ADSECURE: Seguridad en Entornos Multientidad de Administración Electrónica es un proyecto de I+D+i dentro del marco del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011 (TSI-020100-2008-26), financiado por el presente programa de ayudas (Subprograma Avanza I+D). Es una solución funcional y tecnológica para el desarrollo de un entorno seguro de interoperabilidad de backoffice y servicios al ciudadano para entornos multientidad. El proyecto ha sido realizado mediante consorcio de Ándago Ingeniería, Encore Solutions, Universidad Rey Juan Carlos y la Diputación de Toledo.
En el contexto de diferentes iniciativas de administración electrónica, tanto europeras como nacionales, se ha identificado la Interoperabilidad Administrativa como elemento clave para el desarrollo de servicios electrónicos avanzados al ciudadano. La falta de frameworks de interoperabilidad en las Entidades Locales puede ser un freno para la industrialización de la administración electrónica. Este punto está cubierto en la actualidad por otras iniciativas I+D asentadas y que serán la base de la investigación del presente proyecto:
- Plataforma Open-Cities para servicios de administración electrónica con servicios multientidad.
- Proyecto PIEL, plataforma de interoperabilidad para administraciones locales.
Sobre la base tecnológica de ambos proyectos se han de resolver aquellos aspectos relativos a la seguridad y confianza. El objetivo del proyecto es la securización de los servicios de administración electrónica dentro de un entorno multientidad, en la que datos y aplicaciones residen en un organismo central que provee de servicios de modernización administrativa a sus órganos federados.
El objetivo principal del proyecto es ejecutar un proyecto de investigación que permita el desarrollo y reutilización de protocolos y servicios seguros y confiables de administración electrónica entre Entidades Locales que delegan la infraestructura tecnológica en un organismo central que proporciona servicios multientidad, mediante la integración de múltiples y diferentes sistemas de información e iniciativas I+D ya en marcha y explotación.
La securización y la creación de la confianza en los servicios se conseguirá potenciando y desarrollando soluciones y estudios tecnológicos y de procedimiento para diferentes áreas:
- Seguridad física de los sistemas y componentes hardware y de comunicaciones que intervienen en el trasiego de información.
- Seguridad lógica de los datos, aplicaciones y accesos a los mismos por parte de los usuarios, mediante el uso de técnicas concretas para el cifrado de datos y comunicaciones, empleo de certificados digitales validados, securización de los archivos y servicios de custodia, control de la administraicón de aplicaciones y definición y adaptación de estándares y protocolos de transmisión de datos.
- Seguridad legal, mediante la normalización de los almacenes de datos y de los accesos, de modo que cumplan con los requerimientos legales de la Ley Orgánica de Protección de Datos.
- Estudios y comparativas que definirán las alternativas tecnológicas para la securización de la administración electrónica.
- Informes y dictámenes jurídicos que avalen la validez legal de las soluciones.
- Adaptación de estándares, protocolos y tecnologías para el fomento de la seguridad y confianza en entornos multientidad.
- Herramientas informáticas concretas que permitan el control de la seguridad y la auditoría de la misma.
Desde el punto de vista arquitectónico y tecnológico, el sistema de interoperabilidad posee las siguientes características:
- Solución Open-Source.
- Arquitectura Orientada a Servicios (SOA).
- Basado en OpenESB (sigue el estandar JBI).
- Orquestación mediante BPEL.
- Transformación de datos mediante XSLT.
- Proporciona seguridad y persistencia para los mensajes que pasen por el Bus.
- Catálogo de conectores con los principales sistemas utilizados en las Entidades Locales.
El resultado será tanto la definición de estándares de seguridad para este tipo de entornos, como el desarrollo de módulos y herramientas concretas que se desplieguen en entornos multientidad (sin menoscabo de su despliegue en un entorno unientidad).
Dado que el alcance se circunscribe al desarrollo de iniciativas, métodos y herramientas en el ámbito de la seguridad y confianza, los resultados y la experiencia piloto se centrarán en su adaptación para un entorno de administración electrónica basado en dos iniciativas I+D ya reseñadas en esta memoria: Proyecto Open-Cities y Plataforma de Interoperabilidad PIEL. Aunque los desarrollos se realicen sobre estas plataformas y su combinación multientidad, el objetivo buscado también se centra en generalizar y exportar los resultados de los estudios y desarrollos a cualquier otro entorno, con independencia del fabricante u origen del mismo.
Desde un punto de vista funcional, el alcance del proyecto se centra en dotar de herramientas, políticas y medidas de seguridad y confianza a un entorno de e-administración que proporciona servicios centralizados a un número de entidades asociadas.
- Intranet administrativa: elementos de comunicaciones y conectividad que relacionan a los diferentes organismos federados con el organismo central. Empleo de redes privadas virtuales, utilizando certificados digitales de servidor y usuarios. Con este esquema se podrán establecer las comunicaciones para cada organismo con sus plataforma tecnológica de e-administración.
- Appliance de Seguridad: Este appliance hardware y software, se instalará en cada organismo que acceda a la intranet administrativa y a los servicios de e-administración federados. Su filosofía es ser un componente especifico de la red de servicios y ofrecer diferentes capacidades.
- Interoperabilidad segura: la plataforma de interoperabilidad debe proporcionar mecanismos propios de seguridad, cifrado, acceso controlado, etc., con los diferentes sistemas que pueden estar dentro del órgano central o bien, distribuidos por diferentes organismos públicos.
- Almacenes de datos - Servicios de Archivo y Custodia: Estos almacenes registrarán los “ originales” electrónicos de los documentos generados en el desempeño de la función pública, por lo que su salvaguarda debe estar presente en todo momento.
- Auditoría y observacion legal: La normas principales que se observarán en el sistema resultante del proyecto serán Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos, aprobado en Consejo de Ministros de 21 de Diciembre de 2007. En los estudios y cuadros de mando resultantes se hará énfasis en la graduación de diferentes parámetros y atributos de seguridad.
Los resultados generados por el proyecto ADSECURE constituirán un conjunto de herramientas, definición de políticas de seguridad y su implantación en entornos multientidad que posibilitarán la obtención de beneficios concretos en el desarrollo de iniciativas de formento de la e-administración. Están definidos los siguientes resultados:
- Subsistema de comunicaciones segura: red privada virtual, conexiones cifradas, gestión de sersiones,...
- Subsistema de protección de datos sensibles: almacenamiento independiente de los archivos de cada entidad, protección y cifrado de datos, acceso controlado, distribución controlada, disociación de datos personales, ...
- Subsistema de administración y monitorización: entorno seguro de usuarios, medidas de seguridad física, reporting y cuadros de mando, validación y control de certificados digitalse multiPKI.
- Subsitema de auditoría y control: revisión de acceso y autorizaciones, herramientas de reporting y análisis de cumplimiento de legislación, ...