El 93% de entidades del Estado sin equipos ante incidentes de seguridad digital

Uno de ellos, por ejemplo, es el reglamento la Ley de Gobierno Digital. Este decreto supremo establece -entre otros- que existan equipos de respuestas ante incidentes de seguridad digital.

¿Cuántas entidades del Estado lo han implementado? En un documento de la Secretaría de Gobierno y Transformación Digital de la Presidencia de Consejo de Ministros, se muestra un total de 2,429 entidades, de las cuales solo 164 cumplen con la implementación, lo que significa que 9 de cada 10, alrededor del 93%, no cumplen.

“Significa que la confianza del resguardo de la información está siendo trasladada a alguien más. ¿Estás confiando en la nube? ¿En que la gente lo va a guardar adecuadamente? ¿Cuáles son las medidas de mitigación, de cuidado que debes tener?”, cuestionó Erick Iriarte, abogado especialista en derecho digital.

Las entidades que no cumplen van desde ministerios, municipalidades, embajadas de Perú, superintendencias entre otras. Por ejemplo, son 6 los ministerios en la lista de los que no cumplen con el equipo de respuesta: MEF, Minem, Produce, Minsa, MTC y MVCS.

El equipo de respuesta

La normativa establece que un equipo de respuestas ante incidentes de seguridad digital es aquel responsable de la gestión de incidentes de seguridad digital que afectan los activos de una entidad pública o una red de confianza.

“Las entidades públicas tienen, como mínimo, las siguientes obligaciones: implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI); comunicar al Centro Nacional de Seguridad Digital los incidentes de seguridad digital; adoptar medidas para la gestión de riesgos e incidentes de seguridad digital que afecten a los activos de la entidad; difundir alertas tempranas, avisos e información sobre riesgos e incidentes de seguridad digital en su entidad y red de confianza; asegurar acciones de investigación y cooperación efectiva, eficiente y segura con el Centro Nacional de Seguridad Digital”, entre otros.

“Hay unas diversas normativas que incluyen la obligatoriedad de la implementación de políticas de ISO 27001, que es seguridad de la información y las entidades públicas. Este ISO, entre otras cosas, te dice que tienes que tener alguien que atienda los incidentes, lo que sucede”, remarcó Iriarte.

Incidente seguridad digital

Iriarte explicó que un incidente podría ser que el antivirus se desactualiza, el software utilizado sea “pirata”, que se usen USB que no estén filtrados. Aunque no son un ataque per se, pueden ser lo suficientemente caóticos para afectar los sistemas, la red, entre otros.

Erick Iriarte: Existen tres problemas principales

Abogado especialista en derecho digital

Decir que un 7% son las únicas que efectivamente tienen equipos de respuesta a incidentes, es realmente complicado. Internet en el Perú lleva 30 años, y es un tema crítico del activo de la información. Diría que hay tres problemas básicos por lo que se da esto. Un problema es la falta de especialistas en ciberseguridad, tanto para entidades públicas como para las privadas. Un segundo problema es la falta de conciencia sobre el tema de ciberseguridad, entender que en realidad esto no protege que tu equipo no se apague o algo similar, sino, por ejemplo, es poder mantener la continuidad del negocio. Justamente, no se entiende aún que la ciberseguridad es parte de la continuidad de negocio. Y lo tercero a considerar, es que la alta dirección tanto pública como privada, no tiene una aproximación al tema. Esto porque muchas veces la situación (estos incidentes o ataques) no llega donde ellos están, nos falta una alfabetización digital en temas de ciberseguridad.