Desafíos de la ciberseguridad en El Salvador y la necesidad de suscripción del Convenio de Budapest

Escrito por: Karla Alas | Socia en ECIJA Legal | Especialista en Ciberseguridad,cibercrimen y data privacy

Quién iba a decir que adaptarnos a una realidad digital era cuestión de tiempo. Producto de la evidente evolución tecnológica han surgido transformaciones significativas para la humanidad, impulsadas por el alto uso de dispositivos móviles, redes sociales, Internet 5G; así como tanto innovaciones directas para organizaciones privadas y públicas, hablamos de gobierno digital, datos abiertos, software de gestión empresarial, intercambio electrónico de documentos, sistemas de información geográficos-, big data, inteligencia artificial e inteligencia de negocios.

Derivado de lo anterior, muchas personas, empresas, y hasta los Estados, se han visto en la necesidad de recurrir a invertir, cuando se puede, en soluciones de ciberseguridad ante posibles amenazas que circulan alrededor. Y hago énfasis en el “cuando se puede”, ya que no todos cuentan con dichas herramientas, atribuyendo y supeditado su adquisición, generalmente a temas de inversión, por estrategia a mediano o largo plazo, por falta de interés, o sencillamente, por el hecho de que no consideran que les pueda pasar un incidente informático. Como repito, las razones son de diferente naturaleza.

El Estado de El Salvador cuenta con una política de ciberseguridad 2020-2030 cuyo objetivo principal, es establecer las líneas de acción y estratégicas que permitan al definir los aspectos relevantes enfocados en la prevención de riesgos cibernéticos, la gobernanza, desarrollo de las capacidades de ciberseguridad enfocadas en el aseguramiento de las infraestructuras críticas, el fortalecimiento de los mecanismos de respuesta ante incidentes y el desarrollo de habilidades técnicas y de gestión, para que las instituciones públicas y privadas a nivel nacional y los ciudadanos mismos puedan tomar conciencia de este tema y los riesgos del uso de las tecnologías de información, que les permitan adoptar medidas de protección ante las ciberamenazas.

La mayor parte de los países, e Iberoamérica no es la excepción, se encuentra realizando grandes cambios ya que han visto la necesidad de reforzar las políticas de ciberseguridad, por ser un asunto de interés nacional, y que está asociado a otro gran flagelo, el ciberterrorismo y todas las secuelas que esto trae consigo.

Por ello, me enfocaré en los grandes desafíos que debemos tener en cuenta como país, en lo relativo al tema que nos ocupa.

AUMENTO DE CAPACIDADES TECNOLÓGICAS

La mayoría de los gobiernos están reconociendo que cada día existe más riesgo de vulneración a la seguridad, incluyendo los delitos informáticos, ciberterrorismo y las diversas amenazas cibernéticas que han causado daños a la sociedad y pérdidas económicas. De ahí que existen desafíos para la administración pública y las diversas organizaciones en aumentar sus capacidades tecnológicas de ciberdefensa y de seguridad de la información (mediante sistemas y protocolos de seguridad cada vez más sofisticados) para contrarrestar estos posibles ciberataques.

CREACIÓN, ACTUALIZACIÓN DE LEYES Y RATIFICACIÓN DE TRATADOS INTERNACIONALES

Otro reto, es crear nuevas leyes, actualizar la legislación y establecer normas técnicas de calidad ante el temor a ciber catástrofes. Véase el caso de Costa Rica, sin ir tan lejos, quienes este 2022 han sufrido grandes ataques, y que debemos poner de ejemplo, para enfocarnos en realizar esfuerzos y tener recursos para gestionar la seguridad en el ciberespacio, ellos recientemente han presentado para aprobación ante el congreso legislativo de dicho país, su anteproyecto de ley de ciberseguridad.

Chile, es otro ejemplo de país que ha puesto mucha importancia en regular este tema, ya que recientemente aprobó la Política Nacional de Ciberseguridad, siendo ese el primer instrumento del Estado que tiene por objeto resguardar la seguridad de las personas y de sus derechos en el ciberespacio. Y así podemos hablar de otros países con ese mismo sentimiento.

