Seguridad: Regulación y colaboración
Nuevamente, después de un largo periodo sin publicar nada me tomé el tiempo de cargar un segundo trabajo para el diplomado de ciberseguridad que hice, espero sea de utilidad. Se trata de mi reflexión de como la regulación y la colaboración se vuelve una herramienta clave en el esfuerzo de proteger nuestra información.
En vista de la situación sanitaria mundial con la COVID-19 intentaré incluir algunas referencias que nos sitúen en la realidad actual, espero les sea útil, así comenzamos, con el título original:
Tecnología como la de los carros eléctricos que pueden afectar a la empresa petrolera, la inteligencia artificial, robótica y domótica cada vez más accesible y con posibilidades de ser incluido en elementos cotidianos como el manejo autónomo de un vehículo, la automatización de procesos o la gestión de recursos de un hogar y, por supuesto, el comercio electrónico; son algunos ejemplos de tecnología que están a la vuelta de la esquina a nuestra disposición.
Se dice que cada 20 años ocurre este tipo de transformación digital. Desde el principio cuando aparecieron los circuitos integrados, luego la conectividad de procesos y ahora los sensores dotados con algoritmos inteligentes, conllevaron un avance para la sociedad y la forma en que se mueve el mundo, así como también nuevos nichos de preocupación relacionado a los riesgos que traen consigo.
La ley, según el jurista francés Marcel Planiol es una “regla social obligatoria, establecida en forma permanente por la autoridad pública y sancionada por la fuerza”, es decir, es un marco en donde existe un ente superior que manda y otro inferior que está obligado a obedecer, y es el único elemento que garantiza un comportamiento estándar antes situaciones irregulares.
Podríamos ver a las leyes como una marco de regulación que nos permite movernos bajo condiciones similares y tomar acciones conscientes sobre eventos desfavorables (o favorables) que nos podría llevar a una dicotomía. En este sentido, este marco regulatorio debe contar con el respaldo de las personas y, en especial, los países, al menos de la mayoría, para que en conjunto se de una fe de colaboración y se pueda tener la suficiente fuerza de hacerla cumplir. Si un pequeño país sin autoridad define una ley de manera individual y unilateral, y el resto de los países no la reconocen o se adhiere ella, está carece obligatoriedad. Un gran ejemplo de esto, puede ser el manual de Tallin, que aunque no es una ley, es un documento que se autodefine como un intento para regular las ciberoperaciones por el derecho internacional, optando por extender la ley por medio de la interpretación y la analogía entre lo físico y cibernético; en lugar de desarrollar un marco legal completamente nuevo. Al final el manual se puede tomar como referente de cómo el derecho internacional público y humano es aplicable al ciberespacio, a la soberanía y las responsabilidades de los países.
A nivel internacional, se puede observar cómo organismos como la ONU o la OEA, entre otros entes internacionales, que han estado establecido a lo largo del tiempo resoluciones, investigaciones y programas asociados con la ciberdefensa, entre ellos:
Como se puede identificar en los anteriores esfuerzos, existe un concepto que prevalece, el apoyo y colaboración entre organizaciones y países. Apoyo que se vuelve sumamente necesario cuando identificamos que el cibercrimen es una millonaria industria, que en el 2017 los exploit para antivirus se vendían en torno a los 40.000 dólares y estos mismos para sistemas operativos Apple, podrían llegar hasta 1,5 millones de dólares. Incluso, puedes rentar recursos para enviar Spam o hacer ataques DNS pagando entre 170 y 350 dólares la hora.
Un ejemplo de que los países están entendiendo la necesidad de cooperar con otro, es la adhesión de Chile al convenio de Budapest sobre la Ciberdelincuencia. Primer tratado internacional sobre delitos cometidos a travé de internet y otras redes informáticas, por lo que representa un sistema de cooperación para el desarrollo de capacidades, a fin de enfrentar de mejor manera las amenazas en el ciberespacio , además del reciente acuerdo firmado entre Chile y España sobre inversión, ciberseguridad y movilidad (Entre otros acuerdos con EEUU y Brasil, por ejemplo), el cual en el último tiempo se ha enfocado en el desarrollo de una política de ciberseguridad y ciberdefensa, delito informático y proyectos de ley como el de infraestructura crítica y protección de la vida privada.
Finalmente, la cooperación entre los países e incluso entre las empresa, representa un gran valor que por definición aporta al objetivo del grupo, como resultado de una estrategia de trabajo conjunta, para alcanzar una meta en común, en este caso, la ciberseguridad y ciberdefensa.
