Java, certificats i e-Administració: més difícil encara


Google ha deixat de donar suport a Java des de setembre, Microsoft no suporta certificats digitals a Edge, l’API criptogràfica del W3c no arrenca, el suport per certificats no és fàcil a Linux…

Fet i fet, la e-administració sembla que té els peus de fang, o que li estan fent el llit.

Per treballar on-line amb l’Administració (sigui quina sigui) necessitem certificats per identificar-nos de manera segura i fiable (jurídicament fiable, de manera que es pugui demostrar qui som davant de tercers i els nostres actes tinguin validesa – per això la identificació usuari/password no és vàlida en tots els casos) i, si volem signar des del navegador, actualment java és la única tecnología “universal” a la banda client (mentre els fabricants de navegadors no implementin completament la API del W3C).

Però precisament aquests dos son els grans problemes que hi ha:

  • Els certificats: complicats d’usar, gestionar i entendre, magatzems diferents on guardar-los (Windows, Mac, Linux, Firefox per la seva banda), suports que tremolen (Edge), suport discutible i poca usabilitat (DNIe), finalitats del certificat, validesa…
  • Java: és pesat, les actualitzacions contínues son un calvari per usuaris i administració, no té suport complert a tots els sistemes operatius, i cadascú té versions diferents… un malson de manteniment per als informàtics i una font de disgustos per als usuaris.

Si a tot això hi afegim la necessitat i complexitat de donar també servei i facilitats en mobilitat, la cosa ja pinta negra, negra.

Hi ha solucions, alternatives (l’esmentada API, eines de signatura biomètrica que faciliten la vida a l’usuari , iniciatives com cl@ve) però la mateixa manera de fer de l’Administració (els seus propis requeriments administratius i jurídics) no ho facilita:

  • Què entenem per signatura? Documents signats, o accions signades i validades mitjançant un password o un pin?
  • Guardem documents? Això vol dir pdf signats? O ens valdria signar xml’s, afegint-hi una prova mitjançant una clau d’un sol ús generada a partir d’un password?
  • Si no s’usen certificats, com es construeix la representació de poders, com identifiquem representants, etc? Quan se sap com signo amb un certificat privat o un de pertanyença a una empresa, per fer determinat tipus de tràmits?
  • Si no s’usen signatures amb certificats, sinó altres tipus de signatures o comprovants signats (imaginem accions validades amb PINs), com demostrem la validesa davant de tercers? Serà universal, interoperable? Seran solucions compatibles amb el món privat?
  • Si s’usen eines com el DNI en el núvol, quina infraestructura caldrà? Federacions de HSM? Qui les mantindria? Com s’entendrien? No fem a l’usuari massa depenent de l’Administració?

I si generem signatures dependents d’entorns, circumstàncies o dades foranes, com assegurem la validesa a llarg termini? Com es guardarien les dades que ens asseguressin la fiabilitat de la signatura/comprovant?

No és que no es pugui fer, però el tancament de camins tecnològics per part dels fabricants sembla portar-nos a un redibuix de tota l’estructura de suport a la eAdministració que teníem fins ara…

Escric aquest article bastant a rajaploma, així que segurament molts dels arguments i idees exposats son discutibles i puntualitzables, en sóc molt conscient, i sempre trobarem nous camins i sortiran noves alternatives i solucions tecnològiques…

De tot això, però, en podem treure dos lliçons des de ja:

  • Cal que la tecnologia s’adapti a la eAdministració: cal tenir en compte factors com seguretat, facilitat d’ús, independència, validesa a llarg termini, autocontenció de les dades…
  • Cal que l’Administració es simplifiqui per facilitar l’ús, l’adopció i l’adaptació a la tecnologia.

Equips i compartició de coneixements: una millor Administració

Al I Congrés de Govern Digital s’hi van dir coses interessants (vegeu-ne el resum de la XIP), jo m’en quedo amb dues

[..]encara que les administracions no han estat dissenyades per innovar, és inajornable marcar-se reptes, que ajudin a implementar idees innovadores per canviar les rutines ineficients actuals.

[..]governança de la transició a la digitalització, gestió de recursos humans, reutilització del coneixement, col·laboració pública i privada, compartició d’infraestructures, transició de productes a serveis, interoperabilitat, seguretat, presència a les xarxes socials, gestió del funcionament de les ciutats i de les necessitats dels habitants.

