13/4/2020 - La transformación de raíz hacia el gobierno electrónico y digital en la Argentina trae consigo nuevas realidades y aspectos a tener en cuenta. En la actualidad, los dispositivos electrónicos –celulares, tablets y computadoras– son un componente indispensable para la vida cotidiana, no solo para las personas, sino también para la gestión de las organizaciones del sector público. El acceso a internet y a la banda ancha ha traído consigo un aumento de la productividad, del empleo, y un mayor acceso de los ciudadanos a los servicios esenciales. Sin embargo, estas oportunidades también han generado nuevos riesgos.

Las tecnologías digitales no están maduras y los grupos hostiles ponen a prueba las defensas cibernéticas de los países. Toda organización se encuentra expuesta a riesgos en materia de gestión de seguridad de la información. Por ello, resulta un pilar fundamental conocer cuál es el mapa de riesgos al que se enfrenta cada organismo. En función de esto, se deben tomar acciones tendientes a minimizar los posibles efectos negativos. Los sistemas informáticos incluyen: sistemas operativos, infraestructura, aplicaciones operativas, productos de uso masivo, servicios, documentación en papel y aplicaciones desarrolladas para múltiples realidades. Para la seguridad, es crucial el diseño y la implementación de un sistema que dé soporte al proceso operativo.

Los requerimientos de seguridad deben identificarse y acordarse antes del desarrollo o la implementación de los sistemas de información. En nuestro país, se sigue la tendencia internacional. En tal sentido, se han encarado proyectos de gestión digital, gobierno abierto o gobierno electrónico con el fin de brindar a la población servicios más eficientes, y mejorar la gestión de seguridad mediante la incorporación de modernas tecnologías informáticas.

Acceso y responsabilidades

La interconexión de redes públicas y privadas, y el intercambio de fuentes de información incrementan la dificultad de lograr un control del ecosistema estatal. La tendencia a la computación distribuida también ha debilitado la efectividad de un control central y especializado. No hay ninguna duda de que, actualmente, el uso de las tecnologías informáticas permite al sector público administrar y procesar información a gran escala, lo que resulta imprescindible para modernizar su funcionamiento. Pero sabemos que esta información puede ser objeto de una amplia gama de usos inadecuados. Se debe, por ende, preservar la confidencialidad, integridad y disponibilidad de dicha información.

La gestión de la seguridad de la información requiere, como mínimo, la participación de los diferentes grupos de interés: ciudadanos, proveedores, terceros, clientes, entre otros. También se puede requerir asesoría especializada de organizaciones externas. Ahora bien, sabemos que el acceso a los recursos informáticos desde el puesto de trabajo también genera responsabilidades.

Debido al mal uso, o incluso al abuso de dichos recursos, el organismo se ve expuesto al ingreso de correo no deseado y de software malicioso. Basta observar el Informe sobre amenazas para la seguridad en internet 2019 (ISTR) de Symantec Corporation, la prestigiosa compañía de software con sede en Mountain View, California. En dicho informe, se observa que nuestro país sigue ocupando el segundo lugar en el registro de ataques de phishing por internet, el tercer lugar en spam y cryptojacking, el cuarto lugar en bots y el quinto lugar en malware, ataques en la red y ransomware. En este marco, la realidad es que la seguridad de la información del sector público es muy vulnerable. Es necesario, por ende, generar medidas de protección.

 Según un informe, nuestro país sigue ocupando el segundo lugar en el registro de ataques de phishing por internet, el tercer lugar en spam y cryptojacking, el cuarto lugar en bots y el quinto lugar en malware, ataques en la red y ransomware.

Existen, al menos, tres factores a tener en cuenta para un requerimiento de ciberseguridad.

El primero se deriva de evaluar los riesgos para la organización, tomando en consideración la estrategia general y los objetivos del organismo. A través de la evaluación del riesgo, se identifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.

El segundo tiene en cuenta los requerimientos legales, de regulación, estatutarios y contractuales que debe satisfacer la organización, otros organismos con los cuales se relaciona, ciudadanos, contratistas y proveedores de servicio.

El tercero es el conjunto particular de principios, objetivos y requerimientos funcionales para el procesamiento de la información y las operaciones que efectúa la organización para brindar sus servicios.

Ante el interrogante de cómo se gestiona la seguridad de la información en los organismos del sector público, se ha respondido, por lo general, a través de los departamentos de Tecnologías de la Información. Esto conlleva necesariamente a disponer de diferentes niveles de gestión de la seguridad relacionada con la envergadura del organismo en cuestión, pero no con el valor de la información que se gestiona. Esto ya no alcanza. Se necesita una especialización y una saludable oposición de tareas dentro de un marco de trabajo en equipos.