Bajo ese orden de ideas, regular se vuelve una tarea determinante y es uno de los grandes desafíos que perseguir, porque al final lo que está en riesgo es la seguridad e integridad de las personas, de sus bienes, de los países y de la información. Recordemos uno de los principios básicos para proteger todo lo que está relacionado con sistemas informáticos: “No puedes proteger lo que no puedes ver”, pero le añado “ NO SE PUEDE PROTEGER, SI NO ESTÁ REGULADO”

3º PROMOCIÓN DE POLÍTICAS SÓLIDAS DE SEGURIDAD

Esto permitirá la protección de la información de personas y diversas organizaciones y que incorporen las reglas y procedimientos para la gestión de la información, la protección física de los equipos en red, la determinación de barreras y procesos de acceso a datos y el establecimiento de los niveles de acceso de acuerdo con responsabilidades y funciones, la limitación de acceso a terceros, los reportes de intrusión, los estándares de seguridad, la codificación de información, el uso de software legal, el uso de protecciones ante ataques externos, los backups de información y la revisión de adjuntos en mensajería, entre otros.

4º MEJORA EN ESQUEMAS PARA EL ANÁLISIS Y LA MEDICIÓN AUTOMATIZADA.

Para ello se requiere que dicha mejora sea continua y en tiempo real de los riesgos, amenazas y vulnerabilidades existentes en los sistemas de información gubernamental (mapas de riesgo), para decidir y actuar en prevención, protección y detección temprana de incidentes cibernéticos.

5º CONSOLIDACIÓN DE ALIANZAS

Por ser un problema que se esparce en todo el mundo, El Salvador debe tener aliados y desarrollar estrategias de cooperación internacional que le permitan aumentar los estándares de ciberseguridad y enfrentar conjuntamente las amenazas cibernéticas y proteger su infraestructura crítica.

6º APLICACIÓN DE SISTEMAS DE GESTIÓN E ISO´s

Para complementar se debe seguir aplicando y mejorando su propio sistema de gestión de la información y estar pendientes de la evolución que ha tenido y sigue teniendo la norma ISO 27001, que determina los estándares internacionales y requisitos en sistema de gestión de la información, pero que no son los únicos temas que han evolucionado y estandarizado, por ejemplo hay evolución de la mencionada norma 27001, en cuanto:

• Buenas prácticas para implementar controles.
• Aspectos críticos necesarios para el diseño e implementación con éxito de un Sistema de gestión de información
• Recomendaciones para medir y monitorizar un sistema de gestión de seguridad informática
• Buenas prácticas para la gestión de riesgos de seguridad informática y con un enfoque metodológico.
• Requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
• Guías de auditoría

Guías para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.

Incluso ya existen variables para el sector telecomunicaciones, para el sector financiero, servicios Cloud; el sector de la industria de la energía, y para cubrir seguridad y privacidad en principios, riesgos y controles aplicables a la Internet de las Cosas (IoT – Internet of Things).

7º PROMOCIÓN DE LA INVESTIGACIÓN E INNOVACIÓN

Esta tarea puede generar conocimientos y soluciones de alto nivel, y desarrollar programas de educación formal (pregrados y posgrados) y de educación no formal (cursos, seminarios, diplomados, etc.) que preparen a los profesionales requeridos para trabajar en ciberseguridad.

8º FOMENTAR LA DENUNCIA Y RATIFICACIÓN DE CONVENIO DE BUDAPEST

Y no menos importante es que la gente y las organizaciones sepan que pueden denunciar conductas delictivas informáticas ya que se sigue creyendo que contra esto, no se puede hacer nada y se deja que el daño aumente.

Este año se reformó la Ley de Delitos Informáticos y Conexos dando nuevas herramientas para el combate de estos delitos, sin embargo no es suficiente.

Es necesario como parte del desafío que debe trazarse El Salvador, la ratificación del Convenio de Budapest, el cual es un convenio internacional para combatir el crimen organizado transnacional, así como cualquier otro tratado o acuerdos sobre Ciberdelincuencia o delitos informáticos que en el futuro pueda existir y acuerdos de cooperación en caso de delitos transnacionales vinculados a esta materia.

9º CREACIÓN DE UN CSIRT NACIONAL

Y no menos importante es contar con un equipo de respuesta a incidentes en seguridad informática (CSIRT por sus siglas en inglés) que vele por brindar servicios de respuesta a incidentes de seguridad informática y puedan monitorear y responder a incidentes en las redes gubernamentales y también puedan servir como un agente o coordinador de seguridad de la información para el sector privado u otros sectores e instituciones, ya que contar con ello, nos permite como país, prevenir, gestionar y responder a incidentes de seguridad de la información, además de coadyuvar a mitigar el riesgo de los ataques cibernéticos.

Como podremos ver, el reto es enorme, pero no inalcanzable, ya que éstos desafíos pueden lograrse con el apoyo conjunto del Estado, organizaciones e instituciones que velan por la seguridad nacional, sector académico y educativo, empresa privada y personas, entre otros, ya que en todos, existe un elemento que coadyuve la mejora continua y contribuye a que existan criterios uniformes para lograr los objetivos para mejorar la ciberseguridad en nuestro país.