:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/5A2M56ZJBVHYRLQ52TVV6465UQ.jpg)
Con la pandemia y la digitalización se hizo más necesario tener sistemas de ciberseguridad para que las personas y las organizaciones protejan su información. En ese sentido, las instituciones del Estado han dado un paso adelante mediante el artículo 104.1 del Decreto Supremo N° 029-2021-PCM, que aprueba el Reglamento de la Ley de Gobierno Digital.
En él, uno de los aspectos fundamentales está referido a la implementación de un equipo de respuestas ante incidentes de seguridad digital.
Según Marushka Chocobar, secretaria de Gobierno y Transformación Digital de la PCM, este tipo de equipo “es el responsable de la gestión de incidentes de seguridad digital que afectan los activos de una entidad pública o una red de confianza”.
En esa misma línea, un incidente de seguridad digital “se define como uno o un conjunto de eventos que ocurren de forma inesperada o no deseada, con alta probabilidad de afectar el normal funcionamiento de una institución, debido a la pérdida o uso indebido de la información”, detalla Chocobar.
A la fecha, según un reporte de la Secretaría de Gobierno y Transformación Digital, solo 177 de un total de 2,363 instituciones cumplen con haber conformado un equipo ante ese tipo de incidentes. Entre las entidades que no cuentan con él están, por ejemplo, el Ministerio de Economía y Finanzas (MEF), el Banco de la Nación, el Ministerio de Transportes y Comunicaciones (MTC), el Congreso de la República, el Ministerio de Salud (Minsa), la Sunat, entre otras (ver infografía).
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/STAWNHC7WZESDCAR43XJFNAYF4.jpg)
La realidad digital
Erick Iriarte, CEO de EBIZ Latin America y abogado especialista en derecho digital, sostiene que un equipo de respuestas ante incidentes digitales “no es necesariamente el que resuelve el problema, sino el que lo encuentra. Es una suerte de sistema de alerta temprana”.
En ese sentido, lo primero que llama su atención ante el reporte de la Secretaría de Gobierno y Transformación Digital es que, a la fecha, cuando el Decreto de Urgencia N°007-2020 sobre seguridad digital ya tiene más de dos años, tan solo el 7.4% de entidades públicas estaría cumpliéndolo.
“Pero, además, el listado es incompleto”, comenta. “Dice que el Poder Judicial cumple (con el decreto), pero no dice qué juzgados. Es decir, hay unidades dispersas que no están en un nodo central. Por eso, probablemente no estemos enfrentándonos a un 7% de las entidades públicas como conjunto, sino que estemos hablando de un 0.44% en realidad si lo vemos como unidades operativas”, explica el experto.
Asimismo, Iriarte argumenta que el tema de ciberseguridad no es nuevo ni de hace dos años, sino que hace al menos 15 años se han desplegado diversos estándares técnicos obligatorios a seguir por las entidades públicas.
“Hay un interés, al menos en parte, por algunas unidades del Estado, en concreto de la Secretaría de Gobierno Digital, pero que todavía no termina de cuajar en la toma de decisión política. Si esto fuera relevante, sería prioridad número uno”, indica.
Consecuencias y casos
En esencia, un sistema de alerta temprana realiza monitoreo, control, que no se use software pirata, que las licencias estén al día, que se instalen los parches necesarios en temas de ciberseguridad, entre otros.
“En algunos casos se va a poder solucionar rápidamente. Pero la mayoría son incidentes que requieren cooperación porque, además, si le pasa algo a mi organización, le puede pasar a otra y tengo que estar informando o compartiendo información a través de una red de CERT (Equipo de respuesta para emergencias informáticas)”, dice Iriarte.
Esto, a su vez, compromete la información que tiene el Estado sobre la ciudadanía o sobre empresas, de acuerdo con Iriarte.
Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, revela que en estos tiempos es usual que los cibercriminales ataquen instituciones del Estado. “Ha estado pasando mucho a nivel mundial y también en Latinoamérica. No es necesario vivir una ciberguerra para saber que estas cosas pasan”, agrega.
Para Bestuzhev, la información, sobre todo la que tienen las instituciones gubernamentales, vale y ofrece ventajas competitivas. Por ello, un ataque cibernético puede venir de otro Estado (como ciberespionaje) o de un hacker, quien previamente ha sido contratado para robar información de un país.
“Cuando se trata de ciberespionaje, el objetivo es permanecer invisible en la red, lograr un punto de persistencia y una exfiltración exitosa de datos. Eso sucede mucho en el ámbito militar. Pero el mundo empresarial no es ajeno a esto, sobre todo cuando se trata de capital extranjero que llega a un país. La parte inversora no viene a negociar qué es y cuánto es, sino que ya llega sabiendo lo que le ofrecerá al país o a la empresa porque previamente ha hecho un sondeo informático”, detalla el experto de Kaspersky.
