El World Economic Forum en su reporte “Global Risk 2014”[1] presenta los riesgos globales más importantes en los ámbitos geopolítico, social y tecnológico, con el fin de abordarlos a través de la colaboración entre estados, empresas y la sociedad. En el espacio tecnológico se observan tres riesgos: avería de sistemas de información críticos, ciberataques y robo de datos/fraude, cuya probabilidad e impacto se ha incrementado constantemente en los últimos tres años.
En abril de 2015 fue publicado un informe titulado “Índice Mundial de Ciberseguridad y Perfiles de Ciberbienestar”[2], elaborado por ABI Research y la Unión Internacional de Telecomunicaciones, en el cual evalúan el nivel de compromiso de los Estados hacia la ciberseguridad, y la existencia de estructuras nacionales para implementarla y promoverla. La medición se realiza en cinco áreas: jurídica, técnica, organizativa, creación de capacidades y cooperación internacional.
En este informe se evaluaron cerca de 200 países y se establecieron 29 niveles. México se ubicó en el nivel 18 con una calificación de 0.324 (de un máximo de 1); Estados Unidos es el país mejor calificado con 0.824 (nivel 1) mientras que en América Latina Brasil es el más alto con 0.706 (nivel 5), seguido por Uruguay con 0.618 (nivel 8) y Colombia con 0.588 (nivel 9).
.
La Estrategia Digital Nacional
En junio de 2013 se promulgó la reforma en materia de Telecomunicaciones y Competencia Económica la cual establece la obligación del Estado de garantizar a los mexicanos el derecho de acceso a las Tecnologías de la Información y Comunicación (TIC). En noviembre de 2013 se presentó la Estrategia Digital Nacional[1] como un vehículo para guiar las acciones y políticas necesarias para hacer efectivo dicho derecho.
El acceso a las TIC tiene como objetivo el incorporarlas a la vida cotidiana de las personas, las empresas y el gobierno, maximizando así el impacto económico, político y social. Esto con el fin mejorar la calidad de vida a través de una sociedad más libre y un país con mayores posibilidades de desarrollo; es por esto que la Estrategia Digital Nacional se convierte en un elemento catalizador del desarrollo del país y de su competitividad global.
Los objetivos de la estrategia son:
- Transformación gubernamental. Construir una nueva relación entre la sociedad y el gobierno centrada en la experiencia del ciudadano como usuario de los servicios públicos, mediante la adopción de las TIC.
- Economía digital. Asimilar el uso de las TIC en los procesos económicos para estimular el aumento de productividad, el crecimiento económico y la creación de empleos formales.
- Educación de calidad. Integrar las TIC a todos los aspectos del proceso educativo, para permitir a la población insertarse con éxito en la sociedad de la información y el conocimiento.
- Salud universal y efectiva. Aprovechar las oportunidades que las TIC brindan para aumentar la cobertura, el acceso efectivo y la calidad de los servicios de salud, así como hacer más eficiente el uso de la infraestructura instalada y recursos.
- Seguridad ciudadana. Utilizar a las TIC para prevenir la violencia social y para prevenir y mitigar los daños causados por desastres naturales.
Estos objetivos están soportados por cinco elementos habilitadores:
- Desarrollo de redes y la ampliación del despliegue de una mejor infraestructura en el territorio nacional, la ampliación de la capacidad de las redes existentes y el desarrollo de competencia en el sector de TIC para estimular la reducción de precios.
- Inclusión y habilidades digitales. Desarrollo de habilidades para operar tecnologías y servicios digitales.
- Capacidades técnicas, organizacionales, de gobernanza y semánticas, necesarias en los sistemas tecnológicos para compartir información y transacciones de forma consistente.
- Marco jurídico. Armonización del marco jurídico con la finalidad de propiciar un entorno de certeza y confianza favorables para la adopción y fomento de las TIC.
- Datos abiertos. Disponibilidad de información gubernamental en formatos útiles y reutilizables por la población en general, para fomentar el emprendimiento cívico e impulsar la transparencia, mejorar los servicios públicos y detonar mayor rendición de cuentas.
.
Implicaciones de la Estrategia Digital Nacional para las TIC y ciberriesgos asociados
Con base en los objetivos particulares establecidos en el documento de la Estrategia Digital Nacional, podemos anticipar ciertas implicaciones que estos tendrán para las TIC de las entidades gubernamentales:
- Los procesos primarios de atención ciudadana en diversos ámbitos (salud, educación, seguridad pública, gestión del territorio nacional, etc.) estarán cada vez más apoyados en TIC.
- Se deberán crear mecanismos aplicativos, de sistemas y de comunicaciones que permitan la interoperabilidad de las entidades gubernamentales, así como entre las instituciones que conforman el Sistema Nacional de Salud.
- Se crearán bases de datos centralizadas donde se almacene información relevante como el padrón general de salud, el catastro nacional, expediente clínico electrónico, certificado electrónico de nacimiento.
- Se gestionarán altos volúmenes de datos, que se generan como consecuencia de la ejecución de procesos primarios, y se requerirán técnicas de análisis de esos grandes volúmenes de datos para mejorar los mismos procesos y las políticas públicas.
