red seguridad 074

especial red seguridad tercer trimestre 2016 29 opinión Reglamento eIDAS especial menos empleada en los procesos de negocio en soporte electrónico. Con estos antecedentes, no es extraño que el legislador de la Unión Europea, altamente comprometido con el desarrollo del Mercado Único Digital, haya modificado el marco legal para dar un nuevo e importante impulso al uso de la firma y sello electrónicos cua- lificados, mediante la aprobación del citado Reglamento, que entró en vigor el pasado 2 de julio. Dicho Reglamento, en un ejemplo de innovación, regula lo que podemos denominar “firma y sello electrónicos en la nube”, una posibilidad altamente prometedora que rompe con las disfun- ciones del modelo de tarjeta criptográ- fica, facilitando extraordinariamente la adopción de la firma y sello con máxima garantía jurídica por parte de las organizaciones . En este enfoque, las claves de firma o sello se encuen- tran gestionadas por un software de alta seguridad, sujeto a certificación obligatoria, y operado por un prestador regulado por el Gobierno, lo que permi- te su uso confiable desde cualquier tipo de dispositivo. Sistemas de gestión de claves En muchas organizaciones de diversos sectores es usual ya disponer de un sistema de gestión centralizada de cer- tificados para garantizar su seguridad y disponibilidad, así como controlar los usuarios que acceden a ellos y el uso que hacen de los mismos. Los fabricantes de estos sistemas deberán realizar un relevante esfuerzo para adaptarlos a la nueva normativa, que presenta requisitos altamente exi- gentes en cuanto a la seguridad. No es una labor fácil y, por este motivo, Víntegris lleva más de un año trabajan- do e invirtiendo en su sistema vinCERT, cuya inminente versión en la nube e in-house (nebulaCERT) presentará un amplio rango de nuevas funcionalida- des, operativas y modificaciones que lo dejarán plenamente alineado con las nuevas exigencias legales. Entre éstas, destaca especialmente, por su gran calado, la obtención de la certificación Common Criteria EAL4+ para la pieza central del sistema. No obstante, las exigencias de la nueva normativa abarcan infinidad de aspectos, algunos de los cuales rese- ñamos a continuación: o Todas las claves deben ir securizadas en HSMs. o Los usuarios deben ser notificados del uso fraudulento de sus certifi- cados, por lo que es imprescindible incorporar un servidor de correo al sistema. o Es imprescindible disponer de auten- ticación robusta para los usuarios, puesto que es esencial garantizar la identidad del usuario que va a utilizar el certificado. o Debe ser posible generar un archivo de auditoría con validez legal ante procesos judiciales en base a la norma europea DIN CEN/TS 419241, así como garantizar la integridad del registro de auditoría. o Nuevos roles de usuario: es necesa- rio incorporar la figura del oficial de seguridad, una persona con conoci- mientos y capacidad para controlar la robustez de los algoritmos y las claves del sistema en base a la nor- mativa de cada uno de los países miembro de la UE. o Todas las conexiones al entorno del sistema deben ser seguras, por lo que es necesario securizar todos los canales de comunicación hacia ele- mentos del entorno (LDAPS, bases de datos, correo electrónico, etc.). Por otra parte, el nuevo reglamento europeo y sus normas de desarrollo proveen una fuerte integración entre el vendedor del certificado y el gestor de la clave. Efectivamente, si una entidad dispone de un sistema de claves centra- lizadas, es sensato que desee hacer auto provisión de ellas, más teniendo en cuenta que las organizaciones están empezando a solicitar una solución completa y, sobre todo, eficiente, que les ayude a eliminar la burocracia. Ello, por otra parte, elimina la dependencia de terceros prestadores de servicios que pueden tener en ocasiones intereses comerciales contrapuestos a los de la organización. Así es como lo ha resuelto Víntegris, que ya dispone de su propia entidad certificadora, que podrá inte- grarse en nebulaCERT a petición del cliente y permitirá la generación de certi- ficados digitales reconocidos y firma cualificada. Las empresas han de incorporar la figura del oficial de seguridad, una persona con capacidad para controlar la robustez de los algoritmos y las claves del sistema.