Plantillas: | Completa | Minima | Legislación y Normas | Cloud Native | Comunicaciones |
ANÁLISIS, DISEÑO, DESPLIEGUE
LEGISLACIÓN
SISTEMAS Y COMUNICACIONES
SEGURIDAD
EXTRA
- Tecnologías disruptivas en el ámbito de la Administración Electrónica
- Ley de Amdahl y escalabilidad del rendimiento
- Normalización de Bases de Datos
- Videoconferencia
El presente documento tiene por objeto exponer una propuesta de análisis y diseño para el desarrollo de un sistema de información que DESCRIPCION
El nuevo sistema se deniminará NOMBRE DEL SISTEMA
El nuevo sistema se enmarca dentro del ámbito de la AGE, siendo ORGANISMO el órgano gestor del proyecto. Están también involucrados OTROS ORGANISMOS INVOLUCRADOS Y SU PAPEL
Los objetivos generales que persigue el nuevo sistema son:
Ley 40/2015
Artículo 81. Principios generales de actuación. 1. Las entidades que integran el sector público institucional están sometidas en su actuación a los principios de legalidad, eficiencia, estabilidad presupuestaria y sostenibilidad financiera así como al principio de transparencia en su gestión.
Artículo 140. f) Eficiencia en la gestión de los recursos públicos, compartiendo el uso de recursos comunes, salvo que no resulte posible o se justifique en términos de su mejor aprovechamiento.
Artículo 140. h) Garantía e igualdad en el ejercicio de los derechos de todos los ciudadanos en sus relaciones con las diferentes Administraciones
CAPÍTULO IV. Relaciones electrónicas entre las Administraciones
Artículo 156. Esquema Nacional de Interoperabilidad y Esquema Nacional de Seguridad Comprende el conjunto de criterios y recomendaciones en materia de seguridad, conservación y normalización de la información. Tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada.
El alcance del sistema se describe a continuación en los [requisitos funcionales|casos de uso]
Queda fuera del alcance este proyecto:
Se denominan factores críticos de éxito a aquellas cuestiones que deben ser necesariamente resueltas por la solución propuesta para garantizar los objetivos.
Se va a realizar un análisis siguiendo un enfoque orientado a objetos.
Principios de OOP
El Lenguaje Unificado de Modelado (UML) es un estándar surgido a mediados de los años 90 a partir de la unificación de tres de las múltiples aproximaciones al análisis y diseño orientado a objetos que circulaban. Se basó en los métodos de los tres amigos: Grady Booch], la [[https://en.wikipedia.org/wiki/Object-modeling_technique|OMT (Object-modeling Technique) de Rumbaugh, y el OOSE (Object Oriented Software Engineering, Use Case Driven Approach) de Ivar Jacobson. En enero de 1997 se presentó la primera versión, la 1.0, que ha ido mejorando en sucesivas versiones.
La versión 1.2 (de 1998) es una revisión sin cambios significativos sobre la versión 1.1, de septiembre de 1997, y es la usada como base para la elaboración de la metodología Métrica v3.
DIAGRAMAS DE ESTRUCTURA
DIAGRAMAS DE COMPORTAMIENTO
La metodología MÉTRICA Versión 3 ofrece a las Organizaciones un instrumento útil para la sistematización de las actividades que dan soporte al ciclo de vida del software. Esta fue una iniciativa promovida por el Consejo Superior de Informática y publicada en 2001 en su web.
En MÉTRICA Versión 3 se han abordado los dos tipos de desarrollo: estructurado y orientado a objeto, por lo que ha sido necesario establecer actividades específicas a realizar en alguno de los procesos cuando se utiliza la tecnología de orien tación a objetos. Para este último caso se ha analizado alguna de las propuestas de otras metodologías orientadas a objetos y se han tenido en cuenta la mayoría de las técnicas que contempla UML 1.2 (Unified Modeling Language).
El desarrollo en MÉTRICA Versión 3 lo constituyen los procesos:
En el análisis obtendremos la especificación detallada, a través de una de sus piezas claves: el Catálogo de Requisitos. De igual manera obtendremos una serie de modelos que sirvan de puente entre las necesidades planteadas por el usuario y el resto de procesos en el desarrollo. También se comienza a elaborar el plan de pruebas.
En el diseño obtendremos la especificación detallada del entorno tecnológico, los componentes de información y la arquitectura del sistema.
Ver, por contraste, Antipatrones de diseño
Es el paradigma alternativo al denominado Programación Estructurada
En OOP pensamos en términos de “componentes del sistema”, un nivel de abstracción mayor que pensar en términos de funciones.
En los primeros días de la tecnología orientada a objetos antes de mediados de la década de 1990, había muchas metodologías diferentes que competían para el desarrollo de software y el modelado orientado a objetos, a menudo vinculadas a proveedores específicos de herramientas de ingeniería de software asistido por computadora (CASE). Sin anotaciones estándar, términos consistentes y guías de procesos eran las principales preocupaciones en ese momento, lo que degradaba la eficiencia de la comunicación y alargaba las curvas de aprendizaje.
Algunas de las primeras metodologías orientadas a objetos más conocidas fueron inspiradas por gurús como Grady Booch, James Rumbaugh, Ivar Jacobson (los Tres Amigos), Robert Martin, Peter Coad, Sally Shlaer, Stephen Mellor y Rebecca Wirfs-Brock. .
En 1994, los Tres Amigos de Rational Software comenzaron a trabajar juntos para desarrollar el Lenguaje de Modelado Unificado (UML). Más tarde, junto con Philippe Kruchten y Walker Royce (hijo mayor de Winston Royce), lideraron una misión exitosa para fusionar sus propias metodologías, OMT, OOSE y el método Booch, con varios conocimientos y experiencias de otros líderes de la industria en Rational Unified Process. (RUP), una guía integral de procesos iterativos e incrementales y un marco para aprender las mejores prácticas de la industria de desarrollo de software y gestión de proyectos.[1] Desde entonces, la familia Unified Process se ha convertido probablemente en la metodología y el modelo de referencia más populares para el análisis y el diseño orientados a objetos.
https://es.wikiversity.org/wiki/Proceso_Unificado_de_Desarrollo
El proceso unificado de desarrollo es un tipo de metodología tradicional empleada en el desarrollo de software. Algunas implementaciones conocidas son el Open Unified Process (UOP) y el Rational Unified Process (RUP), siendo esta última la más conocida.
El objetivo del llamado Rational Unified Process® (RUP) de IBM, la implementación más popular del Proceso Unificado de Desarrollo, es establecer un modelo de proceso (un marco de trabajo, digamos) en el que desarrollar software de calidad y con rigor.
Este modelo de proceso se asienta en un conjunto subyacente de filosofías y principios para conseguir un desarrollo de software correcto, proporciona una infraestructura de bloques de construcción del proceso y de contenidos reutilizables, y presenta un método con un lenguaje preciso con el que definir todas las partes del proceso. Características principales
Se trata de un modelo de proceso de desarrollo de software “pesado” o tradicional, con estas características principales:
Fases
Concepción | Establecer el ámbito de software y las condiciones de los límites del proyecto. Discriminar los casos de uso más importantes del sistema. Estimar riesgos. |
---|---|
Elaboración | Producir un prototipo de componentes de calidad de producción en una arquitectura de sistemas. |
Construcción | La finalización del desarrollo del sistema basado en la arquitectura de línea base anterior. Completar el análisis, diseño, desarrollo y prueba de toda la funcionalidad necesaria. Desarrollar de forma iterativa e incremental un producto. |
Transición | Ejecutar el despliegue. Prueba de validación. Formación. |
Arquitectura orientada a servicios
El Proceso Unificado es un modelo basado en componentes, y también podemos decir que tiene una configuración modular cuando el proyecto cuenta con una arquitectura orientada a servicios (Service Oriented Architecture o SOA) o Microservicios.
En ingeniería de software, SOLID (Single responsibility, Open-closed, Liskov substitution, Interface segregation and Dependency inversion) es un acrónimo mnemónico creado por Michael Feathers, autor del archiconocido libro de 2004 Working effectively with legacy code a partir de los principios de la programación rientada a objetos identificados por Robert C. Martin, (Uncle Bob).
a comienzos de la década del 2000 que representa cinco principios básicos de la programación orientada a objetos y el diseño. Cuando estos principios se aplican en conjunto es más probable que un desarrollador cree un sistema que sea fácil de mantener y ampliar.
Ver Los principios SOLID explicados
S | Single Responsability Cada clase debería de encargarse de una única parte del sistema. Hacer una sola cosa y hacerla muy bien. |
---|---|
O | Open/Closed Una entidad software debe estar abierta para su ampliación pero cerrada para su modificación. Así no se rompe la funcionalidad del sistema. Cambiar funcionalidades implica escribir nuevo código. Para conseguir esto nos puede ayudar la herencia y el polimorfismo: CLASES QUE IMPLEMENTAN UN INTERFACE. Es decir, crear un interfaz “shape”, una especie de clase base que es la que se invoca (interface IShape { function metodo():param; }) y que es extendida mediante clases que implementan un caso concreto (class A implements IShape, class B implements IShape, …). |
L | Liskov Substitution Una clase que es hija de otra debe de poder usarse como si fuera el padre, indistintamente. Lo enunció Barbara Liskov en 1994. |
I | Interface Segregation Caso: una impresora multifunción. En vez de una clase monstruosa que es pública, se construye una clase privada con interfaces públicas. Alternativamente, mejor muchas clases pequeñas y muy especializadas que una clase grande que contenga la funcionalidad completa. |
D | Dependency Inversion Los módulos de alto nivel no deben depender de los módulos de bajo nivel. Ambos deberían depender de interfaces. Las implementaciones concretas no deben depender de otras implementaciones concretas sino depender de capas abstractas, entidades con función de “controladores”. Esto permite REDUCIR EL DESACOPLE entre piezas de sofware, por ejemplo entre el acceso a base de datos y la base de datos concreta que se utilice. |
Ver Plantilla minima
La ingeniería de requisitos tiene como objetivo definir las características del software que se usará para crear un sistema de información que satisfaga las necesidades de usuarios y clientes. La definición del sistema se realiza mediante la creación del documento Especificación de Requisitos Software.
La actividad PSI 4 “Identificación de Requisitos”, tiene como principal objetivo la especificación detallada de los requisitos generales de información y la clasificación de los mismos en función de su prioridad. Dicha información se plasma en el Catálogo de Requisitos.
Esta técnica ofrece una visión de la funcionalidad del sistema desde el punto de vista del usuario. Representa a los actores que interactúan con el sistema (sean usuarios u otros sistemas de información) y a través de qué funcionalidades se relacionan con él. Nos sirve de guía a lo largo de todo el proceso de desarrollo.
