Llegamos a ustedes gracias a:



Reportajes y análisis

Avances y perspectivas en seguridad digital

[11/10/2017] La seguridad digital es un tema que ha sido ampliamente abordado por las organizaciones que, justamente, proveen soluciones de seguridad digital. Sin embargo, es reconfortante saber que el Estado ha comenzado a organizar eventos para hablar sobre el tema desde una perspectiva más del lado del usuario (gubernamental). Es por ello, por lo que recientemente se realizó la Primera Conferencia Internacional Avances y Perspectivas en Seguridad Digital, evento organizado en forma conjunta por la Secretaría de Gobierno Digital y la Dirección Nacional de Inteligencia.

En el evento, se mostraron los avances que se tienen en las diversas instituciones encargadas de velar por la seguridad, y lo hicieron yendo más allá de solo presentar qué soluciones informáticas utilizan para cada tipo de amenaza. En la reunión se habló de estándares, protocolos y políticas, más que de productos. A continuación, algunas de las presentaciones que se realizaron en el evento.

En el gobierno

Luego de las palabras iniciales de Guillermo Fajardo, director de Inteligencia Nacional de la Dirección Nacional de Inteligencia (Dini), fue Maurice Frayssinet, coordinador de seguridad de la Secretaría de Gobierno Digital (SeGDi), quien dio la primera conferencia.

Maurice Frayssinet, coordinador de seguridad de la Secretaría de Gobierno Digital (SeGDi).
Seguridad de la información, gobierno, SeGDi

El funcionario dirigió su atención hacia el estado de la seguridad en el gobierno y hacia las amenazas que se pueden enfrentar en la esfera pública.

Frayssinet indicó que se pronostica que, para el 2020, los ataques de ransomware contra las organizaciones se cuadruplicarán. Además, se prevé que el Wi-Fi y los dispositivos móviles representarán casi el 80% del tráfico IP en el 2025, frente al 48% que fue en el 2015.

En este entorno, es bueno tener en cuenta que existen amenazas que pueden ya dañar nuestra seguridad. Por ejemplo, existen ya en Internet formas de ver no solo los aviones que se encuentran volando por los cielos, sino también la información que tienen de ellos las torres de control. Un ataque mal intencionado podría hacer uso de esta información para causar daños de grandes dimensiones, incluso mortales.

¿Qué hacer ante esta y otras amenazas? Usar la gobernanza. Y por gobernanza hay que entender que la gobernanza de la seguridad de la información es la que se ocupa de la confidencialidad, integridad y disponibilidad de la información.

Y esto es necesario tomando en cuenta que ya en el país se han detectado infecciones y vulnerabilidades que se pueden encontrar incluso en las máquinas del gobierno. Por ejemplo, una de ellas es Gamarue, una familia de malwares que pueden otorgar a un hacker el control de la PC. Otra amenaza que se encuentra en el país es Poodle, una grave vulnerabilidad que afecta al protocolo de comunicación SSL 3.0.

Pero, quizás, lo más importante es que, sea cual fuera la amenaza, hay que tener un proceso integral de respuesta a incidentes. En este proceso deben de tomarse en cuenta diversos estándares como ISO/IEC 27043 de principios y procesos de investigación; el 27035 de gestión de incidentes; el 27037 de identificación, recolección y preservación de evidencia digital; el 27042 de análisis e interpretación de la evidencia digital; y el 27041 de métodos investigativos.

A nivel regional

Otra de las exposiciones fue la de Diego Sobero, especialista en ciberseguridad de la Organización de Estados Americanos (OEA). El funcionario habló sobre lo que actualmente tiene la región para hacer frente a las amenazas.

Diego Sobero, especialista en ciberseguridad de la Organización de Estados Americanos (OEA).
Seguridad de la información, gobierno, OEA, SeGDi

Como se esperaba, las realidades de cada país pueden ser muy diferentes, pero se puede ofrecer un panorama general viendo las capacidades que en conjunto tenemos en el hemisferio. Sobero indicó que 25 de 32 países no tienen una estrategia de ciberseguridad, 18 países no han identificado formalmente sus infraestructuras críticas nacionales, y 24 países no cuentan con mecanismos para la planeación y coordinación de incidencias en infraestructuras críticas.

21 países cuentan con CSIRTs, pero muchos trabajan sin autoridad o formalidad establecida; 26 países de la región no tienen estructurado un plan educativo en ciberseguridad; y en 28 de 32 países no tienen programas nacionales para la generación de la cultura de la ciberseguridad.

Hablando específicamente de los CSIRT, afirmó que en ellos falta claridad con respecto a lo que pueden y no pueden hacer; tener presupuestos limitados y temporales y su posición organizacional dentro del gobierno -es decir, a qué ministerio u organismo están adscritos- no siempre es la mejor.

Además, estas instituciones sufren de una alta rotación de personal -si sus elementos son buenos el sector privado se los lleva-, su protección legal al momento de atender un incidente no es buena en algunos casos, y su logística (espacios para el personal, servidores, configuración de red, despliegue de servicios) también tiene diversas falencias.

Entonces, ¿qué está haciendo la OEA? Básicamente, dijo Sobero, está trabajando en tres áreas: Desarrollo de políticas, creación de capacidades e investigación, y difusión. En el primer caso animan y ayudan a los estados a desarrollar políticas o estrategias nacionales, además de medidas de fomento de la confianza en el ciberespacio.

En el segundo frente, realizan ejercicios cibernéticos con los gobiernos, desarrollan CERTs y el CSIRT Americas, y realizan cursos técnicos y estratégicos. Finalmente, en el tercer frente publican informes y documentos técnicos, han creado el cybersecurityobservatory.com, realizan iniciativas de concientización y desarrolla el tema de juventud y ciberseguridad.

