LAS VENTANILLAS ÚNICAS ELECTRÓNICAS COMO HERRAMIENTAS DE FACILITACIÓN DE COMERCIO
MÓDULO 4
INTEROPERABILIDAD Y SEGURIDAD
Ventanillas Únicas Electrónicas
Módulo 4
Autor del curso Banco Interamericano de Desarrollo (BID) (www.iadb.org), a través de su Sector de Integración y Comercio (INT). Coordinador del curso Banco Interamericano de Desarrollo (BID) (www.iadb.org), a través de su Sector de Integración y Comercio, el Instituto para la Integración de América Latina y el Caribe (INTAL) (www.iadb.org/es/intal), el Instituto Interamericano para el Desarrollo Económico y Social (INDES) (www.indes.org), así como el Consejo Suramericano de Infraestructura y Planeamiento (COSIPLAN) de la UNASUR. Autor del módulo Luisa Escamilla Navarro, Responsable de proyectos de Tecnologías de la Información Autoridad Portuaria de Valencia. Coordinación pedagógica y de edición El Instituto Interamericano para el Desarrollo Económico y Social (INDES) (www.indes.org), en colaboración con la Fundación Centro de Educación a Distancia para el Desarrollo Económico y Tecnológico (CEDDET) (www.ceddet.org).
Copyright ©2017 Banco Interamericano de Desarrollo. Esta obra se encuentra sujeta a una licencia Creative Commons IGO 3.0 Reconocimiento-NoComercial-SinObrasDerivadas (CC-IGO 3.0 BY-NC-ND) (http://creativecommons.org/licenses/by-ncnd/3.0/igo/legalcode). Este documento es propiedad intelectual del Banco Interamericano de Desarrollo (BID). Cualquier reproducción parcial o total de este documento debe ser informada a: BIDINDES@iadb.org Cualquier disputa relacionada con el uso de las obras del BID que no pueda resolverse amistosamente se someterá a arbitraje de conformidad con las reglas de la CNUDMI (UNCITRAL). El uso del nombre del BID para cualquier fin distinto al reconocimiento respectivo y el uso del logotipo del BID no están autorizados por esta licencia CC-IGO y requieren de un acuerdo de licencia adicional. Note que el enlace URL incluye términos y condiciones adicionales de esta licencia. Las opiniones incluidas en los contenidos corresponden a sus autores y no reflejan necesariamente la opinión del Banco Interamericano de Desarrollo. Los presentes materiales han sido revisados a la luz de las decisiones ministeriales tomadas en el marco de la Novena Conferencia Ministerial de la Organización Mundial del Comercio celebrada en Bali, Indonesia, en diciembre de 2013. Los ajustes fueron realizados con la finalidad de reflejar un mayor alineamiento entre la temática del curso y las prioridades identificadas en la Declaración Ministerial y decisiones de Bali, en la que participaron todos los miembros del BID. Declaración de Bali
2
Ventanillas Únicas Electrónicas
Módulo 4
Tabla de contenidos Índice de figuras .............................................................................................................. 5 Glosario de términos ....................................................................................................... 7 Presentación del módulo ............................................................................................... 12 Objetivo general del módulo ......................................................................................... 13 Preguntas orientadoras de aprendizaje ........................................................................ 13 UNIDAD I. INTEROPERABILIDAD E INTERCONEXIÓN ..................................................14 Objetivos de aprendizaje ...............................................................................................14 I.1. Interoperabilidad. Definición ...................................................................................14 I.2. Los beneficios de la interoperabilidad ................................................................... 20 I.3. Riesgos y barreras .................................................................................................... 21 Material complementario ............................................................................................. 23 SÍNTESIS DE LA UNIDAD ............................................................................................... 23 UNIDAD II. LA ARMONIZACIÓN DE LA INFORMACIÓN EN LOS PROCESOS DE VENTANILLA ÚNICA ............................................................................. 24 Objetivos de aprendizaje .............................................................................................. 24 II.1. Introducción ............................................................................................................ 24 II.2. Beneficios ............................................................................................................... 25 II.3. Recomendaciones .................................................................................................. 26 II.4. Políticas de armonización, organización y comunicación .................................... 27 II.5. Pasos a seguir en la armonización de datos ......................................................... 29 Material complementario ............................................................................................. 30 SÍNTESIS DE LA UNIDAD ............................................................................................... 30
3
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD III. SIMPLIFICACIÓN EN EL PROCESO DE TRAMITACIÓN ............................. 31 Objetivos de aprendizaje ............................................................................................... 31 III.1. Introducción............................................................................................................ 31 III.2. Ventajas de la desmaterialización ........................................................................ 32 III.3. Aspectos a considerar ........................................................................................... 33 III.4. Firma digital ........................................................................................................... 34 III.5. Factura electrónica ............................................................................................... 37 Material complementario ............................................................................................. 40 SÍNTESIS DE LA UNIDAD ............................................................................................... 40 UNIDAD IV. ARQUITECTURA DE UN ENTORNO DE VENTANILLA ÚNICA ...................41 Objetivos de aprendizaje ...............................................................................................41 IV.1. Arquitectura de un entorno de Ventanilla Única ..................................................41 IV.2. Arquitectura Empresarial ...................................................................................... 43 IV.3. Arquitectura de Datos - Modelo de Datos de la OMA ......................................... 45 IV.4. Arquitectura Orientada a Servicios ...................................................................... 46 IV.5. Consecuencias de SOA para el entorno de Ventanilla Única .............................. 47 Material complementario ............................................................................................. 49 SÍNTESIS DE LA UNIDAD ............................................................................................... 49 UNIDAD V. SEGURIDAD ................................................................................................ 50 Objetivos de aprendizaje .............................................................................................. 50 V.1. Definición y objetivos ............................................................................................. 50 V.2. Amenazas ................................................................................................................ 51 V.3. Análisis de riesgos .................................................................................................. 52 V.4. Técnicas para asegurar el sistema ......................................................................... 53
4
Ventanillas Únicas Electrónicas
Módulo 4
V.5. Puesta en marcha de una política de seguridad ................................................... 55 Material complementario ............................................................................................. 56 SÍNTESIS DE LA UNIDAD ............................................................................................... 56
Bibliografía .................................................................................................................... 57
Índice de figuras Figura 1. Requerimientos Interoperabilidad Técnica .................................................. 16 Figura 2. Requerimientos Interoperabilidad Semántica .............................................. 17 Figura 3. Requerimientos de Interoperabilidad Organizacional ................................ 18 Figura 4. Requerimientos de Gobernanza de la Interoperabilidad ............................ 20 Figura 5. Beneficios de la interoperabilidad ................................................................. 21 Figura 6. Riesgos y Barreras de la interoperabilidad .................................................. 22 Figura 7. Dimensiones de la Interoperabilidad ........................................................... 23 Figura 8. Medidas en el proceso de armonización ...................................................... 26 Figura 9. Estrategia gradual para una Ventanilla Única............................................... 28 Figura 10. Fases del proceso de armonización............................................................. 29 Figura 11. Ventajas de la desmaterialización ................................................................ 33 Figura 12. Aspectos a considerar en el proceso de desmaterialización ..................... 34 Figura 13. Proceso de firma digital ............................................................................... 35 Figura 14. Ventajas de la firma digital .......................................................................... 36 Figura 15. Datos de los que se compone el certificado ............................................... 36 Figura 16. Condiciones para Factura Electrónica ........................................................ 38 Figura 17. Beneficios de la factura electrónica ............................................................ 38 Figura 18. Formatos factura electrónica ...................................................................... 39 Figura 19. Esquema de relaciones................................................................................. 42 5
Ventanillas Únicas Electrónicas
Módulo 4
Figura 20. Arquitectura de la Tecnología .................................................................... 44 Figura 21. Tipos de conflictos entre los modelos de información .............................. 45 Figura 22. Conceptualización de la arquitectura de interoperabilidad ....................... 46 Figura 23. Esquema de caracterización de Arquitectura SOA .................................... 47 Figura 24. Causas de amenazas .................................................................................... 51 Figura 25. Etapas del anáalisis de impacto al negocio ................................................ 53 Figura 26. Métodos y mecanismos en que se compone el control de acceso .......... 53
6
Ventanillas Únicas Electrónicas
Módulo 4
Glosario de términos n Activo de información: Es cualquier información o sistema relacionado con el
tratamiento de la misma que tenga valor para la organización, pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones. Es susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. n Arquitectura de aplicaciones: Parte de la Arquitectura Empresarial que provee
un plano para cada uno de los sistemas de aplicación que se requiere implantar, así como las interacciones entre estos sistemas y sus relaciones con los procesos de negocio centrales de la organización. Incluye los sistemas TIC, servicios TIC y los casos de uso funcional. n Arquitectura de datos: Parte de la Arquitectura Empresarial que describe la es-
tructura de los datos físicos y lógicos de la organización, y los recursos de gestión de estos datos; tales como objetos de datos, mensajes electrónicos, reglas y controles sobre la información. n Arquitectura de negocios: Parte de la Arquitectura Empresarial que se centra
en la capacidad del negocio, su estructura de recursos y cómo los utiliza para producir el valor del negocio. Define la estrategia de negocios, la gobernabilidad, la estructura y los procesos clave de la organización. n Arquitectura de tecnología: Parte de la Arquitectura Empresarial que estruc-
tura la descripción del hardware, software y redes requerida para dar soporte a la implantación de las aplicaciones principales. n Arquitectura Empresarial (Enterprise Architecture): Disciplina que se especia-
liza en ofrecer una solución arquitectónica, que ayuda a producir la estrategia de TIC basada en la estrategia de negocio, acompañando los antecedentes de la organización para mejorar su eficacia. Otras definiciones: o "La lógica de los procesos de negocio de una organización e infraestructura TIC reflejando la integración y las necesidades de normalización del modelo operacional de la empresa" (Fuente: Massachusetts 7
Ventanillas Únicas Electrónicas
Módulo 4
Institute of Technology (MIT): Centro de Investigación de Sistemas de Información). o "La organización fundamental de un sistema, representada por sus componentes, sus relaciones entre ellos y con su entorno, y los principios que gobiernan su diseño y evolución" (Fuente: estándar ANSI/IEEE 1471-2000). o "Una descripción formal de un sistema; la estructura de componentes, sus interrelaciones, y los principios y guías que gobiernan su diseño y evolución a lo largo del tiempo" (Fuente: TOGAF - The Open Group Architecture Framework). n Arquitectura Orientada a Servicios (SOA): Metodología cuyo propósito es es-
tablecer una forma de trabajar consistente en alinear y optimizar los sistemas existentes con los objetivos de la organización, posibilitando la integración con sistemas y soluciones de forma sencilla y flexible. n Certificado digital: Documento electrónico intransferible y no modificable, que
permite garantizar técnica y legalmente la identidad de un sujeto o entidad. Consta de un duplo de claves criptográficas (una pública y una privada) generadas por un algoritmo matemático. n Desmaterialización: Se puede definir como la transferencia de una información
almacenada en papel a una información almacenada en un soporte digital. n EDI: El intercambio electrónico de datos (Electronic Data Interchange) consiste
en una transmisión estructurada de datos entre entidades utilizando medios electrónicos. El intercambio electrónico de datos puede utilizar distintos formatos estándares de datos: EDIFACT, XML, ANSI ASC X12, TXT, etc. n Enterprise Architecture: Véase Arquitectura Empresarial. n Factura electrónica: Documento electrónico que cumple con los requisitos le-
gal y reglamentariamente exigibles a las facturas tradicionales, garantizando la autenticidad de su origen y la integridad de su contenido.
8
Ventanillas Únicas Electrónicas
Módulo 4
n Firma digital: Esquema matemático que sirve para demostrar la autenticidad
de un mensaje o documento electrónico. Proporciona al destinatario la seguridad de que el mensaje fue creado por el remitente y no se alteró durante la transmisión. La firma digital se puede almacenar tanto en soportes de hardware como software. n Firma electrónica: Término de naturaleza fundamentalmente legal, desvincu-
lando el tipo de firma de la tecnología utilizada para su implementación. Legalmente, una firma electrónica tiene el mismo valor que la firma manuscrita, donde su vinculación a un documento identifica al autor y señala la conformidad con el contenido. La firma electrónica se almacena en un soporte hardware. n Gobernanza de la interoperabilidad: Comprende los acuerdos entre los gobier-
nos, sus ministerios, agencias y otros organismos públicos, y los actores que participan en la consecución de la interoperabilidad entre procesos y la forma de alcanzarlos. Define condiciones políticas, legales y estructurales requeridas, con el objetivo de identificar y eliminar las potenciales barreras que impiden la integración. n Interoperabilidad: El Marco Iberoamericano de Interoperabilidad define la in-
teroperabilidad en el ámbito de la administración electrónica como “la habilidad de organizaciones y sistemas dispares y diversos para interaccionar con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interacción implica que las organizaciones involucradas compartan información y conocimiento a través de sus procesos de negocio, mediante el intercambio de datos entre sus respectivos sistemas de tecnología de la información y las comunicaciones”. n Interoperabilidad intra-administrativa: Se refiere a la interoperabilidad ubi-
cada dentro de una misma unidad administrativa o gubernamental, pero entre diferentes departamentos o agencias pertenecientes a la misma.
9
Ventanillas Únicas Electrónicas
Módulo 4
n Interoperabilidad horizontal: Se corresponde a la interoperabilidad desarro-
llada entre diferentes administraciones con un mismo nivel dentro del gobierno (local-local, regional-regional, nacional-nacional…). n Interoperabilidad organizacional: Se ocupa de definir los objetivos de nego-
cios, modelar los procesos y facilitar la colaboración de administraciones que desean intercambiar información y pueden tener diferentes estructuras organizacionales y procesos internos. n Interoperabilidad semántica: Tiene como objetivo que la información inter-
cambiada tenga un significado único, asimilable y comprensible por todas las aplicaciones que intervienen en la transacción sin ambigüedad. n Interoperabilidad técnica: Comprende las cuestiones técnicas (hardware, soft-
ware y telecomunicaciones) requeridas para garantizar la conexión y la transmisión de datos entre sistemas y servicios informáticos de las entidades participantes. n Interoperabilidad transfronteriza: Se desarrolla entre agencias o administra-
ciones de diferentes países. n Interoperabilidad vertical: Se corresponde con la interoperabilidad aplicada a
diferentes niveles de gobierno dentro de un mismo país (central-regional-local). n Massachusetts Institute of Technology (MIT): Centro de Investigación de Sis-
temas de Información. n Modelo de Datos Aduaneros de la OMA: Estándar aduanero que facilita la im-
plementación de requisitos de datos y la presentación electrónica de declaraciones y documentos comprobantes. Se utiliza como base para el desarrollo de mensajes electrónicos comunes basados en estándares internacionales. (Más información en la página web de la Organización Mundial de Aduanas: www.wcoomd.org). n OMA: Organización Mundial de Aduanas. En inglés, WCO. n Phishing: Estafa cometida a través de medios telemáticos mediante la cual el
estafador intenta conseguir, de usuarios legítimos, información confidencial
10
Ventanillas Únicas Electrónicas
Módulo 4
(contraseñas, datos bancarios, etc.) de forma fraudulenta. El estafador suplanta la personalidad de una persona o empresa de confianza para que el receptor crea en su veracidad y facilite, de este modo, los datos privados que resultan de interés para el estafador. n Spooting: Técnica de suplantación de identidad en la Red. De acuerdo a la tec-
nología utilizada se pueden diferenciar varios tipos de spoofing: suplantación de la dirección IP, suplantación de identidad por nombre de dominio, suplantación de correo electrónico, etc. n TOGAF: The Open Group Architecture Framework. n UN/CEFACT: United Nations Centre for Trade Facilitation and Electronic Busi-
ness. (Más información en la página web de la Comisión Económica de las Naciones Unidas para Europa, www.unece.org/cefact.html.) n UN/EDIFACT: United Nations/Electronic Data Interchange for Administration,
Commerce and Transport. El intercambio electrónico de datos para la Administración, Comercio y Transporte es un estándar de la Organización de las Naciones Unidas para el intercambio electrónico de datos en el ámbito mundial. n UNECE: United Nations Economic Commission for Europe, Comisión Econó-
mica de las Naciones Unidas. (Más información en www.unece.org.) n UNTDED: UN Trade Data Element Directory, Directorio de Elementos de Datos
del Comercio de las Naciones Unidas. En UNTDED figuran un gran número de definiciones de elementos de datos, incluidos los utilizados en EDIFACT/Naciones Unidas y la norma de la ISO 7372. n XML: Siglas en inglés de eXtensible Markup Language (lenguaje de marcas ex-
tensible). Es un lenguaje de marcas desarrollado por el World Wide Web Consortium (W3C) utilizado para almacenar datos en forma legible. n WCO Customs Data Model: Véase Modelo de Datos Aduaneros de la OMA.
11
Ventanillas Únicas Electrónicas
Módulo 4
Presentación del módulo La facilitación del comercio cada día está tomando una mayor importancia estratégica en la agenda de múltiples organizaciones, tanto a nivel de gobiernos como del sector privado. La multiplicidad de actores privados y públicos participantes, la necesidad de controles gubernamentales estrictos y la exigencia de agilidad y transparencia en todo lo relacionado con el comercio exterior evidencian la complejidad de los procesos relacionados con el comercio internacional y el volumen de los trámites a los que se enfrentan las empresas. Para conseguir una mayor facilitación de los trámites comerciales, se requiere que los sistemas tengan capacidad para comunicarse entre sí. Sin embargo, por diversas circunstancias, estos sistemas se han desarrollado en modo aislado y están basados en realidades técnicas, legales y prácticas distintas. Por tanto, es necesario trabajar para posibilitar esta comunicación de manera lo más transparente posible con terminología armonizada y en un marco de políticas y regulaciones similares, cumpliendo los mismos niveles de requerimientos, incentivos y controles para garantizar la adecuada fluidez de las transacciones del comercio internacional. Este módulo está estructurado en cinco unidades de aprendizaje, con las cuales se busca avanzar en una comprensión acerca de la visión del concepto de interoperabilidad e interconexión, los principios básicos para la armonización de datos y procedimientos, la simplificación en el proceso de tramitación, la definición de arquitectura orientada a servicios, terminando con una breve revisión de lo importante que es la seguridad.
12
Ventanillas Únicas Electrónicas
Módulo 4
Objetivo general del módulo Conocer y comprender conceptos clave de la Interoperabilidad en relación con los procesos de Ventanilla Única, tales como la armonización de la información, simplificación de procesos, firma digital, la arquitectura, la confidencialidad y la protección de datos. Y revisar brevemente la importancia de la seguridad.
Preguntas orientadoras de aprendizaje n ¿Cuáles son las principales tipologías de interoperabilidad y qué beneficios
se derivan de tales tipologías? n ¿En qué consiste la simplificación de los procesos de tramitación o desmate-
rialización de los documentos justificativos? n ¿Qué es una Arquitectura Orientada a Servicios en el ámbito de Ventanilla
Única? n ¿En qué radica la necesidad de procesos de firma digital y de factura electró-
nica? n ¿Cuáles son los criterios clave a tomar en cuenta en procesos de confiden-
cialidad de datos? n ¿Qué es ciberseguridad? n ¿Qué causas y tipos de amenazas existen en la actualidad? n ¿Qué medidas sencillas de prevención se pueden aplicar para asegurar los
sistemas?
13
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD I INTEROPERABILIDAD E INTERCONEXIÓN
Objetivos de aprendizaje n Proporcionar una visión del concepto de Interoperabilidad para identificar su
importancia en el marco de procesos de Ventanilla Única a partir de los distintos niveles de interoperabilidad que existen. n Analizar las iniciativas de interoperabilidad para conocer a priori las posibilida-
des reales a partir de los beneficios y riesgos identificados.