Primero se expone el contexto del sistema mediante un diagrama de casos de uso de alto nivel
Los actores que interactúan con el sistema son: (ver Apéndice II - Servicios Comunes)
Solicitante | persona física que… |
Gestor | Empleado público de XXXXX que… |
Funcionario OAMR | Empleado público inscrito en el Registro de Funcionarios Habilitados encargado de CASO DE USO en nombre del interesado |
Administrador del Sistema | Empleado público del ORGANISMO encargado de la gestión técnica del sistema |
Obligación de usar
Ley 40/2015, art. 157 | Reutilización de sistemas y aplicaciones de propiedad de la Administración |
---|---|
ENI art. 12 | Uso de infraestructuras y servicios comunes y herramientas genéricas |
Referencias
SERVICIOS COMUNES | ||
---|---|---|
Infraestructura | ||
Red SARA | ||
Nube SARA | Solución IaaS en nube híbrida | |
Identificación / Autorización | ||
Autentica | Redirección. Empleados públicos. Puede contener el rol de ese funcionario en mi aplicación (autorización) | |
Cl@ve Identificación | Redirección. Ciudadanos. 4 tipos de identificación | |
Representa | Broker de Representación. Accede a Apodera, Habilita y Otros colectivos que pueden actuar como representantes de ciudadanos | |
Firma | ||
FIRe | Componente integrable. Solución integral. Se integra en la aplicación con librerías | |
Portafirmas AGE | Firmas y Workflow de firmas | |
Valide | ||
@firma | ||
Integr@ | Librería para la integración de aplicacines Java con los WS de @firma | |
Tramitación electrónica | ||
GEISER | Aplicación Web para la tramitación de entrada y salida de documentos a través de las OAMR | |
GEISER-REGECO | Web Service de registro desde las aplicaciones. Utiliza la red SIR | |
SIR | Componente de interconexión en los registros | |
PID | Plataforma de Intermediación de Datos. Hace realidad el derecho del ciudadano a no aportar documentos que la Administraciómn ya tiene en su poder | |
Cliente ligero SCSP | Aplicación Web que permite acceder a los servicios intermediados por la PID directamente | |
SCSP | Web Service para los servicios intermediados por la PID | |
PAGOS | Pasarela de pagos. Para trámites que conlleven el pago de tasas. | |
ACCEDA | Servicio en la nube: Sede, Tramitador de experientes, Gestor de contenido, Gestore de expedientes | |
Sistemas de Información transversales | ||
SIA | Catálogo de Procedimientos de la Administración | |
DIR3 | Directorio de Unidades | |
DIRe | Directorio de Entidades Privadas. Alimentado por las entidades que deseen estar | |
Comunicaciones | ||
Notifica | Aplicación Web y Web Service. Dentro del ámbito de un procedimiento administrativo envía comunicaciones / notificaciones. Ojo para enviar comunicaciones a Carpeta ciudadana no hace falta convenio. Para notificaciones a DEHú o postal sí que hace falta convenio | |
SIM | Broker de comunicaciones informales: para enviar avisos email, SMS o vía notificaciones Push. ¡¡Ojo: para email/SMS no informa sobre el estado de recepción de los mensajes!! | |
Utilidades para enriquecer portales | ||
EGEO | HTML Incrustado. Permite la creación de mapas en sitios web sin precisar conocimientos de georreferenciación ni desarrollos adicionales. Código HTML incrustado que proporciona EGEO. Para cuadros de mandos es útil la función de mapas coropléticos | |
EGEO (tiempo real) | Web Service | |
PLATA | Web Service. Plataforma de Traducción Automática (todos los idiomas de la UE. lo habitual es integrar el gestor de contenidos | |
Gestión Documental | ||
INSIDE | Web Service. Servicio en la nube para gestión y almacenamiento de documentos electrónicos. Adaptado a estándar ENI. Podemos agrupar los documentos en expedientes por lo que sirve para expedientes electrónicos. Puedo utilizar INSIDE para remitir expedientes a otra administración. La Suite CSV nos permite trabajar con Códigos Seguros de Verificación | |
Archive | Aplicación Web. Archivo definitivo de expedientes almacenados en INSIDE. EL tiempo de obligado almacenamiento lo decide la https://www.culturaydeporte.gob.es/cultura/areas/archivos/mc/cscda/inicio.htmlComisión Superior Calificadora de Documentos Administrativos. | |
Otras Integraciones | ||
Carpeta Ciudadana | No es un servicio que consuman directamente las aplicaciones. Debemos integrar en la CARPETA CIUDADANA la consulta de expedientes y demás información a la que los ciudadanos pueden tener acceso. Esto se hace creando un Web Service que va a consumir la Carpeta Ciudadana. Lo habitual es que cada Ministerio ya esté integrado pero debemos suponer tal integración en el supuesto práctico | |
Datos.gob.es | Es interesante incorporar la perspectiva de la reutilización de la información del sector público. Pensar en generar información en formato estructurado y ponerla a disposición de los ciudadanos. No publicamos datos en “datos.gob.es”: SE PUBLICA LA LOCALIZACIÓN DE LOS DATOS QUE HEMOS GENERADO Y QUE TENDREMOS NOSOTROS PUBLICADOS. |
Una vez descrito el sistema se detallan ahora los casos de uso agrupados en escenarios
Ciudadano | |
---|---|
Identificación | Cl@ve Identificación |
Firmar | FIRe |
Registrar | REC |
Gestor | |
---|---|
Autenticación Gestor «include» | Autentica |
Selección Organismo | DIR3 |
Registra | REC |
Firma | Autofirma |
Notifica a ciudadano | Notifica |
Graba expediente | INSIDE |
Explicación:
El diagrama de contexto tiene como objetivo delimitar el ámbito del sistema definiendo sus interfaces y la procedencia y destino de la información.
El diagrama de contexto corresponde con el nivel 0 del Diagrama de Flujo de Datos, que representa de forma global el sistema independientemente de cualquier restricción física, obteniéndose de esa forma un modelo lógico de procesos.
El diagrama de clases recoge los aspectos ESTÁTICOS del sistema indicando las abstracciones que componen el dominio a tratar y cómo se relacionan entre sí.
https://diagramasuml.com/diagrama-de-clases/
RGPD | Reglamento UE 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE |
---|---|
LOPDGDD | Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que reemplaza a la vigente LOPD |
Se presenta el diagrama de clases:
Usar el término clase y las relaciones:
Ejemplos
El tratamiento de datos de carácter personal implica atenerse a lo dispuesto en la normativa de protección de datos: el RGPD (UE 2016/679) y la LOPDGDD (LO 3/2018).
Serán de aplicación las medidas de seguridad según el nivel establecido para el sistema según el ENS.
El objetivo de esta técnica de análisis de sistemas de información es la representación y definición de todos los datos que se introducen, procesan y producen dentro de un sistema de información independientemente de la tecnología usada para implementarlo. Representa las ENTIDADES (objetos abstractos acerca de los cuales se desea almacenar información) y las RELACIONES entre ellas.
Este diagrama describe el comportamiento DINÁMICO del sistema destacando la secuencia de mensajes intercambiados por los objetos en el tiempo.
El diagrama de colaboración es un tipo de diagrama de interacción cuyo objetivo es describir el comportamiento dinámico del sistema de información mostrando cómo interactúan los objetos entre sí, es decir, con qué otros objetos tiene vínculos o intercambia mensajes un determinado objeto.
Un diagrama de colaboración muestra la misma información que un diagrama de secuencia pero de forma diferente. En los diagramas de colaboración no existe una secuencia temporal en el eje vertical; es decir, la colocación de los mensajes en el diagrama no indica cuál es el orden en el que se suceden. Además, la colocación de los objetos es más flexible y permite mostrar de forma más clara cuáles son las colaboraciones entre ellos. En estos diagramas la comunicación entre objetos se denomina vínculo o enlace (link) y estará particularizada mediante los mensajes que intercambian.
El objetivo de estos diagramas es obtener una visión más clara del sistema de información orientado a objetos, organizándolo en subsistemas, agrupando los elementos del análisis, diseño o construcción y detallando las relaciones de dependencia entre ellos. El mecanismo de agrupación se denomina Paquete.
https://diagramasuml.com/paquetes/
Explicación
El sistema se ha dividido en varios subsistemas:
El subsistema de Presentación se corresponde con la capa de Presentación, encargándose de la interacción de los diferentes tipos de usuarios con el sistema. En esta capa se encuentran los paquetes con las interfaces de usuario de cada tipo:
El subsistema Interfaz de Servicios Web permite que sistemas externos se comuniquen con nuestro sistema para acceder a los servicios que publique nuestro sistema.
La capa de Lógica de Negocio se corresponde con el subsistema Aplicación y contiene la lógica de nuestro sistema. Alberga las siguientes funcionalidades:
El paquete SEGURIDAD contiene los componentes de autenticación y autorización.
El subsistema Integración es una subcapa de la Lógica de Negocio que contiene los componentes necesarios para acceso y uso de los servicios horizontales de la AGE y comunicaciones con sistemas externos. Se garantiza el uso de soluciones para su reutilización, según indica el ENI.
La capa de Acceso a Datos permite el acceso y manejo tanto de datos almacenados en bases de datos como de documentos.
Para el caso de microservicios, está la capa API Gateway:
Deploying NGINX asm API Gateway
Para garantizar la interoperabilidad del sistema se hará uso de estándares abiertos de entre los especificados por la NTI Catálogo de Estándares para preservar la neutralidad tecnológica. “principio de neutralidad tecnológica y de adaptabilidad al progreso de las tecnologías de la información y las comunicaciones”
El diagrama de componentes proporciona una visión física de la construcción del sistema de información. Muestra la organización de los componentes software, sus interfaces y las dependencias entre ellos.
https://diagramasuml.com/componentes/
Elementos
Ejemplos
Mediante esta técnica se representan las particiones físicas del sistema de información y la asignación de artefactos a dichas particiones.
https://diagramasuml.com/despliegue/
Explicación
Consideraciones
Al ser un sistema de información accesible electrónicamente por los ciudadanos le aplica el ENS regulado por RD 3/2010 por lo que en función de la categoría del sistema se propondrán un conjunto de medidas a implentar.
El portal Valide y la aplicación @firma permiten la firma de documentos electrónicos en los formatos XAdES, CAdES y PAdES.
Los mensajes enviados a los servicios web deben ir firmados por un certificado del tipo de los certificados emitidos por las Autoridades de Certificación admitidas por la Sede Electrónica de la Seguridad Social, se sigue el protocolo de seguridad WS-Security (Seguridad en Servicios Web), el tipo de firma es XAdES-BES.
Los servicios REST seguros solo deben proporcionar puntos finales HTTPS. Esto protege las credenciales de autenticación en tránsito, por ejemplo, contraseñas, claves API o tokens web JSON. También permite a los clientes autenticar el servicio y garantiza la integridad de los datos transmitidos.
La seguridad la proporciona la capa de transporte (TLS). Cuando se implementa correctamente, TLS puede proporcionar una serie de beneficios de seguridad:
Ver también https://en.m.wikipedia.org/wiki/Representational_state_transfer
La colocación concreta de las sondas del CCN tendrá que decidirse junto con el CCN para decidir su colocación óptima y su modo de funcionamiento óptimo.
SAT-INET | sonda individual en la red del Organismo, que se encarga de recolectar la información de seguridad relevante que detecta y, después de un primer filtrado, enviar los eventos de seguridad hacia el sistema central que realiza una correlación entre los distintos elementos y entre los distintos dominios (organismos). Inmediatamente después, el Organismo adscrito recibe los correspondientes avisos y alertas sobre los incidentes detectados. La sonda es un servidor de alto rendimiento y dedicado |
---|
Salida centralizada a internet de la Administración General del Estado: lote 3 del contrato de Servicios consolidados de telecomunicaciones de la Administración General del Estado Fase 1. (Contratos Centralizados)
ARQUITECTURA TECNOLOGICA (plataforma JAVA, aplicación Web):
Frameworks de desarrollo más solicitados en 2021
10 Best Java Frameworks to Use in 2022
Top 8 Java Framework Tools
Ver
https://es.wikipedia.org/wiki/Desarrollo_en_cascada
En Ingeniería de software el desarrollo en cascada, también llamado secuencial o ciclo de vida de un programa (denominado así por la posición de las fases en el desarrollo de esta, que parecen caer en cascada “por gravedad” hacia las siguientes fases), es el enfoque metodológico que ordena rigurosamente las etapas del proceso para el desarrollo de software, de tal forma que el inicio de cada etapa debe esperar a la finalización de la etapa anterior. Al final de cada etapa, el modelo está diseñado para llevar a cabo una revisión final, que se encarga de determinar si el proyecto está listo para avanzar a la siguiente fase. Este modelo fue el primero en originarse y es la base de todos los demás modelos de ciclo de vida.
