La transformación digital demanda un nuevo contrato social
. |
Cedoc Perfil
Andrés Piazza. Director de IDDLAC (Instituto de Desarrollo Digital de América Latina y el Caribe).
Si bien los ataques informáticos son noticia desde hace años, porque los padecen las instituciones públicas o empresas privadas en el país, el ransomware ('secuestro de datos' en español) sufrido por el Poder Judicial de la Provincia de Córdoba, con aroma a catástrofe, ha revestido una gravedad inusitada que obliga a otros niveles de reflexión.
Ya teníamos un problema serio con la ́nueva normalidad ́de la transformación digital pospandémica que involucra ataques a obras sociales, industrias, prestatarios de servicios públicos o reparticiones nacionales, en los que se contaban por millones las pérdidas económicas y violaciones a la privacidad que sufren los ciudadanos afectados.
Sin embargo, la parálisis de un poder público durante (al menos) 13 días mira de reojo a otra dimensión de un conflicto institucional que se nos presenta como sociedad. Así como no se discute el carácter estratégico de proteger con las fuerzas armadas a los palacios de gobierno y también a los principales funcionarios desde la existencia misma del contrato social y de las instituciones (nacionales y provinciales), debe considerarse que hay funciones básicas que son digitales desde hace algunos años, por lo que una parte importante de la esencia de los Estados, en este siglo, está compuesta intrínsecamente por flujos de información.
Afortunadamente, aún con la escasa información oficial existente, se advierte la posibilidad de recuperar los backups con algún grado de integridad y el funcionamiento del Poder Judicial de manera paulatina en los próximos días. Aún cuando esos recuperos supongan filtraciones o revelaciones de actuaciones judiciales confidenciales (está por verse) se trata de un respiro de alivio que, de confirmarse, ofrece una oportunidad para el aprendizaje colectivo.
Preguntas subsistentes. La falta de congruencia entre las versiones oficiales, los trascendidos periodísticos y la escasa información técnica disponible impide capitalizar los incidentes de acuerdo al estado del arte de las políticas de seguridad de la información. Sobre lo técnico, solo se informó que los antivirus habían sido actualizados y que “un virus no conocido” había infectado el sistema, siendo que es pública la existencia del Ransomware Play desde junio de este año. En ese contexto, subsisten algunas preguntas básicas, aún en el supuesto de un empleado infiel: ¿Cómo se puede propagar el malware por toda la red? ¿Existe doble factor de autenticación en los accesos? ¿Hay reportes públicos de las auditorías de seguridad y de la ejecución presupuestaria?
Sobre el Plan de Contingencia desplegado también será necesario conocer los detalles y especialmente si la utilización de cuentas de Gmail, cuentas de correo del Poder Ejecutivo y documentos de Google Drive formaban parte de la previsión original.
Inversiones estratégicas y acumulación de capacidades. Si bien no existen dudas acerca de la necesidad de inversión en la materia, es importante observar su calidad y la de las políticas que la guían. El propio Tribunal Superior de Justicia publicó una lista de empresas multinacionales y líderes de mercado que ha contratado en materia de Seguridad de la Información, abriendo el interrogante acerca de las capacidades creadas, acumuladas y sostenidas de un área de modernización que no separa las funciones del CIO (administración del datacenter) de las del CISO (seguridad) especialmente considerando los problemas estructurales que posee el sector público para mantener recursos humanos con perfiles técnicos.
Acuerdo multisectorial. La conciencia en materia de seguridad informática ya estaba despertando en la provincia en 2022, no solamente por la comprensión por parte de los sectores empresarios de la importancia de la inversión y cooperación en el tema, sino por la aparición de esfuerzos colaborativos como el CSIRT, en el que confluyen ministerios del Poder Ejecutivo, la Universidad Nacional, cámaras sectoriales, sociedad civil y que ha atraído la atención de las principales redes públicas y privadas de Córdoba. El caso de Aceitera General Deheza es testigo, pero no el único, de la importancia de la inversión y cooperación en el tema.
Así como en 2007 comprendimos que no se puede pasar un día sin saber quién ganó una elección y en 2013 nos quedó claro que no se puede permanecer sin fuerzas de seguridad, 2022 debería ser el año en que entendamos qué hace falta aumentar el nivel de seguridad de la información.
