Tras el salto que supuso el paso en la década de los 90 desde un antiguo sistema mainframe y un entramado de redes basado en sistemas Netware de Novell a sistemas abiertos, concretamente equipos 7000 de Unisys y una arquitectura de comunicaciones basadas en redes LAN y posteriormente WAN, el Ministerio de Trabajo e Inmigración (MTIN) ha experimentado una importante evolución que en los últimos años se ha visto acelerada ante la expansión de la Administración Electrónica, que sigue actualmente concentrando buena parte de los esfuerzos de la subdirección general de Proceso de Datos del MTIN, responsable de prestar servicios TIC a los alrededor de 7.000 usuarios internos de la cartera de Valeriano Gómez, sin incluir ni la Seguridad Social ni el Servicio Público de Empleo Estatal (SPEE); así como a la totalidad de ciudadanos y empresas. Esta evolución ha sido en buena medida posible gracias a la importante modernización en materia de comunicaciones realizada a partir de 1996, cuando el Ministerio de Trabajo (MTIN) se convirtió en pionero al licitar de forma unificada la totalidad de los servicios de comunicaciones, en un primer momento en el interior y ya en 2000, coincidiendo con una segunda licitación, incluyendo también las sedes en el exterior.
En el marco de ambos contratos, el Ministerio de Trabajo se dotó de una red multiservicio MPLS que interconecta vía fibra óptica sus entornos intranet, extranet e Internet tanto en sus diferentes sedes en Madrid, la totalidad de las provincias y las consejerías en el exterior. “La red MPLS actualmente enlaza alrededor de 130 sedes incluyendo las de Madrid y las sedes provinciales -incluyendo las ubicaciones del Instituto Nacional de Seguridad e Higiene en el Trabajo (INSHT)-, así como una cifra total de 37 localizaciones internacionales que aumentará en otras 22 a finales de año”, explica el subdirector general de Proceso de Datos del MTIN, Joseba García Celada, refiriéndose al tercer concurso unificado de comunicaciones del MTIN que, adjudicado el pasado abril a Telefónica, va a permitir “aumentar los servicios e incrementar sustancialmente el ancho de la banda de todos los servicios de voz y datos”.
Más allá de las comunicaciones, el MTIN, que tiene su CPD Principal en su sede de la madrileña calle de Agustín de Bethencourt y un CPD de Respaldo, operativo desde 2008, en otra sede del departamento TI, también trabaja desde hace años en la consolidación y optimización de sus infraestructuras, un camino que le llevó a dar la mano a la tecnología de virtualización en 2006 y que ha alcanzado tanto a sus equipos Unisys, como a sus sistemas tipo blade de Fujitsu y sus servidores HP, que comparten unos recientemente actualizados recursos de almacenamiento en los que EMC ejerce el protagonismo con una presencia más limitada de NetApp. “Empezamos a sacar partido de la virtualización a través de las posibilidades de reasignación de recursos de los equipos de Unisys y a posteriori nos hemos apoyado en VMware para extender las ventajas de la virtualización a otros entornos”, comenta García, para apostillar que “actualmente las plataformas básicas -correo, servidores de aplicaciones, ficheros, etc. ya están virtualizadas y en este momento estamos acometiendo la virtualización de la BBDD Oracle”.
El interés del MTIN por esta tecnología le mantiene alerta sobre cualquier innovación este campo y, de hecho, a día de hoy tiene en marcha un piloto de escritorio virtual con VMware, por el momento limitado a la propia subdirección de Proceso de Datos y una serie de usuarios seleccionados ya que, según García, “es una tecnología que todavía no tiene el suficiente grado de desarrollo como para poder llevarla al cliente, especialmente en entornos móviles y de extranet”.
Foco en la eAdministración
En la vertiente de las aplicaciones y en base a una arquitectura de tres capas con Microsoft IIS como servidor web, JBoss y WebLogic como servidores de aplicaciones y Oracle como BBDD -si bien también convive SQL Server para entornos como la plataforma MS Exchange de correo-; el MTIN se caracteriza por su apuesta por J2EE como entorno de desarrollo, siendo el ERP Embla y el sistema Nedaes (Nómina Estándar Descentralizada de la Administración del Estado) dos de sus principales aplicaciones corporativas.