En el país

Uno de los puntos centrales de los que habló Sobero fue el de las infraestructuras críticas nacionales, y fue precisamente Rafael Zegarra, director de Seguridad Digital de la Dini, quien puso el tema sobre el tapete con su intervención.

Rafael Zegarra, director de Seguridad Digital de la Dini.
Seguridad de la información, gobierno, Dini, SeGDi

Zegarra primero definió lo que es un Activo Crítico Nacional: Son aquellos recursos, infraestructuras y sistemas que son esenciales e imprescindibles para mantener y desarrollar las capacidades nacionales; y su afectación, perturbación o destrucción no permite soluciones alternativas inmediatas, generando grave perjuicio a la nación.

Se está en el proceso de definir cuáles son estos activos, algo que se está realizando en conjunto con la empresa privada, ya que la mayoría de ellos se encuentran precisamente en manos de organizaciones no gubernamentales.

Otro de los ámbitos en los que se encuentra trabajando esta dirección es en el análisis de las amenazas del entorno digital; es decir, identifican las amenazas y estiman su nivel de riesgo. Además, se encargan de detectar vulnerabilidades y la superficie de exposición del ciberespacio.

También se encargan del monitoreo del estado de las capacidades nacionales, es decir, monitorean eventos, detectan e investigan anomalías, y alertan de incidentes de ciberseguridad.

Igualmente, se están encargando de la emisión de normas técnicas, desarrollo de procedimientos especializados y definición y elaboración de marcos de referencia. Finalmente, se encargan del análisis de los sistemas de protección de las capacidades nacionales. Para ello desarrollan proyectos, desarrollan capacidades en ciberdefensa y evalúan controles de seguridad.

Un ejemplo del exterior

Para tener una idea de cómo se está realizando el trabajo del Estado en cuanto a ciberseguridad en el exterior, se invitó a Javier Candau, jefe del Departamento de Ciberseguridad del Centro Nacional de Inteligencia de España.

Javier Candau, jefe del Departamento de Ciberseguridad del Centro Nacional de Inteligencia de España.
Seguidad de la información, gobierno SeGDi

Candau indicó que una de las herramientas que se utilizan para el desarrollo de la ciberseguridad es el Esquema Nacional de Seguridad. Este esquema consta de 75 medidas de seguridad que se dividen en tres ámbitos: Marco organizativo, marco operacional y medidas de protección.

El primero está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad y consta de cuatro elementos: La política de seguridad, las normativas de seguridad, los procedimientos de seguridad y los procesos de autorización.

El segundo está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin. Aquí se encuentran 31 medidas de seguridad relacionadas con la planificación, control de acceso, explotación, servicios externos, continuidad del servicio y monitorización del sistema.

Finalmente, se encuentran las medidas de protección, las cuales se centran en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad. Aquí se encuentran 40 medidas relacionadas a las instalaciones e infraestructuras, la gestión del personal, protección de los equipos, protección de las comunicaciones, protección de los soportes de información, protección de las aplicaciones informáticas, protección de la información y protección de los servicios.

Cómo estamos en ciberseguridad

No podía faltar el Estado peruano. Para su presentación estuvo Carlos Valdez, viceministro de comunicaciones del Ministerio de Transportes y Comunicaciones, quien habló sobre los retos pendientes.

Carlos Valdez, viceministro de comunicaciones del Ministerio de Transportes y Comunicaciones.
Seguridad de la información, gobierno, SeGDi

Básicamente, sostuvo que ahora que estamos en tiempos de transformación digital y de Internet de las cosas, se incrementará el uso de nuevas tecnologías que usarán información vital para servicios críticos y sensibles, y eso conllevará un incremento del delito y el abuso informático. Entonces, la ciberseguridad se transforma en un tema clave y transversal a la sociedad de la información.

¿Cómo estamos en ciberseguridad? En el 2016, el BID realizó un informe sobre la ciberseguridad en América Latina basado en el modelo de madurez desarrollado por el Centro Global de Capacitación sobre Seguridad Cibernética de Oxford que utiliza 49 indicadores. Este estudio concluye que muchos países de la región son vulnerables a ataques cibernéticos potencialmente devastadores.

Según el informe, en general, el promedio de los países sudamericanos es relativamente bajo. Específicamente, el Perú llega a un puntaje de 1,8 lo cual lo pone por detrás de Uruguay, Argentina, Brasil, Chile y Colombia.

Otro indicador es el utilizado por la Unión Internacional de Telecomunicaciones (UIT) que ha definido 25 indicadores clasificados en temas legales, técnicos, organizacionales, de cooperación y de construcción de capacidades.

Según este indicador, el Perú se encuentra en la posición 78 de 193 países, inclusive debajo de Ecuador con 0,374 puntos de 1 posible como máximo.

¿Qué podeos hacer para revertir esta situación? El funcionario planteó que a nivel político y organizacional es necesario institucionalizar un rol rector en materia de ciberseguridad, definir una política nacional de ciberseguridad y establecer la infraestructura crítica nacional.

En cuanto a la sensibilización y educación planteó sensibilizar a la sociedad sobre las amenazas cibernéticas definiendo medidas concretas contra ellas, dotar de un presupuesto para este fin y promover la divulgación responsable de la información de vulnerabilidades. Además, planteó concientizar a los operadores respecto a las amenazas a la infraestructura crítica nacional.

Y en el campo del desarrollo de capacidades, planteó preparar instructores nacionales en ciberseguridad, desarrollar una gestión de la defensa cibernética y desarrollar diálogos formales entre el sector público y privado para la protección de la infraestructura crítica nacional.