Cualquier error de diseño detectado en la etapa de prueba conduce necesariamente al rediseño y nueva programación del código afectado, aumentando los costos del desarrollo
La versión original fue propuesta por Winston W. Royce en 1970 y posteriormente revisada por Barry Boehm en 1980 e Ian Sommerville en 1985.
Una metodología de desarrollo en cascada seguiría estas fases:
https://es.wikipedia.org/wiki/Desarrollo_en_espiral
El desarrollo en espiral es un modelo de ciclo de vida del software definido por primera vez por Barry Boehm en 1986, utilizado generalmente en la ingeniería de software.
Las actividades de este modelo se conforman en una espiral, en la que cada bucle o iteración representa un conjunto de actividades. Las actividades no están fijadas a ninguna prioridad, sino que las siguientes se eligen en función del análisis de riesgo, comenzando por el bucle interior.
Se comienza mirando las posibles alternativas de desarrollo, se opta por la de riesgo más asumible y se hace un ciclo de la espiral. Si el cliente quiere seguir haciendo mejoras en el software, se vuelve a evaluar las distintas nuevas alternativas y riesgos y se realiza otra vuelta de la espiral, así hasta que llegue un momento en el que el producto software desarrollado sea aceptado y no necesite seguir mejorándose con otro nuevo ciclo.
https://es.wikipedia.org/wiki/Desarrollo_iterativo_y_creciente
Este concepto no aparece explícitamente en el Agile Manifesto. Craig Larman y Victor Basili la nombran en su artículo «Iterative and Incremental Development: A Brief History» publicado en la revista Computer en Junio de 2003.
La idea fundamental detrás de la mejora iterativa es desarrollar un sistema de software incrementalmente, permitiendo al desarrollador aprovechar lo que se va aprendiendo durante el desarrollo de las versiones tempranas, incrementales y entregables del sistema. El aprendizaje viene tanto del desarrollo como del uso del sistema, donde sea posible. Los pasos clave en el proceso consisten en empezar con una implementación sencilla de un subconjunto de los requisitos del software y mejorar iterativamente la evolución secuencial de versiones hasta que el sistema está implementado. En cada iteración, se hacen modificaciones en el diseño a la misma vez que añadimos nuevas funcionalidades. Victor Basili & Joe Turner
Las iteraciones se pueden entender como miniproyectos: en todas las iteraciones se repite un proceso de trabajo similar (de ahí el nombre “iterativo”) para proporcionar un resultado completo sobre producto final, de manera que el cliente pueda obtener los beneficios del proyecto de forma incremental. Para ello, cada requisito se debe completar en una única iteración:
De ahí a que comiencen a proliferar los métodos ligeros de desarrollo de software como XP, Scrum, Crystal Clear, etc. De ahí al Agile Manifesto hay sólo un paso. Para apoyar el desarrollo de proyectos por medio de este modelo se han creado frameworks (entornos de trabajo), de los cuales los dos más famosos son el Rational Unified Process y el Dynamic Systems Development Method. El desarrollo incremental e iterativo es también una parte esencial de un tipo de programación conocido como Extreme Programming y los demás frameworks de desarrollo rápido de software.
https://diegodavidalmiron1.wixsite.com/isi2018/puds
El proceso unificado de Desarrollo de Software (PUD) fue creado por Jacobson, Booch y Rumbaugh.
El PUD es un proceso evolutivo y se desarrolla a través de una serie de ciclos que constituyen la vida de un sistema y se concluyen con una versión del producto, desde su inicio hasta su muerte.
Es un proceso orientado a objetos guiado por casos de uso, centrado en la arquitectura con un ciclo de vida iterativo e incremental. Basado en el leguaje unificado modelado(UML).
Este proceso puede organizarse en cuatro fases: inicio, elaboración, construcción y transición.
Las fases se dividen en sus conjuntos de iteraciones, en las que se desarrollan los flujos de trabajo: requerimientos, análisis, diseño, complementación y pruebas.
DSDM y RUP son muy similares en el sentido de que abogan por un verdadero desarrollo iterativo (a diferencia del iterativo planificado previamente o en cascada). Donde “parecen” diferir notablemente es en el ciclo de vida real del proceso;
RUP:
DSDM es más un marco que un método. No entra al detalle sobre cómo se deben hacerse las cosas, pero proporciona un esqueleto de proceso general y descripciones de productos que pueden adaptarse a cada proyecto.
RUP proporciona pautas detalladas y podría considerarse una implementación detallada de DSDM.
Dominios
Subdominios
Capacidades de negocio
Landscape de servicios: no falta ninguna pieza, no hay ninguna pieza duplicada
https://es.wikipedia.org/wiki/Desarrollo_%C3%A1gil_de_software
La definición moderna de desarrollo ágil de software evolucionó a mediados de la década de 1990 como parte de una reacción contra los métodos de “peso pesado”, muy estructurados y estrictos, extraídos del modelo de desarrollo en cascada. El proceso originado del uso del modelo en cascada era visto como burocrático, lento, degradante e inconsistente con las formas de desarrollo de software que realmente realizaban un trabajo eficiente.
En el año 2001, miembros prominentes de la comunidad se reunieron en Snowbird, Utah, y adoptaron el nombre de “métodos ágiles”. Poco después, algunas de estas personas formaron la “alianza ágil”, una organización sin fines de lucro que promueve el desarrollo ágil de aplicaciones. Muchos métodos similares al ágil fueron creados antes del 2000. Entre los más notables se encuentran: Scrum (1986), Crystal Clear (transparente como el cristal), programación extrema (en inglés eXtreme Programming o XP, 1996), desarrollo de software adaptativo, feature-driven development, método de desarrollo de sistemas dinámicos (1995).
El desarrollo ágil de software utiliza un desarrollo iterativo como base para abogar por un punto de vista más ligero y más centrado en las personas que en el caso de las soluciones tradicionales. Los procesos ágiles utilizan retroalimentación en lugar de planificación, como principal mecanismo de control. La retroalimentación se canaliza por medio de pruebas periódicas y frecuentes versiones del software.
Hay muchas variantes de los procesos ágiles:
En el caso de la programación extrema (XP), las fases se realizan en pasos muy cortos (o “continuos”) con respecto al anterior. El primer paso (intencionalmente incompleto) por los pasos puede ocurrir en un día o en una semana, en lugar de los meses o años de cada paso completo en el modelo en cascada. En primer lugar, se crean pruebas automatizadas para proveer metas concretas al desarrollo. Después se programa el código, que será completo cuando todas las pruebas se superan sin errores, y los desarrolladores ya no sabrían como mejorar el conjunto de pruebas necesario. El diseño y la arquitectura emergen a partir de la refactorización del código, y se da después de programar. El diseño lo realizan los propios desarrolladores del código. El sistema, incompleto, pero funcional se despliega para su demostración a los usuarios (al menos uno de los cuales pertenece al equipo de desarrollo). Llegado este punto, los profesionales comienzan a escribir las pruebas para la siguiente parte del sistema de más importancia.
Algunos métodos ágiles de desarrollo de software:
https://www.redhat.com/en/topics/cloud-native-apps/what-is-a-Java-framework
https://www.interviewbit.com/blog/java-frameworks/
El estandar internacional ISO/IEC 25000 (SQuaRE, System and Software Quality Requirements and Evaluation) sobre los requisitos y la evaluación de calidad del software indica que la usabilidad se refiere a la capacidad de un software de ser comprendido, aprendido, usado y ser atractivo para el usuario, en condiciones específicas de uso.
La plataforma de desarrollo escogida (Jakarta EE o .NET) garantiza la usabilidad de la aplicación en dispositivos móviles.
Escoger Certificados de Validación Extendida (EV).
Extended Validation (EV) es un estándar que establece una manera rigurosa de verificar la información de identidad y la autoridad de las personas que solicitan un certificado SSL. EV fue establecido por el https://cabforum.org/about-ev-ssl/CA/Browser Forum (CAB Forum), una asociación de Autoridades Certificantes y proveedores de navegadores.
Estrategia Nacional de Ciberseguridad, 2019
Guia CCN Aproximación Marco de Gobernanza de la Ciberseguridad 2022
Guía Glosario Ciberseguridad
Tendencias en ciberseguridad - PreparaTIC 27
Guía CCN-STIC-423 Indicadores de Compromiso
Guía CCN-STIC-424 Intercambio de Información de Ciberamenazas. STIX-TAXII
Guía CCN-STIC-425 Ciclo de Inteligencia y Análisis de Intrusiones
A destacar
contar con él y gestionarlo.
The Open Web Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open-source software projects, hundreds of local chapters worldwide, tens of thousands of members, and leading educational and training conferences, the OWASP Foundation is the source for developers and technologists to secure the web.
https://owasp.org/Top10/A01_2021-Broken_Access_Control/
https://owasp.org/Top10/A02_2021-Cryptographic_Failures/
https://owasp.org/Top10/A03_2021-Injection/
https://owasp.org/Top10/A04_2021-Insecure_Design/
https://owasp.org/Top10/A05_2021-Security_Misconfiguration/
https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/
https://owasp.org/Top10/A07_2021-Identification_and_Authentication_Failures/
https://owasp.org/Top10/A08_2021-Software_and_Data_Integrity_Failures/
https://owasp.org/Top10/A09_2021-Security_Logging_and_Monitoring_Failures/
https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
https://www.ccn-cert.cni.es/soluciones-seguridad/reyes.html
REYES es una solución desarrollada por el CCN-CERT para agilizar la labor de análisis de ciberincidentes y compartir información de ciberamenazas.
A través de este portal centralizado de información puede realizarse cualquier investigación de forma rápida y sencilla, accediendo desde una única plataforma a la información más valiosa sobre ciberincidentes. Una información contextualizada y correlada con las principales fuentes de información, tanto públicas como privadas.
La Ley 39/2015 y la Ley 40/2015 recogen los elementos que conforman el marco jurídico para el funcionamiento electrónico de las Administraciones Públicas introduciendo un nuevo paradigma que supera la concepción que inspiró la Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos. Han dado respuesta a la demanda actual en el sentido de que la tramitación electrónica de los procedimientos debe constituir la actuación habitual de las Administraciones Públicas, y no solamente ser una forma especial de gestión de los mismos.
La satisfacción del interesado… “es prioritario disponer de servicios digitales fácilmente utilizables y accesibles, de modo que se pueda conseguir que la relación del interesado con la Administración a través del canal electrónico sea fácil, intuitiva, efectiva, eficiente y no discriminatoria”.
Grandes desafíos:
para que coadyuven a la Transformación digital exigen como presupuesto contar con un marco regulatorio adecuado, tanto con rango de ley como con rango reglamentario, que … sirva a los objetivos de:
La Agenda España Digital 2025 contiene un eje estratégico específico sobre la Transformación Digital del Sector Público
se desarrolla y concreta el empleo de los medios electrónicos establecidos en las leyes 39/2015, de 1 de octubre, y 40/2015, de 1 de octubre, para garantizar, por una parte, que los procedimientos administrativos se tramiten electrónicamente por la Administración y, por otra, que la ciudadanía se relacione con ella por estos medios en los supuestos en que sea establecido con carácter obligatorio o aquellos lo decidan voluntariamente
se desarrolla el funcionamiento del Punto de Acceso General electrónico (PAGe), y la Carpeta ciudadana en el Sector Público Estatal. Se regula el contenido y los servicios mínimos a prestar por las sedes electrónicas y sedes electrónicas asociadas y el funcionamiento de los registros electrónicos
de modo que se pueda conseguir que la relación del interesado con la Administración sea fácil, intuitiva y efectiva cuando use el canal electrónico
se elimina la superposición de regímenes jurídicos distintos, se adapta e integra en el Reglamento que aprueba este real decreto la regulación que aún permanecía vigente del Real Decreto 1671/2009, de 6 de noviembre, procediendo, por ello, a su derogación definitiva y se adecua la regulación al nuevo marco de la Ley 39/2015, de 1 de octubre y la Ley 40/2015, de 1 de octubre
El título I regula los portales de internet, el PAGe, las sedes electrónicas y sedes electrónicas asociadas (características, creación y supresión, contenido y servicios, y responsabilidad) y el área personalizada a través de la cual cada interesado podrá acceder a su información, al seguimiento de los trámites administrativos que le afecten y a las notificaciones y comunicaciones en el ámbito de la Administración Pública competente, que en el ámbito estatal se denomina «Carpeta Ciudadana».
El título II se subdivide en tres capítulos y regula el procedimiento administrativo por medios electrónicos.
Así, el capítulo I, sobre «Disposiciones generales» aborda la tramitación administrativa automatizada y el régimen de subsanaciones.
Por su parte el capítulo II regula la identificación y autenticación de las Administraciones Públicas y de las personas interesadas y se subdivide en cuatro Secciones:
El título II se cierra con el capítulo III, que en sus dos secciones regula los Registros electrónicos, las notificaciones electrónicas y los otros actos de comunicación electrónicos.
El título III regula el expediente electrónico y se divide en dos capítulos.
El capítulo I regula el documento administrativo electrónico y los requisitos y la emisión de copias auténticas de documentos públicos administrativos o documentos privados, que sean originales o copias auténticas de originales; la formación del expediente administrativo electrónico y el ejercicio de acceso al mismo y a la obtención de copias y la destrucción de documentos.
Por su parte, el capítulo II regula la conservación de documentos electrónicos y la definición de archivo electrónico único.
Por último, el título IV se divide en dos capítulos y regula las relaciones y colaboración entre Administraciones Públicas para el funcionamiento electrónico del sector público.
Así, el capítulo I aborda la colaboración entre las Administraciones Públicas para la actuación administrativa por medios electrónicos e incluye las obligadas relaciones interadministrativas e interorgánicas por medios electrónicos en el ejercicio de sus competencias, las comunicaciones en la Administración General del Estado, la posibilidad de adhesión a sedes electrónicas y sedes electrónicas asociadas y la regulación del Sistema de Interconexión de Registros (SIR), a través del cual deberán realizarse las interconexiones entre Registros de las Administraciones Públicas, que deberán ser interoperables entre sí y, en el caso de la Administración General del Estado, lo que supone una novedad, también con los sistemas de gestión de expedientes.
El capítulo I del título IV regula también las transmisiones de datos a las que se refiere el artículo 155 de la Ley 40/2015 de 1 de octubre, las plataformas de intermediación de datos (con mención especial a la de ámbito estatal), la remisión electrónica de expedientes administrativos en el ámbito de las Administraciones públicas mediante puesta a disposición, a través de un nodo de interoperabilidad, de la dirección electrónica o localizador que dé acceso al expediente electrónico completo y, por último, las previsiones el intercambio automático de datos o documentos a nivel europeo previstos en el Reglamento (UE) n.º 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) n.º 1024/2012.
El título IV finaliza con el capítulo II, que regula la transferencia y uso compartido de tecnologías entre Administraciones Públicas, abordando, por una parte, la reutilización de sistemas y aplicaciones de las Administraciones Públicas y, por otra, la adhesión a las plataformas, registros o servicios electrónicos de la Administración General del Estado
La parte final del Reglamento consta de diez disposiciones adicionales.
El Reglamento concluye con un Anexo terminológico que retoma la buena praxis que incluía la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, en una materia de especial complejidad por la imbricación de categorías jurídicas y conceptos tecnológicos en permanente evolución.
Servicios de computación y almacenamiento en nube híbrida para la AGE y sus OO.PP., mediante la configuración de nodos de consolidación tanto en CPDs de la Administración (nube privada) como de proveedores externos (nube pública). Las unidades TICs clientes del servicio pueden proveerse de capacidades tanto en nube privada como en nube pública, en función de las características del servicio y los costes que puedan asumir.
Todos los nodos serán gestionados mediante un portal común de aprovisionamiento multi‐organismo. Esta conformación de nube implica en la práctica varias arquitecturas de ejecución normalizadas, industrializadas, predecibles, medibles y comparables en un escenario de pago por uso optimizado para el consumo granular de infraestructura TIC.
Se proporcionarán gradualmente servicios de mayor madurez, tales como plataforma como servicio y aplicación como servicio (por ejemplo, gestión de la nómina en la nube).
Los componentes del servicio, serán los habituales en servicios de estas características:
Aspectos del ENS que aplican:
Categoría 6A: https://es.wikipedia.org/wiki/Cable_de_categor%C3%ADa_6
fibra óptica ¿monomodo o multimodo y por qué?
DWDM - Dense Wavelength Division Multiplexing, través de fibra óptica usando la banda C (1550 nm)
La tecnología CWDM no cubre grandes distancias porque su señal lumínica no está amplificada, lo cual permite mantener los costes bajos pero también limita las distancias máximas de propagación. Los proveedores pueden mencionar rangos de funcionamiento de 50 a 80 kilómetros, con distancias de 160 kilómetros factibles mediante amplificadores de señales. La CWDM soporta pocos canales, lo que puede resultar adecuado para operadores metropolitanos que prefieran empezar modestamente para luego expandirse a medida que aumente la demanda.
¿Activo-activo o activo-pasivo?
RTO (¿qué dice el ENS al respecto?)
Backup vs sincronización
Servidor de backup
Almacenamiento: SAN de fibra
¿En firewall? Citar producto comercial
Uno por cada Vlan a monitorizar
Sonda SAT-INET 2.0: https://www.ccn-cert.cni.es/gestion-de-incidentes/sistema-de-alerta-temprana-sat/sat-inet.html
Servidor Estafeta SMTPS: ¿Dónde? ¿DMZ?
Servidor de buzones IMAPS: ¿Dónde? ¿Vlan servidores?
¿Antivirus y antispam dónde?
(hay una imagen que envió Pablo)
Un sistema de Gestión de Eventos e Información de Seguridad (en inglés, Security Information and Event Management, SIEM) es un sistema que centraliza el almacenamiento y la interpretación de los datos relevante de seguridad. De esta forma, permite un análisis de la situación en múltiples ubicaciones desde un punto de vista unificado que facilita la detección de tendencias y patrones no habituales. La mayoría de los sistemas SIEM funcionan desplegando múltiples agentes de recopilación que recopilan eventos relacionados con la seguridad.
Nexus
La implantación del nuevo sistema cumple los requisitos expuestos y aporta las ventajas buscadas:
Diccionario de Conceptos y Términos de Administración Electrónica (7 ed)
Plataforma de Intermediación
Resolución de 22 de julio de 2021, de la SEDIA, por la que se aprueba la NTI de SICRESv4
Catálogo de Servicios de Verificación y Consulta de datos SCSP
La AEAT autoriza la consulta de datos tributarios a través de nodos de interoperabilidad de la PID
Ha pasado ya mucho desde que se publicara la NTI de protocolos de intermediación de datos, allá por 2012 definiendo los participantes de un intercambio de datos, intermediado o directo, con sus respectivos roles y responsabilidades.
Esta NTI de protocolos de intermediación de datos, junto al protocolo SCSPv3 (Sustitución de Certificados en Soporte Papel) que se actualizó para recoger algunas necesidades específicas del intercambio intermediado, e incorporadas en cualquier intercambio de datos, han sido los pilares sobre los que se ha sustentado el éxito de la plataforma de intermediación de datos. Sin embargo quedaba un escollo para que la solución fuera completa, y era la limitación que tenía la AEAT respecto a poder aceptar peticiones firmadas por un requirente distinto del propio cesionario.
Después de un arduo trabajo por parte de la SGAD junto con la AEAT buscando el acomodo jurídico y la implementación de la solución tecnológica, desde el 26 de enero de 2022, la AEAT acepta que cualquier cesionario, independientemente del requirente o nodo de interoperabilidad que le preste servicio, pueda consumir los servicios de verificación y consulta de datos que ofrece la AEAT, siendo estos puestos a disposición de la PID con un único modelo único y más simplificado.
Además de esta clara ventaja, que operativamente permitirá acceder a los servicios de la AEAT a muchas administraciones pequeñas y con escasos recursos, mediante aplicaciones como el cliente ligero cloud SCSPv3, está el hecho de que a partir de ya, el resto de los servicios que ofrecía la AEAT se podrán consumir también a partir de la plataforma de intermediación de datos.
Más información en la solución PID-SVD (Servicio de Verificación y Consulta de Datos: Plataforma de Intermediación) del CTT.
Plan de Digitalización de las Administraciones Públicas 2021-2025
La Agenda España Digital 2025 recoge el impulso de la digitalización de la Administración Pública entre los diez ejes de reforma e inversión para catalizar una transformación digital que relance el crecimiento económico, la reducción de desigualdades, el aumento de la productividad y el aprovechamiento de todas las oportunidades que brindan las nuevas tecnologías.
Finalmente este Plan tiene por objeto mejorar la eficiencia de las Administraciones Públicas en su conjunto.
MEDIDA 1. App Factory (Servicio de factoría para el desarrollo de App)
Tiene como objetivo potenciar el desarrollo de apps móviles de calidad para los principales servicios públicos ofrecidos a la ciudadanía, creando alrededor de la Administración una comunidad de desarrolladores open source que contribuya a poner a disposición del ciudadano un Marketplace de aplicaciones móviles de la Administración. Estas Apps deben permitir acercar la Administración a la ciudadanía y facilitar una relación más fluida y cercana, maximizando la información recopilada de los mismos para el desarrollo de servicios personalizados o la remisión de alertas y notificaciones, estableciendo nuevos canales de interacción más proactivos. El objetivo es que al menos el 50% de todos los servicios públicos digitales estén accesibles a través del móvil a finales de 2025.
