Resguardando Disponibilidad, Integridad y Confidencialidad en flujos “Cero Papel”

(esquemas de documentos electrónicos técnica y jurídicamente válidos).

@fvelizf

Presentación preparada la “III Conferencia Anual de Tecnologías de la Información y Comunicaciones PNP-2016: Logros y retos

tecnológicos para las operaciones policiales, la Ciberseguridad y la lucha contra el Cibercrimen y el Ciberterrorismo”,

Lima el 08 de julio de 2016.

“Los cambios lo único constante”Heráclito, Siglo V a.c.

PreámbuloEntorno Actual

Auge de adopción de las TIC´s por empresas, organismos e instituciones tiende a generalizar el comercio y gobierno electrónico, incrementándose en la misma medida el interés por cuidado de los

«documentos electrónicos».

«Gestión documental (electrónica)» se torna en imprescindible en razón que la «desmaterialización de los documentos» requiere, de

modo similar que en el medio físico, «procedimientos controlados» para su preservación.

Ello implica moverse de estructuras «organizacionales tradicionales» de la documentación hacia una «gestión electrónica» que permita la

adecuada «conservación» y «archivo» de los «documentos electrónicos» de modo que preserven su valor legal durante el

tiempo que la legislación estipula.

@fvelizf

Introducción

El paradigma del papel y la cultura en torno al mismo… y las profesiones se formaron en torno al mismo

▷Antes ▷Ahora…

@fvelizf

Ésta definición se corresponde, a su vez, con la de “mensaje de datos”, la cual no selimita a la comunicación sino que pretende también englobar cualquier informaciónconsignada sobre un soporte informático que no esté destinada a ser comunicada, enGuía para incorporación al derecho interno de Ley Modelo de la CNUDMI sobreComercio Electrónico 1996, NACIONES UNIDAS.

Documento electrónico: “Es la unidad básica estructurada de información registrada,publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida,procesada o conservadas por una persona o una organización de acuerdo a sus requisitosfuncionales, utilizando sistemas informáticos”. (Glosario de Términos Rto. Ley 27269,de firmas y certificados digitales, aprobado mediante D.S. 052-2008-PCM,concordante con Definiciones de NTP 392.030-2-2015 – MICROFORMAS.Requisitos para las organizaciones que administran sistemas de producción yalmacenamiento. Parte 2: Medios de archivo electrónico).

Documento ElectrónicoDefinición: Documento electrónico

@fvelizf

AU

TE

NT

ICID

AD

D

Es lo que afirma ser; ha sido creado o enviado por la persona de la cual se afirma que lo ha creado o enviado.

Ha sido creado o enviado en el momento en que se afirma.

INT

EG

RID

AD

El documento está completo y no ha sido alterado.

Se deben limitar las adiciones o anotaciones posteriores a su creación.

Cualquier anotación, adición o supresión autorizada debe dejar evidencia.

FIA

BIL

IDA

D Su contenido es una representación completa y precisa de las operaciones, actividades o los hechos de los que da testimonio y al que se puede recurrir en el curso de posteriores operaciones o actividades.

DIS

PO

NIB

ILID

AD

Puede ser localizado, recuperado, presentado e interpretado.

Su presentación debe mostrar la actividad u operación que lo produjo.

Identificar en el contexto amplio de las actividades y las funciones de la organización.

Mantener vínculos entre documentos que reflejan secuencias de actividades.

Características del documento electrónico (*)

(*) Según la ISO/IEC 15489-2.-Gestión de Documentos, que especifica la metodología para la implementación de la norma ISO/IEC 15489-1.

Documento Electrónico

@fvelizf

Optimizar desempeño

Mejorar Productividad

Innovar Servicios

Aumentar Competitividad

Internet y la “era digital”, posibilidades y limitaciones

@fvelizf

Personas AcercamientoInformación

InstantáneaComunicación Simultánea

Medio inseguro RiesgosAccesos no

autorizados

Personal

Social

Público

Internet y la “era digital”, posibilidades y limitaciones

@fvelizf

Tomando como referencia el“Convenio de Ciberdelincuencia delConsejo de Europa”, encontramosque los delitos informáticos son:

“Delitos contra la contra laconfidencialidad, la integridad y ladisponibilidad de los datos y sistemasinformáticos”.

Delitos Informáticos

@fvelizf

AUTENTICIDADD

INTEGRIDAD

/

FIABILIDAD

DISPONIBILIDAD

Documento Electrónico

Delitos Informáticos

… ¿Cómo aseguramos los contenidos digitales?... ¿Qué tecnología tenemos disponible?... ¿Cuál es el marco legal?...

