Planificación Auditoría Informática Subsecretaría de la Gestión Pública - Oficina Nacional de Tecnologías de Información (ONTI). CONSIDERACIONES GENERALES Datos del Informe • La auditoría se propuso efectuar un el objeto de evaluación iniciativas y examen con realizar una general de acciones de la Subsecretaría de la Gestión Pública Oficina Nacional de Tecnologías de Información (ONTI) - en materia de Firma Digital. Período Auditado Año 2006 y 2007. El marco normativo en materia de Firma Digital está constituido por la Ley Nº 25.506, la obligación del Estado Nacional de utilizar esa tecnología en su ámbito interno y en relación con sus administrados surge de lo prescripto en los artículos 47 y 48 de la mencionada ley. El Decreto N° 427/98 ha sido la primera norma a nivel nacional en reconocer la validez jurídica de la Firma Digital, estableciendo una infraestructura para el Sector Público Nacional para crear condiciones de uso confiable del documento suscripto digitalmente, en la instrumentación de los actos internos que no produzcan efectos jurídicos individuales en forma directa. En 1999 por Resolución Nº 52 de la entonces Secretaría de la Función Pública, se establecen los requisitos informáticos mínimos que deben cumplir los organismos para el año 2000, entre los que se destaca el Punto 6 del Anexo 1: “Condiciones mínimas para enviar y recibir correo electrónico firmado, contemplando la instalación de una Autoridad Certificante Licenciada en aquellas jurisdicciones que decidan actuar como tales”. En el año 2001, se aprobó el Plan Nacional de Modernización de la Administración Pública Nacional, definiendo lineamientos estratégicos tendientes a mejorar aspectos operativos en el funcionamiento de las organizaciones públicas. Para ello, se encomendó a la JGM coordinar la ejecución de las acciones derivadas mencionadas en el Anexo I -Gobierno Electrónico - , entre otras: “Consolidación de la Infraestructura de la Firma Digital (normativa, estándares tecnológicos, red de Autoridades Certificantes [sic])” e “Instrumentación de procedimientos administrativos digitalizados”. Res N°: 152/2008 - Fecha:07 /10/08 ASPECTOS PRINCIPALES La evaluación realizada sobre el empleo de la Firma Digital en la Argentina se ha centrado principalmente en funcionamiento en el sector público y en el impacto que esta tecnología produjo en la Administración Pública Nacional bajo las acciones llevadas a cabo por la autoridad de aplicación y organismo rector, es decir la Subsecretaría de la Gestión Pública y su órgano técnico, la Oficina Nacional de Tecnologías de Información. Cabe destacar al respecto que en el año 2002, se reglamentó la Ley Nº 25.506, que otorga validez legal a la Firma Digital bajo ciertas pautas y establece un plazo de 5 años para la “despapelización en el estado” por lo que en el año 2007, debería haber estado funcionando en forma plena. La realidad nos indica que en la actualidad la Firma Digital, que da validez legal a los documentos digitales, no tiene implementación en el estado o en la actividad privada dada la inexistencia de Certificadores Licenciados originado en el atraso en la conformación del PKI (entre otros el Ente Licenciante y el sistema de auditoría) previstos por la Ley necesario para su autorización y control. En lo que refiere a Firma Electrónica, disponible para el sector público desde 1998, sólo se ha logrado un avance inferior al 5% siendo que la misma no permite garantizar la autoría del documento digital. Esta falta de eficacia reduce los beneficios económicos y genera un retraso para la mejora de los servicios del estado a los ciudadanos. ONTI Informe completo www.agn.gov.ar/informes/ informesPDF2008/2008_152.pdf La Oficina Nacional de Tecnologías de Información (ONTI) dependiente de la Subsecretaría de la Gestión Pública, actúa como organismo encargado de la Infraestructura de la Firma Digital, elaborando distintos procesos para la promoción y utilización de esa herramienta tecnológica. La ONTI promueve la utilización de la Firma Digital en los organismos del Sector Público Nacional actuando como Autoridad Certificante (AC-ONTI). En cumplimiento de esa responsabilidad, en 2003 existían aplicaciones informáticas y convenios con otras jurisdicciones para emitir certificados de Firma Digital. Los informes de Auditoria son aprobados por el Colegio de Auditores Generales conformado por el Presidente Dr. Leandro O. Despouy, y los Auditores Generales Dr. Vicente Mario Brusca, Dr. Francisco J. Fernández, Dr. Alfredo Fólica, Dr. Oscar Santiago Lamberto, Dr. Gerardo L. Palacios y Dr. Horacio F. Pernasetti. Página 2 Normativa Vigente Leyes: 25237– 25506 Decretos: 427/98– 103/01– 673/01– 667/01889/01– 1023/01– 78/02– 357/02– 283/03– 152/03– 624/03– 1028/03– 160/04 Resoluciones: 43/03 SFP 45/97– 194/98– 212/98– 52/99– 77/99– 81/99. SIGEN 195/99– 25/00CNV 345/99– 352/00400/02– 401/02– 402/02 SGP 17/02– 27/02– 57/02- 5/04– 24/04– 39/05 JGM 176/02– 435/04 MI 618/04 La eliminación del papel mediante esta tecnología disminuye los gastos de espacio dedicado a su almacenamiento, aumenta la velocidad de recupero, incrementa la rapidez en las comunicaciones, disminuye drásticamente la utilización de fotocopias y facilita la seguridad de su custodia. Además la Firma Digital permite garantizar la integridad de la información que se trasmite, aumenta la seguridad de la información clasificada y asegura el no repudio de quien Firma Digitalmente un documento. La evaluación revela que la gestión de la Firma Digital se ha producido en un marco con importantes carencias de buenas prácticas, entre las cuales se destacan: liderazgo, un plan estratégico específico, una organización formal para operar con la Infraestructura de Clave Pública en sus distintos niveles (la carencia de técnicos vinculados al proyecto de manera estable y adecuadamente remunerados es un tema sensible), una asignación presupuestaria por programa o actividad y un monitoreo de la marcha de los planes que permita aportar las prácticas más exitosas. Dado la existencia de firma electrónica tanto en el sector público y privado resulta necesario regular esta aplicación y permitir que los certificados digitales dispongan de autoridad raíz en el país y no como ocurre actualmente.