MEDIDA 2. Mejora de la experiencia de usuario de la ciudadanía
Esta medida tiene como objetivo el establecimiento de un modelo de atención a la ciudadanía personalizado, proactivo y omnicanal, a través de un punto único de acceso tanto para obtener información como para realizar los trámites que requiera en su relación global con la Administración. Una de las principales líneas de trabajo será la implantación de chatbots o asistentes virtuales inteligentes para los casos de uso de mayor impacto, tales como: cita previa, pago de tasas, identificación y registro. Adicionalmente, se desarrollarán diferentes iniciativas entre las que cabe destacar la elaboración de políticas que permitan ordenar y simplificar la presencia en internet y redes sociales de la Administración General del Estado, en torno al Punto de Acceso General, evitando la dispersión y heterogeneidad de información
MEDIDA 3. GobTechLab (Laboratorio ciudadano de innovación tecnológica en la Administración)
sta medida tiene el objetivo de poner en marcha un laboratorio de innovación de la Administración General del Estado que permita mejorar la experiencia en el uso de los servicios públicos digitales a través de la participación ciudadana, la co-creación y la innovación en servicios públicos. Asimismo, se propone el desarrollo de un espacio abierto de colaboración donde experimentar servicios públicos con ciudadanos, ciudadanas y empresas, donde recoger sus opiniones, recibir sugerencias, etc. Los ámbitos de aplicación principales serán las tecnologías emergentes como IA, analítica del dato y blockchain. Se perseguirá, además, la creación de servicios públicos personalizados e innovadores que se puedan enmarcar en actuaciones europeas, participando con los Estados miembros de la Unión Europea en proyectos como el European Blockchain Services Infrastructure (EBSI, una red blockchain que permitirá prestar servicios públicos a lo largo de toda la Unión Europea de forma segura), o propuestas relacionadas con los datos y con la Inteligencia Artificial. Finalmente, y a través de una lanzadera de startups, este Laboratorio impulsará dar respuesta a los retos de modernización de la Administración General del Estado.
MEDIDA 4. Nuevo modelo de identidad digital
s un reto mejorar cómo los ciudadanos, ciudadanas y empresas se identifican de forma sencilla y efectiva ante las Administraciones. El objetivo de esta medida es doble. Por una parte, se desarrollarán sistemas y servicios que permitan acreditar digitalmente a ciudadanos, ciudadanas y empresas de forma 100% telemática utilizando tecnologías tales como biometría, imagen, etc., de forma segura y, por otra, desarrollar nuevos sistemas de identificación y firma sencillos, seguros y usables por los ciudadanos y ciudadanas, en línea con la normativa aplicable en esta materia. Asimismo, se evolucionarán los mecanismos existentes (certificados electrónicos y Cl@ve) para adaptarlos al contexto europeo y facilitar su reutilización e interoperabilidad por todas las Administraciones Públicas españolas. En este sentido resulta muy relevante el proyecto DNIe en el móvil, liderado por el Ministerio del Interior
MEDIDA 5. Servicio de automatización Inteligente
A través de este servicio se impulsará un servicio de automatización inteligente común de la Administración General del Estado, que facilite a los diferentes departamentos ministeriales la adopción de estas tecnologías. Para ello, se diseñará e implantará una plataforma corporativa que permita la automatización de actuaciones administrativas y tareas de los distintos departamentos ministeriales, incorporando componentes reutilizables de tratamiento de datos, documentos, imágenes, videos, audios, etc. basados en robotización e Inteligencia Artificial. Esta plataforma dará soporte a toda la Administración General del Estado, generando sinergias, reduciendo tiempos de tramitación en tareas y ahorrando costes de desarrollo y operación de la misma. Por otro lado, se impulsará la creación de una plataforma de tramitación de procedimientos administrativos común, que permita reducir los tiempos en la gestión de procedimientos y mejorar la eficiencia en la prestación de servicio
MEDIDA 7. Servicio de infraestructuras cloud
sta medida habilitará infraestructuras para el alojamiento de los Centros de Proceso de Datos de los distintos departamentos ministeriales en centros redundantes entre sí. En esta línea se pretende transformar los Centros de Proceso de Datos de la Administración General del Estado, impulsando su consolidación sobre centros internos (nube privada) y, en su caso, de proveedores externos (nube pública). A tal efecto, se llevará a cabo la potenciación de la solución de nube híbrida NubeSARA, habilitando la provisión de diversas soluciones como servicio. Además, se desarrollará una política coherente de uso de la nube (cloud policy), con el fin de reforzar la eficiencia garantizando en todo momento la integridad, seguridad y control de los datos. Finalmente y en colaboración con la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, se realizarán diversas actuaciones conducentes a una mayor participación de España en iniciativas de infraestructura en la nube (cloud) a nivel europeo
MEDIDA 8. Puesto de Trabajo Inteligente
La crisis de la COVID-19 ha puesto de mayor relieve la necesidad de contar con soluciones colaborativas y de movilidad en los puestos de trabajo de los empleados públicos. Para ello, resulta imprescindible acometer un proyecto transformador para la implantación del puesto de trabajo de nueva generación, abordando tanto los componentes tecnológicos como los vinculados a las capacidades digitales de los empleados públicos, o los asociados a la gestión del cambio.
Los elementos de dicha transformación que se abordan en la presente medida están relacionados con la infraestructura y soluciones tecnológicas necesarias para hacer posible dicho puesto de trabajo. Más concretamente:
MEDIDA 9. Centro de Operaciones de Ciberseguridad
Esta medida tiene como objetivo constituir el Centro de Operaciones de Ciberseguridad para toda la AGE y sus Organismos Públicos, de protección frente a amenazas de ciberseguridad. Se pretende reforzar las capacidades de prevención y reacción ante incidentes de seguridad e incrementar la capacidad de vigilancia y detección de ciber amenazas de un modo centralizado más eficiente que implique un ahorro significativo de dinero, esfuerzo y tiempo. Este centro ayudará a mejorar la seguridad de todas las entidades y además facilitará el cumplimiento del Esquema Nacional de Seguridad (ENS) al gestionar la seguridad de todas las entidades de manera centralizada
Tecnologías Habilitadoras Digitales (THD)
Estas THD tienen una alta capacidad de disrupción e impacto, además de tener un carácter habilitador, horizontal y estratégico para la transformación digital de cualquier sector productivo.
Las redes 5G están llamadas a ser un elemento clave para avanzar en la transformación digital y ecológica de las empresas, las personas, los hogares y la sociedad en su conjunto. Estas transformaciones tendrán un impacto directo en la creación de riqueza y el desarrollo económico de los distintos Estados y regiones, y en la transición hacia una economía descarbonizada.
La Estrategia de impulso de la tecnología 5G es una de las prioridades de la agenda España Digital 2025. La tecnología 5G es, junto con otras tecnologías disruptivas como el internet de las cosas, la inteligencia artificial, el análisis avanzado de datos o la robótica, la piedra angular de la digitalización caracterizada por un cambio tecnológico cada vez más dinámico y constante. Para hacer viable y eficiente la convivencia de un enorme número de nuevas tecnologías y múltiples dispositivos electrónicos, surge como elemento clave la hiperconectividad que aporta el 5G.
La tecnología 5G impactará de forma positiva en aspectos como la mejora de la competitividad y la eficiencia en el uso de los recursos productivos, o en términos de una mayor calidad o prestaciones de los productos o servicios que se generan en distintos sectores económicos.
Plan para la Conectividad y las Infraestructuras Digitales
El Plan para la Conectividad y las Infraestructuras Digitales da respuesta al primero de los objetivos de la estrategia “España Digital 2025”: garantizar una conectividad digital adecuada para toda la población, promoviendo la desaparición de la brecha digital entre zonas rurales y urbanas.
La meta para 2025 es alcanzar que el 100% de la población tenga cobertura de más de 100 Mbps y posicionar a España como el polo de infraestructuras digitales de interconexión transfronterizas de referencia del sur de Europa.
Estrategia Nacional de IA 2020
Estrategia Nacional de IA 2020 - Resumen Ejecutivo
El término “INTELIGENCIA ARTIFICIAL” se acuñó en 1956, en una conferencia histórica en Dartmouth, pero solo en los últimos 10 años, en su mayor parte, hemos visto los primeros destellos verdaderamente sustantivos de su poder y aplicación. La IA, como ahora se la llama universalmente, es la búsqueda de realizar tareas generalmente reservadas para la cognición humana: reconocer patrones, predecir resultados nublados por la incertidumbre y tomar decisiones complejas.
Plan de Impulso de las Tecnologías del Lenguaje
El Plan de Impulso de las Tecnologías del Lenguaje (Plan TL) tiene como objetivo fomentar el desarrollo del procesamiento del lenguaje natural, la traducción automática y los sistemas conversacionales en lengua española y lenguas cooficiales.
La cadena de bloques o Blockchain es una base de datos distribuida, esto es, un conjunto de bases de datos relacionadas entre sí que se encuentran en diferentes ubicaciones, de forma que una persona desde cualquier lugar puede acceder a los datos de toda la red como si estuviesen en una sola base de datos en su ordenador.
En la Blockchain sólo es posible añadir nueva información, no existe la posibilidad de modificar datos ya existentes ni de eliminarlos.
Este es el tipo de base de datos que se utiliza en el campo de las criptomonedas como Bitcoin o Ethereum, pero cuenta con muchas más aplicaciones.
PROHIBICION DE USO DE SISTEMAS DE IDENTIFICACIÓN BASADOS EN DLT en el RD-Ley 14/2019 de medidas urgentes en el ámbito de la seguridad de la Administración Electrónica.
https://economia3.com/token-erc20-ethereum-que-es-criptomonedas/
Ethereum no solo es un tipo de criptomoneda. Es el motor más popular que posibilita la creación de tokens. Esta plataforma de desarrollo permite que los usuarios puedan, por ejemplo, crear DApps (aplicaciones descentralizadas) utilizando contratos inteligentes. También es posible idear tokens por medio de los contratos inteligentes. Actualmente, los tokens Ethereum tienen un estándar de implementación conocido como token ERC-20 (de Ethereum Request for Comments). También se desarrollan extensiones al estándar, que mejoran el funcionamiento de los tokens: ERC-223 y ERC-721.
Toda persona que haya estado trabajando en el tema de las criptomonedas durante algún tiempo, probablemente haya escuchado la existencia de token ERC-20. El estándar de implementación del ERC-20 permite una implementación uniforme de la funcionalidad. Entre otras cosas, ofrece ventajas como una implementación más sencilla por parte de los desarrolladores o la posibilidad de utilizar tokens con software de terceros. Esto es posible porque la nomenclatura es fija y los desarrolladores simplemente saben qué esperar.
En línea con
Tecnologías
Objetivos de una solución RPA
Características de una solución RPA
Definición de procedimientos RPA que sigan el procedimiento administrativo Ley 39/2015
Real Decreto-ley 14/2019, de 31 de octubre, por el que se adoptan medidas urgentes por razones de seguridad pública en materia de administración digital, contratación del sector público y telecomunicaciones
El carácter estratégico para la seguridad pública de las materias reguladas en este real decreto-ley se ve avalado por la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional, que describe los riesgos asociados a las nuevas tecnologías como uno de los principales desafíos de la sociedad actual.
Entre los principales desafíos que las nuevas tecnologías plantean desde el punto de vista de la seguridad pública se encuentran las actividades de desinformación, las interferencias en los procesos de participación política de la ciudadanía y el espionaje. Estas actividades se benefician de las posibilidades que ofrece la sofisticación informática para acceder a ingentes volúmenes de información y datos sensibles.
El presente real decreto-ley tiene por objeto regular este marco normativo, que comprende medidas urgentes relativas a
“La modificación de la letra a) del apartado 2 de los artículos 9 y 10 responde a la necesidad de adaptar sus contenidos al Reglamento (UE) N.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, conocido como Reglamento eIDAS, que establece un marco legal común para las identificaciones y firmas electrónicas en la Unión Europea.”
“se potencia igualmente la potestad sancionadora del Ministerio de Economía y Empresa con el objetivo de hacer efectivas y reales las actuaciones que pueda adoptar en uso de estas nuevas facultades de actuación dirigidas a preservar o restablecer el orden público, la seguridad pública y la seguridad nacional. […] En particular, se amplían los supuestos en los que el Ministerio de Economía y Empresa puede adoptar medidas cautelares en casos de razones de imperiosa urgencia sin audiencia previa del presunto infractor”
“garantizar la seguridad pública en relación con el empleo de sistemas de identificación y firma electrónicas de los interesados cuando se realizan con clave concertada o mediante cualquier otro sistema que cuente con un registro previo como usuario que permita garantizar su identidad y que las Administraciones Públicas consideren válido. […] se mantiene la posibilidad de que «cada administración diseñe sus propios sistemas de identificación electrónica o admita los expedidos por otras entidades públicas o privadas […] somete a un régimen de autorización previa por parte de la Administración General del Estado a los sistemas que sean distintos a aquellos del certificado y sello electrónico”
“obligatoriedad de que, en relación con los sistemas previstos en la letra c) del apartado 2 de los artículos 9 y 10, los recursos técnicos necesarios para la recogida, almacenamiento, tratamiento y gestión de dichos sistemas se encuentren situados en territorio de la Unión Europea, y en territorio español en caso de que se trate de categorías especiales de datos a los que se refiere el artículo 9 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”
“disposición adicional sexta a la Ley 39/2015, de 1 de octubre, que prevé que en las relaciones de los interesados con las Administraciones Públicas no serán admisibles en ningún caso y, por lo tanto, no podrán ser autorizados, los sistemas de identificaciones basados en tecnologías de registro distribuido y los sistemas de firma basados en los anteriores, en tanto que no sean objeto de regulación específica por el Estado en el marco del Derecho de la Unión Europea” […] “en ningún caso suponen una prohibición general. Simplemente, se restringe puntualmente y de forma meramente provisional su uso como sistema de identificación y firma de los interesados cuando estos últimos se interrelacionan con la Administración y mientras no haya más datos o un marco regulatorio ad hoc de carácter estatal o europeo que haga frente a las debilidades que implica su uso para los datos y la seguridad pública. ”
Ver El Gobierno podrá intervenir páginas webs que amenacen el orden público o la seguridad nacional, antena3.com
En la elaboración de la firma, el firmante calcula un resumen criptográfico del documento a firmar mediante una función resumen y posteriormente, cifra dicho resumen con su clave privada. A continuación, dará a conocer su firma para dicho documento y el protocolo de firma empleado, esto es, el tipo de criptosistema asimétrico al que corresponden sus claves y la función resumen empleada. CCN-STIC-405 v3.0
Sobre criptografía asimétrica: el proceso que debe seguir un usuario para obtener su par de claves, pública y privada: dichas claves se pueden obtener mediante la solicitud de un certificado digital a una Autoridad de Certificación (AC) o a un Prestador de Servicios de Certificación (PSC). El estándar de los certificados digitales es el X.509 y la validez de la información que certifica está garantizada por una AC o un PSC.
Las funciones resumen (en ingles, hash) son funciones eficientemente calculables de modo que al darles como entrada un documento de tamaño variable, proporcionan como salida un resumen de tamaño fijo. Las funciones resumen más extendidas y utilizadas en la actualidad son las siguientes: SHA-1 y RIPEMD-160, que proporcionan resúmenes de 160 bits, y la familia de funciones SHA-2, que dan como resultado resúmenes cuyas longitudes corresponden a los dígitos que las definen: SHA-224, SHA-256, SHA-384 y SHA-512.
SHA-3 (Secure Hash Algorithm 3) es el último miembro de la familia de estándares Secure Hash Algorithm, publicado por NIST el 5 de agosto de 2015. Aunque es parte de la misma serie de estándares, SHA-3 es internamente bastante diferente de la estructura similar a MD5 de SHA-1 y SHA-2.
El documento de ISO que describe el modelo de referencia OSI, consta de una segunda parte (ISO 7498-2) que se refiere a la arquitectura de seguridad, la cual fue publicada en 1988 y en ella se proporciona una descripción general de los servicios y mecanismos relacionados con la seguridad y sus interrelaciones.
¿Qué es un servicio de seguridad? Servicio suministrado por uno o más niveles de un sistema abierto de comunicación, que garantiza la seguridad del sistema y de las transferencias de datos (ISO-7498-2). Los servicios reconocidos por la norma citada son: confidencialidad, autenticación, integridad, no repudio, control de acceso y disponibilidad. [Ribagorda:1997]
La arquitectura indica que para proteger las comunicaciones de los usuarios en las redes, esnecesario dotar a las mismas con 5 clases de servicios de seguridad.
Estos conceptos han sido incorporados al marco jurídico permitiendo así la creación de instituciones jurídicas con valor probatorio. Se han incorporado tecnologías criptográficas que se usan en el mundo de la seguridad TIC.
Reglamento (UE) No 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS).
Norma jurídica de la UE (aprobada por el Parlamento Europeo y el Consejo) que, por tratarse de un reglamento (y no una directiva) forma parte del ordenamiento jurídico español excepto las partes que el propio reglamento indica que deben ser ampliadas por cada Estado (regimen de infracciones y sanciones, reglas adicionales para innovar). En nuestro caso, esta ampliación la hace la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
El reglamento eIDAS define y regula servicios de confianza (servicios informáticos como la expedición de certificados de firma electrónica, la expedición de certificados para la autenticación de sitios web, la expedición de sellos de tiempo, la preservación de firmas, sellos o certificados electrónicos, etc., por ejemplo @firma, TS@ o la preservación de firmas y sellos que hacen InSIDe y ARCHIVE que sustentan instituciones de prueba electrónica (firma electrónica de persona física, sello electrónico de persona jurídica, sello de tiempo electrónico y la entrega electrónica certificada.
La Ley 39/2015 y 40/2015 proyecta este regimen general a la actividad del sector público.
Los servicios de confianza pueden funcionar en dos modalidades
El deseo de onboarding digital de los servicios de firma electrónica (la adquisición o suscripción de nuevos usuarios) está haciendo primer los servicios de confianza ordinarios sobre los cualificados (p. ej, ventaja de “instalar” un certificado en los PC en vez de portar una tarjeta criptográfica). Por eso la legislación española no impone los certificados cualificados al relacionarse con la administración.
El marco legal que indica cuándo hay obligación de pedir certificados cualificados o cuándo es simplemente una recomendación, es el ESQUEMA NACIONAL DE SEGURIDAD, concretamente el Anexo II en los controles [op.acc] (Control de acceso) y [mp.info.4] para firma electrónica y [mp.info.5] para sello de tiempo.
La legislación sectorial: establece reglas concretas para el uso de estas tecnologías y estas instituciones jurídicas con valor probatorio.
La Ley 6/2020 ha perdido la oportunidad de ampliar los servicios de confianza españoles. Actualmente NO son servicios de confianza:
Una firma electrónica es un mecanismo criptográfico
Pero no es solo tecnología. Es importante la perspectiva del USO DE DICHA TECNOLOGÍA, porque según el uso tiene un regimen jurídico diferente:
Existen tres NIVELES de firma/sello electrxónicos. Ojo, no son niveles de seguridad ya que la seguridad la da el argoritmo criptográfico, son niveles jurídicos:
PROCESO DE FIRMA ELECTRÓNICA AVANZADA/CUALIFICADA: Tengo un documento, al documento le saco un hash y firmo ese hash con mi clave privada. Al documento le puedo pegar un certificado con mi clave pública. Esto lo adjunto al documento y alguien lo verifica. ¡Ojo, este proceso es el mismo para avanzada y para cualificada pero el legislador reserva el efecto jurídico privilegiado a la firma electrónica cualificada!
Cuando hablamos de un certificado electrónico hablamos de que hay un X.509, una tecnología concreta que se llama PKI (en inglés, Public Key Infrastructure). Admitiría también otras tecnologías nuevas para acreditar lo mismo, como credenciales verificables vinculadas a Cadena de Bloques.
La credencial cualificada pierde neutralidad tecnológica pero gana efecto jurídico. Hay que sopesar validez (porque la ley permite usar ese sistema de identificación o firma) versis eficacia (porque si voy a juicio lo gano seguro porque he usado un sistema que tiene presunción de veracidad y el juez va a dictar a mi favor porque la pericial le convence).
Un ejemplo de firma electrónica ordinaria que tendría fuerte apoyo jurídico sería si, por ejemplo, esa firma consistiera en pinchar un botón después de haber tenido fuertes controles previos de identificación del firmante, como hace la Agencia Tributaria.
La firma electrónica avanzada, para serlo, tiene que cumplir una serie de requisitos enumerados en el artículo 26 del reglamento eIDAS:
Estos requisitos excluirían, por ejemplo, las firmas electrónicas de grupo porque no se vinculan con el firmante de manera única.
La firma electrónica tiene un requisito que no tiene su contrapartida en papel: la INTEGRIDAD. La firma electrónica avanzada también garantiza la vinculación de la firma con los datos firmados de forma que cualquier modificación de los mismos es detectable.
¿Qué hace mejor a una firma electrónica cualificada? Ya vimos que no es que se basen en distintos algoritmos sino el hecho de que se basa en un certificado electrónico cualificado. Es decir, un fichero .p12, avanzado, es menor privilegiado legalmente que un DNIe o un certificado en tarjeta criptográfica. Ahora tenemos también la firma electrónica cualificada en nube, por ejemplo CERES Cloud ID, donde en vez de haber una tarjeta con microprocesador hay un HSM con un producto especial de software que tiene una certificación que demuestra que es suficientemente seguro para generar remotamente firmas electrónicas cualificadas.
Problema: obliga a poner un PIN cada vez que se genera una firma y eso hay gente que no está dispuesta a hacerlo. Es la firma con más garantías pero la más inflexible.
Garantías: la firma electrónica cualificada es equivalente a la firma manuscrita a todos los efectos y en todos los países de la UE porque así lo establece el reglamento eIDAS. Para trámites transfronterizos en la UE es la mejor firma.
Lo mismo que aplica a la firma electrónica para personas físicas aplica al sello electrónico respecto de personas jurídicas.
El sello electrónico es una institución jurídica en sí mismo. Igual que hemos hecho con el Certificado de Componente (de servidor web, multidominio, wildcard), que es una institución en sí misma sin correlato con el mundo exterior al electrónico.
El sello electrónico de persona jurídica se puede usar como mecanismo general para autenticar lo que una empresa o la administración hacen electrónicamente:
Un sello electrónico cualificado disfruta de una presunción legal: si hay un intercambio de datos firmados con sello electrónico cualificado y hay una doscusión sobre la integridad de los datos, esa discusión la gana claramente el que puso el sello cualificado.
El sello electrónico cualificado es una institución jurídica nueva y muy potente: permite a la administración relacionarse con personas jurídicas directamente en vez de relacionarse con sus representantes, lo cual facilita mucho la transición al nuevo modelo de administración electrónica.
Pérdida de Validez Técnica si el algoritmo que se ha usado en la firma ha quedado comprometido porque ha habido un avance criptográfico que permita resolver el problema matemático que subyace al algoritmo que usamos.
Las firmas generadas con SHA-1 como algoritmo de resumen son atacables por ataque de preimagen. Ejemplos de este ataque se ven en shattered.io Todos los ataques prácticos o casi prácticos que se conocen actualmente en las funciones MD5 y SHA-1 son ataques de colisión. Esto permitiría alterar el contenido del documento sin que se altere la firma.