@fvelizf

Firma Electrónica y firma digital

SeguridadAspecto clave para el desarrollo del Comercio como del Gobierno

electrónico...

Necesidad de generar Confianza:

Debido a la inseguridad actual de Internet. Percepción (exagerada) de esa inseguridad por los ciudadanos.

ConfianzaSeguridad

@fvelizf

Firma y Certificados Digitales

Autenticidad Integridad

Confidencialidad

No Repudio

IOFE

Perú

@fvelizf

Ley 27310Modifica Art. 11º

de Ley 2726917JUL2000

Ley 27269

Ley Firmas y Certificados

Digitales28MAY2000

Ley Nº 27291Modifica

Código Civil24JUN2000

2000

D.S. 019-2002-JUS

1º Rto.LFCD

DEROGADO

2002 2007D.S. 004-2007-PCM

2º Rto. LFCD

DEROGADO

2008D.S. 052-2008-PCM

3º Rto. LFCD

VIGENTE

19JUL2008

D.S. 070-2011-PCM -modifica 3º Rto. LFCD.27JUL1011

D.S. 105-2012-PCM -modifica 3º Rto. LFCD.21OCT2012

D.S. 026-2016-PCM -modifica 3º Rto. LFCD.21OCT2012

2011 2012 2016

Resol. CRT Nº 030-2008/CRT-INDECOPIGuías de

Acreditación de Entidades de Certificación

19MAR2008

2008 Resol. CNFBC Nº 045-2011/CNB-

INDECOPIIncorporan a TSLEC´s que cumplan

supuestos del Art. 2º del D.S. 070-2011-

PCM

12OCT2011

20112016

Evolución del Marco Legal peruano sobre Firmas y Certificados Digitales

@fvelizf

Ley Nº 27291Modifica

Código Civil24JUN2000

Modifica Art. 141ºManifestación de

Voluntad

Adiciona Art. 141º - A

Formalidad

Modifica Art. 1374ºConocimiento y

contratación entre ausentes

Título I – Disposiciones Generales

Libro II – Acto Jurídico

Título II – El Consentimiento

Sección Primera Contratos en General

Libro VII – Fuente de las Obligaciones

2000

Ley Nº 27291, modifica el Código Civil permitiendo la utilización de los medios electrónicos para la comunicación de voluntad y la utilización de la firma electrónica

@fvelizf

Firma

Electrónica

Firmas manuscritas escaneadas

Firmas realizadas mediante un lapicero

digital

FIRMA DIGITAL

Firma Electrónica y firma digital

Relación de Género a Especie

@fvelizf

Enfoque de Doble Nivel

Ley Nº 27269 Ley de Firmas y Certificados Digitales (28MAY2000)(vigente)

D.S. 052-2008-PCM Rgto. Ley de Firmas y Certificados Digitales (19JUL2008) (vigente)

Umbral bajo de requisitos de modo que métodos de

autenticación electrónica puedan recibir condición jurídica mínima

Asigna mayor efecto jurídico a determinados métodos de

autenticación electrónica

Enfoque de

Doble Nivel

Firma

Electrónica

(FE)

Firma

Digital

Firma

ManuscritaNEUTRALIDAD TECNOLÓGICA

IOFE

EQUIVALENCIA

FUNCIONAL

Firma Electrónica y firma digital

@fvelizf

Firma Electrónica

Definición legal permite:

Dotar de un carácter amplio a la firma electrónica

Permitir otras modalidades de firma electrónica (PIN o clave)

Admitiría, por ejemplo, uso de firma escaneada

Realizar éste tipo de firma esta al alcance de cualquiera

Igual podemos fotocopiar y pegarla a un documento o fax

Podemos considerar este tipo de firma como “menor”, pues ofrece garantías técnicas y legales muy limitadas

Firma Electrónica y firma digital

@fvelizf

2000

Tendencias normativas en la legislación de firmas y certificados digitales

CNUDMI

Enfoque Minimalista

Enfoque de Tecnología Específica

Enfoque de Doble Nivel

Admite otras modalidades de firma electrónica, pero aquella que brinda

mayor seguridad es equivalente con la firma manuscrita

Tecnología favorecida a nivel legislativo es la firma digital

Reconocimiento legal a todos los tipos de firma electrónica

Firma Electrónica y firma digital

@fvelizf

Género que nos permite«identificarnos» en medioselectrónicos, su generación estábajo control del usuario (PN o PJ)

Especie que nos permite«identificarnos» en medioselectrónicos, su generación estábajo control de «tercera parteconfiable» que aseguracomprobación previa de laIdentidad.

