Llegamos a ustedes gracias a:



Reportajes y análisis

La seguridad digital en la banca y el gobierno

[14/05/2019] En días pasados se realizó la octava edición del evento CyberSecurity Bank & Government, una reunión en la que se presentaron las tendencias que se encuentran en boga en el mundo de la ciberseguridad especializada en la banca y las instituciones gubernamentales.

Como era de esperar, el llamado fue a considerar que no existe la seguridad al 100%. Lo que se puede hacer es tomar todas las medidas necesarias para estar prevenidos ante un ataque, o saber qué hacer cuando ya ocurra uno. Las presentaciones giraron en torno a esta temática y se mostraron representantes tanto del mundo de los negocios como del sector gobierno.

A continuación, una breve reseña de lo que ocurrió en aquella jornada del pasado jueves 9 de mayo.

Las palabras iniciales

La jornada comenzó con las palabras iniciales, pero ahora de un grupo de tres importantes actores de la industria.

Aldo Villaseca, consultor senior con experiencia en ciberseguridad; Marushka Chocobar, secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros (PCM); y Javier Benvenuto, gerente de Telecomunicaciones del BCP.

La primera de ellas fue Marushka Chocobar, secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros (PCM), quien luego de las palabras de presentación de Mónica Tasat, directora de Mtics Latam (firma organizadora del evento), ofreció su perspectiva de la ciberseguridad en el país.

Chocobar sostuvo que existe un gran deber de digitalizar los procesos públicos para servir mejor a las personas, pero al mismo tiempo de preocuparse de que existan 'cibermuros' para poder proteger la seguridad de los datos y la confidencialidad de lo que se tiene en los sistemas del Estado.

En ese sentido, su secretaría trabajó durante el 2018 en una serie de temas. Uno de ellos es la regulación. El año pasado se realizó una gran simplificación en materia de cuáles son las normas que hoy lideran al interior del Estado el tema de transformación digital. Chocobar hizo hincapié en que ahora hay una definición que se utiliza en el Estado: Seguridad Digital en lugar de la conocida Ciberseguridad.

"Es el despliegue de tecnologías para garantizar un entorno seguro para los ciudadanos, y aquí seguimos una serie de lineamientos de OCDE y de otros lineamientos internacionales, indicó la funcionaria.

También indicó que se conformó el Centro de Emergencia y de Respuestas ante Incidentes Informáticos (CSIRT), y se tiene ya conformado un equipo técnico que da respuesta y coordina con el sector privado la mitigación de los ataques a los sistemas.

Para este año, sostuvo Chocobar, se está planificando la implementación de un Centro Nacional de Seguridad Digital en coordinación con la academia.

Además, en el ámbito del talento, se está dando ahora una capacitación a un grupo de 40 jóvenes de escasos recursos que no podrían haber accedido a una certificación en temas de seguridad digital si no fuera por la cooperación internacional. Ellos se suman a otros 40 jóvenes que se capacitaron el año pasado.

Chocobar también recordó al público que el año pasado se lanzó la Ley de Gobierno Digital que tiene un artículo especializado en materia de gobernanza, y define que la PCM es la organización que tiene la rectoría en materia digital y tiene la rectoría en materia de seguridad digital en el Estado.

La seguridad digital se ha definido en cuatro ámbitos: ciberdefensa, ciberinteligencia, ciberdelito y el ámbito institucional. En este último se determina que las entidades públicas conformen CSIRTs (centro de respuesta ante incidentes informáticos) sectoriales coordinados con el centro de seguridad digital que se maneja desde PCM.

También se está buscando que, a nivel de los gobiernos regionales, los centros de atención de emergencias de desastres naturales tengan también un CSIRT, "porque no podemos avanzar generando una brecha adicional con las regiones, indicó.

Luego de la participación de Chocobar fue el turno de Javier Benvenuto, gerente de Telecomunicaciones del BCP.

Benvenuto sostuvo que, aunque algunos analistas afirman que se vienen tiempos difíciles en cuanto a la seguridad digital; en realidad, esos tiempos difíciles ya los estamos viviendo hoy en día. La capacidad de cómputo es ahora mucho más económica y los ataques se han sofisticado a tal nivel que muchas veces es difícil detectarlos.

"Ya no es cuestión de si te van a hackear o no, sino de cuánto tiempo uno se va a demorar en darse cuenta del ataque, y cuánto se va a demorar en reestablecer los servicios, indicó el ejecutivo.

Esto nos lleva, de acuerdo al ejecutivo, a redoblar los esfuerzos en cuanto a la visibilidad del tráfico de la empresa, de los datos de los clientes y de los tipos de conexiones. Algo que se tiene que hacer si se toma en cuenta, que ya los propios ciberdelincuentes están realizando esfuerzos por ser 'invisibles', por proteger 'su información'. Lo que se debe hacer es analizar el tráfico de salida aún si se encuentra cifrado y tener un benchmark del comportamiento del tráfico para ver realmente cuándo hay una desviación.

Benvenuto también hizo hincapié en el tema de la concientización; es decir, en preparar a las personas a llevar un comportamiento más seguro dentro de sus organizaciones, como cuando, gracias a la capacitación, saben que no tienen que abrir despreocupadamente todos los correos electrónicos que les llegan. "La seguridad es tarea de todos, no solo de los especialistas en seguridad, indicó el ejecutivo.

Además, también indicó que no solo la empresa debe ser segura, todos aquellos que se encuentran en contacto con la empresa también deben serlo. Recordó el incidente que llevó al robo de datos en Target, y en el que los ciberdelincuentes ingresaron gracias a la debilidad en la seguridad de su proveedor de aire acondicionado. Igualmente, ahora que estamos en un mundo de nubes, es necesario tomar en cuenta que el 95% de los incidentes de seguridad que se dan a través de las nubes, se debe a fallas en la configuración de parte del usuario, no del proveedor de nube.

Finalmente, el último de los expositores de la presentación inicial fue Aldo Villaseca, consultor senior con experiencia en ciberseguridad.

Villaseca indicó que un elemento destacado de la seguridad del Perú como país es la adopción del Convenio de Budapest. Esto es el inicio del establecimiento de una política de ciberseguridad que nos va a permitir desarrollar un plan de ciberseguridad que ofrecerá lineamientos generales que necesitamos como país para poder trabajar todos en conjunto.

Pero también hay otros marcos que se podrían tomar en cuenta, como el NIST que ya se ha venido adoptando en países vecinos de la región como Uruguay. Otro es ENISA, que se ha presentado en Europa y que nos podría servir para determinar objetivos y hacer la medición de las estrategias de ciberseguridad en base a esos objetivos. Especialmente, este marco nos ayudaría a definir a qué se va a llamar infraestructuras críticas "porque éste es un punto importante que tenemos que revisar, sostuvo.

Maurice Frayssinet, coordinador de Seguridad de la Información y del PeCERT de la PCM.
CyberSecurity Bank & Government, seguridad digital
La seguridad en el Perú

La siguiente presentación fue la de Maurice Frayssinet, coordinador de Seguridad de la Información y del PeCERT de la PCM, quien ofreció un panorama general de lo que se viene haciendo desde el Estado en cuanto a temas de Seguridad Digital.

Y precisamente lo primero que presentó Fraysinnet fue presentar el concepto de Seguridad Digital. De él dijo que es el estado de confianza en el entorno digital que resulta de la gestión y aplicación de un conjunto de medidas proactivas y reactivas, frente a los riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores del sector público, sector privado y otros quienes apoyan en la implementación de controles, acciones y medidas.

¿Por qué es necesario establecer una seguridad digital? Porque ya estamos bajo ataque. El funcionario mencionó algunos casos que se publicaron en la prensa de delincuentes que utilizaron herramientas tecnológicas para apropiarse de dinero o información, incluso mencionando el reciente resurgimiento de las herramientas de secuestro informático (ransomware) que han golpeado a algunas organizaciones.

Para ello, se han implementado medidas y organizaciones que nos defienden contra estos ataques. Uno de ellos es el PeCERT, que se encuentra bajo el ámbito de la Secretaría de Gobierno Digital de la PCM y que se encarga de compartir, coordinar, guiar, cooperar y organizar acciones con entidades del sector público y privado, proveedores de servicios de Internet, proveedores, organismos internacionales e incluso las propias personas.

Otro de los organismos que se encargan de nuestra defensa en el país son los CSIRT. Para ello se está creando una red de CSIRTs nacionales que funcionan en base a dos plataformas: la plataforma de gestión de ciberincidentes y la plataforma de gestión de ciberamenazas.

Otra de las herramientas que se usan es el Traffic Light Protocol (TLP) que es un esquema creado para fomentar un mejor intercambio de información sensible -pero no clasificada- en el ámbito de la seguridad digital.

Finalmente, una de las herramientas que también se pueden usar es el marco de ciberseguridad NIST, que se basa en cinco pilares: identificar, proteger, detectar, responder y recuperar.

La seguridad digital impulsada por la PCM no solo se basa en los estándares, también es necesaria la creación de unidades que se encarguen específicamente de la seguridad digital. Una de esas unidades son los SOC (security operation center). Fraysinnet sostuvo que hay muchos tipos diferentes de infraestructuras que son importantes a considerar al construir un SOC. Al crear un SOC no solo se debe pensar en todas las herramientas de seguridad, sistemas e infraestructura necesarios para proteger a la organización, sino que también en todo lo que se necesita para respaldar al centro.

De hecho, de acuerdo al funcionario, hay tres áreas específicas de infraestructura que se deben de tener en cuenta al planificar el SOC: la infraestructura de soporte, la infraestructura de seguridad organizacional y la infraestructura del centro de operaciones.

Y, ciertamente, no es necesario crear software nuevo para el uso dentro del SOC, ya existe y es accesible como el threatconnect.com y exchange de la xforce de IBM.

