La Subdirección General de Tecnologías (SGTIC) del Servicio Público de Empleo Estatal (SEPE) recibió a principios de 2009 el encargo de poner en marcha un nuevo portal de Administración Electrónica, una iniciativa con importantes implicaciones a nivel de seguridad que condujo al desarrollo de una nueva plataforma de seguridad. Contemplando todos los extremos posibles y como indica el jefe del área de Seguridad de SEPE, Eugenio García, se trataba de “garantizar la seguridad tanto para el ciudadano como para el organismo, de dar cumplimiento a las leyes en materia de seguridad electrónica y, tercero y fundamental, de generar confianza y seguridad en los ciudadanos para fomentar el uso de los medios electrónicos”.   La plataforma de seguridad diseñada comprendía cuatro subsistemas: un subsistema de control de identidades y accesos, un subsistema de control de la PKI para la emisión de certificados a usuarios que no disponen de éstos, un subsistema de registro electrónico y un subsistema de custodia de documentos electrónicos”.   En ese escenario y específicamente en relación con el subsistema de control de la PKI, surgía la necesidad de una protección adicional. “Al contar con una infraestructura de clave pública”, señala García, “se planteaba la necesidad de disponer de un dispositivo seguro de generación, almacenamiento y uso de las claves de la PKI, de forma que se ofrecieran las máximas garantías de seguridad en el uso de las claves y se garantizase la integridad de la cadena de confianza de los certificados emitidos”.   Así y en el marco de una serie de adquisiciones para hacerse con las distintas soluciones hardware y software que convergían en la nueva plataforma -tecnología Novell para el control de identidades y acceso, la PKI de EnTrust, una solución propia de Iecisa para el registro electrónico y de Grupo SIA para la custodia de documentos-, el SEPE apostó por la compra de los dispositivos HSM (Hardware Security Module) de SafeNet. En concreto, tres dispositivos HSM Luna: “uno para el Centro de Respaldo y otros dos con destino al entorno de producción en alta disponibilidad en el Centro Primario”, detalla García, para apostillar que “los dispositivos de SafeNet satisfacían todos los requerimientos recogidos en los pliegos: generación, almacenamiento y uso seguro de las claves privadas, interfaces estándares de integración, certificación Common Criteria, interoperabilidad con la PKI EnTrust en su versión 7, capacidad de gestión de múltiples certificados y funcionalidades para el backup seguro de las claves”.   En colaboración con el Grupo SIA, en tanto que encargada de los servicios de consultoría e implantación en el marco del proyecto, en julio de 2009 el SEPE procedió a la implantación de los tres dispositivos HSM, momento a partir del cual se fueron desplegando y probando todos los servicios de la PKI, de manera que en octubre se daba luz verde a la entrada en producción de la nueva plataforma.   Desde entonces se han llevado a cabo varias actualizaciones, desarrollos e incluso varias migraciones de la plataforma, hasta el momento actual en el que “la totalidad de los servicios se prestan en la Sede Electrónica del SEPE con todas las garantías”, celebra García.
Un centenar de certificados de e-firma al día
Así y a 30 de septiembre, el SEPE gestionaba ya en su repositorio central dos millones de identidades, de las cuales 1,8 millones son de ciudadanos y alrededor de 200.000 de empresas. “Cada día se generan en torno a 100 certificados de firma electrónica emitidos por la PKI del SEPE y contamos ya con 1,2 millones de usuarios que denominamos avanzados, es decir, que voluntariamente han obtenido un usuario y contraseña, y están dispuestos a hacer un uso online de nuestros servicios”.   En cuanto a los certificados emitidos, el SEPE ha generado ya más de 80.000 certificados, lo que supone que “un 7% de los usuarios avanzados ya han realizado transacciones de Administración electrónica, con el ahorro de tiempo y costes que ello supone”, celebra García, para subrayar que “los ciudadanos pueden tener plena confianza en que todas las transacciones transcurren de forma segura y en cumplimiento con las normativas”.   Cabe destacar en este punto que lo que el SEPE ha puesto en marcha es un certificado en movilidad, en la nube, ya que “se emite en el momento que el usuario lo necesite con independencia de donde esté y para conformar la transacción existe un segundo paso de autenticación a través de un factor de autenticación que se envía vía SMS”, señala García.   En este escenario, los HSM Luna de SafeNet ofrecen al SEPE una protección crítica dada su capacidad para realizar hasta 4.000 firmas por segundo. “Los HSM de SafeNet”, subraya García, “tienen suficiente potencial para permitirnos una salida airosa ante los picos que se puedan producir”.   Pero este no es el único servicio del SEPE en el que entran en juego los dispositivos HSM, que son igualmente fundamentales a la hora de garantizar la seguridad en el uso de su sello electrónico. “Desde el dispositivo HSM”, añade García, “también hacemos uso del sello electrónico que utilizamos en el SEPE para firmar todas y cada una de las actuaciones automatizadas del organismo”.
