Actualidad Informativa es presentado por:
Publicado el 28 de octubre, 2018

Gerente de ciberseguridad de IBM Sudamérica: “Es básico que le demos a las autoridades las herramientas necesarias para la penalización del cibercrimen”

Autor:

El Líbero

Diego Macor se refiere al proyecto de Ley de Delitos Informáticos que esta semana anunció el gobierno. Si bien destaca las medidas, advierte que deben existir “actualizaciones inmediatas ya que los cibercriminales están todos los días inventando nuevos métodos de ataque”.

Autor:

El Líbero

Recibe en tu correo Lo mejor de la prensa
Suscribirse

Un “nuevo marco regulatorio” para enfrentar los crímenes informáticos presentó esta semana el Ejecutivo en un proyecto de ley. Para analizar la propuesta “El Líbero” conversa con el gerente de ciberseguridad de IBM Sudamérica, Diego Macor.

El especialista plantea la necesidad de actualizar todas las medidas, considerando la rapidez con que aparecen nuevos ataques y fraudes. “Esos mismos criminales son los que hace años realizaban los asaltos a los bancos, industrias, gasolineras, portonazos” dice. Y plantea que “el gobierno y las instituciones privadas estarán armándose mejor para afrontar los retos de seguridad”.

-Esta semana el gobierno firmó oficialmente el nuevo proyecto de Ley de Delitos Informáticos y se anunció el Instructivo Presidencial de Ciberseguridad para el Estado. ¿Cuál es su opinión en general respecto de ambas iniciativas?

-El proyecto de Ley de Delitos Informáticos nos entrega el nuevo marco legal donde encontramos la tipificación de siete delitos estableciendo las correspondientes penas. Esta nueva ley sustituirá la anterior que fue aprobada en 1993, lo cual significa que tenemos 25 años con la misma ley de siempre.  Si nos ponemos a hacer un poco de historia, Chile aprobó dicha ley el mismo año que apareció el primer navegador web y dos años luego de que se anunciara públicamente la World Wide Web.  Para esos años había poco mas de un millón de computadores conectados a nivel mundial.  Si pensamos en esto, vemos que efectivamente fue aprobada esta ley en los inicios de lo que hoy conocemos como internet, justo cuando empezaba a masificarse.

Ahora bien, cuando pasan mas de 25 años y vemos los avances que hemos tenido en el desarrollo de las tecnologías, se hace evidente que en aquel momento no nos podíamos imaginar lo que venía y mucho menos los delitos que se podrían realizar.  Esta nueva ley genera en Chile lo que podemos llamar un salto “cuántico”, actualizando la ley a la realidad actual y cumpliendo con el Convenio de Budapest adherido por Chile en abril del año pasado.

Cuando pasan mas de 25 años y vemos los avances que hemos tenido en el desarrollo de las tecnologías, se hace evidente que en aquel momento no nos podíamos imaginar lo que venía y mucho menos los delitos que se podrían realizar”.

El instructivo presidencial de ciberseguridad establece las distintas obligaciones para los servicios públicos del Estado. También crea la Gobernanza Transitoria de Ciberseguridad responsable de implementar las normas y políticas, así como creación de los centros Coordinación ante Incidentes Informáticos. Estas acciones, que en definitiva establecen las normas, políticas y obligaciones, dan el puntapié inicial para empezar a generar los cambios tan necesarios en materia de ciberseguridad.

-En su experiencia, ¿en qué situación se encuentra Chile en la materia -antes de que entre en vigencia esta nueva legislación- en comparación con otros países del mundo?

-Efectivamente Chile se encontraba al debe con respecto a una legislación en ámbitos informáticos.  Con la firma del Convenio de Budapest, que busca hacer frente a los distintos delitos informáticos compartiendo prácticas y leyes homogéneas con los países integrantes, Chile se pone al frente en estos aspectos si lo comparamos con países que no han firmado el acuerdo todavía.  Ahora bien, es importante que no nos durmamos y esperemos otros 25 años para tener una actualización de la ley. En esta nueva economía digital, debemos considerar tener actualizaciones inmediatas ya que los cibercriminales están todos los días inventando nuevos métodos de ataque y fraude que en algún momento podrían nuevamente no estar tipificados en la ley. Es básico que le demos a nuestras autoridades las herramientas necesarias para la penalización de este tipo de prácticas.

-El proyecto de Delitos Informáticos establece sanciones para quienes maliciosamente perturben o dañen sistemas o los utilicen para hacer fraudes. En su experiencia, la penalización de estos actos, ¿funciona como disuasivo para los ciberdelincuentes?

-Este es un tema muy controversial y hay muchas opiniones distintas sobre el. Yo veo dos aspectos distintos dependiendo de quien puede generar el delito. El primero se refiere al ciudadano común: El efecto que internet ha tenido en todos nosotros es que tenemos la sensación de impunidad cuando se realizan acciones que son ilegales en un mundo no digital. Para darte un ejemplo: Cuando un grupo de personas quiere hacer notar sus habilidades técnicas o simplemente quiere acceder de manera fraudulenta a algún sitio, no ven esta acción como una acción ilegal. Más bien piensan que es un proeza tecnológica poder hacerlo. Si a ese mismo grupo de personas se le pide que realice la misma acción de forma presencial y sin utilizar métodos informáticos, seguramente no lo van a hacer porque esa sensación de impunidad desaparece, o simplemente no lo consideran ético o moral. La ley, que debe ser difundida de forma masiva, efectivamente va a poner a pensar a este grupo de personas y probablemente el porcentaje de ataques o fraudes bajará significativamente.

La PDI ha indicado recientemente que los delitos informáticos han crecido un 74% solo entre 2016 y 2017″.

El segundo se refiere al crimen organizado: Cuando vemos que es una industria multi-millonaria y con tasas de crecimiento exponenciales y un barrera baja de entrada, debemos pensar que los criminales que están detrás de ellos seguramente no serán disuadidos de realizar los ataques. Esos mismos criminales son los que hace años realizaban los asaltos a los bancos, industrias, gasolineras, portonazos, etc. También debemos considerar que podríamos ver un movimiento de algunos grupos criminales a otras regiones o países donde las leyes sean menos permisivas o punitivas. Solo el tiempo nos dirá cómo responderán los cibercriminales. Lo que sí es seguro, es que con la Ley y con las regulaciones que están saliendo, el gobierno y las instituciones privadas estarán armándose mejor para afrontar los retos de seguridad.  Esa es realmente la mejor manera de disuadir a los criminales.

Otro tema importante que si la ley está cubriendo, es que nuestras policías puedan efectivamente detener a los criminales y que estos sean procesados por la justicia.  Esto no es algo menor ya que hoy en día se les dificulta mucho realizar esas acciones porque no están tipificadas. Consideremos que la PDI ha indicado recientemente que los delitos informáticos han crecido un 74% solo entre 2016 y 2017.

En esta nueva economía digital, debemos considerar tener actualizaciones inmediatas ya que los cibercriminales están todos los días inventando nuevos métodos de ataque y fraude”.

“En mi opinión, el Estado cumple un rol fundamental en la protección del sector privado”

-El gobierno también anunció el instructivo de ciberseguridad para el Estado. ¿No es algo tarde para tomar medidas en este tema? ¿O es que países como Chile quizás no habían visto la necesidad de protegerse dado que no eran blanco de ataques?

-Como el mismo Presidente Piñera ha dicho anteriormente, estábamos al debe en materia de ciberseguridad. Esto se ve reflejado en los recientes ataques que hemos sufrido. La diferencia que tenemos nosotros como país, con países mas desarrollados, es que ellos empezaron primero con estas preocupaciones. Indiscutiblemente esta es una acción que debe ser realizada y ejecutada de forma inmediata. Ahora nos tocará vivir una nueva realidad cuando empiecen a salir las nuevas leyes, normativas, regulaciones, obligaciones, estándares, etc., ya que tendremos que adaptar los procesos de las empresas para poder responder a ello. Eso generará una mayor inversión en el sector y nos pone en la ruta correcta para mejorar nuestro nivel de madurez en ciberseguridad.

-¿El tema de la ciberseguridad es un tema de más preocupación para el sector privado o para el sector público?

Las preocupaciones para cada uno de los sectores son distintas. El sector público debe preocuparse por el ciudadano. Esto debe incluir resguardar la información personal que poseen los distintos organismos, así como preocuparse por la educación en ciberseguridad de todos nosotros. Esta es una tarea que requiere mucha inversión y en Chile estamos empezando ahora a preocuparos, y ocuparnos, realmente por este tema. Otra de las responsabilidades del sector público es asegurar niveles mínimos de seguridad en las infraestructura crítica del Estado, ya sea pública o privada, para asegurar la continuidad de la operación y que no nos veamos afectados por la disrupción de algún servicio crítico.

