| El lado oscuro de Internet también está en Facebook:click acá!
El 29 de octubre de 2004 fue un día memorable para el país y pocos saben por qué; peor aún, los que conocen qué ocurrió ese día no entienden su magnitud y los que deberían aplicar lo que resultó de él no lo han hecho, al menos en la medida en la que deberían.
¿Qué fue lo que hizo de ese día uno tan glorioso? El Vicepresidente Francisco Santos, junto con el señor Oswaldo Rodríguez, actuando en sus respectivas calidades de Presidente de la Comisión Intersectorial de Políticas y Gestión de la Información para la Administración Pública y Vicepresidente del Comité Técnico de esta Comisión, firmaron la Circular No. 004 mediante la que definieron los estándares de seguridad e interoperabilidad que ?deben tenerse en cuenta por parte de las entidades y organismos de la Administración Pública que esperen contratar y/o desarrollar sistemas de información?.
Gloriosísimo!!!! Fuimos de los primeros en Latinoamérica en definir esta clase de estándares para la Administración Pública? pero no pasamos de ahí. Letra muerta, como tantas veces nos pasa. Si hacemos un examen juicioso de la situación hoy existente en las entidades públicas nos encontraremos con que, al menos en seguridad de la información, la cosa es patética.
Obviamente hay unas que están mejor que otras, pero en general su status es grave; la Registraduría se le mediría a aceptar una auditoría, a su vez auditada por la ciudadanía, que mida su nivel de seguridad? O? acaso lo haría, digamos, el Ministerio de Protección Social? Dúdolo mucho; encontraríamos una lista de razones como sustento a esa negativa?
Es una lástima; esa Circular no es obligatoria. Mejor dicho, no vincula a la Administración y los empleados públicos, particularmente los directores de sistemas de las entidades, no tendrían que entrar a responder en un juicio fiscal adelantado por la Contraloría si, por no haber implementado estas políticas, sus entidades llegaran a sufrir detrimentos patrimoniales. Tampoco su responsabilidad disciplinaria quedaría en riesgo, porque no están obligados a acatar esta Circular.
Una Directiva Presidencial es todo lo que necesitamos, nada más!! Las entidades públicas tienen sus presupuestos comprometidos, eso no lo podemos desconocer; nuestra realidad es la de la falta de recursos. Pero no por esto podemos quedarnos de brazos cruzados y hacernos los de la vista gorda.
O asumimos la realidad, es decir, que sí hay riesgos virtuales que tienen consecuencias reales y dolorosas que se pueden prever (hasta una medida razonable, claro está), medir y controlar, o nos aguantamos el golpe cuando nos llegue. Y, lo peor de todo, es que las perspectivas son tristes; ojalá no nos llegue un ChoicePoint v. 2.1 (con automatic patch updating and installing) bien doloroso que encienda unas alarmas tardías.
Por lo general, lastimosamente, los directores de las entidades asumen el gasto en seguridad como tal, es decir, no como una inversión; y peor si hablamos de asegurar información. ¿Cómo convencer al gerente de una entidad pública de que para la entidad y sus usuarios es conveniente invertir una suma cualquiera en un consultor externo que le saque las pulgas y le diga, como pasa tantas veces, que su seguridad es en realidad inseguridad? Es cosa de mentalidad, amigo mío, cambio de mentalidad?
A algún post anterior un lector comentó que, en su parecer, soy muy alarmista. Qué lástima que haya gente que piense que prever lo que puede pasar es ser alarmista: los expertos en seguridad consideran que hoy existe una inflación en el bruto de la población mundial que es capaz de dirigir ataques contra infraestructuras críticas. Y, obviamente, aclaran ellos que motivaciones no les faltan: nacionalismo, ideologías, mercado, dinero, información, good will, en fin.
Nosotros, colombianos, tenemos un plus que puede implicar una razón de más para ser atacados: nuestra cercanía al gobierno de los Estados Unidos, que nos implica ser vistos como un aliado del mal llamado imperialismo yanqui (todavía hay quienes usan esta terminología). Con mirar a la derecha en el mapa es suficiente para entender a qué me refiero; y, si bajamos unos cuántos países, directamente al sur o un poco al sur oriente, encontramos otras dos razones.
Estratégicamente conviene a nuestros vecinos conocer lo más que les sea posible acerca de nosotros; mientras más nos conozcan, mejor es su posición a nivel regional. La guerra en línea es cierta; no está en los medios, pero ahí está. Y este es solamente un escenario.
Otros escenarios son más simples, aunque no menos preocupantes; por ejemplo, grupos de hacking que dirigen sus ataques por razones que ya están dejando de ser subjetivas para convertirse en económicas. El hecho de que en Colombia tengamos una población que es mayoritariamente lamer y script kiddie (con el perdón de nuestros valiosos programadores) no implica que no nos puedan llegar ataques muy fuertes desde el exterior (la ubicación de la víctima y el atacante no son relevantes ya).
No me he referido a los actores de nuestro conflicto interno (no quería hacerlo pero vale la pena); ¿acaso cree usted que quienes nos atacan y atacan al Estado no usan tecnología novedosa? Recuerde: ellos tienen recursos ilimitados y pueden contratar a quien quieran, sea cual sea su precio; es conocido por todos que en los viejos retenes preguntaban el número de la cédula del ciudadano que iba con gafas negras en su 4×4 y lo dejaban pasar, burlándose de él por vivir de apariencias puesto que en realidad debía hasta la corbata, no solamente a la DIAN sino a una cantidad de bancos, con embargos de por medio y porque la casa en la que vivía no era suya sino arrendada.
¿Es que acaso cualquiera puede acceder a las bases de datos que contienen esta información? ¿Acaso alguna entidad tiene convenientemente implementado un sistema de seguridad que permita detectar estas fugas? De nuevo, dúdolo mucho? Gracias a ellas varios fueron secuestrados; ¿y aún usted, querido lector, piensa que no es necesario implementar Políticas de Seguridad de la Información en las entidades públicas?
Vamos ahora al sector privado; sí, es cierto que la banda ancha tiene una penetración muy pobre en el país. Aún así estoy seguro de que la cantidad de bots que se pueden reclutar en Colombia es suficientemente alta como para tumbar los servidores que controlan los semáforos en Bogotá. ¿Que esto no es posible, me pregunta usted? JA, no esté tan seguro? hablando de seguridad de la información no hay nada imposible; es cosa de conseguir la tecnología adecuada (en hardware y software), el personal capacitado y empezar, como siempre, con algo de ingeniería social. El resto es historia?
Estas son solamente píldoras; no es un análisis juicioso ni mucho menos. Es solamente la expresión del inconformismo que durante tanto tiempo he tenido. Inconformismo que casi siempre parece llegar a oídos sordos que hacen caso omiso de este ?alarmismo??
¿Hasta cuándo?
blogladooscuro @ gmail.com