Hay que proteger estas firmas comprometidas durante el tiempo que la legislación archivística indique que tenemos que conservarlas. Esto se hace mediante técnicas criptográficas. Por ejemplo mediante incorporar a la firma un sello de tiempo para poder demostrar que esa firma se hizo antes de que el algoritmo estuviera comprometido. Esto es la PROTECCION TEMPORAL DE LA FIRMA.
La VALIDACIÓN de la firma implica la recopilación de toda la información que se necesita para tener la prueba (listas de certificados revocados, respuestas OCSP) y guardarla de forma correcta durante todo el tiempo que dure el valor probatorio de ese documento. Esto se denomina Formatos Longevos de Firma Electrónica y está estandarizado. Esto se hace mediante los servicios de:
Firmar en tableta. Se suele llamar “firma biométrica”.
Por ejemplo, la AUTORIZACION AL FUNCIONARIO HABILITADO EN LA OAMR se hace a veces mediante firma en tableta.
Es válido en España
Hay que tomar precauciones
Una innovación muy interesante de La Ley 39/2015 es que diferencia entre “identificación” y “firma” porque hace un esfuerzo por reducir el número de documentos que requieren firma: solo aquellas actuaciones que son muy relevantes. Para lo demás, con una simple identificación tenemos bastante.
Por ejemplo, para acceder a un expediente administrativo no hay que formar una solicitud: basta con identificarse.
IDENTIFICACIÓN: se pide siempre (no podemos relacionarnos con alguien desconocido)
FIRMA ELECTRÓNICA: es un “además” que pedimos para determinadas actuaciones, previstas en el artículo 11.2 de la Ley 39/2015
Ley 39/2015, Título III: Identificación y firma de los interesados en el procedimiento administrativo
Para identificarse
Para firmar (Art. 10.2)
Al haberse armonizado el artículo 9 y el artículo 10 hemos recuperado el derecho a la firma electrónica avanzada , por ejemplo un cuidadano con un certificado de la FNMT o de otro operador tiene derecho a firmar. Esto implicaría el despliegue de AutoFirma
Identificación
Firma
ENS [mp.info.9] Copias de seguridad (backup)
¿Dónde almaceno las copias?
En cintas magnéticas, la nube, discos ópticos o utiliza las soluciones mixtas (D2D2T, D2D2C y C2C). Al menos una copia debe realizarse fuera de la organización. No utilices dependencias personales. Valora si es necesario la guarda y custodia.
Utiliza la estrategia 3-2-1
3: Mantén 3 copias de cualquier fichero importante: el archivo original y 2 backups. 2: Almacena las copias en 2 soportes distintos de almacenamiento para protegerlas ante distintos riesgos. 1: Guarda 1 copia de seguridad fuera de la empresa, lo que también se conoce como backup offsite.
Consideraciones para las copias en la nube
Cifra la información antes de hacer la copia. Firma Acuerdos de Nivel de Servicio (ANS). Considera el ancho de banda para almacenar y descargar las copias.
Si utilizas dispositivos móviles para trabajar
Utiliza soluciones de Gestión de Contenidos Móviles o MCM (del inglés Mobile Content Management), que facilitan la tarea de proteger la información almacenada en estos dispositivos.
Comprobar la validez de las copias
Comprueba periódicamente que las copias pueden restaurarse.
Documentación del proceso
Documenta todo el proceso de realización y restauración de copias, ahorrarás tiempo cuando necesites aplicarlo.
Se crea una copia exacta de los datos en tiempo real.
La monitorización sintética es una herramienta eficaz para monitorizar aplicaciones, páginas, APIs, etc., desde la perspectiva del usuario, para que puedas entender mejor cómo funcionan frente al usuario. La supervisión sintética se puede implementar para ejecutar comprobaciones básicas de tiempo de actividad para supervisar transacciones empresariales complejas y críticas. Además, estas herramientas y soluciones también le permiten probar y supervisar aplicaciones externas o de terceros, para proporcionarle los datos de rendimiento necesarios para los recursos en los que confían sus sitios o aplicaciones.
Algunas de las herramientas son:
La guía definitiva del monitoreo sintético
12 herramientas de monitoreo sintético
Fuentes:
https://manuel.cillero.es/doc/metodologia/metrica-3/tecnicas/normalizacion/
La teoría de la normalización tiene por objetivo la eliminación de dependencias entre atributos que originen anomalías en la actualización de los datos, y proporcionar una estructura más regular para la representación de las tablas, constituyendo el soporte para el diseño de bases de datos relacionales.
Como resultado de la aplicación de esta técnica se obtiene un modelo lógico de datos normalizado.
La teoría de la normalización, como técnica formal para organizar los datos, ayuda a encontrar fallos y a corregirlos, evitando así introducir anomalías en las operaciones de manipulación de datos.
Se dice que una relación está en una determinada forma normal si satisface un cierto conjunto de restricciones sobre los atributos. Cuanto más restricciones existan, menor será el número de relaciones que las satisfagan, así, por ejemplo, una relación en tercera forma normal estará también en segunda y en primera forma normal.
Antes de definir las distintas formas normales se explican, muy brevemente, algunos conceptos necesarios para su comprensión.
Dependencia funcional
Un atributo Y se dice que depende funcionalmente de otro X si, y sólo si, a cada valor de X le corresponde un único valor de Y, lo que se expresa de la siguiente forma: X → Y (también se dice que X determina o implica a Y).
X se denomina implicante o determinante e Y es el implicado. Dependencia funcional completa
Un atributo Y tiene dependencia funcional completa respecto de otro X, si depende funcionalmente de él en su totalidad, es decir, no depende de ninguno de los posibles atributos que formen parte de X.
Dependencia transitiva
Un atributo depende transitivamente de otro si, y sólo si, depende de él a través de otro atributo. Así, Z depende transitivamente de X, si:
X –→ Y
Y -/→ X
Y –→ Z
Se dice que X implica a Z a través de Y.
Una vez definidas las anteriores dependencias, se pueden enunciar las siguientes formas normales:
Una entidad está en 1FN si no tiene grupos repetitivos, es decir, un atributo sólo puede tomar un único valor de un dominio simple.
Una vez identificados los atributos que no dependen funcionalmente de la clave principal, se formará con ellos una nueva entidad y se eliminarán de la antigua. La clave principal de la nueva entidad estará formada por la concatenación de uno o varios de sus atributos más la clave principal de la antigua entidad.
Una entidad está en 2FN si está en 1FN y todos los atributos que no forman parte de las claves candidatas (atributos no principales) tienen dependencia funcional completa respecto de éstas, es decir, no hay dependencias funcionales de atributos no principales respecto de una parte de las claves. Cada uno de los atributos de una entidad depende de toda la clave.
Una vez identificados los atributos que no dependen funcionalmente de toda la clave, sino sólo de parte de la misma, se formará con ellos una nueva entidad y se eliminarán de la antigua. La clave principal de la nueva entidad estará formada por la parte de la antigua de la que dependen funcionalmente.
Una entidad está en 3FN si está en 2FN y todos sus atributos no principales dependen directamente de la clave primaria, es decir, no hay dependencias funcionales transitivas de atributos no principales respecto de las claves.
Una vez identificados los atributos que dependen de otro atributo distinto de la clave, se formará con ellos una nueva entidad y se eliminarán de la antigua. La clave principal de la nueva entidad será el atributo del cual dependen. Este atributo en la entidad antigua, pasará a ser una clave ajena.
https://administracionelectronica.gob.es/ctt/reunete/infoadicional
Descripción Técnica
Requisitos que deben cumplir los equipos:
Para el acceso vía web puede utilizarse un PC, una tablet o un Smartphone. Estos dispositivos deben utilizar un navegador web compatible con la API webRTC. En particular se recomiendan los siguientes navegadores:
Tenga presente que la calidad que su equipo ofrecerá a los demás participantes dependerá:
El acceso a la videoconferencia en movilidad por redes de datos (Internet y Red SARA) implica que no puede garantizarse una calidad de servicio. Sin embargo, gracias al aumento significativo del throughput de las redes de datos actuales, se ha observado un comportamiento, en general, aceptable.
Para acceder por Red SARA, actualmente se requiere de la realización de pruebas. Póngase en contacto con nosotros para verificar el acceso. En próximas actualizaciones del sistema se simplificará el acceso por Red SARA.
Para el acceso utilizando un terminal de videoconferencia de sala es necesario disponer de acceso a Internet o a la RDSI. Como recomendaciones generales se prefiere el uso de SIP (nativo en Reúnete 2.0) frente a H.323 (que precisa de traducción). También se recomienda mantener actualizado el firmware del terminal de videoconferencia para evitar problemas de interoperabilidad.
Si la conexión se realiza a través de Internet, la IP pública que utilice el organismo ha de sernos comunicada para poder darla de alta y permitir las comunicaciones.
Si la conexión se realiza a través de RDSI no es necesario ningún requisito adicional. La RDSI no es, actualmente, la vía principal de acceso. El ancho de banda disponible se limita a 256 Kbps o 386 Kbps según las circunstancias.
Conexión mediante integración de sistemas de videoconferencia: Red SARA de videoconferencia. Póngase en contacto con nosotros para estudiar su viabilidad.
Para el acceso mediante llamada telefónica convencional, por limitaciones en la actual infraestructura, se requiere de justificación para facilitar este acceso. El participante que se une a la sesión queda limitado al solo poder escuchar y hablar con los demás participantes. Por otra parte, con un Smarphone es posible acceder a la sesión de videoconferencia con servicios de audio y vídeo utilizando desde este dispositivo uno de los navegadores web recomendados. Tenga presente el alto consumo de datos si accede mediante una red móvil pública.
La fecha que marca un antes y un después es el 25 de mayo de 2018. Hasta ese momento solo existía la LOPD y un reglamento que servía para aplicar al mundo TIC la LOPD. Esta ley obligaba a DECLARAR FICHEROS y los datos personales que se guardaban en ellos. Había tres niveles de protección: BÁSICO, MEDIO y ALTO.
Se introducen también los derechos ARCO. Originariamente eran cuatro: Acceso, Rectificación, Cancelación y Oposición, aunque el Reglamento General de Protección de Datos añadió con su entrada en vigor en 2016 dos más: el derecho de limitación y el derecho de portabilidad, con lo que los derechos ARCO pasaron a ser un total de seis.
Había que cumplimentar un documento de seguridad que contenía una serie de obligaciones en función de si el nivel de protección de los datos era bajo, medio o alto.
RGPD | Reglamento UE 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE |
---|---|
LOPDGDD | Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) que reemplaza a la vigente LOPD |
El marco normativo de protección de datos seguirá encabezado por el RGPD.
Hay que cumplir tanto con el RGPD como con la LOPDGDD.
Junto al RGPD se aprobó también la Directiva 2016/680 sobre protección de datos en el ámbito policial y judicial penal (Directiva de Policía, aún sin trasponer).
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-acceso.pdf
El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:
https://www.aepd.es/es/documento/formulario-derecho-de-rectificacion.pdf
El ejercicio de este derecho supone que podrás obtener la rectificación de tus datos personales que sean inexactos sin dilación indebida del responsable del tratamiento.
Teniendo en cuenta los fines del tratamiento, tienes derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
En tu solicitud deberás indicar a qué datos te refieres y la corrección que hay que realizar. Además, cuando sea necesario, deberás acompañar tu solicitud de la documentación que justifique la inexactitud o el carácter incompleto de tus datos.