En sector privado, por otro lado, se debe preocupar principalmente por resguardar los datos de los ciudadanos (nombres, direcciones, número de tarjetas, condición médica, etc.) así como asegurar a los accionistas el buen funcionamiento de la empresa y que no se vean afectados en lo económico o en la imagen. Esto significa que evalúan los riesgos y en base al apetito de riesgo definidos por la organización toman las acciones necesarias para minimizarlos.

-¿Es una responsabilidad de los gobiernos proteger tanto al Estado como a los privados?

En mi opinión, el Estado cumple un rol fundamental en la protección del sector privado, donde las decisiones sobre la ciberseguridad son ejecutadas principalmente para responder a una ley o alguna regulación. Cuando no tenemos esta presión por cumplimiento obligatorio, las inversiones necesarias para mejorar la seguridad (o disminuir los riesgos) compiten con las inversiones tradicionales de las distintas líneas de negocio. Vemos que hay sectores con programas de seguridad mucho mas avanzados que otros y cuando revisamos el porqué de ello, en el fondo vemos que existen dichas regulaciones. Pongamos el ejemplo de la SBIF que recientemente generó una serie de regulaciones donde los Bancos e instituciones financieras deben notificar sobre los ataques informáticos ya sea que se hayan concretado o no. Esto significa que deberán invertir en seguridad para cumplir con ello. Otro caso muy importante y que es punto de interés hoy día es la ley Europea GDPR (General Data Protection Regulation) que justamente regula el uso y tratamiento de los datos de los ciudadanos de la Unión Europea, dentro y fuera de ella. Dicha ley ha provocado que las empresas hayan tenido que realizar millonarias inversiones para cumplirlas. Estas acciones por parte del Estado son en pro de los privados y del ciudadano.

 “Sobre las tecnología debe existir un mínimo de seguridad que podemos llamar Seguridad Higiénica”

¿Cuáles son los cuidados mínimos que deberían adoptar tanto el sector público como los privados y los particulares frente al tema de la ciberseguridad?

-Yo diría que lo mínimo que deben adoptar es llegar al nivel de seguridad en el cual se sientan tranquilos con respecto a los riesgos que tengan identificados. Dicho eso, cada quien deberá identificar el estado actual en el que se encuentra para poder llegar en el tiempo que determinen al estado que desean. A esto lo llamamos Programa de Seguridad.

Si el ataque nos supera debemos acudir a los expertos en el área de ciberseguridad, así como acudimos a un médico cuando ya no logramos controlar el dolor”.

Dicho programa de seguridad, ya sea para una institución pública o privada, deberá considerar los Objetivos del Negocio, los Procesos Críticos, los Activos Críticos y las Amenazas de Seguridad que están expuestos para así poder identificar los Riesgos del Negocio. Una vez que tenemos identificados los riesgos, deberemos entender los objetivos estratégicos de la empresa o institución y con ello crear el programa de Seguridad que responda a dichos objetivos estratégicos.

Eso significa que para cada quien el programa de seguridad puede, y será, diferente. En cualquier caso, para poder ejecutar el programa de seguridad debemos tener claro también la estructura funcional de las distintas áreas de seguridad, la cultura empresarial y las tecnologías que apoyan a los procesos que tenemos. Sobre las tecnología debe existir un mínimo de seguridad que podemos llamar Seguridad Higiénica. Eso significa que debemos al menos lo mínimo necesario para operar, como lo es mantener los equipos con los parches de seguridad, segregar las redes, monitorear los eventos de seguridad, manejar la identidad digital (identidad y accesos), tener los inventarios actualizados, tener bien configurados los distintos dispositivos y aplicaciones, etc.

Para entender mejor y usando una analogía, nuestro programa de seguridad deberá actuar como nuestro sistema inmune. Todo debe estar relacionado con todo y así, cuando detectamos algún ataque (alguna bacteria o virus) los sistemas de defensa empiezan a coordinarse para atacar al invasor. Cuando escala el ataque, entonces nuestros sistemas también elevan el nivel de defensa para poder responder. Por último, si el ataque nos supera debemos acudir a los expertos en el área de ciberseguridad, así como acudimos a un médico cuando ya no logramos controlar el dolor.

Las columnas de Opinión son presentadas por:
Ver más

También te puede interesar: