Seguridad, un elefante en la habitación

elefantes alrededor de una mesa

No tomar precauciones relacionadas con seguridad de la información en procesos de Transformación Digital es como tener un elefante en la habitación …

Hoy, estamos enfrentados un proceso muy masivo de transformación digital en el Estado en la región, el cual plantea la exigencia de que muchos de los trámites e interacciones de los ciudadanos con el Estado, se muevan desde el canal presencial al digital (web). Este proceso que ya en muchos países se inició, impone altas exigencias no sólo en materias de digitalización.

Si bien, este proceso es una buena noticia para modernizar nuestros estados, levanta varios desafíos, más allá de los propios de un proceso como este, en términos de las dificultades de todo proyecto tecnológico tiene en particular en el sector público.  

Me quiero centrar en el desafío vinculado a ciberseguridad y los cuidados frente a posibles ataques de terceros, como los sufridos en los últimos días en nuestro país por el Servicio Nacional del Consumidor – SERNAC, que dicho sea de paso no es le primero que sufre el Estado en este ámbito, recordemos el hackeo de Gobierno Digital en 2020.  

imagen de tuiteo de hackeo de Sernac

Al Sernac le tomó varios días retomar sus actividades, con muchas dificultades para restablecer sus servicios y reponer del todo la información requerida para los servicios que presta en su plataforma web; quedando bastantes dudas del impacto real en sistemas y así como los datos que fueron accedidos, producto del ataque del tipo ransomware sufrido.   

Algunas medidas, que no veo del todo instaladas en nuestros servicios públicos y que si bien no eliminan los riesgos de un ataque, reducen su impacto, me refiero a buenas prácticas de desarrollo de software y seguridad de la información, una adecuada gestión de los datos y por supuesto planes de continuidad de servicio (BCP) en caso de un incidente en el que a pesar de los esfuerzos desplegados los piratas informáticos logren dañar el soporte tecnológico.

Algo que no ayuda mucho en esto, es el proceso de digitalización acelerado que tuvimos producto de la pandemia COVID-19, en muchos servicios públicos y debido a las exigencias sanitarias (largas cuarentenas y restricciones de movilidad) es que tuvimos que migrar en forma urgente los servicios presenciales a la web, en ocasiones sin el tiempo necesario para tomar los resguardos debidos, hubo varios casos, aquí les comparto un par de ejemplos de ello en Argentina, Perú y Ecuador.

Este tipo de incidentes será cada día más frecuente y de mayor sofisticación, y si a esto agregamos lo que las iniciativas y políticas públicas de transformación digital exigen privilegiando el canal online, su impacto puede ser muy alto.  El incidente pone de manifiesto un tema que en muchos casos no se gestiona adecuadamente.

Dado esto, es que de ahora en más los servicios públicos requieren de un proceso constante de adecuación de prácticas y capacitación del personal que administra las plataformas tecnológicas de cada servicio público. Un buen punto de partida es evaluar el estado de mi institución en este ámbito, para esto les recomiendo utilicen la herramienta desarrollada por el BID en base al framework ciberseguridad National Institute of Standards and Technology (NIST) la cual genera una evaluación en 5 dimensiones, y un conjunto de recomendaciones para mejorar. La evaluación la pueden realizar aquí

En caso contrario esto es:

tener un elefante en la habitación y no verlo, en algún momento va a romper algo.

Antecedentes complementarios sobre el caso del Servicio Nacional del Consumidor:

Canal 13

Canal 24 Horas

Radio Cooperativa

Foto de David Clode en Unsplash

La entrada Seguridad, un elefante en la habitación se publicó primero en El Escritorio de Alejandro Barros.



Fuente: Alejandro Barros (Seguridad, un elefante en la habitación).