Hay que considerar asimismo un conjunto de aplicativos fundamentales en el desarrollo de las actividades del MTIN, que cubren desde la gestión de las subvenciones y la gestión de la extranjería hasta la inspección de trabajo con la plataforma Lince-Integra y la gestión de los accidentes laborales con el sistema Delt@, pasando por SIRIA (Sistema de Información de Programas para Refugiados, Inmigrantes y Solicitantes de Asilo), y sin olvidar registros como el Registro de Empresas Acreditadas (REA) en el sector de la construcción o el Registro de Convenios Colectivos (REGCON), entre otros.
En este escenario y en su salto a la eAdministración, el primer sistema que el Ministerio de Trabajo modernizó para facilitar una gestión integral online fue el sistema Delt@ (Declaración Electrónica de Trabajadores Accidentados) que, como explica García, “se puso en explotación en 2003 y recoge el 100% de las gestiones asociadas a accidentes de trabajo con la peculiaridad de que es un proceso en el que colaboran las CCAA, además de las entidades gestoras y colaboradoras de la Seguridad Social, registrando alrededor de un millón de documentos firmados al año”. No en vano, el sistema Delt@ gestiona diariamente una media de 2.126 partes de accidentes (2.600 en 2010) y alrededor de 800 documentos relacionados.
El subdirector general de Proceso de Datos del MTIN reconoce que este desarrollo inicial, en el que el MTIN trabajó en colaboración con la empresa SIA, generó bastantes problemas ya que “existía poca experiencia y, además, las propias herramientas estaban poco optimizadas, de modo que tras recurrir a un consultor de un banco belga para solucionar una crisis, logramos los niveles de concurrencia y escalabilidad requeridos aligerando la arquitectura y optimizando la programación”. Así y ya en la versión 2 de Delt@, el MTIN trabajó en colaboración con Unisys.
Con esta experiencia acumulada, el MTIN ha ido adoptado progresivamente al entorno on line el resto de sistemas, unas plataformas que tienen la particularidad de que “las gestiona el Estado pero en buena medida cubren competencias de las CCAA”, realidad que explica la enorme importancia que tiene la red SARA, en tanto que herramienta de colaboración, en este entorno.
Así y a efectos de los requerimientos de la Ley 11/2007, “el MTIN está al 100%”, subraya García, para apostillar que “todos los procedimientos tienen alguna forma de acceso electrónico y, si bien el recorrido total lo situamos en un 60% de los procedimientos, estamos al 90% en relación con el uso que hace de estos servicios a día de hoy el ciudadano”.
En su carrera en el mundo de la Administración Electrónica, el MTIN empezó haciendo uso, como la práctica totalidad de los organismos de la AGE, de las posibilidades que brindaban los certificados de la Fábrica Nacional de Moneda y Timbre (FNMT),es decir, que “los funcionarios que interactuaban al hacer uso de sistemas como Delt@ utilizaban los certificados de la FNMT, salvo en el caso de algunas CCAA que tenían certificados propios”.
Autoridad de certificación propia
No obstante y dado que se consideraba fundamental que los empleados públicos del MTIN se acostumbrasen a trabajar con la firma electrónica para que todas las transacciones tuvieran un carácter telemático completo, y se apreciaba además la necesidad de asegurar la redundancia respecto a los servicios de @Firma, el MTIN optó por constituir una autoridad de certificación propia. Se trataba, por tanto, de disponer de una plataforma de certificación propia que permitiera dotar a los funcionarios y demás personal de certificados que les acreditasen como titulares de sus correspondientes puestos de trabajo. Y, por otro lado, el MTIN perseguía dotarse de una plataforma de validación de e-firmas que mejorase la disponibilidad de los sistemas para tal fin de @firma. Así pues y coincidiendo con la evolución de Delt@, el MTIN apostó en un primer momento por la tecnología de Entrustpero, una vez decidida su constitución como autoridad de certificación y a la búsqueda de simplificación el MTIN se decantó por la plataforma de firma electrónica ASF de TB Solutions. “Conociendo los servicios de ASF y puesto que en ese momento no tenía competencia en el mercado, iniciamos los trabajos con ASF, estableciendo primero nuestro centro de validación conectado y redundante con @firma y constituyéndonos luego como autoridad de certificación, lo que nos permitía además disponer de una firma reconocida”.