Citas bibliográficas
En vista de la situación sanitaria mundial con la COVID-19 intentaré incluir algunas referencias que nos sitúen en la realidad actual, espero les sea útil, así comenzamos, con el título original:
Ley y colaboración como herramienta de ciberseguridad
La transformación que ha tenido el mundo gracias a la tecnología es notoria. Por donde mires puedes indentificar un poco de esta, incluso, existen aquellas que actualmente tienen potencial para ser un nuevo factor de transformación, ya que podrían tener impacto directo en la economía y la forma que vivimos.Tecnología como la de los carros eléctricos que pueden afectar a la empresa petrolera, la inteligencia artificial, robótica y domótica cada vez más accesible y con posibilidades de ser incluido en elementos cotidianos como el manejo autónomo de un vehículo, la automatización de procesos o la gestión de recursos de un hogar y, por supuesto, el comercio electrónico; son algunos ejemplos de tecnología que están a la vuelta de la esquina a nuestra disposición.
Se dice que cada 20 años ocurre este tipo de transformación digital. Desde el principio cuando aparecieron los circuitos integrados, luego la conectividad de procesos y ahora los sensores dotados con algoritmos inteligentes, conllevaron un avance para la sociedad y la forma en que se mueve el mundo, así como también nuevos nichos de preocupación relacionado a los riesgos que traen consigo.
Situaciones extraordinaria, como la actual pandemia del COVID-19, es un claro ejemplo de transformación digital o mejor dicho de elemento que acelera dicha transformación, forzándonos, para bien o para mal, a utilizar herramientas informáticas para intentar continuar con nuestras vidas, no solo desde el aspecto individual y persona sino también en el mundo empresarial.
Cuando nos detenemos a pensar en lo maravilloso de estos avances y en todo lo que podría salir mal, y a lo que nos estamos exponiendo al utilizar una nueva (o antigua) herramienta digital en cuanto a nuestra privacidad o integridad físico y psicológica, y lo transportamos a una realidad global como la de un país, en donde no se pone en riesgo a una persona sino a todo su pueblo, podemos tener una mayor sensibilidad de lo grave que podría ser tomar una mala decisión o tener una respuesta errónea ante la materialización de una amenaza.
Un ciberataque, denominado como un ataque, a través del ciberespacio, con el fin de interrumpir, deshabilitar, destruir o maliciosamente controlar un entorno/infraestructura de computación; o destruir la integridad de los datos o robo de información controlada, puede representar un gran problema dependiendo del elemento al que se esté atacando y sus consecuencias. No tiene el mismo impacto que un malware tome mi computador y lo dejen inservible, a que el mismo malware se apodere de los computadores del Ministerio de la Defensa de una nación.
El malware al que estamos expuestos no es la sombra del pasado, se ha observado un aumento del 92% en nuevas variantes, así como incremento del 8.500% de aquellos asociado a minería de monedas virtuales. En promedio 24.000 aplicaciones maliciosas son bloqueadas cada día y se tiene un incremento de 54% en variantes de malware para sistemas móviles. Si a esto le sumamos que los ciberataques cuestan 445 mil millones de dólares al mundo (Unos 298.150.000.000.000 Pesos Chilenos) estamos hablando de algo realmente serio y más si pensamos que estos ciberataques podrían impactar directamente a la soberanía de un país, como lo sucedido en Estonia hace más de 12 años, uno de los primeros ciberataques conocido hacia un país.
La clave ante los ciberataques parece ser la ciberdefensa, y en base a esto los países se están moviendo en la dirección que permita crear una estructura de gobierno para implementar de manera organizada elementos que resguardan la soberanía del país. Ningún gobierno debe pensar que de manera individual las empresas o ciudadanos deben velar por la protección del ciberespacio, si para ello no se ha creado un marco regulador que lo obligue o incentive, en especial si el país ha optado por la privatización de servicios claves para su desarrollo económico y el de la vida de sus habitantes.
Cuando nos detenemos a pensar en lo maravilloso de estos avances y en todo lo que podría salir mal, y a lo que nos estamos exponiendo al utilizar una nueva (o antigua) herramienta digital en cuanto a nuestra privacidad o integridad físico y psicológica, y lo transportamos a una realidad global como la de un país, en donde no se pone en riesgo a una persona sino a todo su pueblo, podemos tener una mayor sensibilidad de lo grave que podría ser tomar una mala decisión o tener una respuesta errónea ante la materialización de una amenaza.
Un ciberataque, denominado como un ataque, a través del ciberespacio, con el fin de interrumpir, deshabilitar, destruir o maliciosamente controlar un entorno/infraestructura de computación; o destruir la integridad de los datos o robo de información controlada, puede representar un gran problema dependiendo del elemento al que se esté atacando y sus consecuencias. No tiene el mismo impacto que un malware tome mi computador y lo dejen inservible, a que el mismo malware se apodere de los computadores del Ministerio de la Defensa de una nación.