Per tant, smart cities, si, i transparència i opendata, però és cada vegada més imperatiu un canvi de les formes de treballar: no ens podem saltar els marcs legals, garants d’una correcta actuació, però no caldria potser actualitzar-los d’acord amb les noves possibilitats? I no caldria ja, sobretot, no només modernitzar les eines sino també modernitzar els processos i els funcionaments interns, flexibilitzar les estructures i les tasques de cada un, donar més llibertat i responsabilitat als diferents actors?

En l’àmbit de les TI, ho esmenta adalt: col·laboració pública i privada i interoperabilitat, i també la compartició d’infrastructures (les administracions com a plataforma?) o, fins i tot, la compartició de coneixement i d’eines: seria viable, un repositori comú, à la github, per desenvolupar eines comuns i fer les particularitzacions necessàries? Com aconseguir usar a nivell intra i interadminstratiu eines col·laboratives per compartir coneixements i experiències? Podem aplicar uns esquemes de treball col·laboratius similars als del món del sofware lliure, crear comunitats que tirin del carro?

Penso que cal establir relacions de confiança fermes en l’àmbit intern, que només poden provenir de treballar amb qualitat i ser efectius en les tasques pròpies: això és el que realment pot donar seguretat als altres i permetre formar equips de treballs basats en la col·laboració, base per una compartició posterior a més gran nivell.

Cal la transició d’una jerarquia departamental, d’uns grups establerts per criteris administratius a uns equips de treballs establerts per habilitats (meritocràcia) i amb objectius definits.

Les administracions com a plataforma

Usar els serveis propis del govern com una plataforma que pugui ser usada per tercers és una molt bona idea. En Dave Briggs explica i expandeix una idea inicial del Servei Digital del Govern Britànic en aquest sentit.

Blocs de construcció

Si utilitzem les diferents peces que componen els diferents sistemes com elements intercanviables que poden ser usats en diversos llocs, en comptes de repetir funcionalitats en sistemes verticals, estalviem despeses, reduim temps i facilitem el manteniment. I si a això hi afegim la possibilitat de reutilitzar aquestes mateixes peces en sistemes foranis al nostre, però amb les mateixes o similars necessitats, ja no només som nosaltres qui estalviem, l’estalvi és ara compartit també per la resta d’usuaris.

Com el mateix Dave diu, és una aproximació a una arquitectura orientada a serveis.

Fins aqui, sobre el paper, i sobre una única administració que doni servei a d’altres (siguin empreses, particulars o altres administracions) tot clar.

Però com apliquem aquesta reutilització a una estructura de govern de diversos nivells? Pensem en Catalunya, i apliquem els dos nivells de govern més propers: local i autonòmic.

Com fem que aquests dos nivells comparteixin aquestes peces? Segur que tenen elements comuns entre els diferents nivells, i està clar que tots els ajuntaments tenen les mateixes obligacions i necessitats, per tant sembla fàcil, en teoria, començar a pensar aquests blocs.

Però després resulta que cada casa aplica la seva recepta: les seves ordenances, les seves característiques i estructures de dades, i cadascú té unes regles de negoci similars però no iguals.

Això implica que el sistema a construir ha de ser enormement flexible, parametritzable i modular, per no parlar de les diferents tecnologies i llenguatjes que cadascú té a casa seva.

Així, com ho fem? Dissenyem un sistema tipus SaaS, parametritzable, però centralitzat i coordinat per algú? Es generen unes forges comunes a tothom, amb exemples en diferents llenguatjes i uns repositoris públics que es vagin actualitzant? I els grups de treball? Horitzontals, o liderats per algú? Podem usar un model de coneixement i programació similar al de l’Open Source, crear comunitats i establir ponts, distribuir coneixement i aprofitar esforços?

Els reptes tècnics i de coordinació son enormes, pero la idea és molt interessant i és la direcció en la que cal treballar per aprofitar millor recursos i coneixements.

Open Data públic i privat

L’Open Data té un gran potencial de beneficis tant econòmics com socials, encara que actualment no acabi d’arrencar.