La constitución del MTIN como autoridad de certificación llevó al MTIN a realizar en 2006 una primera licitación para la adquisición de las tarjetas que cumplieran con los correspondientes requerimientos para la firma electrónica, además de posibilitar el control horario. La convocatoria la ganó Microelectrónica Española, ya que era la única empresa que contaba con el reconocimiento del Centro Criptológico Nacional (CCN) y con la certificación Common Criteria. Ya en 2008, cuando hubo que renovar las tarjetas, Microelectrónica Española había desaparecido -fue adquirida por SanDisk que discontinuó esa línea de negocio-, de modo que en la nueva licitación y dado que el CCN tenía sólo certificada la tarjeta de Microelectrónica y el DNI electrónico, “abrimos el abanico y admitimos la certificación Common Criteria de dispositivo seguro de creación de firma, resultando ganadora Oberthur, cuyas tarjetas llevan una banda magnética, un chip de creación de firma y un chip de proximidad para el control horario”.
En paralelo y al calor de la Ley 11/2007 surgieron las necesidades de certificación de la sede electrónica y ante la necesidad de ampliar competencias, el MTIN optó por inscribirse en el Ministerio de Industria como Autoridad de Certificación, operando también como expedidor y se encuentra actualmente en proceso de validación para su inclusión en los navegadores de Microsoft, un paso que García celebra ya que “en el caso de los usuarios no avezados que tienen dificultades cuando se conectan a la sede electrónica o utilizan alguna de las web seguras, la inclusión de nuestro certificado en el navegador Microsoft Internet Explorer evitará problemas”.
En la actualidad, la plataforma de firma ASF de TB Solutions da servicio a todas las aplicaciones de Administración Electrónica del MTIN dado que “desde el pasado año su uso ya es obligatorio por parte de los funcionarios para las incidencias y permisos, incluido el personal en el exterior”, señala García, para apuntar que “actualmente estamos en fase de distribución de las tarjetas con certificado en el exterior”.
Así y aunque a día de hoy el uso de los certificados de la FNMT es muy superior a los de la plataforma ASF, incluyendo todos los perfiles de certificado (empleado público, sede, sello, etc.), el MTIN ha emitido, haciendo uso del software PKI EasyCert de la plataforma ASF, un total de 11.527 certificados, de los cuales 9.566 están actualmente activos. Y la misma plataforma ASF se aplica a la validación de todos los certificados que figuran en @firma; en este caso y considerando sólo el plazo de dos semanas, la plataforma ASF ha verificado diariamente 25.000 certificados y 1.800 firmas.
Avance en el uso de sistemas de claves compartidas
En cuanto a la evolución de la plataforma ASF del MTIN, el subdirector general de Proceso de Datos del MTIN, Joseba García, reconoce que existen aspectos a mejorar como los índices de rendimiento. Por otro lado, el MTIN estudia las posibilidades para trabajar con sistemas de claves compartidas. “En el caso de determinados usuarios, como los inmigrantes, existe mucho potencial asociado al uso de claves compartidas que garanticen un grado de seguridad suficiente y que permitan al tiempo disponer de servicios de eAdministración sin necesidad de certificados”. El MTIN prevé avanzar en este modelo y ha identificado una necesidad urgente en entornos como la solicitud de permisos de residencia y trabajo. A partir de ahí, el uso del sistema se evaluará operación por operación ya que “consultar una notificación favorable no requiere el mismo grado de seguridad que presentar un recurso”, comenta García.