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-oposicion.pdf
Este derecho, como su nombre indica, supone que te puedes oponer a que el responsable realice un tratamiento de los datos personales en los siguientes supuestos:
Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles: El responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones
Cuando el tratamiento tenga como finalidad la mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada: Ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-supresion.pdf
Podrás ejercitar este derecho ante la persona responsable solicitando la supresión de sus datos de carácter personal cuando concurra alguna de las siguientes circunstancias:
Además, el RGPD al regular este derecho lo conecta de cierta forma con el denominado “derecho al olvido”, de manera que este derecho de supresión se amplíe de tal forma que la persona responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos.
No obstante, este derecho no es ilimitado, de tal forma que puede ser factible no proceder a la supresión cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos a la persona responsable, por razones de interés público, en el ámbito de la salud pública, con fines de archivo de interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-portabilidad.pdf
La finalidad de este nuevo derecho es reforzar aún más el control de tus datos personales, de forma que cuando el tratamiento se efectúe por medios automatizados, recibas tus datos personales en un formato estructurado, de uso común, de lectura mecánica e interoperable, y puedas transmitirlos a otro responsable del tratamiento, siempre que el tratamiento se legitime en base al consentimiento o en el marco de la ejecución de un contrato.
No obstante, este derecho, por su propia naturaleza, no se puede aplicar cuando el tratamiento sea necesario para el cumplimiento de una misión de interés público o en el ejercicio de poderes públicos conferidos al responsable.
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-limitacion.pdf
Este nuevo derecho consiste en que obtengas la limitación del tratamiento de tus datos que realiza el responsable, si bien su ejercicio presenta dos vertientes:
Puedes solicitar la suspensión del tratamiento de tus datos:
Solicitar al responsable la conservación tus datos:
Formulario: https://www.aepd.es/es/documento/formulario-derecho-de-oposicion-decisiones-automatizadas.pdf
Este derecho pretende garantizar que no seas objeto de una decisión basada únicamente en el tratamiento de tus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ti o te afecte significativamente de forma similar.
Sobre esta elaboración de perfiles, se trata de cualquier forma de tratamiento de tus datos personales que evalúe aspectos personales, en particular analizar o predecir aspectos relacionados con tu rendimiento en el trabajo, situación económica, salud, las preferencias o intereses personales, fiabilidad o el comportamiento.
No obstante, este derecho no será aplicable cuando:
No obstante, en estos dos primeros supuestos, el responsable debe garantizar tu derecho a obtener la intervención humana, expresar tu punto de vista e impugnar la decisión.
A su vez, estas excepciones no se aplicarán sobre las categorías especiales de datos (art.9.1), salvo que se aplique el artículo 9.2.letra a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.
Cuando se recaban tus datos de carácter personal, el responsable del tratamiento debe cumplir con el derecho de información.
Para dar cumplimiento a este derecho, la AEPD recomienda que esta información se te facilite por capas o niveles de manera que:
Aplica desde el 25/5/2018 aunque está en vigor desde el 25/5/2016.
Dos claves principales para entender el paso de la LOPD al RGPD:
Definición de “tratamiento”
estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
¿Quién es el “responsable de la información”?
Obligaciones del “responsable de la información”
¿Quién es? “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Es decir, nosotros si desarrollamos o la subcontrata si contratamos el desarrollo.
“Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
!no vale el consentimiento tácito!
En tratamientos de naturaleza comercial o de marketing, es decir, cuando no tienes una relación contractual con el usuario, el consentimiento es explícito.
La mayor parte de los tratamientos de las AAPP NO están legitimados por el consentimiento sino por intereses legítimos con lo que no hay que recabar el consentimiento de los usuarios.
¿Cuándo se puede hacer TRATAMIENTO SIN CONSENTIMIENTO?
La seguridad no es solo “pura técnica”, como indica el Considerando 78 de la RGPD
Está pensada para RESPONSABLES DE TRATAMIENTO
Puesta a disposición en mayo de 2018: forja de reutilización de software del Portal de Administración Electrónica de la AGE, https://administracionelectronica.gob.es/ctt/assirgpd/.
ARQUITECTURA TECNOLOGICA (plataforma JAVA, aplicación Web):
ASSI-RGPD permite a los responsables de tratamiento responder a una serie formularios sencillos en base a los que se generan automáticamente:
Guías descargables diversas en https://www.aepd.es/guias/index.html
RGPD | REGLAMENTO (UE) 2016/679 |
---|---|
LOPDGDD | LO 3/2018, de Protección de Datos Personales y garantía de los derechos digitales |
La Ley Orgánica es una transposición del Reglamento. Pero…
LOPDGDD: Ley Orgánica, 3/2018 de 6 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales:
Novedades
Los estándares de diseño de materiales didácticos incluyen el diseño instruccional, el diseño visual, los medios, la escritura y los estándares de evaluación.
Tener estándares de diseño instructivo antes de desarrollar un curso ayuda a los desarrolladores a definir claramente el propósito, los objetivos y las estrategias y elegir el contenido, las interactividades, las evaluaciones y los métodos de retroalimentación. La taxonomía de Bloom es una buena guía para desarrollar un marco lógico para el contenido de la capacitación y garantizar la congruencia entre los objetivos de instrucción, las actividades y las evaluaciones.
Los estándares de diseño visual se refieren a la interfaz gráfica de usuario (GUI) y los elementos de navegación. La navegación del curso debe ser intuitiva y fácil de usar para tener éxito. El objetivo de los estándares de diseño visual es garantizar la coherencia del diseño en todas las lecciones y módulos.
Los estándares multimedia garantizan la coherencia y la compatibilidad entre los elementos multimedia utilizados en un curso, como el diseño/tamaño de la pantalla, los elementos textuales, los gráficos, la animación, el audio y el vídeo. Al decidir sobre los estándares de los medios, tenga en cuenta a los usuarios finales y cómo accederán a los cursos. ¿Tienen acceso a auriculares? ¿Accederán al curso en computadoras de escritorio, portátiles o dispositivos móviles? Las respuestas a estas preguntas dictarán el uso de elementos multimedia en el curso.
Siempre es una buena práctica tener pautas de escritura o una guía de estilo para diseñadores de instrucción y desarrolladores de cursos. Estos estándares de escritura actúan como referencia para el uso del lenguaje, puntuación, listas con viñetas, abreviaturas, acrónimos y otros elementos del texto. Por ejemplo, puede recomendar usar la voz activa en lugar de la voz pasiva y un lenguaje sencillo y directo en lugar de un lenguaje abstracto y académico. Estándares como estos deben incluirse en su escritura o guía de estilo.
Los estándares de evaluación, que deben alinearse con los objetivos de instrucción, definen cómo evalúa la comprensión de los alumnos al finalizar el curso. La taxonomía de Bloom o los cuatro niveles de evaluación del aprendizaje de Kirkpatrick brindan orientación sobre la evaluación. Estas pautas sobre preguntas de opción múltiple también podrían ser útiles.
A finales de los años 50 del pasado siglo, había una corriente psicológica en los Estados Unidos encabezada por la escuela de Chicago que estaba muy preocupada por cómo se aprende y cómo evaluar los aprendizajes. Se comprobó rápidamente que no todas las acciones cognitivas tenían la misma complejidad, por ejemplo, no es lo mismo recordar un cierto dato que analizarlo o valorarlo.
Bloom desarrolló una jerarquía de los objetivos educativos que se querían alcanzar con el alumnado, dividiéndolo en tres ámbitos: Ámbito cognitivo, ámbito afectivo y ámbito psicomotor. Es del primer ámbito del que surge la tabla de la taxonomía de Bloom.
En el 2001 sufrió una revisión por parte de Lorin Anderson y David R. Krathwohl antiguos alumnos del propio Bloom.
Posteriormente al trabajo de Anderson y Krathwohl, el doctor Andrew Churches actualizó la taxonomía para la era digital. Churches introdujo nuevas acciones relacionadas con las tecnologías digitales. Acciones o verbos que no existían al finales del siglo pasado y que de alguna manera teníamos que tener también categorizadas.
Es importante hacer notar que esta última revisión no cambia los niveles de la taxonomía ni en orden ni en denominación, simplemente la enriquece introduciendo una serie de aprendizajes propios de los nuevos tiempos. Se introdujeron acciones que deberían ser realizadas por el alumnado tales como “hacer búsquedas en Google”, “subir archivos a un servidor”, “recopilar información de medios”, “publicar”, “programar” etc.
A continuación mostramos una breve explicación de cada nivel además de distintas palabras claves, acciones y resultados para esas acciones, así como preguntas clave que hacen ejercitar cada nivel de aprendizaje.
Múltiples productos de software, LMS y desarrolladores de e-learning están involucrados en el desarrollo de cursos de e-learning. En ausencia de estándares claros, coordinar e integrar el contenido sería un ejercicio laborioso y costoso. Por lo tanto, es importante comprender los estándares de aprendizaje electrónico de su organización al comienzo de la implementación. El objetivo final es garantizar que todas las partes interesadas estén en sintonía con respecto al contenido y desarrollar objetos de aprendizaje que se puedan usar sin problemas en programas de software, plataformas y dispositivos.
Los estándares técnicos se refieren a la interoperabilidad y portabilidad de los cursos de aprendizaje electrónico entre dispositivos, navegadores y plataformas. Los estándares técnicos más utilizados son SCORM, AICC y WCAG.
SCORM significa Modelo de referencia de objetos de contenido compartible. Es un estándar técnico desarrollado por la Iniciativa de Aprendizaje Distribuido Avanzado (ADL) y define cómo los cursos de aprendizaje electrónico interactúan con los LMS para facilitar el seguimiento del curso. El cumplimiento de SCORM facilita el registro de elementos como la finalización del curso, la cantidad de veces que un alumno ha accedido a un curso, el tiempo necesario para completar el curso, los puntajes de evaluación y los puntos.
AICC significa Comité de Capacitación por Computadora de la Industria de la Aviación, que desarrolló estándares técnicos para cursos por computadora en la industria de las aerolíneas. Aunque el objetivo de los estándares AICC es el mismo que el de SCORM, utilizan mensajes HTTP para comunicarse con un LMS e involucran múltiples pasos, y su popularidad está disminuyendo debido a esa complejidad.
WCAG son las siglas de Web Content Accessibility Guidelines, que el Consorcio World Wide Web desarrolló para hacer que el contenido web sea más accesible para las personas con discapacidades. Muchos países, incluido EE. UU., han aprobado leyes que exigen que todo el material compartido digitalmente sea accesible para todos.
“There has been always a debate regarding the real value of content to be SCORM compliance. During the LMS era in the early days of the emergence of e-learning before web 2.0, The SCORM was essential as a standard host of e-learning content. however, the evolution of social learning, web 2.0 and youtube has significantly eliminated the value of SCORM since learning authors can independently publish their works without the need for SCORM conversion. google classroom concept is built on the direct contribution of teachers without the need for a content designer and e-learning authors, so here is the point why google classroom doesn't import SCORM packages. you may unpackage the Scorm content and use each single Sharable Content Object (SCO) in google classroom.”
Fuente: researchgate.net
Canvas is not following AICC standards neither SCORM.
Google Classroom unifica todos los recursos de enseñanza y aprendizaje que necesitas. Esta herramienta segura y fácil de usar ayuda a los educadores a gestionar, evaluar y mejorar la experiencia didáctica.