¿Cómo implementar la firma digital en una institución?

Cuando pensamos en firma digital es común que a nuestra mente acudan imágenes de tecnología, con computadoras, pantallas, cifras y huellas digitales. Sin embargo, más allá de la tecnología que se encuentra detrás de esta herramienta, debemos recordar que la firma digital es una de las formas en las que ejercemos nuestra identidad en el mundo digital. Por consiguiente, su proceso de implementación requiere considerar aspectos procedimentales y técnicos, pero también factores humanos.

Comencemos por el concepto de lo que tratamos, según la Ley 164: "Firma digital: Es la firma electrónica que identifica únicamente a su titular, creada por métodos que se encuentren bajo el absoluto y exclusivo control de su titular, susceptible de verificación y está vinculada a los datos del documento digital de modo tal que cualquier modificación de los mismos ponga en evidencia su alteración."

Y continuemos por desvirtuar algunos mitos. Una firma digital no es escanear una firma manuscrita y pegarla en un documento. Una firma digital no es firmar en una pantalla con un lápiz óptico. Una firma digital se basa en tres principios establecidos en el D.S. 1793, que reglamenta la aplicación de la Ley 164 de Tecnologías de Información en Bolivia. Estos tres principios son: autenticidad, integridad y no repudio. Ellos permiten que el autor sea claramente identificado, que se podrá saber si el documento ha sido modificado y que el autor no podrá rechazar su autoría.

Para ello, la firma digital en Bolivia se fundamenta en una estructura PKI, en la que intervienen distintos actores. En resumen: la ATT, las entidades certificadoras (Digicert y Adsib) y las proveedoras autorizadas por la ATT.

Conocido el ecosistema de la firma digital en Bolivia, es momento de enfocarnos en la institución en la que se implementará la firma digital. El primer elemento a considerar es la revisión de los procesos y normativa. En esta etapa es necesario preguntarse ¿Dónde se implementará la firma digital? Muchas instituciones han optado por realizar una implementación gradual enfocada en procesos puntuales. Las menos, han decidido utilizar la firma digital en todos sus procesos internos. ¿Cuál solución es la más adecuada? Todo dependerá de la dinámica interna de la institución. No hay recetas. Cada institución es un mundo con distintos actores, desafíos y regulaciones. Así como cada institución es un mundo, también lo es la regulación interna y externa a la que está sujeta. Reglamentos y normativa con las palabras "copia fotostática", "firma manuscrita" son más frecuentes de lo que creemos. Es imprescindible hacer su revisión exhaustiva, a efectos de no vulnerar ninguna norma.

Definido el alcance de la implementación y la normativa que la regula, es indispensable interiorizarnos del proceso para su reingeniería. En esta etapa, es fundamental hacer partícipes a los actores del proceso y no basarse solamente en flujogramas y esquemas del "deber ser". Los actores del proceso ayudarán en la identificación de oportunidades de mejora, de cuellos de botella y adecuaciones, mucho más que un frío esquema que pocas veces coincide con la realidad.

Identificar los puntos de control y niveles de riesgo será importante para delimitar la inversión del uso de la firma digital u otra tecnología. El encuentro de soluciones debe equilibrarse con la magnitud de los procesos, sus riesgos e impactos. Si los riesgos son altos, deberá asegurarse mayor seguridad. En esos puntos clave, se requerirá la firma digital de alta seguridad (por medio de hardware como tokens, smartcards o HSMs). En cambio, en procesos rutinarios, con menor riesgo o que están bajo absoluto control de las instituciones puede optarse por la firma de seguridad normal (por software), o la firma electrónica. Asimismo, es necesario considerar la naturaleza de la institución. Por citar un par de ejemplos, en cumplimiento a la normativa vigente las instituciones públicas requieren utilizar la firma digital de alta seguridad. Asimismo, de acuerdo a una reciente normativa de la APS, el sector de seguridad social de largo plazo debe hacer uso de la firma digital en el envío de correspondencia a su entidad reguladora, por lo tanto, en ese proceso se ven impedidos de utilizar la firma electrónica. Por ello es ineludible conocer a fondo la normativa interna y externa que regula al proceso y la institución.

Respecto a los requisitos técnicos y costos, se deberán considerar los servidores o el espacio de almacenamiento del archivo digital y considerar las mismas recomendaciones del archivo físico. Designar a un responsable, asegurar la trazabilidad y el orden cronológico son algunos de los elementos que deben tomar en cuenta las instituciones. De la misma forma, contar con los equipos donde se firmará digitalmente y, de ser necesario, los dispositivos criptográficos, que deben ser adquiridos de entidades autorizadas por la ATT y estar homologados.

Finalmente, en concordancia con el relevamiento inicial, es indispensable considerar el factor humano en la implementación de la firma digital. Una implementación exitosa requiere el involucramiento de los actores, así como su capacitación y acompañamiento. Lastimosamente, a nivel general, éste es uno de los elementos más descuidados en la implementación. El uso de nueva tecnología o la modificación de procesos puede llevar a una reacción negativa, que es completamente normal y que debe ser administrada mediante técnicas de gestión de cambio. No olvidemos que quienes van a realizar los procesos necesitan ser capacitados en temas de seguridad, uso de la firma digital y conocer los alcances legales de esta tecnología que es el equivalente de la firma manuscrita. El fortalecimiento de sus capacidades debe responder sus consultas e inquietudes.

En conclusión, la implementación de la firma digital es un proceso transversal e integral que debe considerar la normativa vigente, las regulaciones, los procesos y la infraestructura, pero, sobre todo, al capital humano que hará uso cotidiano de esta tecnología.

La autora es auditora financiera