IdentidadElectrónica

Firma Electrónica

Firma Digital

Identidad Digital basada en un certificado digital que permite firma digital

Firma Electrónica y firma digital

@fvelizf

AAC se encarga del registro de losPSC´s que deberán cumplir conestándares técnicosinternacionales (Art. 15º).

De manera general Procedimiento deacreditación se rige por lo establecido enel Rto. De LFCD, y de modo particular porlos Rtos. Específicos y Guías deAcreditación aprobadas por la AAC (Art.24º).

AAC establece requisitos mínimos parala prestación de los diferentes servicios acargo de los PSC (Art. 57º, k).

Ley Nº 27269 de Firmas y Certificados

Digitales

Guías de Acreditación de EC y entidades

conexas

Reglamento de la Ley Firmas y

Certificados Digitales D.S.

052-2008-PCM

Disposiciones de la Autoridad Administrativa

Competente

Jerarquía Normativa en Certificación Digital en el Perú

@fvelizf

2000 / 2008

Firma Electrónica y firma digital

De la prestación de servicios de certificación digital a cargo del Estado Peruano

2008

3º Reglamento LFCD EC

ER

ECERNEP

ECEP

EREP

Estructura Jerárquica de Certificación del Estado Peruano

D.S. 052-2008-PCMRgto. Ley de Firmas y

Certificados Digitales

(19JUL2008)

(vigente)

SVA

RENIEC

Derecho de Acceso a los servicios públicos por medios electrónicos seguros

ECEP

EREP EREP

ECERNEP

IOFEPerú

Recoge mecanismos provistos por la IOFE dando uso real a la misma y cobrando

importancia la provisión de servicios de certificación digital por parte del Estado

3º Rto. de la Ley de firmas y certificados digitales

@fvelizf

2008

La Infraestructura Oficial de Firma Electrónica

EJE TRANSVERSAL

Estrategia de Modernización de la Gestión Pública 2012 - 2016 prevé usointensivo de Tecnologías de la Información y la Comunicación (TIC) en la gestióndel Estado, para ello la Política de Gobierno Electrónico es un eje transversal aPolítica Nacional de Modernización de la Gestión Pública.

D. S. N° 081-

2013-PCM (10JUL2013)

Aprueba

Política Nacional de Gobierno Electrónico

2013-2017, principal instrumento para el

desarrollo y despliegue el Gobierno Electrónico en el Perú.

Políticas púbicas en Gobierno Electrónico y Modernización del Estado

@fvelizf

Ente Rector del Sistema Nacional de Informática, encargado de implementar la Política Nacional de Gobierno Electrónico

Rol Rector, Promotor y Articulador

D. Leg. 604, DS Nº 066-2003-PCM, DS Nº 067-2003-PCM, DS Nº 063-2007-PCM, Ley Nº 29904

@fvelizf

Objetivos

Fortalecer el Gobierno Electrónico,

garantizando su interoperabilidad y el intercambio de datos

espaciales a fin de mejorar los servicios

públicos.

Acercar el Estado a los ciudadanos, a través de las TIC,

con acceso oportuno, inclusivo

y participativo

Garantizar la seguridad de la

información, así como la

ciberseguridad en el Estado.

Fomentar la inclusión digital

de los ciudadanos, a

través de la generación de capacidades.

Promover, a través del uso de las TIC, el desarrollo de la

Sociedad de la Información y el

Conocimiento.

Obj 1 Obj 2 Obj 3 Obj 4 Obj 5

Transparencia e-Inclusión e-Participación e-ServiciosTecnología e Innovación

Seguridad de la Información

Infraestructura

Lineamientos Estratégicos

D.S. Nº 081-2013-PCM, 10JUL2013, Política Nacional de Gobierno Electrónico 2013 – 2017

@fvelizf

Fuente: Política Nacional de Gobierno Electrónico 2013 – 2017 (D.S. Decreto Supremo Nº 081-2013-PCM) y Política Nacional de Modernización de la Gestión Pública (D.S. Nº 004-2013-PCM) respectivamente.

(*) Concepto de Identidad Digital en “La Identidad Digital y el Derecho de Acceso a los Servicios Públicos Electrónicos Seguros”, GCRD, RENIEC, Lima, PERÚ - Julio 2010.

