La Ley 21.180 de Transformación Digital del Estado impone un gran desafío. Esta establece que los distintos servicios deben digitalizar todos sus procedimientos administrativos, es decir, que todo trámite que pueda realizarse en forma electrónica se haga de esta manera antes de noviembre de 2024. Al especificar en el artículo 19 que: “Los órganos de la Administración estarán obligados a disponer y utilizar adecuadamente plataformas electrónicas para efectos de llevar expedientes electrónicos, las que deberán cumplir con estándares de seguridad, interoperabilidad, interconexión y ciberseguridad”, queda claro que la ley no es indiferente a los delitos que pueden cometerse o de los cuales pueda ser víctima alguno de los servicios del Estado.
Sumado a esto, este año, reforzando la importancia de la seguridad informática, se promulgó la Ley 21.459, que responsabiliza a las personas jurídicas por actos cometidos por sus dueños, controladores, responsables, ejecutivos principales, representantes o quienes realicen actividades de administración y supervisión, por lo que las organizaciones deben tener un sistema de prevención de delitos para que sus ejecutivos y quienes tienen facultades de administración no incurran en este tipo de conductas.
Estando conscientes de lo relevante que es hoy nuestra identidad digital, reconocida por el Estado, los bancos, tiendas, casas de estudio, familia, amigos y colegas, deben considerar el cuidado de esta como prioritario.
Algunos casos
Casos como la filtración de datos del servicio de Clave Única pone en riesgo nuestra identidad digital, mina confianzas y nos obliga a tomar medidas extremas de resguardo, aunque su custodia sea responsabilidad de los tenedores de la información.
Para actuar con el debido cuidado, no esperemos experiencias como la ocurrida en Düsseldorf, Alemania, donde un ataque informático detuvo la operación de un hospital, impidiendo que una mujer fuese intervenida, por lo que debió ser trasladada de emergencia, muriendo en el trayecto. Estos son riesgos reales e inherentes a la interrelación estrecha entre la dimensión física y la digital.
Sin duda, es prioritario avanzar en una Ley de Protección de Datos que sea lo suficientemente clara y dura con este tipo de vulneraciones, para que el Estado, las empresas y organizaciones tomen las medidas precautorias necesarias que eviten la reiteración de delitos de toda índole, o al menos, para estar seguros de que fueron diligentes en el cuidado de los datos de las personas.
Líderes de seguridad
¿Cómo lograr digitalizar al Estado, con esta celeridad, pero a la vez, con la seguridad y ciberseguridad que estos procesos necesitan? Esto, porque tanto los datos que manejan (que son nuestros), como la continuidad operativa, son fundamentales para nuestra convivencia y, en algunos casos, sobrevivencia.
¿La respuesta? No es simple, pero creo que parte por darle la importancia necesaria y que merecen los CISOs (Gerentes de Seguridad de la Información), en la organización, comenzando por permitirles ser parte de las mesas de transformación digital desde su concepción.
Ellos deben tener una jerarquía que les permita bloquear proyectos inseguros o, al menos, que sus sugerencias de seguridad tengan el peso suficiente como para ser consideradas cuando el riesgo supera el acordado por la dirección. De otra manera, si les otorgamos esta responsabilidad sin el peso suficiente en la organización, no estamos más que engañándonos con un falso sentido de seguridad que ha sido alimentado por la urgencia.
En su rol están mandatados a organizar la defensa frente a amenazas, que es un juego infinito, una contienda desigual donde, con un presupuesto acotado y horas hombre definidas, debe proteger a la organización frente a innumerables atacantes, desde cualquier parte del mundo, en un plazo de tiempo ilimitado, que intentarán vulnerar los sistemas y que eventualmente lo lograrán, por lo que es importante no solo proteger, si no minimizar el costo de una intrusión.
Las organizaciones a través de sus CISOs deben implementar marcos de referencia (frameworks), que son una guía para para definir los activos estratégicos, protegerlos, detectar amenazas, saber cómo responder a ellas y cómo recuperarse frente a un incidente. El framework NIST, abierto y creado por el gobierno norteamericano para sus instituciones, es un buen punto de partida. Este define cinco pilares: identificar, proteger, detectar, responder y recuperar, y cada uno se divide en categorías, subcategorías e información de referencia. NIST, junto a los controles CIS, permitirán monitorear y controlar el estado de ciberseguridad de una institución. También es importante recordar que la transformación digital y la ciberseguridad no son solo tecnológicas. El cambio cultural que conlleva es importante.
Junto con digitalizar documentos y bases de datos, el Estado debe poder solicitar únicamente la información con la que no cuenta, siendo capaz de interconectarse e interoperar entre distintas organizaciones, disminuyendo trámites y ahorrando tiempo al usuario. Estas ventajas levantan un gran desafío de ciberseguridad, dado que la interconexión se puede entender como una cadena de sistemas y sabemos que estas se cortan siempre en el eslabón más débil.
Un cibercriminal solo necesita una puerta o ventana para acceder a lo que llamamos “las joyas de la corona”, es decir, lo más valioso dentro de la organización, que puede ser una base datos confidencial, datos sensibles, operatividad de un sistema o maquinaria, entre otros. Debe entonces el Estado tener la mirada puesta en su ecosistema, donde no solo encontrará otros organismos estatales, sino también empresas privadas que brindan servicios digitales y físicos, pero que siempre dependerán, al igual que ellos, de sistemas electrónicos para operar.
Concientización
Es tarea de la alta dirección en todas las empresas, compañías y a nivel del Estado, implementar campañas de concientización en ciberseguridad, de la mano de la capacitación tecnológica, pues debemos comprender que el actuar personal, como el de cualquier individuo, puede poner en riesgo nuestros datos, cuentas bancarias, y las de mi entorno o mi organización.
Tal como décadas atrás se implementó una exitosa campaña para el uso del cinturón de seguridad, que cambió los hábitos de la población y redujo dramáticamente las muertes por colisión en automóviles, es deber del Estado continuar y potenciar sus acciones de concientización en ciberseguridad. Aun cuando el CSIRT ha realizado un trabajo excepcional en cuanto a difusión, el alcance no ha sido masivo, más bien selectivo para quienes nos interesan estas materias.
Y la concientización en el resguardo de la información es importante para un especialista, pero aún más para la tan querida y conocida por todos los chilenos “señora Juanita” que mantiene una cuenta RUT y está esperando el nuevo IFE. Un solo correo electrónico malicioso podría hacerla caer en una trampa que la despojaría de sus ahorros o también tomar control de su sistema de mensajería (ejemplo, WhatsApp) para estafar a sus contactos con una falsa solicitud de transferencia.
Los desafíos son tremendos, partiendo por diseñar procesos ágiles, sencillos, simples, interoperables, interconectables, disponibles y seguros. Se requiere, para esto, un conjunto de expertos de diferentes materias, donde no podemos excluir a quienes velarán por el cuidado de los datos y la continuidad de la operación.