Proxy para conexiones de venida y funciones de nivel-circuito para conexiones de ida.. 7.3 Sistemas de Autenticación. La autenticación permite saber quién es cada uno y realizar comunicaciones seguras. Estos sistemas son importantes para el acceso de un cliente a un determinado servicio que necesita autenticación previa. Las aplicaciones y los componentes que operan en el entorno de una red deben estar seguros de que el servidor es capaz de reconocer a cada cliente y verificar que cada uno de ellos es quien dice ser.. Para solucionar este problema, se han definido una serie de protocolos, algunos de estos son:. -. El protocolo Kerberos. -. Netware 3. -. SSL (Secure Socket Layer). PROTOCOLO KERBEROS. La autenticación de Kerberos incluye tres componentes que son los siguientes: 46.
(50) ISC-2003-1-19. -. Cliente-aplicación. -. Recurso de red. -. KDC: centro de distribución de claves. que posee dos servicios -. Servicio de autenticación (AS). -. El servicio de garantía de tiquetes (TGS): es el servicio que proporciona tiquetes (“tickets”) de sesión, que permiten el acceso a recursos basados en los permisos y derechos del usuario.. El proceso de autenticación es el siguiente, desde un computar se desea iniciar un proceso de ingreso. Se escribe la cuenta y contraseña del usuario. Estas se envía al KDC y este compara la información de ingreso con la información de usuario almacenada (servicio AS). Si la información que se ha dados es correcta. se. proporcionará un tiquete “ticket” de referencia, que es un Ticket Garantizado (TGT). Ahora se podrá solicitar recursos de la red basándose en los derechos y servicios.. NETWARE 3. Su protocolo de autenticación es el siguiente, cuando el usuario se autentica ofrece a la estación su login, password. El proceso de autenticación de la estación del usuario envía al Servidor su login. El servidor al recibir el login busca en su base de datos el password correspondiente a dicho usuario y su “SALT” (identificador asociado al login del usuario que se genera cuando un usuario sale). A continuación realiza un hash(X) del password y salt. Además calcula un número 47.
(51) ISC-2003-1-19. aleatorio (R) y otro hash (Y) del X y R obtenido. A continuación manda los valores R y Salt a la estación del cliente. Este por su parte calcula un hash (X’) del password escrito por el cliente y el Salt recibido del servidor. Genera otro hash (Y’) del X’ y del R enviado por el servidor y envía Y’. El servidor comparará el Y’ recibido con el Y generado por el, y si coincide, se garantiza que dicho usuario es quien dice ser.. SSL (SECURE SOCKET LAYER) Este protocolo fue creado por Netscape Communications para ofrecer seguridad y privacidad en Internet. Este protocolo soporta autenticación tanto de cliente como de servidor y además es independiente de la aplicación.. En SSL existen dos partes: SSL Handshake, que se encarga de realizar las funciones de autenticación entre cliente y servidor, y , SSL Record que realiza el envío y recepción de datos, cifrado y descifrado.. 48.
(52) ISC-2003-1-19. El cliente envía al servidor los parámetros que quiere negociar. y un número. aleatorio creado por él (Cliente Hello). El servidor responde a los parámetros solicitados por el cliente y genera un número aleatorio que se le envía al cliente (Server Hello). Después el servidor envía su certificado al cliente y finaliza así la fase de autenticación (Server Hello Done). Opcionalmente, el servidor también puede pedir la autenticación del cliente, para ello el servidor pide el certificado al cliente (Certificate Request) y este se lo enviará (Certificate). Ahora el cliente genera una clave secreta que cifra con la clave pública del servidor. Esta clave cifrada se envía entonces al servidor (Cliente Key Exchange). El servidor descifra la clave secreta. En este punto, tanto el cliente como el servidor disponen de una clave secreta (clave de sesión simétrica) y por tanto se. 49.
(53) ISC-2003-1-19. puede proceder al proceso de autenticación de forma segura (Change Cipher Speers y Finished). Esta clave es generada en cada sesión y cuando finaliza, se desecha. Una característica importante de SSL es que una vez distribuida la clave de sesión se pueden establecer nuevas sesiones (cada una con una identificación distinta) sin necesidad de intercambiar dicha clave. Lo único que se hace es intercambiar información entre cliente y servidor cifrándola con la clave de sesión anteriormente distribuida y común para todas las sesiones.. 7.4 Sistemas de Balanceo de Carga. Uno de los aspectos más críticos en una red es que todos los usuarios obtengan el óptimo rendimiento al ejecutar aplicaciones y que los recursos del servidor se utilicen del modo más eficiente posible. El Balanceo de Carga es una opción que permite a los administradores de sistemas simplificar la configuración de entornos multiservidor en un único y sencillo paso.. Antes, los administradores tenían que balancear la carga de los servidores manualmente y los usuarios tenían que especificar el nombre o la dirección del servidor al que se querían conectar. El software de Balanceo de Carga simplifica mucho este proceso: -. Los usuarios solo tienen que elegir la aplicación que desean ejecutar. 50.