I.1. Interoperabilidad. Definición El Marco Iberoamericano de Interoperabilidad define la interoperabilidad en el ámbito de la administración electrónica como “la habilidad de organizaciones y sistemas dispares y diversos para interaccionar con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interacción implica que las organizaciones involucradas compartan información y conocimiento a través de sus procesos de negocio, mediante el intercambio de datos entre sus respectivos sistemas de tecnología de la información y las comunicaciones”.
14
Ventanillas Únicas Electrónicas
Módulo 4
Esta definición va en línea con la definición dada por la Comisión Europea, donde actualmente se impone la interoperabilidad como uno de los elementos clave para la administración electrónica. En el contexto de este módulo, el concepto de interoperabilidad está basado en las definiciones y clasificaciones del “Libro blanco de interoperabilidad de gobierno electrónico para América Latina y el Caribe” (CEPAL, 2007) y “Bases para una Estrategia Iberoamericana de Interoperabilidad” (Criado et al., 2010) del Consenso de Buenos Aires de 2010, donde la definición de interoperabilidad no implica solo una cuestión tecnológica sino, además, la necesidad de definición de normas, políticas y estándares para lograr la cooperación completa entre sistemas. Por tanto, se analiza la interoperabilidad en base a una tipología que considera las siguientes cuatro dimensiones relevantes1: Interoperabilidad Técnica, Interoperabilidad Semántica, Interoperabilidad Organizacional y Gobernanza de la Interoperabilidad.
I.1.1. Interoperabilidad Técnica La Interoperabilidad Técnica se corresponde con cuestiones técnicas (hardware, software y telecomunicaciones) requeridas para garantizar la conexión y transferencia de datos entre sistemas y servicios informáticos de las entidades participantes. Permite proporcionar mecanismos comunes de transmisión de información e invocación de funciones independientes y transparentes a los requisitos de los sistemas informáticos y las redes existentes. Contiene aspectos como servicios de interconexión, integración e intercambio de datos, accesibilidad, servicios de seguridad y herramientas que asisten a distintas aplicaciones informáticas para interactuar o comunicarse con otras (conocidas también como middleware).
1
La Unión Europea incorpora a los niveles de interoperabilidad descritos en el módulo la interoperabilidad jurídica (Gobernanza de los servicios públicos integrados, Interoperabilidad jurídica, Interoperabilidad organizativa, Interoperabilidad semántica e Interoperabilidad técnica). “Marco Europeo de Interoperabilidad - Estrategia de aplicación”, Bruselas, 23.3.2017. COM (2017) 134 final. ANNEX 2.
15
Ventanillas Únicas Electrónicas
Módulo 4
•Diversidad de sistemas en distintos grados de evolución tecnológica entre las entidades participantes. Se deben habilitar varios niveles de adopción que faciliten una evolución tecnológica. Así, en un nivel básico se deberá poder operar con alguna funcionalidad concreta, que no requieran del resto de funcionalidades. Y según se vaya implantando tecnologías o procesos, se podrá ampliar el grado de adopción a distintos niveles, ampliando las funcionalidades y obteniendo mayores beneficios, de modo progresivo hasta alcanzar un nivel completo.
•Una interoperabilidad entre dos administraciones no implica que los datos de una administración se encuentren totalmente accesibles por la otra, sino más bien significa que serán compartidos en lugar de ser requeridos al ciudadano o a las empresas. De esta forma, las transacciones siguen encontrándose bajo el control de cada entidad que tiene la competencia o responsabilidad y asegurándose que exclusivamente serán transferidos de un sistema a otro los datos autorizados para cada operación precisa.
Niveles de adopción evolutivos
Seguridad y privacidad
•Se deben considerar e implantar estándares existentes, especialmente aquellos utilizados por las autoridades participantes. Considerando siempre que se pueda el uso de modelos alternativos durante un período, con la finalidad de facilitar la incorporación de forma parcial de las entidades.
•Dado que cada autoridad posiblemente disponga de plataformas tecnológicas muy diferentes entre sí (sistemas operativos, bases de datos y arquitecturas, etc.) se debe considerar la capacidad de poder interoperar con distintas plataformas. Asimismo, dada la naturaleza cambiante y evolutiva de la interoperabilidad entre sistemas se debe procurar disponer del acceso suficiente al código desarrollado para conseguir esta interoperabilidad.
Definición y adopción de estándares técnicos
Diversidad de plataformas y código abierto
Figura 1. Requerimientos Interoperabilidad Técnica. Fuente: Escamilla, M. L.
I.1.2. Interoperabilidad Semántica La Interoperabilidad Semántica tiene como objetivo que la información intercambiada tenga un significado único, asimilable y comprensible por todas las aplicaciones que intervienen en la transacción sin ambigüedad. La Interoperabilidad Semántica trabaja aspectos como: n La estandarización, catalogación y clasificación de los datos. n La identificación de las entidades responsables de gestionar y formalizar los
procedimientos. 16
Ventanillas Únicas Electrónicas
Módulo 4
n La correcta definición de las fases de los procedimientos y su homologación
con otras fases de sistemas de otras autoridades. n La identificación y designación correcta de los documentos, tanto los produci-
dos como los solicitados. n La armonización y homologación de los requisitos y exigencias solicitados du-
rante los procesos. •Posibilidad de utilización de diversos idiomas. Esto requiere la definición de reglas básicas para la presentación de los documentos y facilitar módulos de traducción automática con la finalidad de disminuir el problema. La aplicación de una codificación internacional de los datos facilita en gran medida este punto.
•Se recomienda el uso de repositorios de metadatos globales y reutilizables desde las primeras fases del proceso de implantación. Esto facilita la incorporación de nuevas autoridades o aplicaciones, utilizando las especificaciones semánticas definidas e incorporando nuevas necesidades. Lo que mejora el nivel de interoperabilidad y evita esfuerzos innecesarios.
Creación de metadatos
Múltiples idiomas
Figura 2. Requerimientos Interoperabilidad Semántica. Fuente: Escamilla, M. L.
I.1.3. Interoperabilidad Organizacional La Interoperabilidad Organizacional se centra en el negocio. Teniendo en cuenta que las administraciones participantes pueden tener diferentes estructuras, organizaciones y procesos, la interoperabilidad organizacional define los objetivos comunes y el modelado de los procesos a implantar.
17
Ventanillas Únicas Electrónicas
Módulo 4
•Las estructuras políticas y de gobernanza difieren entre países. La arquitectura debe ser lo más flexible posible para permitir adaptar a cada país teniendo en cuenta su condición actual.
•La actuación de los gobiernos se encuentra en el marco legal de cada país. Algunas veces no va en línea con las posibilidades de modernizar procesos. Y no tienen porque ser validas en todos los países.
•Facilitar la autonomía necesaria, permitiendo la adaptación de los procesos a los aspectos particulares de cada autoridad.
Particularidades de los países
Principio de legalidad
Autonomía propia
•Integra información de los distintos sistemas y áreas para realizar una interacción completa. Debe preveerse y proveerse mecanismos para ejecutar servicios compuestos entre países.
Servicios y aplicaciones transversales
•El flujo de los procesos puede ser diferente en cada país. Debe permitirse que los procesos puedan evolucionar de forma independiente al resto. Acoplamiento débil.
•Diferencias de cultura, necesidades particulares de cada localidad... se recomienda realizar un análisis de compatibilidad técnica, semántica y organizacional para atender requerimientos.
•Solicitar a los ciudadanos la información precisa y una única vez, teniendo en cuenta además una calidad de servicios homogénea.
Definición de los procesos de negocio
Requerimientos de los usuarios y de la comunidad
Servicios equitativos y eficientes
Figura 3. Requerimientos de Interoperabilidad Organizacional. Fuente: Escamilla, M. L.
Este tipo de interoperabilidad requiere la generación de acuerdos de colaboración entre las administraciones y organizaciones participantes. Dichos acuerdos deben comprender: n Los flujos de información involucrados entre las autoridades participantes en
el proceso y las entidades privadas involucradas. n La adecuación de los procedimientos y sus fases, con la finalidad de alinear los
flujos de información necesarios. 18
Ventanillas Únicas Electrónicas
Módulo 4
n La identificación de los procesos de intercambio, las entradas y salidas de in-
formación de cada entidad y su asociación con los demás actores, tanto públicos como privados. n La asignación de responsables de cada entidad involucrada, tanto pública
como privada, encargados de la gestión y administración de las etapas relacionadas en el proceso. La Interoperabilidad Organizacional implica definir entre todas las partes involucradas el porqué y el cuándo de los intercambios de información, las reglas que garantizan la seguridad en dichos intercambios o la planificación de la implantación de las iniciativas.
I.1.4. Gobernanza de la Interoperabilidad La Gobernanza de la Interoperabilidad comprende los acuerdos entre los gobiernos, sus ministerios, agencias y otros organismos públicos, y los actores que participan en la consecución de la interoperabilidad entre procesos y la forma de alcanzarlos. Abarca las condiciones políticas, legales y estructurales que son importantes para el desarrollo e implementación de aplicaciones interoperables, intentando identificar y eliminar lo antes posible los potenciales problemas que impiden la integración2. Con la gobernanza, se busca que las autoridades públicas cuenten con un marco de colaboración y la autoridad necesaria para establecer estándares de interoperabilidad, asegurar su adopción y dotar a las agencias de capacidad organizacional y técnica requerida para llevarlos a la práctica.
2
Según el nivel de interoperabilidad cuya distinción está en función del ámbito en el que se relacionan las distintas agencias o administraciones implicadas (central, regional, local…), serán más críticos y requerirán mayor esfuerzo conceptos como la selección de la autoridad líder, o ciertos temas legales. Consultar definiciones de “Interoperabilidad intra-administrativa”, “Interoperabilidad horizontal”, “Interoperabilidad vertical” e “Interoperabilidad transfronteriza”.
19
Ventanillas Únicas Electrónicas
Módulo 4
• Construcción de una solución
•Respetar la autonomía y la igualdad de derechos de los países participantes. Interoperabilidad regional a partir de una arquitectura no centralizada.
de interoperabilidad implica una significativa inversión de recursos y tiempo.
Bienes y servicios públicos
No centralidad
• Deberán ser preservados
como “Bienes Públicos” que ofrecen un “Servicio Público”, evitando que se convierta en un derecho de propiedad exclusiva.
nLos derechos
de propiedad y uso de ese patrimonio
• Opción integradora y
duradera, que posibilita la incorporación al proyecto más rápidamente, con costos y esfuerzos menores.
nCooperación y reutilización
•Se requiere como precondición la
creación de un programa de trabajo específico. Crear grupos de soporte institucional, multipaís, para apoyar los trabajos de los gobiernos que así lo requieran.
Estrategias y programas nacionales de interoperabilidad
•
La diseminación de la firma electrónica como parte de la estrategia de desmaterialización. Se requiere desarrollar la normatividad y las inversiones necesarias para promover la adopción de esta forma de autentificación.
nDifusión de firmas y
certificados digitales e identidades electrónicas
•
Definición de roles a cumplir por parte de cada uno de los responsables, así como el control de la ejecución de las actividades se convierte en el “motor” que impulsa el esfuerzo colectivo.
nLiderazgo /
patrocinio / gerencia clara de interoperabilidad.
Figura 4. Requerimientos de Gobernanza de la Interoperabilidad. Fuente: Escamilla, M. L.
I.2. Los beneficios de la interoperabilidad Algunos de los beneficios que incorporan las iniciativas de interoperabilidad incluyen:
20
Ventanillas Únicas Electrónicas
Módulo 4
•Posibilidad de cooperar entre las entidades sin distinción del nivel de desarrollo tecnológico.
Beneficios
•Simplificación de las actividades administrativas y de los procesos de negocio. •Posibilidad de reducción del coste en tecnología al utilizar estándares abiertos y aplicaciones tecnológicas. •Disminución en los costes de desarrollo de sistemas de información al fomentar la reutilización de datos y funcionalidades. •Mayor sencillez en la realización de trámites (ahorro de tiempo o de dinero). •Capacidad de promover la transparencia y la rendición de cuentas, tanto a organismos públicos como empresas privadas. •Mejora de la toma de decisiones como consecuencia de información de mayor calidad. •Promoción de la cooperación internacional. •Proporcionar una visión integral e integrada de los servicios públicos tanto por parte de las administraciones públicas como de otros actores implicados.
Figura 5. Beneficios de la interoperabilidad. Fuente: Escamilla, M. L.
I.3. Riesgos y barreras Las iniciativas de interoperabilidad entre autoridades, y más concretamente entre autoridades de distintos países, no están exentas de riesgos o barreras que cuestionan las posibilidades reales que existen de alcanzar los objetivos pretendidos.
21
Ventanillas Únicas Electrónicas
Módulo 4
Riesgos
- Existen fuertes restricciones legales internas a cada país. - Bajo nivel colaborativo, en general no existe una cultura extendida de colaboración entre las administraciones públicas. Este problema se acentúa más si las administraciones son de diferente país, donde aspectos de organización, comunicación, legalidad, etc. dificultan mayormente la colaboración. - Escasez de políticas de gestión de la información pública, no se asume una actitud de mostrar transparencia de la información en las administraciones. Se añaden restricciones legales para compartir datos e información entre distintos países. - Inercia de los sistemas. Existe una actitud genérica de los sistemas (personas, normas, procesos, etc.) de mantenerse en su posición y que sean otros los que se adapten a ellos. - Diferente nivel de maduración en tecnología, lo normal es que existan diferencias en la implantación de las tecnologías, lo que condiciona las características de las infraestructuras disponibles y el nivel de inversión de recursos.
Figura 6. Riesgos y Barreras de la interoperabilidad. Fuente: Escamilla, M. L.
En definitiva, lograr la interoperabilidad sistemática y generalizada entre diferentes administraciones públicas es un gran desafío en cualquier proyecto y más en concreto en la construcción de una Ventanilla Única.
22
Ventanillas Únicas Electrónicas
Módulo 4
Material complementario Vídeo sobre "Avances de la interoperabilidad entre las VUCE en el marco de la Red Interamericana de Ventanilla Única de Comercio Exterior (RedVUCE)”. Carolyn Robert, especialista líder en Comercio Internacional, Banco Interamericano de Desarrollo (BID).
SÍNTESIS DE LA UNIDAD Es necesario ver la interoperabilidad como un proceso integral, en el que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil, y a menudo este punto es la coordinación entre medidas individualmente adecuadas, pero deficientemente ensambladas en el contexto global de Ventanilla Única. Veamos:
Figura 7. Dimensiones de la Interoperabilidad. Fundación Valenciaport (Fuente: Escamilla, M. L.)
23
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD II LA ARMONIZACIÓN DE LA INFORMACIÓN EN LOS PROCESOS DE VENTANILLA ÚNICA
Objetivos de aprendizaje n Analizar la necesidad de implementar una armonización de datos y procedi-
mientos para mejorar la eficiencia en términos de coste y precisión de la información utilizando estándares acordados a nivel internacional, como WCO Customs Data Model - Modelo de Datos Aduaneros de la OMA (Organización Mundial de Aduanas). n Profundizar en las principales medidas a implementar en el proceso de armo-
nización para eliminar las redundancias y duplicidades en los datos. n Identificar los pasos a seguir en la armonización de datos para llevarla a cabo a
partir de las recomendaciones a seguir.
II.1. Introducción En muchos países, el diseño y desarrollo de sistemas automatizados y el establecimiento de requisitos de información se hace a menudo con poca coordinación entre
24
Ventanillas Únicas Electrónicas
Módulo 4
los organismos reguladores y sin consultar a otras autoridades implicadas. Como resultado, las entidades participantes en el comercio deben cumplir una serie de formularios y mensajes electrónicos, que generan un elevado coste y en muchos casos información imprecisa. Un entorno de Ventanilla Única es una solución al problema de los distintos formatos de mensajes, además, si se utilizan estándares acordados a nivel internacional, se mejora la exactitud de los datos. La armonización de los datos y procedimientos, junto al uso de estándares internacionales, debe ser la base fundamental de un entorno de Ventanilla Única.
II.2. Beneficios Utilizar datos específicos para cada país y para cada organismo o autoridad es altamente ineficiente en términos de coste y precisión de la información tanto para el gobierno como para el comercio en general. No utilizar estándares obliga a los gobiernos a desarrollar y mantener sistemas específicos para cada departamento o administración, con información duplicada y redundante. Esto también se evidencia en los sistemas basados en el papel, sistemas no automatizados, donde se obliga a presentar formularios redundantes. La situación es especialmente crítica para los operadores internacionales, que deben interactuar con distintas administraciones aduaneras y otras entidades gubernamentales. El coste y la complejidad de cumplir con estos requisitos son muy elevados. Tanto los gobiernos como las comunidades de comercio tienen una comprensible preocupación sobre el tamaño del conjunto de datos al inicio del desarrollo de una Ventanilla Única. Para mantener el número de datos requeridos lo más pequeño posible hay que intentar incluir únicamente la información que las autoridades están autorizadas a recoger, es decir, la información realmente necesaria.
25
Ventanillas Únicas Electrónicas
Módulo 4
Además, se dispone de un mayor nivel de transparencia y calidad de la información proporcionada, al enviar y recibir la información electrónicamente hay menos oportunidades de manipulación.
II.3. Recomendaciones Se recomienda a los gobiernos que están considerando el desarrollo de una Ventanilla Única comenzar por el proceso de estandarización y armonización. Esta recomendación es extensible a los países que tienen una Ventanilla Única y no realizan armonización de los datos.
Identificar la autoridad líder y el personal dedicado a realizar la armonización
Recopilar los datos comerciales y los requisitos de información de los sistemas automatizados y sus formatos.
Armonizar los datos y el inventario de la información.
Identificar redundancias mediante la comparación de definiciones de datos.
Armonización de la información y los datos de inventario con los requisitos de los estándares internacionales.
Figura 8. Medidas en el proceso de armonización. Fuente: Escamilla, M. L. Adaptación de diseño INDES- 2013.
Tal y como ya se ha comentado en módulos anteriores, la Recomendación 33 de UN/CEFACT enumera los factores clave en el establecimiento de un entorno de éxito de Ventanilla Única. Todos estos factores son fundamentales para el desarrollo de un
26
Ventanillas Únicas Electrónicas
Módulo 4
entorno de Ventanilla Única, pero cabe destacar en este punto la importancia que tiene la elección de una autoridad líder para el éxito del proceso de armonización. La autoridad líder es el principal organismo que se encarga de la elaboración de la planificación y se compromete en los recursos necesarios. Trabaja junto al equipo del proyecto de armonización, que debe incluir personal con conocimientos en arquitectura y modelado de procesos de negocio, y tener un amplio conocimiento de los procedimientos de comercio internacional, así como de la información legal a cumplir.
II.4. Políticas de armonización, organización y comunicación El objetivo de la armonización de datos es la eliminación de redundancias y duplicidades en los datos requeridos. El resultado final debe ser un conjunto de requisitos de datos y mensajes estandarizados, que cumplen plenamente con las necesidades de información de todas las autoridades participantes en el proceso. Para facilitar esta tarea existen estándares, como el Modelo de Datos de la OMA3, que proporcionan unas directrices diseñadas para ayudar a los gobiernos en esta armonización y estandarización de los datos. Estas directrices se basan en las mejores prácticas y en el entorno de implementación de Ventanilla Única recomendado por UN/CEFACT, Recomendaciones 33, 34 y 354.
