>> Editorial
IaM.
No es casual que esta edición lleve como tema central el de la identificación, la autenticación y la gestión de identidades y de accesos. En una sociedad en fase de transformación digital, estos procesos son la base de la confianza. Es este un terreno en que confluyen el cumplimiento, la seguridad de la información, la seguridad técnica y la buena gestión de los negocios. Los entornos de movilidad, la nube, las redes sociales y la necesidad de ser flexibles, adaptativos, rápidos y globales impactan de lleno en la IaM, convirtiéndola en una hirviente área de actividad para la industria TIC.
Por todo ello, la revista SIC va a organizar los días 25 de junio (Barcelona) y 26 de junio (Madrid) una sesión de Respuestas SIC (www.revistasic.com/respuestassic) para hacer una puesta al día del estado del arte de la gestión de identidades en todos los frentes y de los avances y enfoques más novedosos y prometedores.
Reglamento europeo de identificación electrónica y servicios de confianza para las transacciones en el mercado interior.
Aprobado por el Parlamento europeo el pasado abril, viene a sustituir a la Directiva de firma electrónica y acarrea algunos cambios notables en la materia, no exentos de polémica. Uno de los más señalados es el que alude a la “entrega electrónica registrada”, comúnmente conocida como notificación electrónica registrada. El Reglamento define este servicio como “el que permite transmitir datos entre terceras partes por medios electrónicos”. En páginas interiores de esta edición, un sagaz especialista en la materia, Ignacio Alamillo, en un artículo dedicado a esta pieza legislativa, afirma que una lectura literal de la definición antedicha, impelería “…A los prestadores de servicios (por ejemplo, financieros) al uso obligatorio de estos servicios de tercero de confianza para la entrega de contratos a los clientes, con prueba de entrega y fecha cierta”. La cosa tendría su aquél.
Certs
La formalización por parte de los estados de estructuras para gestionar su ciberseguridad, está provocando un gap entre lo que hasta ahora se entendía que era y hacía un Cert y lo que parece que tendría que esperarse de un Cert con potestades y ubicado en el contexto de las estructuras de gestión oficial de la ciberseguridad pública de los países. A lo mejor estos lo que van a terminar demandando es la existencia de entidades que presten otro tipo de servicios hasta ahora no asociados con los Certs y de los que se derive responsabilidad ante terceros por las consecuencias de su actividad.
Sea como fuere, este debate sordo terminará en algún momento estallándonos entre las manos. Ya está en las discusiones de la futura Directiva NIS, y, en cierto modo en España, porque en nuestra legislación ya se consagra la expresión “Cert competente”. Habrá que afinar más y más para contestar, al menos, a una sencilla pregunta: ¿cuántos Certs pagados con dinero público debe tener el Estado español?