Frayssinet también indicó que al inicio el SOC se puede diseñar con una estructura de tres niveles, con los analistas en el nivel inicial, los ingenieros y los encargados de monitoreo en el nivel medio y la jefatura en el nivel superior. Cuando el SOC ya alcanza un nivel de madurez superior es necesario incluir otros niveles, como el de jefe de turno, pues se supone que un SOC más maduro es 24x7 y debe funcionar en tres turnos.

Y, finalmente, otro de los elementos que se deben de tener en cuenta para ofrecer seguridad digital son los sistemas SIEM (security information and event management). Éstos son una categoría de software que tiene como objetivo otorgar a las informaciones, información útil sobre potenciales amenazas de seguridad de sus redes críticas de negocio, a través de la estandarización de los datos y la priorización de las amenazas.

Y no es difícil tener un SIEM, de la misma manera que en el SOC existe software accesible gracias a versiones comunitarias gratuitas con las cuales se puede empezar a trabajar.

Además de todas estas sugerencias de elementos a considerar para la seguridad digital, el funcionario también señaló que la PCM también se preocupa por brindar capacitación.

Frayssinet indicó que cuentan con 19 cursos sobre diferentes ámbitos de la seguridad digital; así, se encuentran cursos sobre introducción a la ciberseguridad, diseño e implementación de SIEM, detección de intrusiones en profundidad, fundamentos de IPv6, entre otros.

Los desafíos

Al final de la jornada, Tasat invitó a un grupo de expertos a ofrecer sus visiones con respecto a lo que representan los diversos desafíos que se tienen que enfrentar en el campo de la seguridad digital en el país. A continuación, algunas de esas visiones.

Freddy Alvarado, jefe de la Oficina de Proyectos MBA y profesor de Operaciones y TI de Esan; Anibal Gutierrez, gerente de Consultoría en Riesgos y Auditoría Interna de PwC; y María Castillo, jefa de la Oficina de Tecnologías de la Información del Ministerio de Relaciones Exteriores.
CyberSecurity Bank & Government, seguridad digital

María Castillo, jefa de la Oficina de Tecnologías de la Información del Ministerio de Relaciones Exteriores, indicó que el Ministerio es parte del sistema nacional de inteligencia (SINA) y que como parte de él se encuentra a cargo de la coordinación de la cooperación internacional en materia de ciberseguridad. El SINA se encuentra, indicó la funcionaria, creando la Política Nacional de Ciberseguridad, aunque ahora se llama Plan Nacional de Seguridad Digital "porque así lo establece la OCDE y el país desea ser parte de la OCDE, indicó.

El ministerio participa en las mesas de trabajo de la OCDE en materia de seguridad digital, además trabaja estrechamente con la ONU en cuanto al tema del combate a la ciberdelincuencia. Otro campo en el que trabaja el ministerio es en la coordinación de las capacitaciones de profesionales del sector gobierno y de diversas empresas, además de trabajar en las implicancias de la adhesión en este año del Perú al Convenio de Budapest.

Otro de los presentes fue Anibal Gutierrez, gerente de Consultoría en Riesgos y Auditoría Interna de PwC, quien habló sobre la forma de implementar una cultura de la seguridad sostenible.

Gutierrez indicó que hay factores clave de éxito para tener una buena seguridad. Uno de ellos es contar con una política de seguridad de la información dentro de la organización, el apoyo de la gerencia, contar con un presupuesto, la concientización, la medición y el programa en sí. Pero ya hablando de la ciberseguridad indicó que es necesario incorporar la seguridad dentro de la cultura.

La alta gerencia debe apoyar estos esfuerzos, pero también debe ser cuidadosa con su propia seguridad. Gutierrez señaló que son precisamente los directores los que generalmente piden que las medidas de seguridad se relajen en sus casos para conseguir un poco de comodidad. Y por ello son precisamente blancos de los ataques. "Si el miembro del comité de dirección no enseña con el ejemplo o no lidera con el ejemplo los aspectos de la ciberseguridad, da pie a que otros miembros de la organización consideren que ellos también pueden ser exceptuados de las políticas de seguridad, indicó.

Freddy Alvarado, jefe de la Oficina de Proyectos MBA y profesor de Operaciones y TI de Esan, fue el encargado de mostrar la visión de la academia, particularmente en el tema de las competencias que buscan formar en los profesionales de la seguridad.

El catedrático hizo la diferenciación entre seguridad de la información y seguridad informática. De la primera dijo que es más amplia y, por ello, involucra cambios en la cultura de la compañía, eso supone también contar con el apoyo de la alta gerencia.

"Una empresa puede tener los mejores presupuestos y recursos para seguridad, pero si no tiene la cultura definitivamente, el eslabón más débil será la persona, indicó.

En el ámbito informático -el de la seguridad informática- solamente acudiendo al marco NIST, uno puede apreciar lo que se tiene que hacer incluso desde la parte preventiva. Y dado que los escenarios van cambiando mucho, es necesaria mucha capacidad autodidacta en el profesional.