3
El Modelo de Datos Aduaneros de la OMA es un estándar aduanero que facilita la implementación de requisitos de datos y la presentación electrónica de declaraciones y documentos comprobantes. Se utiliza como base para el desarrollo de mensajes electrónicos comunes basados en estándares internacionales. http://www.wcoomd.org/ 4 Recommendation nº33 - Single Window Recommendation. Recommendation nº34 - Data Simplification and Standardization for International Trade. Recommendation nº35 - Establishing a legal framework for international trade Single Window. Recommendation nº36 - Single Window Interoperability Download as package.
27
Ventanillas Únicas Electrónicas
Módulo 4
Figura 9. Estrategia gradual para una Ventanilla Única. Fuente: CEPE/ONU – CEFACT/ONU.
Es importante señalar que la mayor parte de los requisitos de datos del Modelo de Datos de la OMA son datos condicionales, por lo que, aunque en un principio a simple vista pueden parecer un número elevado, cuando se implementan en la práctica se reduce considerablemente. Esto es debido a que se basan en la especificación de todos los casos posibles. Por ejemplo, se cubren todas las transacciones (exportación, importación y tránsito), todos los modos (aéreo, marítimo, carretera y ferrocarril) y todos los requisitos relativos a las actividades transfronterizas.
28
Ventanillas Únicas Electrónicas
Módulo 4
II.5. Pasos a seguir en la armonización de datos La armonización de los datos es un proceso iterativo que consta de cuatro fases: captura, definición, análisis y conciliación de los requerimientos regulatorios de información.
Figura 10. Fases del proceso de armonización. Fuente: Escamilla, M. L., Fundación Valenciaport.
Es muy poco probable que algún gobierno sea capaz de lograr la armonización de todas las autoridades participantes a la vez, por lo que se recomienda considerar una priorización de las autoridades y sus requisitos, realizando la incorporación a la armonización por partes. Esta priorización podría basarse en necesidades como el volumen, los ingresos, la seguridad de la cadena de suministro, etc. Una vez que se ha completado el proceso de armonización de un nivel de prioridad definido, se repite para otros organismos participantes, así como los requisitos adicionales que se vayan identificando. 29
Ventanillas Únicas Electrónicas
Módulo 4
Material complementario Guía de Implementación de la Facilitación del Comercio, herramienta para simplificar el comercio transfronterizo. Desarrollada por la Comisión Económica de las Naciones Unidas para Europa (CEPE/ONU), con la contribución del Centro de las Naciones Unidas para la Facilitación del Comercio y los Negocios Electrónicos (CEFACT/ONU) y el apoyo de la Agencia Sueca de Cooperación Internacional para el Desarrollo (ASDI) (http://tfig.unece.org/SP/about.html).
SÍNTESIS DE LA UNIDAD El CEFACT/ONU define la armonización de datos como un proceso iterativo de captura, definición, análisis y conciliación de los requisitos de información de los gobiernos, y la estandarización de datos como el mapeo de estos datos simplificados conforme a las normas internacionales. La armonización de datos es un aspecto importante de cualquier proyecto de automatización, en particular, para una Ventanilla Única. El Modelo de Datos de la OMA es un conjunto de requisitos de datos cuidadosamente combinados con apoyo mutuo y que serán actualizados periódicamente para satisfacer las exigencias procesales y legales de las agencias reguladoras transfronterizas, como las de aduanas, control de la exportación, transacciones de importación y de tránsito. Es acorde con otras normas internacionales, como la del Directorio de elementos de datos de comercio de las Naciones Unidas (UNTDED).
30
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD III SIMPLIFICACIÓN EN EL PROCESO DE TRAMITACIÓN
Objetivos de aprendizaje n Conocer la importancia y necesidad de simplificar los procesos de tramitación
de documentos a fin de buscar efectividad y celeridad en transacciones de comercio internacional. n Comprender la simplificación de los procesos de tramitación o desmaterializa-
ción de los documentos justificativos para poderlos implementar a partir de los distintos aspectos a considerar. n Conocer los conceptos de firma digital y certificado digital para comprender
las ventajas que representa su implantación a partir de las definiciones.
III.1. Introducción Una característica genérica de comportamiento en el comercio internacional es la gestión de diversos documentos de autorización y permisos que requieren del cumplimiento para cada uno de los puestos fronterizos de entrada y a la vez de la presentación para los puestos fronterizos de salida.
31
Ventanillas Únicas Electrónicas
Módulo 4
Estos documentos, los documentos justificativos, son documentos requeridos por la mayoría de las autoridades fronterizas y son una de las principales causas de demoras en el comercio. Se van intercambiando a lo largo de toda la cadena de suministro, van con la mercancía y el medio de transporte, desde el origen hasta el destino, desde el vendedor hasta el comprador, desde el lugar de la exportación hasta el lugar de la importación. Un ejemplo de documento justificativo es el certificado de origen, documento requerido para la obtención de ventajas arancelarias y técnicas según los acuerdos de comercio existentes. En ocasiones, la autoridad que controla la importación recibe certificados de origen de múltiples emisores de certificados de origen, distintos formatos y distintos responsables, lo que dificulta el control y la confiabilidad del control de origen, la información contenida en el documento o el propio documento. La desmaterialización se puede definir como la transferencia de una información almacenada en papel a una información almacenada en un soporte digital. La desmaterialización de los documentos justificativos no comprende únicamente la digitalización del documento en sí, sino que comprende una redefinición de los procedimientos existentes, una revisión de los intercambios y una reducción de las actividades en los que se ven implicados estos documentos, con el fin de simplificarlos lo más posible.
III.2. Ventajas de la desmaterialización Las principales ventajas de la desmaterialización de los documentos justificativos y su asociada simplificación de los procedimientos a los que pertenecen estos documentos se obtienen en los siguientes aspectos:
32
Ventanillas Únicas Electrónicas
Módulo 4
nFLUJO MÁS RÁPIDO Y SEGURO de los documentos electrónicos al posibilitar presentar y transferir la información a distancia.
nSe REDUCE EL NÚMERO DE DESPLAZAMIENTOS FÍSICOS de los responsables de la tramitación a las oficinas.
nSe INCREMENTA LA SEGURIDAD por parte de las autoridades en el manejo de los datos e informaciones de los despachos.
nMENOR COSTE, reduciendo la cantidad de esfuerzo requerido,
permitiendo economizar en tiempo, recursos materiales y económicos.
nSe proporciona una mayor FACILIDAD DE ARCHIVO, búsqueda y recuperación de la información.
nSe OFRECE TRANSPARENCIA en la operación y capacidad de auditoría. n FACILIDAD DE DISTRIBUCIÓN Y CONSULTA por parte de las agencias de gobierno implicadas.
nSe capacita a los sistemas de ANÁLISIS DE RIESGOS a ampliar la información para definir mejor criterios y automatizarlos.
Figura 11. Ventajas de la desmaterialización. Fuente: Escamilla, M. L.
No obstante, se debe asegurar que el proceso de desmaterialización sigue cumpliendo con los mismos requisitos y regulaciones existentes con el documento justificativo en papel, que se cumplan los procedimientos de verificación, que los documentos sigan siendo inalterables y tengan valor jurídico y probatorio.
III.3. Aspectos a considerar La aplicación de medios electrónicos a la gestión de los documentos justificativos debe ir precedida de la realización de un análisis de rediseño funcional y simplificación de los procedimientos a los que van asociados los documentos.
33
Ventanillas Únicas Electrónicas
nORGANIZACIÓN Y COMUNICACIÓN
Se recomienda establecer un grupo de trabajo, compuesto por todos los organismos. Cada autoridad debe tener clara su función específica en el proceso y mantenerse implicada en cada una de las fases.
nDOCUMENTACIÓN
Módulo 4
Y DESCRIPCIÓN DE LOS PROCEDIMIENTOS
nREALIZACIÓN DE
nACEPTACIÓN DEL
Recopilación de los documentos que se generan, acompañada de descripción detallada de actividades y tareas por participantes. Definir los pasos, quién los realiza, los requerimientos legales que deben respetarse, etc.
Diagramación de cada uno de los procedimiento s para ofrecer una visión global que ayuda en el análisis posterior.
Estudio de simplificación de los procedimiento s, posibilidad de supresión o reducción de la documentació n. Este análisis debe ser definido y aceptado por todas las autoridades .
DIAGRAMAS
ANÁLISIS DE SIMPLIFICACIÓN
nASUNTOS LEGISLATIVOS
Analizar y dirigir los asuntos legislativos y de regulación con el fin de cumplir con toda la legislación de todos los países participantes.
Figura 12. Aspectos a considerar en el proceso de desmaterialización. Fuente: Escamilla, M. L.
III.4. Firma digital El aumento de los servicios ofrecidos por Internet y la utilización del intercambio electrónico de datos han incrementado la dependencia de las organizaciones a la hora de transmitir los datos por la red. Esta dependencia ha despertado la conciencia de la necesidad de protección de la información y de garantizar la autenticidad de datos y mensajes. Sobre todo, teniendo en cuenta los numerosos riesgos que presenta este medio de comunicación y que son bien conocidos (piratería, captura de información, destrucción de datos, etc.). Un elemento de seguridad de las tecnologías para lograr una estrategia de seguridad de la cadena logística es la firma digital.
34
Ventanillas Únicas Electrónicas
Se establece el uso de certificados digitales, conformados por un par de claves para cada socio participante en el intercambio. Una clave pública y una clave privada (propiedad exclusiva y secreta del socio del intercambio).
nCERTIFICADO DIGITAL
nVINCULACIÓN DE CLAVES
Un documento que es encriptado con una clave solo puede ser decodificado con la otra clave, aunque la posesión de una de las claves no permite deducir la otra.
Cuando se va a enviar un documento, se aplica un algoritmo matemático al contenido del documento, calculando un valor resumen que identifica inequívocamente al texto.
nGENERACIÓN DE DOCUMENTO
nAPLICACIÓN DE FIRMA
El emisor del documento aplica el algoritmo de firma al documento, utilizando para ello la clave privada que genera la firma electrónica.
nCOMPROBACIÓN FIRMA
Módulo 4
El destinatario, al disponer de la clave pública asociada, puede descifrar la firma del documento, obteniendo en la operación la identificación y autentificación del remitente.
Figura 13. Proceso de firma digital. Fuente: Escamilla, M. L.
La firma digital es un esquema matemático que sirve para demostrar la autenticidad de un mensaje o documento electrónico. Proporciona al destinatario la seguridad de que el mensaje fue creado por el remitente y no se alteró durante la transmisión.
35
Ventanillas Únicas Electrónicas
Módulo 4
VERIFICAR LA AUTENTICIDAD DEL FIRMANTE •Confirma que el mensaje recibido ha sido mandado por quien dice lo ha mandado y que el mensaje recibido es el que se esperaba.
VERIFICA LA INTEGRIDAD DEL DOCUMENTO •Asegura que los datos no han sido alterados voluntaria o involuntariamente durante el envío por la red.
GARANTIZA EL NO REPUDIO •Permite probar el envío de una información y su recepción sin que ni el emisor ni el receptor puedan negar la transmisión.
Figura 14. Ventajas de la firma digital. Fuente: Escamilla, M. L.
III.4.1. Certificado digital Uno de los problemas que surgen con la búsqueda de claves públicas a través de Internet es el de la identificación de las personas o entidades. Es decir, cómo nos podemos asegurar de que una clave pública que hemos encontrado en Internet pertenece realmente a quien dice pertenecer. Una posible solución es la utilización de un certificado digital. Un certificado digital es un documento electrónico intransferible y no modificable, mediante el cual una autoridad de certificación garantiza la vinculación entre la identidad de un sujeto o entidad y una clave pública.
nLa identidad del
propietario del certificado (identidad a certificar)
nLa clave pública asociada a esa identidad
nLa identidad de la
entidad que expide y firma el certificado
Figura 15. Datos de los que se compone el certificado. Fuente: Escamilla, M. L.
36
nEl algoritmo criptográfico usado para firmar el certificado
Ventanillas Únicas Electrónicas
Módulo 4
III.4.2. La firma digital en el comercio internacional La firma digital o la infraestructura de claves públicas pueden desempeñar un importante papel para asegurar el intercambio electrónico de información en el comercio internacional. La cadena de control aduanero posibilita que los agentes comerciales puedan presentar sus declaraciones por adelantado, ante las administraciones aduaneras del país de exportación o del país de importación. El reconocimiento transfronterizo de los certificados digitales permitiría que los operadores económicos firmaran todos los mensajes electrónicos de las administraciones aduaneras ayudando a incrementar la seguridad y ofreciendo la facilitación y simplificación al agente comercial. Por lo tanto, se alienta a las administraciones aduaneras a aplicar la Recomendación de la OMA sobre la transmisión y autentificación electrónica de información aduanera y normativa. Pero para que un certificado digital tenga validez legal, el prestador de Servicios de Certificación debe acreditarse en cada país de acuerdo con la normativa que cada uno defina.
III.5. Factura electrónica Una factura electrónica es un documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas tradicionales, garantizando la autenticidad de su origen y la integridad de su contenido. De esta definición extendida en todo el mercado se transmiten tres condicionantes para la realización de una factura electrónica:
37
Ventanillas Únicas Electrónicas
Se necesita un formato electrónico de factura de mayor o menor complejidad (EDIFACT, XML, PDF, entre otros)
Módulo 4
Es necesario una transmisión telemática, se tiene que partir de un ordenador y ser recogida por otro ordenador
Se debe garantizar su integridad y autenticidad a través de una firma electrónica reconocida
Figura 16. Condiciones para Factura Electrónica. Fuente: Escamilla, M. L.
Por tanto, se puede decir que la factura electrónica equivale a la evolución lógica y digital de la tradicional factura en papel. La principal diferencia entre los dos tipos de facturas es que en la factura electrónica se emplean soportes informáticos para su almacenamiento en lugar del papel. Según la legislación de cada país, la validez de la factura electrónica es la misma que la factura tradicional, y junto a la firma digital que se incluye, se garantiza la integridad y trazabilidad de la factura, por lo que judicialmente es un documento considerado como vinculante.
Figura 17. Beneficios de la factura electrónica. Fuente: Escamilla, M. L.
38
Ventanillas Únicas Electrónicas
Módulo 4
III.5.1. Formato de la factura digital La codificación de la factura no requiere de requisitos formales respecto a la forma a proceder. Existen distintos modos, entre los más habituales se encuentran los si-
Sintaxis usual cuando el envío se realiza de ordenador a ordenador. El destinatario es una empresa con capacidad tecnológica para tratar de forma automatizada la información recibida, los datos se ingresan en el ordenador de destino de forma automática. Existen estándares que facilitan la construcción de estos mensajes. La firma se lleva a cabo mediante las cabeceras y pies de seguridad, aunque existe un mensaje EDI específico para ello (AUTACK).
XML
Cuando el destinatario es un particular, un profesional o una empresa cuyo único interés es guardar electrónicamente. No evita volver a teclear los datos, no se facilita el ingreso de los datos en el destino. El formato de firma de Adobe queda embebido dentro del formato PDF, característica que permite su fácil visualización ya que es asociado a una imagen. La apariencia de la firma es muy visual, posibilitando la asociación de un gráfico como una firma o un sello de empresa.
EDIFACT
guientes:
Figura 18. Formatos factura electrónica. Fuente: Escamilla, M. L.
39
Envío de ordenador a ordenador. El formato de firma electrónica se denomina XAdES. De las diferentes modalidades previstas por la norma, la más recomendable es la ESXL, que incluye información sobre el momento en el que se llevó a cabo la firma electrónica e información sobre la validez del certificado electrónico. Existen numerosas iniciativas y normativas internacionales como: UN/CEFACT-UNECE, el Grupo NES, CEN /ISSS, International Expert Group on eInvoicing, etc.
Ventanillas Únicas Electrónicas
Módulo 4
Material complementario Conjunto de soluciones, infraestructuras y servicios comunes que facilitan la implantación de la administración electrónica en las diferentes administraciones públicas, siendo algunas de ellas piezas clave recogidas en las leyes españolas. http://www.minhafp.gob.es/es-ES/Areas%20Tematicas/Administracion%20Electronica/Paginas/default.aspx
SÍNTESIS DE LA UNIDAD La Ventanilla Única debe ofrecer una solución global a la necesidad de gestionar diversos documentos de autorización y permisos que requieren del cumplimiento para cada uno de los puestos fronterizos. Esta solución debe fomentar el uso de medios digitales que permitan la presentación y verificación de la información por cauces electrónicos, lo que se denomina desmaterialización de la documentación. De esta manera, la certificación, firma y facturación digital se definen como componentes imprescindibles en el desarrollo de la facilitación del comercio. Permitiendo dar plenas garantías técnicas, jurídicas y probatorias a los operadores y funcionarios, además de transparencia de las operaciones, así como ahorro en tiempo y reducción sustancial de costos.
40
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD IV ARQUITECTURA DE UN ENTORNO DE VENTANILLA ÚNICA
Objetivos de aprendizaje n Comprender en qué consiste el concepto de Arquitectura Empresarial para po-
nerlo en práctica en una Ventanilla Única. n Entender las distintas dimensiones en que se puede dividir el concepto de Ar-
quitectura Empresarial para encontrar vínculos directos entre las necesidades de negocio y el uso de la tecnología, a fin de lograr algún tipo de alineación entre las dos. n Avanzar en la comprensión y alcance de la confidencialidad de datos para po-
der iniciar el intercambio de datos a través de las fronteras internacionales, protegiendo el derecho a la privacidad a partir de la legislación existente sobre esta materia.
IV.1. Arquitectura de un entorno de Ventanilla Única Tal y como hemos estado viendo a lo largo de este módulo, el entorno de Ventanilla Única puede ser entendido como un conjunto de servicios en los que los organismos reguladores y las partes involucradas en el comercio se organizan para apoyar las funciones básicas de los servicios, utilizando las tecnologías de la información. 41
Ventanillas Únicas Electrónicas
Módulo 4
Todos los grandes sistemas comprenden varios componentes principales, y la manera en que se relacionan estos componentes entre sí define la estructura del sistema, la Arquitectura. Estos componentes interactúan de manera compleja, la Arquitectura del sistema define estas interacciones y los principales componentes, ayudando a proporcionar un sentido compartido de comprensión de todo el entorno de Ventanilla Única.
Figura 19. Esquema de relaciones. Fuente: Fundación Valenciaport.
Así, podemos describir los servicios a partir de la información proporcionada por los usuarios. Estas descripciones contendrán tanto los requisitos funcionales como los no funcionales. Los requisitos funcionales reflejan la lógica del negocio e impactan mínimamente en la Arquitectura, los que impactan más profundamente son los requisitos no funcionales, conceptos tales como fiabilidad, seguridad, accesibilidad, disponibilidad, calidad, usabilidad, etc.
42
Ventanillas Únicas Electrónicas
Módulo 4
IV.2. Arquitectura Empresarial La Arquitectura Empresarial (Enterprise Architecture) no tiene una única definición, pero cabe destacar las siguientes definiciones, entre otras: n "La lógica de los procesos de negocio de una organización e infraestructura
TIC reflejando la integración y las necesidades de normalización del modelo operacional de la empresa"5. n "La organización fundamental de un sistema, representada por sus componen-
tes, sus relaciones entre ellos y con su entorno, y los principios que gobiernan su diseño y evolución"6. n "Una descripción formal de un sistema; la estructura de componentes, sus in-
terrelaciones, y los principios y guías que gobiernan su diseño y evolución a lo largo del tiempo"7. Por tanto, se podría decir que Arquitectura Empresarial es una disciplina que se especializa en ofrecer una solución arquitectónica, que ayuda a producir la estrategia de TIC basada en la estrategia de negocio, acompañando los antecedentes de la organización para mejorar su eficacia. La Arquitectura Empresarial trata de encontrar vínculos directos entre las necesidades de negocio y el uso de la tecnología, a fin de lograr algún tipo de alineación entre las dos. Tal alineación aumenta la posibilidad de un uso óptimo de los recursos y de deshacerse de los recursos redundantes. En concreto, en el marco o esquema de trabajo definido por TOGAF, la Arquitectura Empresarial se divide en cuatro dimensiones:
5
Fuente: Massachusetts Institute of Technology (MIT): Centro de Investigación de Sistemas de Información. 6 Fuente: estándar ANSI/IEEE 1471-2000. 7 Fuente: TOGAF - The Open Group Architecture Framework.
