Organismo/institución auditado: Objetivo de la auditoría: Organismo auditor: SUBSECRETARÍA DE LA GESTIÓN PÚBLICA Auditoría de Gestión Auditoría General de la Nación Período analizado: 2007 Año en que se realizó: Año y norma aprobatoria del Informe: Fuente: 2007 07/10/2008 Resolución 152 AGN http://www.agn.gov.ar/informes/informespdf 2008/2008_152.pdf OBJETIVO La AGN efectuó una auditoría en la Subsecretaría de la Gestión Pública Oficina Nacional de Tecnologías de Información (ONTI), con el objetivo de realizar una evaluación general de las iniciativas y acciones en materia de Firma Digital.El trabajo se ha centrado principalmente en el funcionamiento en el sector público y en el impacto que esta tecnología produjo en la Administración Pública Nacional bajo las acciones llevadas a cabo por la autoridad de aplicación y organismo rector, es decir la Subsecretaría de la Gestión Pública y su órgano técnico, la Oficina Nacional de Tecnologías de Información. La Firma Digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel. Una Firma Digital es un conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje. La Firma Digital no implica necesariamente asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. La Firma Digital es un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos que permiten crear y verificar firmas digitales, cuyo valor legal está respaldado por documentos normativos. Para la elaboración de una Firma Digital y en su correspondiente verificación se utiliza la denominada criptografía asimétrica (también llamada criptografía de clave pública ).
En ese sistema, cada usuario posee dos claves propias, llamadas clave privada y clave pública, están fuertemente e relacionadas entre sí, pero no es posible calcular la primera a partir de los datos de la segunda, ni tampoco a partir de los documentos cifrados. El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De este modo, si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave pública podrá verificarla. Los certificados digitales son pequeños documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del firmante haya sido emitido por un certificador licenciado. SÍNTESIS Al respecto la auditoría señala que en el año 2002, se reglamentó la Ley Nº 25.506, que otorga validez legal a la Firma Digital bajo ciertas pautas y establece un plazo de 5 años para la despapelización en el estado por lo que en el año 2007, debería haber estado funcionando en forma plena. En la actualidad la Firma Digital, que da validez legal a los documentos digitales, no tiene implementación en el estado o en la actividad privada dada la inexistencia de Certificadores Licenciados originado en el atraso en la conformación del PKI 1 (entre otros el Ente Licenciante y el sistema de auditoría) previstos por la Ley necesario para su autorización y control. En lo que refiere a Firma Electrónica, disponible para el sector público desde 1998, sólo se ha logrado un avance inferior al 5% en la Administración Pública Nacional siendo que la misma no permite garantizar la autoría del documento digital. Esta falta de eficacia reduce los beneficios económicos y genera un retraso para la mejora de los servicios del estado a los ciudadanos. La eliminación del papel mediante esta tecnología disminuye los gastos de espacio dedicado a su almacenamiento, aumenta la velocidad de recupero, incrementa la rapidez en las comunicaciones, disminuye drásticamente la utilización de fotocopias y facilita la seguridad de su custodia. 1 La denominación Infraestructura de Clave Pública refiere al conjunto formado por Hardware, software, canales de comunicación y procedimientos necesarios para proveer un servicio de certificación (Resol. N 194/98 de la SFP, Glosario ). En inglés: Public Key Infrastructure, PKI.
Algunas de las observaciones específicas que hace AGN se presentan a continuación: El Decreto Nº 2628/2002 (reglamentario de la Ley de Firma Digital), establece que la implementación de las disposiciones de la Ley para la digitalización de procedimientos y trámites internos ( despapelización ) se hará de acuerdo a lo que fijen reglamentariamente cada uno de los Poderes y Administraciones. La auditoría señala que en el caso del Poder Ejecutivo, no se tuvo conocimiento de un plan específico para cumplir con este proceso. Además de que durante el relevamiento no se detectaron procedimientos sistemáticos para medir el avance de la despapelización y desarrollar acciones para sostener ese proceso. Agrega AGN que el avance está librado a la prioridad que cada Administración asigne a la despapelización. Sin coordinación, este proceso avanza con lentitud, de manera desigual en los diversos ámbitos y sin rumbo. Así no resulta posible prever cuánto demandará la implementación. La SGP, Autoridad de Aplicación de la Firma Digital, delega en la ONTI las principales funciones técnicas en la materia. La ONTI asume el rol de soporte con servicios de consultoría y asistencia con relación a las implementaciones en el sector público. Sin embargo, no se ha detectado una actitud rectora para cohesionar en este aspecto a la Administración Pública Nacional; por ejemplo, no existe normativa para la gestión de técnicas de encriptación y de Firma Digital en las aplicaciones críticas de la APN que las requieren, ni procedimientos de control en la administración de claves. El presupuesto nacional de la SGP - Programa 17 Modernización del Estado - no discrimina la cuenta de gastos asignados a Gobierno Digital ni, por ende, a los de Firma Digital. Es decir, las partidas presupuestarias definidas en la actualidad no permiten conocer los gastos en Firma Digital en la Administración Pública Nacional (globales y por cada organismo). Esta actividad tiene financiamiento externo exclusivamente por vía del préstamo BIRF 4423- AR. Este préstamo sólo puede proveer asistencia técnica, no financia los gastos de mantenimiento de infraestructura. Evalúa la auditoría que al no disponer de una clara asignación de recursos para su desarrollo, no es posible programar resultados, pues estarán supeditados a los saldos presupuestarios. Pero además, según se dijo en el punto anterior, las tareas relativas a Firma Digital se desarrollan en el marco del préstamo BIRF 4423-AR como subactividad de Gobierno