La seva potència rau en la possibilitat de generar informació i coneixement, però per això s’han de tenir totes les dades: si volem que l’Open Data sigui molt més profitós del que és hauríem d’aconseguir que els únics que ofereixen dades en obert no siguin les administracions o els ens públics com a norma més habitual.

La combinació de dades de domini públic de les administracions amb dades d’empreses d’alguns sectors d’interès públic (energia, salut, educació, construcció, transport o finances, per exemple) podria ajudar a entendre molt més bé el funcionament de la societat, de les necessitats i fluxos econòmics, i a generar moltes més oportunitats de negoci: creuar dades de població amb estadístiques mèdiques, indicadors socio-econòmics amb dades de transport o atur, desplaçaments per hores i distribucions geogràfiques, per posar algun exemple, pot ajudar no només a preveure necessitats d’actuació i inversió de recursos públics, sinó a generar noves oportunitats de negoci o fins i tot a revisar si s’estan fent correctament inversions i planificacions, és a dir, la gestió de la cosa pública.

Així, una implicació dels diferents actors que gestionen dades (les nostres dades) amb l’Open Data comporta directament una millora de la transparència i del govern i un major control del que es fa amb la nostra informació (o com a mínim, la possibilitat d’un major control).

Temps doncs de començar a pensar en què no només l’administració obri les seves dades, sinó també que ho facin les empreses.

Intraemprenedors públics i administracions modernes

Comencen a agafar cos iniciatives per millorar l’Administració a partir del que es cou de ja fa un temps a la blogsfera i a la tuitesfera públiques sobre l’intraemprenentatge i els innovadors públics. Les diferents converses, xerrades(1,2) i iniciatives (com el Compromís de l’Innovador Públic) no fan si no obrir la possibilitat d’intercanviar idees i experiències, de fer xarxa dins un col·lectiu que, tot i nombrós, estava dividit en tantes sitges com administracions hi ha, fent normalment cadascú la guerra pel seu compte i amb els mateixos objectius.
Un intraemprenedor... decidit
Aprofitar la capacitat de la gent que treballa en allò públic per millorar els serveis i les organitzacions, és a dir, aprofitar el capital humà i el coneixement que tenen, optimitzar els recursos i multiplicar-ne els beneficis gràcies a l’efecte xarxa és la via per poder fer front a tots els reptes (interns i externs) que s’obren de cara al futur, com per exemple:

  • una interacció més directa i propera amb la ciutadania
  • governs oberts
  • transparència
  • col·laboració interadministrativa

… en definitiva, tot el que ha de comportar treballar dins i per a una societat en xarxa, gestionant un conjunt de recursos públics i fent-ne partícip a tothom.

Aprofitar aquest intraemprenentatge és una clarisima opció de millora des de la base, d’una manera més propera i interioritzada.

Ara bé, si el gestor de la cosa pública ha de saber aprofitar aquests coneixements i comportaments, també ha de ser capaç de corregir contracomportaments: valorar l’intraemprenedor és lloable i meritori, però no és suficient.

Quantes iniciatives que han començat amb ganes no han acabat quedant en el no-res, en l’oblit o en bones intencions per culpa del poc interès de l’entorn? Els reactius, aquells que actuen només quan els hi diuen que ho han de fer (i com ho han de fer, amb tots els ets i uts), que reaccionen negativament al canvi i li tenen por, que es maregen davant d’una situació nova i la pèrdua de control d’allò conegut, en definitiva, que veuen els canvis com una amenaça, poden arribar a ser un obstacle més persistent i destructiu que la negativa d’un cap. El reconeixement d’aquestes actituds i la intenció d’esmenar-les també ajudarà, i molt, a una evolució favorable de les organitzacions.

Valorem doncs les ganes, el compromís, l’actitud i el canvi de les persones de l’organització, però… i la mateixa organització? A la llarga, una organització que vulgui promoure persones actives i treball en xarxa haurà de canviar amb elles.

Temps doncs també perquè les nostres administracions comencin a modernitzar-se i professionalitzar-se, separant clarament la política de la gestió i valorant els mèrits i l’eficiència: aprofitant valors que ja tothom reconeix com imprescindibles per a la organització, aquestes mateixes han de ser capaces de reflectir-los en la seva pròpia estructura i funcionament intern, avançant cap a un treball en xarxa, obert i fiscalitzable, transparent i amb objectius comuns ben clars.