43
Ventanillas Únicas Electrónicas
nARQUITECTURA DE APLICACIONES
ARQUITECTURA DE NEGOCIOS
ARQUITECTURA DE LA TECNOLOGÍA
ARQUITECTURA DE DATOS
Módulo 4
Sistemas de aplicación que se requiere implantar, las interacciones entre estos sistemas y sus relaciones con los procesos de negocio. Incluye los sistemas TIC, los servicios TIC y los casos de uso funcional.
Se centra en la capacidad del negocio, estructura de recursos y cómo los utiliza para producir valor. Define la estrategia de negocios, la gobernabilidad, la estructura y los procesos clave.
Estructura la descripción del hardware, software y redes requerida.
Describe la estructura de los datos físicos y lógicos, y los recursos de gestión de estos datos: objetos de datos, mensajes electrónicos, reglas y controles.
Figura 20. Arquitectura de la Tecnología. Fuente: Escamilla, M. L.
Existen otras metodologías o esquemas arquitectónicos alternativos al propuesto por TOGAF: n Zachman framework (Esquema de IBM de los años ochenta). n DoDAF (United States Department of Defense Architectural Framework). n FEAF (United States Office of Management and Budget Federal Enterprise Ar-
chitecture). n MODAF (United Kingdom Ministry of Defence Architectural Framework). n AGATE (French Délégation Générale pour l'Armement Atelier de Gestion de
l'ArchiTEcture des systèmes d'information et de communication). n Service-Oriented Modeling Framework (SOMF) (Methodologies Corporation
enterprise modeling framework). n OBASHI (The OBASHI Business & IT methodology and framework).
44
Ventanillas Únicas Electrónicas
Módulo 4
IV.3. Arquitectura de Datos - Modelo de Datos de la OMA La arquitectura de datos es esencial para eliminar posibles conflictos entre los datos de cada uno de los sistemas que participan en la Ventanilla Única. Es común que ocurran conflictos entre los modelos de información de las agencias participantes, como, por ejemplo:
Conflictos en la definición
Conflictos en la forma de represent ación
Conflictos en la sintaxis
Diferentes definiciones del término Diferentes conjuntos de valores para el mismo componente. Diferentes códigos, formato... Diferentes modos de estructurar la información
Figura 21. Tipos de conflictos entre los modelos de información. Fuente: Escamilla, M. L.
Estos conflictos pueden ser resueltos solo cuando un modelo común de información es utilizado por todos los participantes. Para guiar en el uso de estándares de arquitectura de datos en una Ventanilla Única, el Modelo de Datos de la OMA ha definido el contenido genérico de la información para el comercio transfronterizo de los organismos reguladores. Mediante la alineación con el Modelo de Datos de la OMA, las autoridades y los organismos reguladores transfronterizos pueden producir y utilizar contenidos comunes, semántica, sintaxis y estructuras para el entorno de Ventanilla Única.
45
Ventanillas Únicas Electrónicas
Módulo 4
IV.4. Arquitectura Orientada a Servicios La Arquitectura Orientada a Servicios (en adelante, SOA) es una metodología cuyo propósito es establecer una forma de trabajar consistente en alinear y optimizar los sistemas existentes con los objetivos de la organización, posibilitando la integración con sistemas y soluciones de forma sencilla y flexible. Desde un punto de vista tecnológico SOA, se configura como una arquitectura que se encuentra compuesta de módulos independientes, denominados servicios. Estos servicios están débilmente acoplados y son altamente interoperables. Interactúan entre sí a través de la red, facilitando el intercambio de información con total independencia de la plataforma hardware-software sobre la que se trabaje (sistema operativo, lenguaje de programación, características de los equipos, fabricante, etc.).
Figura 22. Conceptualización de la arquitectura de interoperabilidad. Fuente: H. Moreno, S. Silveira-Netto, H. Sin, CEPAL. 2007
8
Con esta arquitectura se pretende que los componentes de software desarrollados sean reutilizables, mejorando los tiempos de creación o modificación, y aumentando
8
H. Moreno, S. Silveira-Netto, H. Sin. (2007). “Conceptualización de una arquitectura y plataforma de interoperabilidad para América Latina y el Caribe”, documento 21, serie Sociedad de la información, CEPAL.
46
Ventanillas Únicas Electrónicas
Módulo 4
la calidad y la productividad. La correcta aplicación de los conceptos presentes en SOA debe llevar a evitar duplicidades, favorecer la integración y la interoperabilidad, conseguir que la información sea más accesible y compartida, ofrecer más servicios de valor añadido y reducir los tiempos de espera.
Figura 23. Esquema de caracterización de Arquitectura SOA. Fuente: Escamilla, M. L.
IV.5. Consecuencias de SOA para el entorno de Ventanilla Única Un entorno de Ventanilla Única no se puede construir en un entorno sin definición y conocimiento de una arquitectura común. Una Ventanilla Única puede comprender sistemas muy diversos (Aduana, Agricultura, Sanidad animal, Fitosanitario, Servicios de Inspección, etc.), donde es fácil proporcionar una visión separada de sus servicios. Sin embargo, el concepto de Ventanilla Única 47
Ventanillas Únicas Electrónicas
Módulo 4
exige que estos deban ser imaginados a partir de una perspectiva de conjunto de gobierno y organismos reguladores. Sea cual sea la forma en que se concibe, una arquitectura SOA proporciona un camino claro a seguir en la entrega de un único entorno de Ventanilla Única escalable y de fácil mantenimiento. Se recomienda SOA para la construcción de un entorno de Ventanilla Única por las siguientes razones: n SOA está construido sobre la base de la noción de servicios. Y se puede definir
una Ventanilla Única como una colección de servicios, lo que hace a SOA una base conceptual atractiva. n Una Administración pública requiere que sus servicios contemplen caracterís-
ticas como servicio de disponibilidad, calidad del servicio, seguridad, etc. SOA se identifica claramente con estos conceptos. n El entorno de una Ventanilla Única supone la integración de múltiples sistemas
implementados por diversos organismos. SOA facilita la integración de los servicios requeridos por una Ventanilla Única desarrollados desde la perspectiva de la arquitectura de TIC. n SOA puede ser diseñado para ser dirigido por eventos. El flujo de trabajo de los
procesos de negocio de las Ventanillas Únicas se controla por eventos. Cada evento en la cadena de suministro es el resultado del flujo incremental de los datos. Dependiendo del estado de la transacción, los diferentes actores pueden tener acceso a diferentes conjuntos de datos que les permitan avanzar en un entorno de Ventanilla Única. n El desarrollo de SOA está alineado con el ciclo de vida del software, permi-
tiendo la integración e implementación de componentes de software diferentes, facilitando la migración a nuevas aplicaciones e infraestructuras existentes. n La naturaleza de una Ventanilla Única implica servicios compuestos. SOA
ofrece la posibilidad de crear aplicaciones compuestas basadas en las necesidades de los diferentes Organismos Reguladores.
48
Ventanillas Únicas Electrónicas
Módulo 4
n La disciplina de SOA ayuda a construir una taxonomía común de servicios y mo-
delos de información.
Material complementario Compendio de la OMA, Volumen 1. Apartado 6.2 Diseño de las interacciones en los servicios y la arquitectura orientada a los servicios. http://www.wcoomd.org/-/media/wco/public/es/pdf/topics/facilitation/activities-and-programmes/sw-initiatives/pc_swc_vol_1_final.pdf?db=web
SÍNTESIS DE LA UNIDAD El concepto de los componentes de servicios reutilizables es necesario en el entorno de Ventanilla Única. A pesar de las diferencias en materia de regulación, la mayoría de las autoridades y organismos reguladores transfronterizos requieren de servicios empresariales comunes. Estos componentes de servicios se pueden reutilizar tanto en el sentido de las operaciones comerciales como en el sentido de los componentes software. En una arquitectura SOA, los componentes son unidades autónomas cuyo rendimiento no depende del estado de los otros servicios. Se trata de encapsulados lógicos de funcionalidad de negocio independientes. Este carácter autónomo de un componente de servicio permite que los desarrolladores puedan realizar cambios en un componente sin afectar al resto de sistema. Esto es de gran utilidad en el manejo de los procesos de negocio en un entorno de Ventanilla Única.
49
Ventanillas Únicas Electrónicas
Módulo 4
UNIDAD V SEGURIDAD
Objetivos de aprendizaje n Proporcionar una visión del concepto de Ciberseguridad. n Profundizar en los tipos de amenazas existentes en la actualidad y sensibilizar
de la responsabilidad personal y concienciación sobre los riesgos. n Conocer algunas medidas sencillas de prevención para asegurar los sistemas
de información.
V.1. Definición y objetivos Según la Asociación de Auditoría y Control sobre los Sistemas de Información, ISACA (Information Systems Audit and Control Association), la seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es la “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. Para ello existe un conjunto de estándares, protocolos, métodos, prácticas, reglas, herramientas, políticas y directrices concebidas para minimizar los riesgos y proteger los activos de la organización y los usuarios.
50
Ventanillas Únicas Electrónicas
Módulo 4
La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si llega a manos de otras personas.
V.2. Amenazas Una amenaza se puede definir como una circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad. Usuarios
Programas maliciosos
• Causa del mayor problema, sus acciones causan problemas de seguridad, porque tienen permisos sobredimensionados
• Programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema.
Intrusos Errores de programación
• Personas que consiguen acceder a los datos o programas a los cuales no están autorizados
Siniestro
Personal técnico interno
• Robo, incendio, inundación, mala manipulación...