Alineamiento a Políticas Nacionales de obligatorio cumplimiento

@fvelizf

Plataforma de Interoperabilidad

del Estado - PIDE

104Usan la PIDE, desde Octubre 2011

Entidades Públicas

http://www.ongei.gob.pe/interoperabilidad/

29Publicados en la PIDE.

ServiciosWeb

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

@fvelizf

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

Fuente: ONGEI, consultado el 06JUL2016

@fvelizf

……

Institución 1

Plataforma 1

Institución 2

Plataforma 2

Institución 3

Plataforma 3

Institución 4

Plataforma 4

Institución 5

Plataforma 5

Institución 6

Plataforma 6

Institución 7

Plataforma 7

Institución n

Plataforma n

Arquitectura 2000 - 2009

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

@fvelizf

Consumidores

Proveedores

La plataforma de interoperabilidad entrega flexibilidad para compartirinformación entre entidades

Encamina los datos entre Aplicaciones Utiliza estándares para el intercambio de datos. Transformación de formatos de los datos entre la

institución consumidora y el proveedor de lainformación.

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

@fvelizf

Interoperabilidad Técnica

Infraestructura Servicios Contenidos Accesibilidad

(6) «Comentario sistemático a la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos», GAMERO CASADO yVALERO TORRIJOS (coordinadores), Editorial Aranzadi, Tercera Edición 2010, p763.

Interoperabilidad Semántica

Interoperabilidad Organizativa

Interoperabilidad Jurídica

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

@fvelizf

• RESOLUCIÓN MINISTERIAL Nº381-2008-PCM: Aprueban

lineamientos y mecanismos para implementar la interconexión de

equipos de procesamiento electrónico de información entre las

entidades del Estado.

• ESTANDARES DE INTEROPERABILIDAD

1. Interconexión

2. Seguridad

3. Organización e intercambio de informaciones

4. Medios de acceso

5. Áreas de integración para Gobierno Electrónico

Ley N° 27444, Ley del

Procedimiento

Administrativo General

numeral 76.2.2 del

Artículo 76°

Decreto Legislativo Nº

1029, de 24JUN2008

D. S. N° 083-2011-PCM, 21OCT2011, Plataforma de Interoperabilidad del Estado – PIDE

@fvelizf

@fvelizf

Contexto Regional

ARTÍCULO 13.10: Autenticación y Certificados Digitales1. Ninguna Parte podrá adoptar o mantener legislación sobreautenticación electrónica, que impida a las partes de una transacciónrealizada por medios electrónicos, tener la oportunidad de probarante las instancias judiciales o administrativas correspondientes, quedicha transacción electrónica cumple los requerimientos deautenticación establecidos por su legislación.

2. Las Partes establecerán mecanismos y criterios de homologaciónque fomenten la interoperabilidad de la autenticación electrónicaentre ellas de acuerdo a estándares internacionales. Con estepropósito, podrán considerar el reconocimiento de certificados defirma electrónica avanzada o digital según corresponda, emitidos porprestadores de servicios de certificación, que operen en el territoriode cualquier Parte de acuerdo con el procedimiento que determine sulegislación, con el fin de resguardar los estándares de seguridad eintegridad.Texto íntegro en:http://www.mincit.gov.co/publicaciones.php?id=8932

@fvelizf

Contexto Internacional

«…el gobierno electrónico es una herramienta clave para apoyar y mejorar las funciones del sectorpúblico y los procesos en general. En particular, ha demostrado su fuerza como una herramienta paramejorar y potenciar la innovación en el sector público”, con lo cual se pasa de un “…paradigmacentrado en el gobierno a un paradigma centrado en el ciudadano, poniendo más atención en elcontexto (por ejemplo, los factores sociales, organizacionales e institucionales)».

El cambio de paradigma hacia el enfoque ciudadano en la prestación

de servicios de gobierno electrónico tiene un principal desafío para los

Estados, entre otros, generar “…confianza de los usuarios en sus

gobiernos y la gestión de la información personal y sus identidades

digitales: garantizándose que la información, los datos y las

identidades digitales se utilizan de modo confiable y respetando la

integridad, la autenticidad y la privacidad como requisitos básicos para

una mayor aceptación».

OCDE - Repensando los servicios de Gobierno electrónico: enfoque centrado en el usuario (2009)

@fvelizf

Gracias!Preguntas?

Me puedes encontrar en:@fvelizfhttps://pe.linkedin.com/in/fvelizf