Electrónico o Digital. La subactividad cuenta con un Coordinador que reporte tanto al responsable técnico del BIRF como a la Directora de Aplicaciones de la ONTI. Tiene a su cargo las áreas no formales Técnica y Licenciamiento. Los responsables son personal contratado por el préstamo. El área Técnica gestiona los certificados digitales para la APN. Concluyendo, la actividad no dispone ni de responsables formales en sus niveles técnicos ni de una organización formal para desempeñarla. También se considera crítico el escaso número de personas con dominio de las tecnologías de encriptación y de sistemas de gestión de Firma Digital. Al respecto, la auditoría afirma que estaría en riesgo el soporte técnico a esta actividad, dado que el mercado laboral ofrece mejores condiciones que las pautadas para el personal contratado en el marco del Decreto N 1184/2. La inexistencia de una estructura formal no permite contar con una organización que pueda cumplir con las altas exigencias de administrar la tecnología de Firma Digital con adecuados estándares de calidad y seguridad. Si bien durante el período 2004-2006 se realizaron 67 cursos de laboratorio de Firma Digital dirigidos principalmente a personal de la Administración Pública Nacional.Señala AGN que no se detectaron planes destinados a concientizar y sensibilizar en el uso de la Firma Digital a funcionarios con poder de decisión (potenciales suscriptores), organizaciones privadas y público en general. No se detectaron planes de entrenamiento - y con vinculación a un plan de implementación de Firma Digital - estratificados según cada necesidad (nivel de funcionario y localización geográfica). Tampoco se han implementado cursos vía Web (e-learning) a pesar de disponer de la herramienta TeleINAP, desarrollada en ámbito de la ONTI, que permite brindar cursos de entrenamiento masivo. Señala AGN que no se aprovecha una tecnología de bajo costo que podría acelerar la adopción de la Firma Digital y mejorar su nivel de penetración. A la fecha de la auditoría, no existían en el país y en el marco de la Ley, Certificadores Licenciados. Los certificados digitales deben ser emitidos o reconocidos por un certificador licenciado (Ley de Firma Digital, art. 16). Como consecuencia de ello, se dispone de Firma Electrónica pero no de Firma Digital en el ámbito del país. En el informe se aclara que para la legislación argentina los términos Firma Digital y Firma Electrónica no poseen el mismo significado. La diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado que en el caso de la Firma Digital existe una presunción iuris
tantum en su favor; esto significa que si un documento firmado digitalmente es verificado correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue modificado. Por el contrario, en el caso de la Firma Electrónica, de ser desconocida por su titular, corresponde a quien la invoca acreditar su validez. La auditoría no obtuvo evidencia de que la Comisión Asesora de Firma Digital (prevista en la La Ley de Firma Digital para que oriente a la Autoridad de Aplicación, Jefatura de Gabinete, sobre estándares tecnológicos y otros aspectos que hacen al funcionamiento de la Infraestructura.)se reuniese al menos una vez trimestralmente como lo establece la Ley Nº 25.506. Además, en el sitio www.pki.gov.ar (sitio de la Subsecretaría de la Gestión Pública especializado en Firma Digital),no se encontraban publicadas las actas de la Comisión posteriores al 27 de julio de 2004 (relevamiento realizado el 12 de junio de 2007). Todo esto, según AGN reduce la transparencia de los actos de la Comisión. Además de que la Comisión nunca ha emitido opinión ni ha formulado propuestas (aunque tampoco fue consultado por la Autoridad de Aplicación) sobre: los estándares tecnológicos establecidos en 1998, el sistema de auditoría, el sistema de registro de la información relativa a la emisión de certificados digitales y el requerimiento del resguardo físico de la información, contraviniendo la Ley Nº 25.506. Por otra parte, según lo establece la Ley Nº 25.506 (de Firma Digital), la Autoridad de Aplicación, con el concurso de la Comisión Asesora para la Infraestructura de Firma Digital, debe diseñar un sistema de auditoría para evaluar la confiabilidad y calidad de los sistemas utilizados; la integridad,confidencialidad y disponibilidad de los datos y el cumplimiento de las especificaciones del Manual de Procedimientos y los planes de seguridad y de contingencia aprobados. Señala AGN que en el período analizado por esta auditoría, la Autoridad de Aplicación (SGP) no había diseñado sistema alguno para evaluar la confiabilidad y calidad de los sistemas utilizados, la integridad, confidencialidad y disponibilidad de los datos, ni el cumplimiento de las especificaciones del manual de procedimientos los planes de seguridad y de contingencia aprobados por el Ente Licenciante, contraviniendo el articulo 27 de la Ley.