Desafíos en Ciberseguridad para la digitalización del Estado de Chile Por Hugo Galilea, Director de la Alianza Chilena de Ciberseguridad. Un gran desafío impone la Ley 21.180 de Transformación Digital del Estado, la que establece que los distintos servicios deben digitalizar todos sus procedimientos administrativos, es decir, que todo trámite que pueda realizarse en forma electrónica se haga de esta manera antes de noviembre de 2024.
Pero esta ley no es indiferente a los delitos que pueden cometerse o de los cuales pueda ser víctima alguno de los servicios del Estado, al especificar, en el artículo 19 que: “Los órganos de la Administración estarán obligados a disponer y utilizar adecuadamente plataformas electrónicas para efectos de llevar expedientes electrónicos, las que deberán cumplir con estándares de seguridad, interoperabilidad, interconexión y ciberseguridad”.
Reforzando la importancia de la seguridad informática, se promulgó este año la Ley 21.459, la que responsabiliza a las personas jurídicas por actos cometidos por sus dueños, controladores, responsables, ejecutivos principales, representantes o quienes realicen actividades de administración y supervisión, por lo que las organizaciones deben tener un sistema de prevención de delitos para que sus ejecutivos y quienes tienen facultades de administración no incurran en este tipo de conductas.
Estando conscientes de lo relevante que es hoy nuestra identidad digital, reconocida por el Estado, los bancos, tiendas, casas de estudio, familia, amigos y colegas deben considerar el cuidado de esta como prioritario.
Casos como la filtración de datos del servicio de Clave Única pone en riesgo nuestra identidad digital, mina confianzas y nos obliga a tomar medidas extremas de resguardo, aunque su custodia sea responsabilidad de los tenedores de la información. Para actuar con el debido cuidado, no esperemos experiencias como la ocurrida en Düsseldorf, Alemania, donde un ataque informático detuvo la operación de un hospital, impidiendo que una mujer fuese intervenida, por lo que debió ser trasladada de emergencia, muriendo en el trayecto. Estos son riesgos reales e inherentes a la interrelación estrecha entre la dimensión física y la digital.
Debemos avanzar en una Ley de Protección de Datos que sea lo suficientemente clara y dura con este tipo de vulneraciones, para que el Estado, las empresas y organizaciones tomen las medidas precautorias necesarias que eviten la reiteración de delitos de toda índole, o al menos, para estar seguros de que fueron diligentes en el cuidado de los datos de las personas. El rol de los CISO Entonces, ¿cómo podemos digitalizar al Estado, con esta celeridad, pero a la vez, con la seguridad y ciberseguridad que estos procesos necesitan? Esto, porque tanto los datos que manejan (que son nuestros), como la continuidad operativa, son fundamentales para nuestra convivencia y, en algunos casos, sobrevivencia. La respuesta no es simple, pero creo que parte por darle la importancia necesaria y que merecen los CISO (gerentes de Seguridad de la Información) en la organización, partiendo por permitirles ser parte de las mesas de transformación digital desde su concepción.
Nuestros CISO deben tener una jerarquía que les permita bloquear proyectos inseguros o, al menos, que sus sugerencias de seguridad tengan el peso suficiente como para ser consideradas cuando el riesgo supera el acordado por la dirección. Al entregarles esta responsabilidad sin el peso suficiente en la organización, no estamos más que engañándonos en un falso sentido de seguridad que ha sido alimentado por la urgencia.
Son ellos los mandatados a organizar la defensa frente a amenazas, que es un juego infinito, una contienda desigual donde, con un presupuesto acotado y horas hombre definidas, debe proteger a la organización frente a innumerables atacantes, desde cualquier parte del mundo, en un plazo de tiempo ilimitado, que intentarán vulnerar los sistemas y que eventualmente lo lograrán, por lo que es importante no solo proteger, si no minimizar el costo de una intrusión.
A través de sus CISO, las organizaciones deben implementar marcos de referencia (frameworks), que son una guía para definir los activos estraté- gicos, protegerlos, detectar amenazas, saber cómo responder a ellas y cómo recuperarse frente a un incidente. El framework NIST, abierto y creado por el gobierno norteamericano para sus instituciones, es un buen punto de partida. Este define cinco pilares (IDENTIFICAR, PROTEGER, DETECTAR, RESPONDER, RECUPERAR) y cada uno se divide en categorías, subcategorías e información de referencia. NIST, junto a los controles CIS, permitirán monitorear y controlar el estado de ciberseguridad de una institución. Un cambio cultural También es importante recordar que la transformación digital y la ciberseguridad no son solo tecnológicas. El cambio cultural que conlleva es importante. Junto con digitalizar documentos y bases de datos, el Estado debe poder solicitar únicamente la información con la que no cuenta, siendo capaz de interconectarse e interoperar entre distintas organizaciones, disminuyendo trámites y ahorrando tiempo al usuario. Estas ventajas levantan un gran desafío de ciberseguridad, dado que la interconexión se puede entender como una cadena de sistemas y sabemos que estas se cortan siempre en el eslabón más débil.
Un cibercriminal solo necesita una puerta o ventana para acceder a lo que llamamos “las joyas de la corona”, es decir, lo más valioso dentro de la organización, que puede ser una base de datos confidencial, datos sensibles, operatividad de un sistema o maquinaria, entre otros. Debe entonces el Estado tener un ojo puesto en su ecosistema, donde no solo encontrará otros organismos estatales, sino también, empresas privadas que brindan servicios digitales y físicos, pero que siempre dependerán, al igual que ellos, de sistemas electrónicos para operar.
Finalmente, debemos entender que el actuar personal, como el de cualquier individuo, puede poner en riesgo nuestros datos, cuentas bancarias, las de mi entorno o mi organización. Es tarea de la alta dirección en todas las empresas, compañías y a nivel Estado, implementar campa- ñas de concientización en ciberseguridad, de la mano de la capacitación tecnológica.
Como décadas atrás, se implementó una exitosa campaña para el uso del cinturón de seguridad, que cambió los hábitos de la población y redujo dramáticamente las muertes por colisión en automóviles, es deber del Estado continuar y potenciar sus acciones de concientización en ciberseguridad. Aun cuando el CSIRT ha realizado un trabajo excepcional en cuanto a difusión, el alcance no ha sido masivo, más bien selectivo para quienes nos interesan estas materias.
Como el cinturón de seguridad, la concientización en el resguardo de la información es importante para un especialista, pero aún más para la tan querida y conocida por todos los chilenos “señora Juanita” que mantiene una cuenta RUT y está esperando el nuevo IFE. Un solo correo electrónico malicioso podría hacerla caer en una trampa que la despojaría de sus ahorros o también tomar control de su sistema de mensajería (ejemplo, WhatsApp) para estafar a sus contactos con una falsa solicitud de transferencia.
Los desafíos son tremendos, partiendo por diseñar procesos ágiles, sencillos, simples, interoperables, interconectables, disponibles y seguros. Para esto se necesita un conjunto de expertos de diferentes materias, donde no podemos excluir a quienes velarán por el cuidado de los datos y la continuidad de la operación. |