Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

 | El lado oscuro de Internet también está en Facebook:click acá!

El 29 de octubre de 2004 fue un día memorable para el país y pocos saben por qué; peor aún, los que conocen qué ocurrió ese día no entienden su magnitud y los que deberían aplicar lo que resultó de él no lo han hecho, al menos en la medida en la que deberían.

¿Qué fue lo que hizo de ese día uno tan glorioso? El Vicepresidente Francisco Santos, junto con el señor Oswaldo Rodríguez, actuando en sus respectivas calidades de Presidente de la Comisión Intersectorial de Políticas y Gestión de la Información para la Administración Pública y Vicepresidente del Comité Técnico de esta Comisión, firmaron la Circular No. 004 mediante la que definieron los estándares de seguridad e interoperabilidad que ?deben tenerse en cuenta por parte de las entidades y organismos de la Administración Pública que esperen contratar y/o desarrollar sistemas de información?.

Gloriosísimo!!!! Fuimos de los primeros en Latinoamérica en definir esta clase de estándares para la Administración Pública? pero no pasamos de ahí. Letra muerta, como tantas veces nos pasa. Si hacemos un examen juicioso de la situación hoy existente en las entidades públicas nos encontraremos con que, al menos en seguridad de la información, la cosa es patética.

Obviamente hay unas que están mejor que otras, pero en general su status es grave; la Registraduría se le mediría a aceptar una auditoría, a su vez auditada por la ciudadanía, que mida su nivel de seguridad? O? acaso lo haría, digamos, el Ministerio de Protección Social? Dúdolo mucho; encontraríamos una lista de razones como sustento a esa negativa?

Es una lástima; esa Circular no es obligatoria. Mejor dicho, no vincula a la Administración y los empleados públicos, particularmente los directores de sistemas de las entidades, no tendrían que entrar a responder en un juicio fiscal adelantado por la Contraloría si, por no haber implementado estas políticas, sus entidades llegaran a sufrir detrimentos patrimoniales. Tampoco su responsabilidad disciplinaria quedaría en riesgo, porque no están obligados a acatar esta Circular.

Una Directiva Presidencial es todo lo que necesitamos, nada más!! Las entidades públicas tienen sus presupuestos comprometidos, eso no lo podemos desconocer; nuestra realidad es la de la falta de recursos. Pero no por esto podemos quedarnos de brazos cruzados y hacernos los de la vista gorda.

O asumimos la realidad, es decir, que sí hay riesgos virtuales que tienen consecuencias reales y dolorosas que se pueden prever (hasta una medida razonable, claro está), medir y controlar, o nos aguantamos el golpe cuando nos llegue. Y, lo peor de todo, es que las perspectivas son tristes; ojalá no nos llegue un ChoicePoint v. 2.1 (con automatic patch updating and installing) bien doloroso que encienda unas alarmas tardías.

Por lo general, lastimosamente, los directores de las entidades asumen el gasto en seguridad como tal, es decir, no como una inversión; y peor si hablamos de asegurar información. ¿Cómo convencer al gerente de una entidad pública de que para la entidad y sus usuarios es conveniente invertir una suma cualquiera en un consultor externo que le saque las pulgas y le diga, como pasa tantas veces, que su seguridad es en realidad inseguridad? Es cosa de mentalidad, amigo mío, cambio de mentalidad?

A algún post anterior un lector comentó que, en su parecer, soy muy alarmista. Qué lástima que haya gente que piense que prever lo que puede pasar es ser alarmista: los expertos en seguridad consideran que hoy existe una inflación en el bruto de la población mundial que es capaz de dirigir ataques contra infraestructuras críticas. Y, obviamente, aclaran ellos que motivaciones no les faltan: nacionalismo, ideologías, mercado, dinero, información, good will, en fin.

Nosotros, colombianos, tenemos un plus que puede implicar una razón de más para ser atacados: nuestra cercanía al gobierno de los Estados Unidos, que nos implica ser vistos como un aliado del mal llamado imperialismo yanqui (todavía hay quienes usan esta terminología). Con mirar a la derecha en el mapa es suficiente para entender a qué me refiero; y, si bajamos unos cuántos países, directamente al sur o un poco al sur oriente, encontramos otras dos razones.

Estratégicamente conviene a nuestros vecinos conocer lo más que les sea posible acerca de nosotros; mientras más nos conozcan, mejor es su posición a nivel regional. La guerra en línea es cierta; no está en los medios, pero ahí está. Y este es solamente un escenario.

Otros escenarios son más simples, aunque no menos preocupantes; por ejemplo, grupos de hacking que dirigen sus ataques por razones que ya están dejando de ser subjetivas para convertirse en económicas. El hecho de que en Colombia tengamos una población que es mayoritariamente lamer y script kiddie (con el perdón de nuestros valiosos programadores) no implica que no nos puedan llegar ataques muy fuertes desde el exterior (la ubicación de la víctima y el atacante no son relevantes ya).

No me he referido a los actores de nuestro conflicto interno (no quería hacerlo pero vale la pena); ¿acaso cree usted que quienes nos atacan y atacan al Estado no usan tecnología novedosa? Recuerde: ellos tienen recursos ilimitados y pueden contratar a quien quieran, sea cual sea su precio; es conocido por todos que en los viejos retenes preguntaban el número de la cédula del ciudadano que iba con gafas negras en su 4×4 y lo dejaban pasar, burlándose de él por vivir de apariencias puesto que en realidad debía hasta la corbata, no solamente a la DIAN sino a una cantidad de bancos, con embargos de por medio y porque la casa en la que vivía no era suya sino arrendada.

¿Es que acaso cualquiera puede acceder a las bases de datos que contienen esta información? ¿Acaso alguna entidad tiene convenientemente implementado un sistema de seguridad que permita detectar estas fugas? De nuevo, dúdolo mucho? Gracias a ellas varios fueron secuestrados; ¿y aún usted, querido lector, piensa que no es necesario implementar Políticas de Seguridad de la Información en las entidades públicas?

Vamos ahora al sector privado; sí, es cierto que la banda ancha tiene una penetración muy pobre en el país. Aún así estoy seguro de que la cantidad de bots que se pueden reclutar en Colombia es suficientemente alta como para tumbar los servidores que controlan los semáforos en Bogotá. ¿Que esto no es posible, me pregunta usted? JA, no esté tan seguro? hablando de seguridad de la información no hay nada imposible; es cosa de conseguir la tecnología adecuada (en hardware y software), el personal capacitado y empezar, como siempre, con algo de ingeniería social. El resto es historia?

Estas son solamente píldoras; no es un análisis juicioso ni mucho menos. Es solamente la expresión del inconformismo que durante tanto tiempo he tenido. Inconformismo que casi siempre parece llegar a oídos sordos que hacen caso omiso de este ?alarmismo??

¿Hasta cuándo?

blogladooscuro @ gmail.com

(Visited 99 times, 1 visits today)

Etiquetas

PERFIL
Profile image

    Sigue a este bloguero en sus redes sociales:

  • twitter

Más posts de este Blog

  • Mundo

    LATAM CISO: Regional Cybersecurity Network

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Under the auspices of Venable, LLP, a law and lobbying firm in Washington, D.C.,(...)

  • Mundo

    Rusia, ¿robando tráfico de Apple?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Según información publicada por BGPmon, Rostelecom, el más grande proveedor de conectividad ruso, estuvo(...)

  • Mundo

    LATAM CISO: Red de ciberseguridad a nivel regional

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] Bajo el auspicio de Venable, LLP, una firma de abogados y lobbying con sede(...)

  • Colombia

    Mi empresa fue hackeada: ¿reporto a la policía?

    [caption id="attachment_147" align="alignright" width="82"] @isitreallysafe[/caption] En el blog que publiqué hace unas semanas, titulado “De la cíberseguridad pasiva a(...)

Ver más

Lo más leído en Blogs

1

¿Casa-logía?    Uno es lo que es. A los 15 años(...)

2

Dios nos habla por medio de nuestros sueños. Esta es una(...)

3

Hambre

El hambre es más atroz que la muerte misma y ahora(...)

3 Comentarios
Ingresa aquí para que puedas comentar este post
  1. comentarios_law

    Tiene toda la razon, no hay nada peor para una institucion que su informacion sea extraida o vulnerada y que no se de cuenta. El que no se halla percatado de ello, no significa que no le este ocurriendo, y peor ahun que por no darse cuenta, no tome medidas pertinentes. Un gran problema es que los consultores de seguridad no tienen credibilidad ya que detectan problemas pero no plantean soluciones, y generalmente se van al perimetro pero no al escritorio.

    ——–

  2. comentarios_law

    Estoy de acuerdo con el blog. La labor del escritor de este blog es ser bien paranoico. Los que usamos internet para muchas cosas y sobre todo que implique movimiento de $$$, debemos dejar de creer ciegamente en la seguridad de internet, además cuando algo pase (y puede pasar), los que no lo utilizan nos dirán: “Te lo dije!”. Políticas como esta son un buen comienzo, para que se inviertan los recursos necesarios para la seguridad en las TIC¿s

  3. comentarios_law

    Importante la labor de concientización. Pero tal vez tu punto de vista no es del todo veraz, si se analiza en profundidad, y se puede obtener acceso a información clasificada; muchas de las entidades del estado han desarrollado directrices y lineamientos, tal vez aun no se difunden ni se implementan en su totalidad. El problema como se expone en el blog, es que no se ha impuesto la necesidad de forma imperativa, sino que aun continua siendo una recomendación. COINFO se base en BS 7799, algunas normas ISO de tecnología, y las metodologías propuestas han sido desarrolladas por entes norteamericanos como NIST. El gran problema de nuestro país es su academia, las universidades no están aportando al desarrollo de nuevas alternativas, no hay investigación y el producto no se puede implementar en el ambito laboral. Aun así creo que COINFO es una importante iniciativa, y se debe continuar con el apoyo y la concientización en el tema de la seguridad.

Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar