1. Introducción
No es una novedad que Internet revolucionó nuestras vidas. Tampoco es novedad que ha ido permeando tanto en la esfera pública como en la privada, trastocando hábitos cotidianos y dinámicas de trabajo.
A ritmo constante y creciendo a una velocidad cada vez más exponencial, el uso de las Tecnologías de la Información y las Comunicaciones ("TIC") ha ido conquistando industrias que jamás hubiéramos pensado estarían atravesadas por la tecnología.
Asimismo, el escenario pandémico que desencadenó el COVID-19 aceleró el uso y el impacto de las TIC. Como consecuencia, hoy vivimos hiperconectados. Hacemos las compras de supermercado online, tomamos clases de gimnasia online, tenemos sesiones de terapia y reuniones de trabajo remotas. A los teléfonos, autos, heladeras, relojes, zapatillas y anteojos ahora se les añade -casi como una condición sine qua non- el componente "inteligente". Cada movimiento es una invitación a pasar más tiempo navegando por el mundo virtual.
Ahora bien, la pregunta que pocas veces nos hacemos es si estamos preparados para ello y si entendemos que la contracara de mayor conectividad es mayor vulnerabilidad.
Y lo más probable es que la respuesta sea sí, pero parcialmente. No obstante, generalmente ignoramos el "parcialmente" y nos quedamos con el sí . Ello porque Internet nos parece inocuo o, al menos, sus ventajas nos hacen pensar (falsamente) que los posibles riesgos y el impacto son insignificantes o que no los sufriremos nosotros. Lo peligroso es que entonces ignoramos aquello a lo que estamos expuestos y sus posibles consecuencias.
De esta combinación de (i) hiperconectividad, (ii) mayor inversión del tiempo en Internet (y no en el mundo tangible), y (iii) la ignorancia -al menos parcial- de las amenazas virtuales, es que surge el aumento de incidentes de seguridad. El mundo virtual es cada vez más atractivo y el foco de atención para perpetuar ataques.
El Sector Público Nacional no ha quedado exento del impacto de la tecnología en el desenvolvimiento de la actividad de las entidades y jurisdicciones que lo componen, tanto en lo que se refiere a la gestión interna como a los servicios que prestan a la sociedad.
Como consecuencia del incremento sustancial en el uso de las TIC en dicho ámbito, el Sector Público también se ha vuelto blanco de ataque para los cibercriminales. Así, sobre todo el final del año 2021 y el comienzo del 2022 han traído numerosos ejemplos de incidentes de seguridad. Entre ellos, destacamos el acaecido en el ámbito del Registro Nacional de las Personas ("RENAPER"), el secuestro del sistema del Poder Judicial del Chaco (a través de un ransomware) y el del Senado de la Nación.
Aunque pueda sonar desalentador, el panorama lejos está de ser pesimista. Existen medidas que, de adoptarse, permiten corregir las vulnerabilidades y prevenir o mitigar algunos incidentes. Asimismo, para proteger adecuadamente la infraestructura, los activos de información y los datos personales, es importante mantener actualizada cualquier herramienta, protocolo y/o marco normativo en materia informática.
Este breve artículo no es un análisis exhaustivo, sino que propone una suerte de paneo general sobre ciertas normas en materia de ciberseguridad, tanto para el Sector Público Nacional como el sector privado. Asimismo, pone de manifiesto el valor que tiene la implementación de medidas y programas de seguridad de la información en la prevención y gestión de incidentes.
2. Conceptos Generales
En primer lugar, resulta adecuado esbozar algunas ideas sobre conceptos básicos en materia de ciberseguridad. Ello en razón de que no todos los incidentes de seguridad son iguales y, consecuentemente, no deben tratarse de la misma manera.
Entre las causas de los incidentes de seguridad se encuentran los ataques organizados por cibercriminales. Generalmente estos utilizan técnicas de phishing y/o el ransomware, aunque existen otras.
El phishing, básicamente, es un mecanismo en el cual el cibercriminal lanza un anzuelo (correo electrónico con software malicioso) dirigido a usuarios con el objetivo de "pescarlos" (es decir, solicitando a los usuarios que accedan a un determinado enlace, compartan los datos personales o realicen la acción que allí se les pide). Generalmente incluyen un pedido urgente, la necesidad de acción inmediata o la promesa de un beneficio, todo lo cual pese a ser falso infunde miedo y desesperación y funciona como señuelo para que el usuario descargue el virus oculto.[1]
El ransomware es un tipo de software malicioso (malware) que permite al ciberatacante secuestrar un dispositivo, sistema y/o su información y archivos, bloqueando su acceso. Generalmente se logra por un phishing previo o por visitar o descargar algún archivo dañado de un sitio no confiable. Como consecuencia, el ciberatacante puede extorsionar a la víctima solicitándole el pago de un rescate (generalmente en criptomonedas) antes de una fecha límite. De no abonarse, se amenaza con no restituir el acceso, eliminar los datos y/o publicarlos y divulgarlos.
3. Datos Personales y Ciberseguridad
Un incidente de seguridad que no se gestiona adecuadamente puede desencadenar en una brecha masiva de información y comprometer uno de los activos más importantes y privados del individuo: sus datos personales.
La Ley de Protección de Datos Personales N° 25.326 (la "Ley") enuncia en el artículo 9 el deber de seguridad con el que deben cumplir los responsables de tratamiento de datos personales. Estos deberán "adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado".
Si bien la Ley no enumera taxativamente cuáles podrían ser esas medidas (tampoco el Decreto reglamentario N° 1558/2001), la autoridad de aplicación -la Agencia de Acceso a la Información Pública - dictó la Resolución N° 47/2018 mediante la cual se aprobaron las "Medidas de Seguridad Recomendadas para el Tratamiento de los Datos Personales en Medios Informatizados y No Informatizados".[2]
Considerando el tipo y volumen de datos personales que el Sector Público Nacional recolecta, procesa y almacena, la adopción de medidas adecuadas para resguardar los datos y dar cumplimiento al deber de seguridad resulta aún más primordial.
4. Ciberseguridad en el Sector Público Nacional
En 2019, mediante la Resolución N° 829/2019 de la Secretaría de Gobierno de Modernización, se aprobó la Estrategia Nacional de Ciberseguridad. Dentro de los objetivos se incluyen la concientización del uso seguro del ciberespacio, el desarrollo del marco normativo, la protección y recuperación de los sistemas de información del Sector Público Nacional, el fomento de la industria de la ciberseguridad, entre otros.
Asimismo, a fin de fortalecer la seguridad de la información que reciben, producen y administran las entidades y jurisdicciones del Sector Público Nacional comprendidas en el inciso a) del artículo 8° de la Ley N° 24.156 y sus modificatorias[3], se sancionó la Decisión Administrativa N° 641/2021 (la "Decisión Administrativa") de la Jefatura de Gabinete de Ministros. Dicha medida también es de aplicación a los proveedores que contraten con tales entidades y jurisdicciones, en todo aquello que se encuentre relacionado con las tareas que realicen y en los términos que establezca cada una de ellas, normativa o contractualmente.
La Decisión Administrativa aprueba los "Requisitos Mínimos de Seguridad de la Información para los Organismos del Sector Público Nacional". Su objetivo principal es dotar a la información que gestiona el Sector Público Nacional de las características de confidencialidad, integridad y disponibilidad.
Entre otros puntos, la Decisión Administrativa indica que las entidades alcanzadas deberán remitir sus Planes de Seguridad aprobados a la Dirección Nacional de Ciberseguridad, asignar las funciones relativas a la seguridad de sus sistemas de información al área con competencia en la materia e informarle el nombre, apellido y datos de contacto del responsable del área designada.
Por otra parte, estableció que cada organismo que apruebe un Plan de Seguridad debe establecer los plazos en que dará cumplimiento a cada uno de esos requisitos mínimos (dicho plazo no puede exceder la fecha del 31 de diciembre de 2022). A modo de ejemplo, mediante la Resolución N° 2/2022 del Ministerio de Ciencia, Tecnología e Innovación, publicada el 13 de enero de 2022 en el Boletín Oficial, dicho Ministerio aprueba su propio Plan de Seguridad. Con el objetivo de adecuarse a los requisitos mínimos mencionados, el Plan incluye una síntesis de las observaciones realizadas en relación con el grado de cumplimiento de los requisitos y un cronograma de adecuación previsto para el año 2022, dividido por cuatrimestre.
Para aglutinar la información que el Sector Público Nacional debe remitir a la Dirección Nacional de Ciberseguridad, se creó por medio de la Disposición N° 7/2021, el Registro de Puntos Focales en Ciberseguridad del Sector Público Nacional. En este sentido, el agente al que se hubieran asignado las funciones relativas a la seguridad de sus sistemas de información deberá ingresar sus datos en el Registro a través de la plataforma Trámites a Distancia ("TAD").
Adicionalmente, se obliga a las entidades alcanzadas a reportar los incidentes de seguridad que se produzcan dentro de sus ámbitos dentro de las cuarenta y ocho (48) horas de tomado conocimiento de su ocurrencia o de su potencial ocurrencia.
Los incidentes de seguridad que deberán reportarse serán aquellos que puedan tener un impacto potencial o real adverso sobre (i) las infraestructuras tecnológicas, (ii) los sistemas de información, y (iii) los datos que gestionen, especialmente aquellos que comprometan datos personales o críticos del organismo, entidad o jurisdicción, representen un incumplimiento de la normativa vigente o afecten los servicios vinculados a funciones sustantivas de su competencia.
Para comunicar el reporte se deberá utilizar el formulario publicado en el sitio de Internet del CERT.ar.[4] El CERT.ar es el equipo de respuesta ante emergencias informáticas nacionales y trabaja en la gestión de los incidentes de seguridad informática en el Sector Público Nacional.
Una vez gestionado el incidente también deberá remitirse a través del sitio del CERT.ar un informe que incluya detalladamente el impacto estimado y las medidas adoptadas durante el ciclo de vida del incidente, para la remediación y recuperación de los servicios y/o de la información afectada.
5. Ciberseguridad en el Sector Privado
En cuanto al sector privado, las empresas también suelen trabajar con importantes volúmenes de información y, sobre todo, de datos personales. Esto implica que deben ser conscientes de la importancia que tiene el resguardo de la integridad y seguridad de la información, y procurar mantener actualizadas las medidas de seguridad adoptadas.
Si bien es central trabajar para minimizar y prevenir cualquier falla, ataque o incidente de seguridad, resulta igual de importante responsabilizarse y gestionar el incidente una vez acaecido.
A través de la citada Resolución N° 47/2018, la Agencia de Acceso a la Información Pública emitió una serie de medidas de seguridad recomendadas para el tratamiento de datos personales tanto en medios informatizados como no informatizados. Las medidas apuntan a cubrir todo el ciclo de vida de un dato personal, desde su recolección hasta su respaldo y posterior destrucción.
Entre las medidas técnicas y organizativas recomendadas, se incluyen aquellas que garanticen la integridad, la confidencialidad (por ejemplo, mediante la encriptación de las comunicaciones entre el cliente y el servidor (https) o la utilización de garantías/certificados digitales validados por entidades autorizadas y el control de acceso (por ejemplo, registro de entrada/acceso), entre otras. Exigir contraseñas robustas que cumplan con ciertas características, implementar verificación en dos pasos o multifactor y utilizar VPN (Virtual Private Network) también son medidas que crean un entorno seguro para el tratamiento de la información.
Por otro lado, es una buena práctica dejar asentado y evidenciar -a través de un protocolo, política o reporte- las medidas de seguridad y organizativas que la empresa decida adoptar, así como notificar un incidente de seguridad tan pronto como se tome conocimiento de lo ocurrido, a fin de que los titulares de los datos comprometidos puedan tomar las medidas necesarias y/o ejercer sus derechos.
Además, mediante la Resolución N° 332/2020, la Agencia de Acceso a la Información Pública aprobó la Guía de Fiscalización en materia de datos personales. La misma establece que cuando la Agencia de Acceso a la Información Pública realice una investigación -espontánea o planificada- tendrá en cuenta si el responsable o usuario de la base de datos cuenta con un sistema de notificación de incidentes de seguridad para comunicar lo ocurrido a los titulares de datos personales y a la Agencia de Acceso a la Información Pública.
6. Conclusión
Los incidentes de seguridad pueden darse en cualquier ámbito independientemente de si se trata de una empresa del sector privado o de un organismo del sector público. En consecuencia, la prevención y, en su caso, gestión del incidente de seguridad es imprescindible en todos los casos.
Para ello, en primer lugar, se debe invertir en el diseño de planes de seguridad de la información que puedan evolucionar constantemente para adaptarse a las nuevas necesidades del entorno y de la empresa u organismo en cuestión.
Esto permite tener una suerte de radiografía de la empresa u organismo lo cual facilita la identificación de los mayores puntos de riesgo y ayuda a definir prioridades de protección. Asimismo, al tener registro se puede visualizar el flujo de la información dentro, hacia y desde la organización. Consecuentemente, es posible tanto anticiparse a ciertas amenazas e intentos de explotar vulnerabilidades como gestionar el incidente con mayor éxito una vez acaecido (ya que se detecta y corrige más rápidamente la falla).
En segundo lugar, se debe concientizar y fomentar una cultura de ciberseguridad dentro de la empresa u organismo e intentar expandirla a los terceros con los que se quiera contratar. Muchas veces son las personas dentro de las organizaciones los propios vectores de entrada del ciberataque. Un pilar clave para minimizar engaños y prevenir incidentes de seguridad incluye desarrollar políticas y programas de seguridad para empleados, concientizando y formándolos para que den un adecuado tratamiento a la información, detecten y reporten correos electrónicos sospechosos y no accedan a sitios y enlaces o descarguen archivos no confiables, entre otros.
En tercer lugar, el monitoreo y testeo son herramientas que, aplicadas de forma continua, permiten tener la radiografía de la organización en tiempo real y detectar las amenazas o ataques en ejecución presentes en ese momento.
En cuarto lugar, se recomienda (i) restringir el acceso a la información al mínimo de personas dentro/fuera de la organización necesario, (ii) hacer copias de seguridad de la información de forma periódica en medios seguros y (iii) pensar la ciberseguridad desde el diseño.
En conclusión, existen múltiples posibilidades y medidas que se adaptan a la realidad de cada organización y que facilitan la creación de ambientes digitales seguros para el tratamiento de la información y la gestión de incidentes. Lo importante es comenzar y poner en marcha la estrategia y sistema de ciberseguridad desde el principio. En términos de negocio, una cultura de ciberseguridad -sea adoptando las medidas recomendadas por la Resolución N° 47/2018 o los requisitos mínimos aprobados por la Decisión Administrativa- debe pensarse como la inversión más barata con el margen de ganancias más alto.[5]
Citas
[1] La Dirección Nacional de Ciberseguridad publicó una Guía y glosario para conocer las modalidades de phishing y prevenirlas. Disponible en: https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/informes-de-la-direccion-1
[2] Asimismo se derogan las Disposiciones N° 11/2006 y N° 9/2008 de la Dirección Nacional de Protección de Datos Personales.
[3] El inciso a) del artículo 8 de la citada Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional dispone que integra el Sector Público Nacional la Administración Nacional, conformada por la Administración Central y los Organismos Descentralizados, comprendiendo en estos últimos a las Instituciones de Seguridad Social.
[4] El sitio web del CERT.ar para reportar un incidente puede accederse en: https://www.argentina.gob.ar/jefatura/innovacion-publica/ssetic/direccion-nacional-ciberseguridad/cert-ar/reportar-un-incidente
[5] Se sugiere la lectura del libro Hackeados, escrito por el abogado experto en ciberseguridad, Jorge Litvin. Disponible en: https://www.scribd.com/document/457384740/Hackeados-Delitos-en-El-Mundo-2-0-y-Medidas-Para-Protegernos
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law