El Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC) publicó para comentarios un proyecto de resolución que expide las Guías de lineamientos y de vinculación y uso de los Servicios Ciudadanos Digitales (SCD), de gran importancia para el avance de la transformación digital en el estado. Si bien este documento aún puede sufrir modificaciones, en este artículo describimos las condiciones propuestas para la implementación de los llamados servicios ciudadanos digitales básicos: Interoperabilidad, Autenticación Digital y Carpeta Ciudadana Digital.
Los servicios ciudadanos digitales
Los servicios ciudadanos digitales buscan facilitar la interacción del ciudadano con el Estado, para lo cual hacen uso de las herramientas que ofrecen las tecnologías de la información y las comunicaciones. Gracias a ellas, se abre la posibilidad de por ejemplo interactuar con las instituciones del Estado de manera remota, optimizar el número de pasos necesarios para realizar un trámite, o estar en capacidad de interactuar de manera simultánea con varias instituciones evitando los reprocesos. Un caso de éxito de este tipo de iniciativas se ha dado en Estonia, donde a día de hoy el 99% de los servicios estatales se ofrecen de manera digital, con solo 3 excepciones: El matrimonio, el divorcio y las transacciones de finca raíz [EST2020].
Dentro del modelo propuesto por el MinTIC [MTC2020a], [MTC2020b], [MTC2020c], [MTC2020d], se definen 3 servicios digitales de base, a partir de los cuales se deberán construir otros para beneficio de los ciudadanos. Se entiende por servicios ciudadanos digitales de base aquellos que “son fundamentales para brindarle al Estado las capacidades en su transformación digital” [MTC2020a]. Esto quiere decir que estos servicios deben implementarse obligatoriamente. Así mismo, se definen como servicios ciudadanos digitales especiales aquellos que se construyen sobre los servicios básicos. Es decir, aquellas entidades del Estado que por medio de un proceso de transformación digital integren sus servicios al modelo de servicios ciudadanos digitales, ofrecerán servicios ciudadanos digitales especiales.
Un aspecto muy importante de este modelo es la definición del rol de articulador, el cual asume la Agencia Nacional Digital (AND) [AND2020], con el fin de gestionar los servicios ciudadanos digitales. Este rol está fuertemente influenciado por el modelo de interoperabilidad adoptado, sobre el cual hablaremos mas tarde.
A continuación haremos una descripción de los 3 servicios ciudadanos digitales de base: Interoperabilidad, Autenticación digital y Carpeta ciudadana digital.
Interoperabilidad
El servicio de interoperabilidad busca facilitar la comunicación entre las diferentes instituciones del Estado con el objetivo de mejorar la prestación de servicios al ciudadano. Es decir, por medio de la interoperabilidad se puede simplificar la prestación de servicios de tal manera que el usuario solamente necesite presentar una vez sus credenciales, y sean las entidades estatales las responsables de comunicarse entre ellas para solicitar la documentación necesaria asociada al ciudadano. De esta manera se evita obligar al ciudadano a dirigirse a varias instituciones para recopilar documentos que solo son de utilidad para la entidad que ofrece el servicio.
El intercambio de información entre entidades con bases de datos de gran volumen y tecnologías dispares, es posible gracias a la implementación de una tecnología llamada X-Road. X-Road es una plataforma de interoperabilidad implementada originalmente en Estonia, la cual permite gestionar de manera controlada el intercambio de información entre diferentes instituciones. Uno de los elementos que permite que este modelo sea escalable, y al mismo tiempo respete la privacidad de los datos de las instituciones, es que se trata de un modelo distribuido, donde cada entidad mantiene sus datos, y solo los comparte bajo control del operador del servicio de interoperabilidad. De acuerdo a la propuesta actual, la AND es el único operador del servicio de interoperabilidad, es decir es el único en capacidad de controlar quién tiene acceso a qué datos. Entre otras funciones, la AND será la encargada de monitorear la calidad y uso de los servicios ciudadanos digitales, y la gestión de las entidades y los SCD que ofrecen.
Para garantizar la seguridad en el intercambio de información, se incluye dentro del modelo la utilización de certificados digitales y de estampa cronológica. Por medio de los certificados digitales es posible que las entidades que participan en el intercambio de datos se autentiquen ( que prueben su identidad ) y así mismo que firmen digitalmente los mensajes que envían ( que ofrezcan los servicios de autenticación de mensaje, confidencialidad e integridad). Por otro lado, la estampa cronológica permite conocer el tiempo en el que un mensaje fue enviado, de tal manera que el sistema puede ser auditado en caso de ocurrir algún evento de seguridad.
En la Figura 1 se representa el modelo de interoperabilidad propuesto por el MinTIC, donde el articulador es la Agencia Nacional Digital, y existen 2 proveedores de datos y dos consumidores de datos. Tanto proveedores como consumidores deben contar con un elemento llamado un Servidor X-Road, mediante el cual se autentican con el sistema y cumplen con los requerimientos técnicos para intercambiar información. Por otro lado, los proveedores de datos deben contar además con un adaptador, mediante el cual permiten el acceso a sus bases de datos. Adicionalmente, se cuenta con el servicio de estampado de tiempo, una autoridad certificadora para poder firmar los mensajes y generar los certificados que autenticarán a los diferentes actores, y un servicio de directorio para publicar los servicios aprobados por la AND, y a los cuales los usuarios podrán acceder.
