Mejoras en el sistema de Firma Digital
Si bien faltan solucionar irregularidades detectadas años atrás, la AGN observó que el área de Jefatura de Gabinete encargada de la Firma Digital tuvo en cuenta y resolvió algunas de las observaciones efectuadas en el pasado.
La Auditoría General de la Nación (AGN) efectuó una auditoría de seguimiento en la Jefatura de Gabinete de Ministros de la Nación para observar si se habían corregido los puntos señalados en un trabajo de 2016 sobre el proceso de firma digital y observó que la mitad de las recomendaciones fueron subsanadas, mientras otras tantas continúan sin avance.
La firma digital es un procedimiento matemático que requiere información exclusiva del firmante y que, aplicado a un documento digital, le otorga validez al mismo. En nuestro país está regulada por la Ley 25.506 y es a los soportes digitales lo que la firma holográfica a los documentos en papel.
Desde 2018 la SIGEN es el organismo auditante del procedimiento de firma digital.
Durante 2016, los auditores se encontraron con que la Oficina Nacional de Tecnologías de la Información (ONTI), dentro de la Jefatura y a cargo de este programa, operaba tanto como el “ente licenciante”, como el “certificador licenciado”. Esto es, era el encargado de emitir las licencias y al mismo tiempo certificar la legalidad de las mismas. Al estar de ambos lados del mostrador se vulnera el principio de control por oposición de intereses y era necesario que deje de realizar uno de los dos trabajos.
Esta situación se resolvió en 2018 cuando se promulgó el decreto 561/2016 de "Simplificación y Desburocratización de la Administración Pública Nacional". A través de éste se designó a la Sindicatura General de la Nación (SIGEN) como organismo auditante, quien procedió a realizar las auditorías previstas por la ley 25.506.
Infraestructura mejorada
Otro conflicto resuelto fue el relativo a la infraestructura. Seis años atrás la AGN marcaba que “el nivel de seguridad física de la oficina donde opera la Autoridad de Registro ONTI es inferior al que indica la norma, lo que pone en riesgo la seguridad y confidencialidad de la infraestructura de Firma Digital”. Además, la Dirección de Administración Tecnológica no contaba con soporte energético alternativo que garantizara la continuidad del servicio, “lo que temporalmente podría afectar la validez de la lista de certificados revocados”, remarcaba la auditoría.
Otro de los problemas resueltos fue la despapelización del sector. En el informe previo no se había detectado un soporte digital adecuado.
Atento a los solicitado, el organismo informó que ahora “la infraestructura se encuentra dentro de la sala cofre de AFIP, la cual cuenta con sistemas y servicios en un esquema de redundancia”. Por otro lado, el sitio de contingencia está ubicado dentro de la sala cofre de ARSAT. Con esto, la AGN entiende que el problema se resolvió.
Por último, otro hallazgo resuelto fue la despapelización del sector. En el informe previo se encontró que los legajos de autoridades certificantes no contaban con un soporte digital adecuado para realizar consultas, revisiones y actualizaciones. Los auditores también señalaron en ese entonces que “los trámites de habilitación de Autoridades Certificantes se efectúan en formato papel y que la gestión documental en este formato redunda en una contradicción entre la realidad de los procedimientos administrativos de la oficina y el principio de despapelización que da impulso al desarrollo de la Firma Digital”.
En el nuevo trabajo se remarca que los procesos de gestión pasaron a tramitarse completamente en formato digital a través del sistema de Gestión Documental Electrónica (GDE), implementado mediante el decreto 561/16.
Lo que queda por hacer
Los auditores encontraron en 2016 una falla en la política de backup de PKI (Infraestructura de clave pública, por sus siglas en inglés), ya que esta contaba “con debilidades en sus procedimientos que podrían afectar la disponibilidad de información y sus respectivos servicios”. Tampoco se guardaban copias de resguardo, fuera del edificio.
Los auditores consideraron que aún hay debilidades en la infraestructura de claves públicas como falta de actualizaciones o un plan de contingencia.
Aún el organismo no tiene un procedimiento de backup actualizado. AGN puntualiza que el manual empleado para el resguardo de información “no tuvo un proceso regular de actualización, ya que han pasado cuatro años a julio de 2020” (fecha de corte de la auditoría) y agrega que “tampoco el procedimiento indica cómo debe ser el proceso de restauración de las copias de seguridad”. Por este motivo, la disponibilidad del servicio puede verse afectada.
Al igual que hace seis años tampoco hay un plan de contingencias. En aquel entonces no había una guía a seguir ante eventualidades que interrumpieran el servicio, “lo que podría generar inconvenientes para recuperar el servicio ante incidentes”, manifestaba la AGN.
“El plan de contingencia tiene una antigüedad de 10 años y se considera desactualizado, teniendo en cuenta las modificaciones tanto normativas, de recursos humanos y de infraestructura que surgieron a partir del año 2016”, asegura la AGN.
Por último, en 2016 se halló una brecha existente entre la documentación vigente y la infraestructura instalada, la cual no permitía dar un adecuado soporte al personal técnico a cargo de la administración de la plataforma tecnológica de Firma Digital. Esto generaba una dependencia de personal clave para la realización de ciertas tareas, “dificultando que las mismas sean llevadas a cabo en su ausencia o ante la incorporación de personal”, indicaba el informe de AGN.
La situación actual no cambió ya que el organismo informó que los procedimientos no han sido actualizados. “Se está trabajando en nuevos procedimientos y documentos correspondientes a la actualización tecnológica”, explica la AGN.
Pocos recursos humanos
Con respecto a los recursos humanos asignados, “resultan insuficientes para el cumplimiento de los objetivos del área, ya que con solo 25 personas atienden toda la complejidad y dimensión que tiene la firma digital en todos los organismos del Estado y también la atención desde el punto de vista técnico-informático y legal”, cierre el nuevo trabajo de auditoría.