Existe suficiente normativa vigente para ponerse en marcha, la que también prevé la conformación de comités de seguridad de la información. Con ello, se busca, además, la alineación con las diferentes normas vigentes. En este sentido, a la hora de implementar políticas de seguridad de la información, en especial en la administración pública, deben tenerse en cuenta aspectos metodológicos y tecnológicos. En nuestro país, sin embargo, muy pocas organizaciones gubernamentales se adecuan a los estándares de calidad y ejecución de tareas por procesos establecidos.

 En nuestro país, muy pocas organizaciones gubernamentales se adecuan a los estánderes de calidad y ejecución de tareas por procesos establecidos

Confidencialidad, disponibilidad e integridad

La seguridad de la información comprende, al menos, las siguientes tres dimensiones fundamentales: la confidencialidad, la disponibilidad y la integridad. La confidencialidad se refiere al acceso a la información por parte únicamente de quienes están autorizados. La verificación y la autorización son dos de los mecanismos que se emplean para asegurar la confidencialidad de la información. La disponibilidad se refiere a la posibilidad de acceso a la información y sus sistemas de tratamiento por parte de usuarios autorizados, cuando estos lo requieran. La integridad implica el mantenimiento de la exactitud y completitud de la información, así como sus métodos de procesamiento. Partiendo de estas tres dimensiones fundamentales, existen organizaciones públicas que pueden necesitar de otras, como la trazabilidad y la autenticidad, y además, el denominado no repudio en entornos de uso de claves de cifrado como garantía ante la posible negación, por parte de una entidad o un usuario, de transacciones que efectivamente tuvieron lugar.

La gestión de la seguridad de la información requiere la participación de diferentes grupos de interés, como ciudadanos, proveedores, terceros y clientes. Foto: Archivo DEF.

Se debe preservar la integridad, la confidencialidad y la disponibilidad de los elementos involucrados en el tratamiento de los datos, a saber: equipamiento, software, procedimientos, así como los recursos humanos que utilizan dichos componentes. En este sentido, es fundamental capacitar e informar al personal acerca de las medidas de seguridad que afectan al desarrollo de sus funciones, y de lo que se espera de ellos en materia de seguridad y confidencialidad.

La capacitación debe efectuarse en forma continua. Asimismo, es necesario definir las sanciones que se aplicarán en caso de incumplimiento, ya sea debido a aspectos organizativos o a la violación a las normas consignadas en el Código Civil o Penal. La implementación de una estrategia de seguridad de la información tiene como meta, además, minimizar la probabilidad de ocurrencia de incidentes. Es por ello por lo que resulta necesario generar un mecanismo que permita reportar las debilidades y los incidentes tan pronto como sea posible, a fin de subsanarlos y evitar eventuales repeticiones. Es importante entonces analizar las causas de los incidentes y aprender de ellos para poder corregir las prácticas existentes que impidieron la prevención de estos sucesos y evitar la ocurrencia de acontecimientos similares en el futuro.

 Es fundamental capacitar e informar al personal acerca de las medidas de seguridad que afectan al desarrollo de sus funciones, y de lo que se espera de ellos en materia de seguridad y confidencialidad.

Asimismo, se puede “educar” a la organización y a sus principales referentes, y dar cumplimiento con lo estipulado en las normativas de seguridad vigentes, tales como la Decisión Administrativa 669/04 y el Modelo de Políticas de Seguridad de la Información para la Administración Pública.

Compromiso político

El mundo contemporáneo se caracteriza por los profundos cambios originados en el desarrollo y la difusión de las tecnologías de la información y la comunicación en la sociedad, que se encuentran sustentadas, en gran medida, en el ciberespacio. Las nuevas tecnologías son una pieza clave para las organizaciones públicas, pero los ataques cibernéticos son una amenaza constante. Proteger la integridad del software y la integración es impostergable.

Por todas estas razones, la infraestructura digital debe ser considerada el factor crítico que es, además de ser imprescindible para el funcionamiento de los sistemas de información y comunicaciones que permite que, tanto el sector público como el privado, cumplan con sus funciones y alcancen sus objetivos.

La parte más importante en una transformación digital es el compromiso político a abandonar la implementación de procesos ineficientes dentro de la estructura estatal. Con la ciberseguridad, la evolución constante, hoy, es una obligación.

Nuestra propuesta es, entonces, que la gestión del riesgo cibernético trabaje con herramientas de prevención y reconocimiento de patrones de comportamiento que permitirán anticipar eventos. Todo ello dentro de claros marcos de trabajo, aplicados a todas las áreas del Estado y a efectos de maximizar la gestión y los beneficios para los ciudadanos y las organizaciones, públicas o privadas.