Figura 1. Modelo de interoperabilidad
Autenticación digital
Este servicio busca garantizar que la persona que quiera acceder a los servicios digitales sea quién dice ser, teniendo en cuenta que este proceso se realiza de manera no presencial.
El proceso de autenticación digital está modulado por los niveles de confianza que se busque obtener en un servicio específico, para lo cual se ofrecen más o menos garantías. De acuerdo a lo anterior, las entidades que deseen ofrecer un servicio ciudadano digital deben categorizarlo en alguno de los siguientes grados de confianza: bajo, medio, alto y muy alto. Es decir, para servicios clasificados como de bajo riesgo, se puede usar un nivel de confianza bajo, y para servicios de muy alto riesgo, se deben usar mecanismos de confianza muy altos.
Cada vez que un ciudadano quiera acceder a los SCD, estará obligado a autenticarse, aunque existen unos pasos previos que deberá realizar. En primer lugar, deberá registrarse, de tal manera que sea posible establecer que la persona que va a acceder a diferentes SCD es quien dice ser. La información de registro debe ser corroborada con el Archivo Nacional de Identificación de la Registraduría Nacional del Estado Civil, y en el caso de ciudadanos extranjeros con los medios que proponga Migración Colombia. Posteriormente a la aprobación del registro, la AND procederá a la inscripción del usuario, y a la emisión de credenciales, las cuales el ciudadano usará para su posterior autenticación. Adicionalmente, es posible realizar un proceso de actualización, mediante el cual se modifican los mecanismos de autenticación definidos para el usuario o los datos del registro.
Respecto a las credenciales emitidas se consideran las siguientes opciones:
- Contraseña o secreto memorizado
- Dispositivo de contraseña única de un solo factor (OTP)
- Dispositivo OTP multi factor
- Software criptográfico de un solo factor
- Dispositivo criptográfico de un solo factor
- Software criptográfico multi factor
- Dispositivo criptográfico multi factor
En la opción 3, teniendo en cuenta que el dispositivo OTP está asociado a un factor de posesión, es necesario que se combine con un factor de conocimiento (como puede ser un password) o de inherencia (como un dato biométrico). En el caso 6, si bien se trata de un software, este debe estar implementado en un dispositivo físico que debe estar al alcance de quien se quiera autenticar, siendo por lo tanto un factor de posesión. Por lo tanto, igual que en el caso 3, se debe combinar con un factor de conocimiento (p.e. password) o inherencia (p.e. biometría). Lo mismo ocurre en el caso 7. Es bien sabido que la seguridad que provee una contraseña es mínima, e iría en contra de la razón de ser de la transformación digital obligar a los usuarios a que memoricen otra contraseña. Por lo tanto es deseable usar otro tipo de métodos más seguros y que generen menos fricción.
Carpeta Ciudadana
El servicio de carpeta ciudadana busca que los ciudadanos y las personas jurídicas puedan acceder y gestionar sus datos para poder acceder a SCD por medio de una “carpeta virtual”. Respecto a la gestión, hace referencia a la capacidad que se le ofrece a una persona natural o jurídica de solicitar la corrección o actualización de los datos en custodia de alguna entidad del Estado, autorizar o no el intercambio de sus datos o de personalizar su presentación. De esta manera el ciudadano tiene un mayor control y conocimiento de sus datos que reposan en diferentes entidades del Estado.
De acuerdo a los lineamientos ofrecidos por el MinTIC, este acceso se dará por el portal único del Estado GOV.CO, desde donde se harán las redirecciones correspondientes a los servicios de autenticación y posteriormente a los SCD que el usuario solicite. Adicionalmente, se establece que el servicio de carpeta ciudadana digital será prestado por el articulador, es decir la Agencia Nacional Digital.
Conclusiones
El proyecto de resolución que expide las Guías de lineamientos y de vinculación y uso de los servicios ciudadanos digitales publicado por el MinTIC para comentarios establece tres servicios ciudadanos digitales de base, y profundiza algunas características de cada uno de ellos. Por medio de estos tres servicios debería ser posible que las entidades del Estado intercambien información sobre personas naturales o jurídicas, que estas conozcan y controlen dicha información, y que se utilicen mecanismos para garantizar su identidad. El marco de interoperabilidad propuesto debería potenciar la aparición de servicios ciudadanos digitales y por lo tanto una mejor interacción del ciudadano con el Estado.
Diego Pacheco-Páramo
Bibliografía
[EST2020] E-Estonia. E-governance. https://e-estonia.com/solutions/e-governance/
[ABD2020] Agencia Nacional Digital https://and.gov.co/
[MTC2020a] Anexo 1 Guía de Lineamientos de los servicios ciudadanos digitales. Mayo de 2020. MinTIC Gobierno de Colombia.
[MTC2020b] Anexo 2 Guía para vinculación y uso de los servicios ciudadanos digitales. Mayo de 2020. MinTIC Gobierno de Colombia.
[MTC2020c] Borrador de resolución. Guía para vinculación y uso de los servicios ciudadanos digitales. Mayo de 2020. MinTIC Gobierno de Colombia.
[MTC2020d] Borrador de resolución. Guía para vinculación y uso de los servicios ciudadanos digitales. Mayo de 2020. MinTIC Gobierno de Colombia.
1 comment
Comments are closed.