Ese pequeño dispositivo llamado token...
Macroseguridad es un mayorista que comercializa productos de seguridad basados en hardware para VPN, firmas digitales, y transporte de certificados digitales, además de soluciones para protección de software contra copias ilegales. Canal AR entrevistó a Alfredo Rodriguez, product security manager de la empresa, quien explicó de qué se tratan sus productos ePass (token) y qué papel debería jugar la Oficina Nacional de Tecnologías de la Información (ONTI) en cuanto a las licencias que debe otorgar para los entes certificadores autorizados.
Por Nayla Simeone - naylas@canal-ar.com.ar
Macroseguridad es un mayorista que comercializa productos de seguridad basados en hardware para VPN, firmas digitales, y transporte de certificados digitales, además de soluciones para protección de software contra copias ilegales, protección de datos, administración de licencias y seguridad para Internet. Es una de las empresas cuyo hardware ha sido testeado por del Gobierno para comenzar a utilizarlo en gran parte de sus áreas. Canal AR entrevistó a Alfredo Rodríguez, product security manager de la empresa, quien explicó de qué se tratan sus productos ePass (token) y qué papel debería jugar la Oficina Nacional de Tecnologías de la Información (ONTI) en cuanto a las licencias que debe otorgar para los entes certificadores autorizados.
En relación al testeo del producto ePass por parte del Gobierno comentó que ha sido un trabajo de relacionarse en las diferentes áreas y con aquellas personas dispuestas a introducirse en la implementación de estas tecnologías. "No hay en el Gobierno un lineamiento que establezca qué tipo de condiciones deben cumplir los token, no hay una normativa al respecto", señaló. Pero explicó que la gente que se encarga de seguridad informática sí toma una lista de recaudos, y que justamente sus dispositivos se asocian a la seguridad.
¿Qué es un ePass?
La firma digital en el mundo comenzó a ser usada hace varios años y los tokens USB como ePass aparecen en 1999, por lo tanto es algo relativamente nuevo. "La firma es como una cucarda y cuando se hace un click sobre ella, se despliega toda la información relacionada con el certificado y con la persona que firma", explicó Rodríguez.
En relación al testeo del producto ePass por parte del Gobierno comentó que ha sido un trabajo de relacionarse en las diferentes áreas y con aquellas personas dispuestas a introducirse en la implementación de estas tecnologías. "No hay en el Gobierno un lineamiento que establezca qué tipo de condiciones deben cumplir los token, no hay una normativa al respecto", señaló. Pero explicó que la gente que se encarga de seguridad informática sí toma una lista de recaudos, y que justamente sus dispositivos se asocian a la seguridad.
¿Qué es un ePass?
La firma digital en el mundo comenzó a ser usada hace varios años y los tokens USB como ePass aparecen en 1999, por lo tanto es algo relativamente nuevo. "La firma es como una cucarda y cuando se hace un click sobre ella, se despliega toda la información relacionada con el certificado y con la persona que firma", explicó Rodríguez.
El ePass es un dispositivo que se lo relaciona automáticamente con la firma digital, pero en realidad está relacionado con la seguridad informática. Una de las cosas que hace es almacenar certificados digitales, es decir, firmas digitales de un individuo y el certificado que la respalda. Es un dispositivo criptográfico, que permite que los usuarios almacenen y generen directamente on-board sus certificados dentro de su propio dispositivo, esto le otorga un alto grado de seguridad, flexibilidad, movilidad y conveniencia en su uso.
Para utilizarlo sólo es necesario introducirlo en un puerto USB y luego tipear el código pin que habilita el uso de la firma. Macroseguridad provee de guías de integración en castellano de cómo emitir un certificado, sea de la empresa que sea. Es como una smartcard en formato USB, lo bueno es que no necesita una lectora como las tradicionales smartcards, no necesita tampoco baterías, se provee el middleware en castellano necesario para que el dispositivo dialogue con la PC, tanto para Microsoft, Linux como MAC. "En Gobierno las medidas deben ser extremas, y lo que es importante es que el certificado una vez que entra en el dispositivo nunca más debe ser exportado, para que no quede una copia en la PC en la que se lo utilice”, comenta Rodríguez.
- ¿Cómo comercializan este tipo de productos?
- Estamos atendiendo en algunos productos Caribe, México, Latinoamérica y sólo nos movemos a través de canales. Lo único que hacemos con el usuario final es directamente presentar la solución, estudiarle la solución a la persona que la requiere, armar pilotos. Pero cuando llega el momento del negocio, nosotros lo entregamos al canal. Son los que efectivamente llegan a todos lados.
Para utilizarlo sólo es necesario introducirlo en un puerto USB y luego tipear el código pin que habilita el uso de la firma. Macroseguridad provee de guías de integración en castellano de cómo emitir un certificado, sea de la empresa que sea. Es como una smartcard en formato USB, lo bueno es que no necesita una lectora como las tradicionales smartcards, no necesita tampoco baterías, se provee el middleware en castellano necesario para que el dispositivo dialogue con la PC, tanto para Microsoft, Linux como MAC. "En Gobierno las medidas deben ser extremas, y lo que es importante es que el certificado una vez que entra en el dispositivo nunca más debe ser exportado, para que no quede una copia en la PC en la que se lo utilice”, comenta Rodríguez.
- ¿Cómo comercializan este tipo de productos?
- Estamos atendiendo en algunos productos Caribe, México, Latinoamérica y sólo nos movemos a través de canales. Lo único que hacemos con el usuario final es directamente presentar la solución, estudiarle la solución a la persona que la requiere, armar pilotos. Pero cuando llega el momento del negocio, nosotros lo entregamos al canal. Son los que efectivamente llegan a todos lados.