(54) ISC-2003-1-19. -. El MetaFrame determina qué servidor o servidores están configurados para ejecutar esa aplicación. -. El Balanceo de Carga determina cuál de estos servidores está 'menos ocupado' y puede ejecutar mejor la aplicación. -. El Balanceo de Carga dirige al usuario a ese servidor automáticamente y de forma transparente. El Balanceo de cargas proporciona la capacidad de agrupar varios servidores MetaFrame en una única 'granja' de servidores para cubrir las necesidades de cualquier cantidad de usuarios. Si la organización crece, el administrador solo tiene que añadir servidores MetaFrame adicionales a la granja, proporcionando escalabilidad horizontal ilimitada.. Los servidores MetaFrame con Balanceo de Carga que estén conectados a una misma LAN o WAN pueden administrarse como una sola entidad, desde un solo lugar, mientras que las aplicaciones y los usuarios se administran desde una consola. Además, este sistema asegura un nivel de tolerancia a fallos en el que si un servidor de aplicaciones falla, simplemente redirige el tráfico a otro servidor de la granja.. 7.5 IDS (Sistema de Detección de Intrusos). Estos sistemas basan su funcionamiento en la recolección y análisis de. 51.
(55) ISC-2003-1-19. información de diferentes fuentes, que luego utilizan para determinar la posible existencia de un ataque o penetración de intrusos. En caso de que exista la suficiente certeza de la detección de un incidente, el IDS tiene como función principal alertar al administrador o personal de seguridad, para que tome acciones al respecto. Otras implementaciones más complejas son capaces de ir más allá de la notificación de un posible ataque, es decir pueden ejecutar acciones automáticas que impidan el desarrollo de éste.. Los IDS pueden clasificarse basándose en varios aspectos: Método de detección, tipo de monitoreo y forma de recolección y análisis de la información.. Según el método de detección, se pueden dividir en detección de mal uso y detección de anomalías.. El modelo de detección de mal uso consiste en observar cualquier proceso que intente explotar los puntos débiles de un sistema en específico. Las diferentes acciones, que integran el mencionado proceso, comúnmente se denominan patrones. o. firmas. del. ataque.. Estas firmas pueden ser simples, como cadenas de caracteres, estructuras de memoria o bits, pero también pueden ser más complejas como vectores ó expresiones matemáticas. Una ventaja de este método es que permite centralizar las labores de detección en el conjunto de firmas que posee el IDS, minimizando así, la carga de procesamiento del sistema. Muchos productos comerciales utilizan este enfoque e inclusive periódicamente proporcionan actualizaciones de éstas firmas. 52.
(56) ISC-2003-1-19. El modelo de detección de anomalías se basa en constantemente monitorear el sistema para así detectar cualquier cambio en los patrones de utilización o el comportamiento del mismo. Si algunos de los parámetros monitoreados sale de su regularidad, el sistema generará una alarma que avisará al administrador de la red sobre la detección de una anomalía. Este tipo de detección es bastante complejo, debido a que la cuantificación de los parámetros a observar no es sencilla y a raíz de esto, se pueden presentar varios inconveniente como:. -. Se Generan falsas alarmas si el ambiente cambia repentinamente.. -. Un atacante puede ir cambiando lentamente su comportamiento para así engañar al sistema.. Según el tipo de monitoreo, hay IDS con detección orientada al host o detección orientada a la red.. El modelo orientado al host se basa en el monitoreo y análisis de información, que refleja el estado del host donde éste reside. La mayoría de la información que este tipo de sistema recopila es obtenida a través del sistema operativo del host. Esto último causa complicaciones debido a que la información que se procesa no contiene registros del comportamiento, de bajo nivel, de la red. Los IDS que utilizan el modelo orientado a red, fundamentan su monitoreo en información recolectada de la red. Generalmente, ésta información es capturada mediante mecanismos de "sniffing". (El "sniffing" consiste en habilitar la interfaz de red en modo promiscuo para que así capture todos los paquetes que reciba, 53.
(57) ISC-2003-1-19. incluso aquellos que no le han sido destinados). Con este mecanismo se pueden definir patrones o firmas de ataques, según la estructura, información y ocurrencia de los paquetes.. 54.
(58) ISC-2003-1-19. 8. EJEMPLOS E-GOVERNMENT. -. http://www.gob.mx. Algunas Características: Se puede realizar Pago de Impuestos On-Line, tiene servicio para el manejo de Clave Única de Registro de Población (CURP) que es un instrumento de registro que se asigna a todos los mexicanos, tiene Foros de Participación Ciudadana, Sección de noticias, información acerca de diferentes tramites (Seguridad Social , credencial de Elector , inicio de un negocio), Bolsa de trabajo , entre otros servicios.. -. http://www.gobiernoenlinea.gov.co. (Portal del Estado Colombiano). Con el objeto de proveer un punto de acceso integrado, de fácil ubicación y acceso a toda la información y servicios que ofrecen todas las entidades públicas en sus propios Sitios en Internet, el Gobierno Nacional puso a disposición de los ciudadanos el Portal de Información y Servicios del Estado colombiano (PEC): www.gobiernoenlinea.gov.co. A través del PEC se puede ubicar y acceder a toda la información y servicios que ofrecen mas de 496 entidades del Estado en sus propios sitios en Internet. 55.
Documento similar