• Motivos: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Catástrofes naturales Fallos electrónicos o lógicos de los sistemas informáticos en general
• Rayos, terremotos, inundaciones, rayos cósmicos, etc.
Figura 24. Causas de amenazas. Fuente: Escamilla, M. L.
Existen infinidad de modos de clasificar un ataque y cada ataque puede recibir más de una clasificación. 51
Ventanillas Únicas Electrónicas
Módulo 4
n Amenazas por el origen: amenazas internas (dentro de la red) y amenazas ex-
ternas (fuera de la red). n Amenazas según el efecto que causan: robo de información, destrucción de
información, anulación del funcionamiento de los sistemas, suplantación de la identidad, publicación de datos personales o confidenciales, robo de dinero, estafas... n Amenazas por el medio utilizado, el modus operandi del atacante: virus infor-
mático, Phishing, ingeniería social, denegación de servicio, Spoofing, etc.
V.3. Análisis de riesgos El análisis de riesgos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar un riesgo. El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza. Teniendo en cuenta que la sucesión de un riesgo causaría daños o pérdidas, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de disponibilidad, integridad (puede incluir la autenticidad y el no repudio) y confidencialidad de los recursos objeto de riesgo.
52
Ventanillas Únicas Electrónicas
1
2 • Identificación de los activos susceptibles de sufrir amenaza.
Módulo 4
3 • Valoración de los activos críticos de la organización.
4 • Principales amenazas a las que están expuestos los activos.
5 • Probabilidad de que la amenaza se materialice e impacto sobre el negocio.
• Tratar los riesgos que superen un límite aplicando medidas.
Figura 25. Etapas del análisis de impacto al negocio. Fuente: Escamilla, M. L.
V.4. Técnicas para asegurar el sistema Algunas medidas sencillas de prevención para asegurar el sistema: n Control de acceso: Utilizar mecanismos de control de acceso a los sistemas y
recursos. Estableciendo grupos y perfiles de usuarios personalizados, siguiendo el principio de mínimo privilegio, que permita acceder a cada usuario solamente a la información que necesite. Estos mecanismos deben revisarse periódicamente para actualizar estos permisos y eliminar los perfiles de los usuarios que ya no pertenezcan a la empresa.
Identificación
•Método mediante el cual se indica quiénes somos, nombre de usuario en el sistema o una id de proceso si es una máquina.
Autenticación
•Método para comprobar que somos quienes decimos ser. Es la segunda parte de las credenciales de acceso (contraseñas, claves criptográficas, PIN, huellas dactilares, etc.).
Autorización
•Mecanismo para comprobar si el usuario autenticado tiene los derechos de acceso y privilegios a los recursos que quiere acceder para lo que solicita.
Accountability
•Mecanismo para registrar todos los eventos que tienen lugar en relación con los accesos (quién quiere acceder, a qué, cuándo, para qué y qué resultado tiene ese, etc.).
Figura 26. Métodos y mecanismos en que se compone el control de acceso. Fuente: Escamilla, M. L.
53
Ventanillas Únicas Electrónicas
Módulo 4
n Copias de seguridad: Debemos garantizar la disponibilidad, integridad y confi-
dencialidad de la información de la empresa. Hay una serie de medidas básicas que debemos aplicar para la protección de la información: copias de seguridad, cifrado de información, destrucción de información… Las copias de seguridad son la salvaguarda básica para proteger la información. Dependiendo del tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos para realizar las copias de seguridad pueden ser distintos. n Actualización de versiones: Mantener todas las aplicaciones y sistemas utiliza-
dos en la empresa, actualizados a sus últimas versiones y con todos los parches de seguridad instalados. n Seguridad de la red: El nivel de seguridad de la red corporativa es otro de los
puntos clave para mantener dentro de unos parámetros aceptables de ciberseguridad. Es esencial mantenerse protegido frente a posibles ataques o intrusiones. Internet es una fuente inagotable de amenazas para la seguridad de nuestras redes corporativas. Otro aspecto importante que no podemos descuidar es la configuración de nuestra wifi, pues puede permitir el acceso a nuestra red corporativa a personas ajenas. n Gestión de soporte: Las empresas necesitan infraestructuras de almacena-
miento flexibles y soluciones que protejan y resguarden la información y se adapten a los rápidos cambios del negocio y las nuevas exigencias del mercado, garantizando el rápido retorno de la inversión efectuada. Una correcta gestión de almacenamiento de la información permite mantener en todo momento la integridad, confidencialidad y disponibilidad de la información. n Protección antimalware: Instalar y tener permanentemente actualizado el
software antimalware para detectar y eliminar posibles infecciones, tanto de la información existente como de la que podamos recibir del exterior (a través
54
Ventanillas Únicas Electrónicas
Módulo 4
del correo electrónico, sistemas de almacenamiento externo, o descargas de páginas web). La seguridad antimalware en las empresas debe aplicarse a la totalidad de los equipos y dispositivos corporativos, incluidos los dispositivos móviles y los medios de almacenamiento externo como USB, discos duros portátiles, etc., y deben contar con las medidas necesarias para prevenir, detectar y contener cualquier tipo de amenaza a la que se vea expuesta nuestra organización. n Concienciar: La concienciación y formación de los empleados es fundamental
para garantizar el éxito de las medidas de seguridad implementadas. n Plan de continuidad: Se debe estar preparado para prevenir, protegerse y reac-
cionar ante incidentes de seguridad que puedan afectar y que podrían impactar en los negocios. Por este motivo es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad.
V.5. Puesta en marcha de una política de seguridad Actualmente, las legislaciones nacionales de los Estados obligan a las empresas e instituciones públicas a implantar una política de seguridad, que garantice el cumplimiento de todas las normativas y leyes que afecten a los sistemas de información. n Las normativas legales que toda empresa debe cumplir. Leyes aplicables a toda
empresa que opera en territorio nacional y que están relacionadas con la gestión y protección de la información de sus usuarios y clientes, así como con los sistemas informáticos que la tratan. Las principales leyes son: n Leyes de protección de datos, velan por la seguridad de los datos y ficheros de
datos de carácter personal que gestionan las empresas. n Leyes de servicios y de comercio electrónico, afectan a las empresas dedicadas
a actividades lucrativas o económicas, que permitan la contratación online de
55
Ventanillas Únicas Electrónicas
Módulo 4
servicios, ofrezcan información de productos a través de páginas web o se dediquen al comercio electrónico. n Leyes de Propiedad Intelectual, protegen los proyectos, desarrollos u obras
fruto de la actividad empresarial.
Material complementario Vídeos de ciberseguridad para la empresa. Conjunto de contenidos ofrecidos por Instituto Nacional de Ciberseguridad de España (INCIBE), cuya principal misión es reforzar la ciberseguridad, la confianza y la protección de la información y privacidad en los servicios de la Sociedad de la Información, aportando valor a ciudadanos, empresas, Administración, red académica, etc. Enlaces de interés de organizaciones y autoridades, 0rganizaciones profesionales, incidentes y emergencias, certificaciones personales, normalización y acreditación, etc. en el portal web ISO 27000 en español.
SÍNTESIS DE LA UNIDAD La información es un activo importante para las empresas, fundamental para el negocio. Las empresas establecen su actividad en sistemas de información con soportes electrónicos. Por eso, proteger los sistemas de información es requisito imprescindible para el negocio. Y como en cualquier otro proceso productivo de la organización, se necesitará llevar a cabo una gestión planificada de actuaciones en materia de ciberseguridad.
56
Ventanillas Únicas Electrónicas
Módulo 4
Bibliografía n Agencia
Española
de
Protección
de
Datos.
Consultado
en
https://www.agpd.es/ n Comisión Económica para América Latina y el Caribe, CEPAL (septiembre de
2007). Libro blanco de interoperabilidad de gobierno electrónico para América Latina y el Caribe, Versión 3.0. n Choi, J. Y. (agosto 2011). WCO Research Paper No. 17 A Survey of Single Window
Implementation. n Comisión Económica de las Naciones Unidas para Europa (2011). UN Recom-
mendation nº 34. Data Simplification and Standardization for International Trade. n Comisión Económica de las Naciones Unidas para Europa (2017). UN Recom-
mendation nº 36. Single Window Interoperability. n Comisión Europea (diciembre 2006). Study on Interoperability at Local and Re-
gional Level, Interoperability. Study Final Version. eGovernment Unit DG Information Society and Media. n Cornejo, R. (2010). Certificación Electrónica Digital. BID. I Taller: Ventanillas úni-
cas de Comercio Exterior. Consideraciones y propuestas para la acción regional en el marco del Foro del Arco Pacífico Latinoamericano. SELA. n Criado, J. I.; Gascó, M. y Jiménez, C. E. (julio 2010). Bases para una Estrategia
Iberoamericana de Interoperabilidad. XII Conferencia Iberoamericana, Argentina. n Incibe – Empresas – ¿Qué te interesa? – Plan de contingencia y continuidad de
negocio. Consultado en https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan_de_contingencia_y_continuidad_de_negocio.pdf n Incibe – Empresas – ¿Qué te interesa? – Plan director de seguridad. Consultado
en
https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-
seguridad.
57
Ventanillas Únicas Electrónicas
Módulo 4
n Incibe – Empresas – ¿Qué te interesa? – Protección de la información. Consul-
tado en https://www.incibe.es/empresas/que_te_interesa/proteccion-informacion. n Inter-American Development Bank (2010). Interoperability at the Border. n Meza, C. (diciembre 2010). Ventanilla Única de Comercio Exterior. Para mejorar
el intercambio de información entre la industria y el estado. II Encuentro Regional Latinoamericano y del Caribe sobre Ventanillas Únicas de Comercio Exterior Valparaíso. n Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica. n World Customs Organization (2011). WCO Compendium. The Professional prac-
tice guide. Capítulos 4, 5 y 6. n World Customs Organization (2004). WCO SAFE Package / ISCM Guidelines.
Capítulo 4. n World Customs Organization (2007) WCO Data Model, Single Window Data
Harmonisation.
58