¿Qué pasa en el Gobierno?
Si bien no existe una lista base dada por el Gobierno de los proveedores de token que ya fueron evaluados, aquel interesado puede comunicarse con la gente de tecnología PKI (Infraestructura de Firma Digital) y se les brinda una lista de proveedores cuyos tokens ya han sido testeados por esa oficina.
- ¿Qué escenario se abre a partir de la firma del decreto que reglamenta la ley de firma digital?
- Con la reglamentación de la ley (que ya cumplió 5 años), el escenario que se abre es otro. Ahora contamos con un marco legal, que era una de las partes importantes en todo este paisaje. Antes la firma se utilizaba como acuerdo de partes, ahora existe un marco legal que ampara a quienes sufran un fraude o un robo por medio de firma digital. Ahora tendremos que ver cómo se maneja el tema de quienes serán las entidades certificantes licenciadas, etc. Ese es otro capítulo, pero estimo que se llegará a un acuerdo al respecto y que las empresas que no estén de acuerdo quedarán fuera.
- ¿Por qué se retrasó tanto la firma del decreto 724/06?
- La reglamentación de la ley hace años que se está esperando, solo restaba una decisión política, porque la ley hace 5 años que ya está. Argentina junto con Colombia fueron los pioneros en la región. Lo que pasa es que no se la reglamentó porque evidentemente hay intereses políticos de por medio, porque es un mercado interesante, pensá que el potencial de mercado para los token está relacionado con cada usuario y password. Hoy ésta es una de las soluciones a la seguridad. Pero lo cierto es que no existía una decisión firme políticamente hablando y si nos comparamos con casos como el de Chile que ya tiene la ley reglamentada desde hace dos años, no se entiende.
- ¿Qué papel debe jugar la ONTI a tu criterio?
- Creo que hay una discusión seria en el tema. Técnicamente, yo creo que la ONTI debe estar trabajando con manuales que por ahí difieren de lo que pasa a nivel mundial. Si la idea de la ONTI es meterse a evaluar a certificadores que ya están funcionando a nivel mundial, se equivoca ampliamente. Desde ahí se puede pensar que lo que quiere hacer la ONTI es una locura. Lo que sí debe ser, es el ente regulador de ciertas normas de juego. Debería establecer acuerdos al menos para ciertos niveles, sobre todo en Gobierno, en cuanto a un precio social para los certificados. En cuanto a quién será entidad certificadora licenciada y quien no, se esconde el tema de quién está tecnológicamente preparado y quien no. La ONTI es quién lo va a decidir y lo cierto es que no a mucha gente le puede gustar. Yo espero que la cosa se oriente. Y si la ONTI va a intervenir, espero que intervenga estableciendo un precio social adaptado para todos.
Si bien no existe una lista base dada por el Gobierno de los proveedores de token que ya fueron evaluados, aquel interesado puede comunicarse con la gente de tecnología PKI (Infraestructura de Firma Digital) y se les brinda una lista de proveedores cuyos tokens ya han sido testeados por esa oficina.
- ¿Qué escenario se abre a partir de la firma del decreto que reglamenta la ley de firma digital?
- Con la reglamentación de la ley (que ya cumplió 5 años), el escenario que se abre es otro. Ahora contamos con un marco legal, que era una de las partes importantes en todo este paisaje. Antes la firma se utilizaba como acuerdo de partes, ahora existe un marco legal que ampara a quienes sufran un fraude o un robo por medio de firma digital. Ahora tendremos que ver cómo se maneja el tema de quienes serán las entidades certificantes licenciadas, etc. Ese es otro capítulo, pero estimo que se llegará a un acuerdo al respecto y que las empresas que no estén de acuerdo quedarán fuera.
- ¿Por qué se retrasó tanto la firma del decreto 724/06?
- La reglamentación de la ley hace años que se está esperando, solo restaba una decisión política, porque la ley hace 5 años que ya está. Argentina junto con Colombia fueron los pioneros en la región. Lo que pasa es que no se la reglamentó porque evidentemente hay intereses políticos de por medio, porque es un mercado interesante, pensá que el potencial de mercado para los token está relacionado con cada usuario y password. Hoy ésta es una de las soluciones a la seguridad. Pero lo cierto es que no existía una decisión firme políticamente hablando y si nos comparamos con casos como el de Chile que ya tiene la ley reglamentada desde hace dos años, no se entiende.
- ¿Qué papel debe jugar la ONTI a tu criterio?
- Creo que hay una discusión seria en el tema. Técnicamente, yo creo que la ONTI debe estar trabajando con manuales que por ahí difieren de lo que pasa a nivel mundial. Si la idea de la ONTI es meterse a evaluar a certificadores que ya están funcionando a nivel mundial, se equivoca ampliamente. Desde ahí se puede pensar que lo que quiere hacer la ONTI es una locura. Lo que sí debe ser, es el ente regulador de ciertas normas de juego. Debería establecer acuerdos al menos para ciertos niveles, sobre todo en Gobierno, en cuanto a un precio social para los certificados. En cuanto a quién será entidad certificadora licenciada y quien no, se esconde el tema de quién está tecnológicamente preparado y quien no. La ONTI es quién lo va a decidir y lo cierto es que no a mucha gente le puede gustar. Yo espero que la cosa se oriente. Y si la ONTI va a intervenir, espero que intervenga estableciendo un precio social adaptado para todos.
Más Información: http://www.macroseguridad.net/
No hay comentarios.:
Publicar un comentario