- Se abrirán nuevos medios de comunicación y difusión con la ciudadanía basados en redes sociales, así como habilitar mecanismos de denuncia ciudadana tanto para dispositivos móviles como fijos.
- Se requerirá ampliar la infraestructura de comunicaciones para proveer el servicio de banda ancha y de Internet.
Esto significará que la complejidad de los ambientes de TIC con los que trabajan las entidades gubernamentales aumentará significativamente.
En cuanto al contexto actual de ciberamenazas, sabemos que los adversarios han creado un ecosistema completo que les permite contar con las capacidades y recursos (económicos, tecnológicos y humanos) necesarios para concretar sus objetivos. Sus principales motivaciones son económicas y políticas, utilizan estrategias complejas y de largo plazo que conllevan la ejecución de múltiples pasos previos (conocidos comúnmente como “kill chain”[3]) para llegar a su objetivo.
Con base en las líneas de acción descritas en la Estrategia Digital Nacional podemos observar diversos aspectos que son relevantes desde la perspectiva de la ciberseguridad. Debido a que se aumenta la “superficie expuesta”, se incrementa la complejidad de los ambientes tecnológicos y se amplía el volumen de información que es atractiva para los atacantes, tenemos como resultado un escenario de mayor riesgo.
A continuación se muestra un diagrama con ejemplos de los riesgos[4] que se pueden derivar de algunas de las líneas de acción descritas en la Estrategia Digital Nacional:
.
Estrategias para enfrentar las amenazas avanzadas y potencializar el uso de las TIC
Hay tres actividades centrales para enfrentar las amenazas avanzadas, y así permitir explotar todo el potencial de las TIC en el proceso de digitalización propuesto en la Estrategia Digital Nacional. Estas son:
- Cambiar de paradigmas. Uno de los retos más importantes es cambiar nuestro enfoque hacia la seguridad e implementar nuevos arquetipos. Considerando que tarde o temprano nuestra red será penetrada, debemos diseñar nuestra estrategia de seguridad para proteger, detectar y responder con el fin de minimizar los impactos de las intrusiones. Así mismo, reconocer que ninguna organización puede sola, por lo que es clave colaborar con diversas organizaciones tales como: centros de respuesta a incidentes, con y entre entidades del gobierno, con proveedores de tecnología y de servicios.
Por otro lado, la inversión en seguridad no puede ser dirigida por la tecnología, debemos tener una estrategia completa de administración de riesgos con controles de protección que consideren los procesos y a la gente. Finalmente, es indispensable que se identifique a los altos ejecutivos como responsables de la ciberseguridad.
- Crear nuevas capacidades. Hay al menos tres capacidades operativas que toda rganización debe formar en sus áreas de seguridad:
- Capacidad de tener visibilidad, diseñar arquitecturas con diversos mecanismos de monitoreo complementarios a los actuales que permitan analizar de manera más detallada lo que sucede en nuestra red. Asimismo, vigilar lo que pasa afuera de la organización, es decir, conocer qué ataques son relevantes para el sector y tipo de organización, qué vectores de ataques son los más comunes de acuerdo a las tecnologías utilizadas, tratar de identificar las tácticas, técnicas y procedimientos (TTP) de los atacantes.
- Capacidad de investigar (hunting). No es suficiente analizar y responder a las alertas que las tecnologías de protección y detección envían, es importante realizar la búsqueda continua de amenazas, con el fin de “cazar” cualquier señal de la existencia de un ataque avanzado.
- Capacidad de responder oportunamente. Contar con personal preparado y procedimientos probados para actuar, en tiempo y forma, ante los ataques dirigidos.
- Habilitar una arquitectura de servicios de seguridad para la organización. Entendiendo arquitectura como la organización fundamental de un sistema que incorpora sus componentes y las relaciones entre ellos y el ambiente, se requiere que las áreas de seguridad diseñen una arquitectura de servicios de seguridad acorde a la arquitectura empresarial, que contemple todos los dominios donde se manejan datos, las zonas tecnológicas a proteger (red interna, externa, nube, etc.) y los servicios requeridos para proteger los activos de la organización.
Conclusiones
La Estrategia Digital Nacional busca digitalizar muchos aspectos de nuestra interacción con los servicios públicos y muchos de los procesos primarios de los organismos gubernamentales, lo cual, sin duda, impulsará el desarrollo del país y beneficiará a la ciudadanía. Sin embargo, esto plantea fuertes retos a las arquitecturas de TICs actuales y futuras pues se deberán robustecer y ampliar. Asimismo, al evolucionar estas arquitecturas se abren espacios para nuevas amenazas.
La seguridad informática, y en específico la ciberseguridad, deben formar parte integral de las estrategias, iniciativas, y de los planes de liberación de servicios que se vayan definiendo.
.
[1] cdn.mexicodigital.gob.mx/EstrategiaDigital.pdf
[2] http://www.itu.int/dms_pub/itu-d/opb/str/D-STR-SECU-2015-PDF-S.pdf
[3] Para mayor detalle ver el artículo de Magazcitum titulado: Ciclo de vida de los ataques avanzados
[4] No es un análisis formal ni exhaustivo, se muestra a manera de ejemplificar
Deja tu comentario