Dejar conceptos obsoletos
Para el experto de Kaspersky, a nivel de la región, uno de los lugares con mejores recursos de ciberseguridad es Brasil. Sin embargo, afirma que incluso este país ha sufrido ataques en el pasado. “La diferencia está en qué tan pronto la víctima se da cuenta de que está comprometida y qué acciones puede tomar”.
En ese sentido, tenemos que dejar de lado los conceptos obsoletos en ciberseguridad, como la seguridad perimetral, y pensar en tener un centro de monitoreo que trabaje 24/7, asegura.
Datos inciertos sobre incidencias. Silencio. Según Iriarte, muchos de los incidentes informáticos no son reportados. A esta se suma que solo el 7% de entidades tiene un equipo que reporte de estos casos. “No se puede dimensionar de cuánto es la afectación”.
Hacen falta más expertos en temas de ciberseguridad
La ciberseguridad no es tema nuevo. Sin embargo, en el Perú existe una carencia por profesionales de este rubro.
“Probablemente nos falten unos 20 mil o 30 mil expertos solamente para cubrir el sector público. El sector privado requiere otra cantidad aún mayor de personas”, sostiene Erick Iriarte, CEO de eBIZ.
Y es que el tema de seguridad digital requiere de dos componentes: el técnico, conformado por los dispositivos para monitorear sistemas, redes, conectividad; y el humano, que son los expertos que interpretan los resultados.
De otro lado, Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis para América Latina en Kaspersky, afirma que esta carencia de expertos es a nivel mundial.
“Hay gente trabajando en informática, pero la seguridad de la información va más allá. No es la gente que administra el antivirus. Se necesita gente con habilidades especiales. Perú y América Latina no son una excepción, es una tendencia mundial”, dice.
Ejercicios de ataque y defensa: Vigilancia. De acuerdo con el experto de Kaspersky, los equipos de respuestas ante incidentes digitales deben practicar ejercicios de emulación. “El objetivo es verificar de una forma realista si mis sistemas de monitoreo cubren o no las actividades de los hackers. Si se trata del Ministerio de Economía o de las Fuerzas Armadas, los actores de ataque van a ser distintos”, sostiene. “No hay un guion genérico. Se tiene que definir dentro del modelo de amenazas quién me va a atacar, qué riesgo hay y qué impacto habría”, añade.
Marushka Chocobar: “Desde la PCM se orienta a las entidades a cumplir lo establecido”
Secretaria de Gobierno y Transformación Digital de la Pcm
Desde la Secretaría de Gobierno y Transformación Digital de la PCM se sostiene que se ha avanzado de manera sostenida en el fortalecimiento de las capacidades de nuestro país para prevenir los riesgos y amenazas en el entorno digital, pero que aún hay grandes desafíos. Marushka Chocobar, secretaria de dicha institución, nos da más detalles.
¿Por qué hay instituciones que no cuentan con un equipo de respuesta ante incidentes digitales?
Es importante señalar dos aspectos fundamentales. Uno está referido a la implementación del equipo de respuestas ante incidentes de seguridad digital y el otro a la determinación de un grupo de entidades que, en función de sus capacidades, pueden conformar los referidos Equipos de Respuesta, mas no están obligadas a su implementación. En este contexto, desde la PCM se viene acompañando y orientando a las entidades que aún no han conformado dichos equipos a fin de que cumplan con lo establecido.
Más allá del presupuesto, ¿hay otras razones por las que no lo hayan implementado?
La implementación de un Equipo de Respuestas no depende solo de presupuesto. Dicha conformación depende de la estructura de la entidad, la complejidad de sus activos, las sedes desconcentradas, la conformación del Comité de Gobierno y Transformación Digital y el nivel de especialización de su equipo técnico.
¿Si una institución no cuenta con un equipo de respuestas significa que es vulnerable a ataques?
No. El equipo es responsable de la gestión de los incidentes de seguridad digital, y es necesario implementarlo; sin embargo, durante el proceso de implementación, las entidades pueden coordinar con las redes de confianza y el equipo del Centro Nacional de Seguridad Digital (CNSD) para resolver la incidencia de manera más rápida, usando las diferentes plataformas y servicios que tiene disponibles la Secretaría de Gobierno y Transformación Digital.
¿Cuánto tiempo y presupuesto toma implementar un equipo de este tipo?
Es un aspecto más organizativo que presupuestal; es decir, se requiere tener roles asignados para gestionar adecuadamente una incidencia que se presente dentro de la institución. Generalmente, las instituciones ya cuentan con personal especializado y lo que se deben implementar son los mecanismos de comunicaciones e intercambio de información de amenazas entre dichos roles.