El malware al que estamos expuestos no es la sombra del pasado, se ha observado un aumento del 92% en nuevas variantes, así como incremento del 8.500% de aquellos asociado a minería de monedas virtuales. En promedio 24.000 aplicaciones maliciosas son bloqueadas cada día y se tiene un incremento de 54% en variantes de malware para sistemas móviles. Si a esto le sumamos que los ciberataques cuestan 445 mil millones de dólares al mundo (Unos 298.150.000.000.000 Pesos Chilenos) estamos hablando de algo realmente serio y más si pensamos que estos ciberataques podrían impactar directamente a la soberanía de un país, como lo sucedido en Estonia hace más de 12 años, uno de los primeros ciberataques conocido hacia un país.
La clave ante los ciberataques parece ser la ciberdefensa, y en base a esto los países se están moviendo en la dirección que permita crear una estructura de gobierno para implementar de manera organizada elementos que resguardan la soberanía del país. Ningún gobierno debe pensar que de manera individual las empresas o ciudadanos deben velar por la protección del ciberespacio, si para ello no se ha creado un marco regulador que lo obligue o incentive, en especial si el país ha optado por la privatización de servicios claves para su desarrollo económico y el de la vida de sus habitantes.
Existen elementos tan delicados y que requieren consenso de toda una nación para poder tomar acciones al respecto, pero al menos, de manera inicial, se debe tomar la decisión de crear un marco de referencia que permita al país entero hablar un mismo idioma, con conceptos únicos, objetivos claros con los que todos puedan trabajar.
Me gusta ver a los países como empresas, empresas que por mucho tiempo no han visto la necesidad de tener una política de seguridad o ciberdefensa, países que incluso no han sido lo suficientemente diligentes con sus proveedores de servicios en este ámbito y que, en ocasiones, no se han preocupado por planes de recuperación o resiliencia de su infraestructura crítica, volviéndose sumamente necesario esa definición de conceptos, objetivos, limitaciones y alcances que tendría el marco de trabajo en cuanto a la ciberseguridad.
Me gusta ver a los países como empresas, empresas que por mucho tiempo no han visto la necesidad de tener una política de seguridad o ciberdefensa, países que incluso no han sido lo suficientemente diligentes con sus proveedores de servicios en este ámbito y que, en ocasiones, no se han preocupado por planes de recuperación o resiliencia de su infraestructura crítica, volviéndose sumamente necesario esa definición de conceptos, objetivos, limitaciones y alcances que tendría el marco de trabajo en cuanto a la ciberseguridad.
Regulación
Por mucho tiempo la ciberseguridad se ha tratado de tecnología, de cómo me protejo ante un malware, un ataque DoS o el corte de fibra por donde viaja mi información, pero:- ¿Qué sucede cuando esos ataques pueden crear un conflicto entre dos naciones?
- ¿Qué pasa cuando dentro de un país, se expone la privacidad de sus habitantes en pro de la protección de la soberanía?
- ¿Qué podemos hacer más allá de defendernos?
La ley, según el jurista francés Marcel Planiol es una “regla social obligatoria, establecida en forma permanente por la autoridad pública y sancionada por la fuerza”, es decir, es un marco en donde existe un ente superior que manda y otro inferior que está obligado a obedecer, y es el único elemento que garantiza un comportamiento estándar antes situaciones irregulares.
Podríamos ver a las leyes como una marco de regulación que nos permite movernos bajo condiciones similares y tomar acciones conscientes sobre eventos desfavorables (o favorables) que nos podría llevar a una dicotomía. En este sentido, este marco regulatorio debe contar con el respaldo de las personas y, en especial, los países, al menos de la mayoría, para que en conjunto se de una fe de colaboración y se pueda tener la suficiente fuerza de hacerla cumplir. Si un pequeño país sin autoridad define una ley de manera individual y unilateral, y el resto de los países no la reconocen o se adhiere ella, está carece obligatoriedad. Un gran ejemplo de esto, puede ser el manual de Tallin, que aunque no es una ley, es un documento que se autodefine como un intento para regular las ciberoperaciones por el derecho internacional, optando por extender la ley por medio de la interpretación y la analogía entre lo físico y cibernético; en lugar de desarrollar un marco legal completamente nuevo. Al final el manual se puede tomar como referente de cómo el derecho internacional público y humano es aplicable al ciberespacio, a la soberanía y las responsabilidades de los países.
A nivel internacional, se puede observar cómo organismos como la ONU o la OEA, entre otros entes internacionales, que han estado establecido a lo largo del tiempo resoluciones, investigaciones y programas asociados con la ciberdefensa, entre ellos:
- Integridad de la infraestructura de los Estados (Resolución 57/53 Sistema de Naciones Unidas).
- Uso de tecnologías de información y comunicaciones en lo conflictos y aplicaciones de Derecho Internacional (Resolución 68/243 Sistema de Naciones Unidas).
- Ciberseguridad como preocupación no sólo de los gobiernos, la priorización de la planificación y gestión de la ciberseguridad, conciencia de los riesgos y medidas preventivas, necesidad de un cultura de ciberseguridad, y las nuevas amenazas y vulnerabilidades para redes y usuarios (Resolución 57/239 Sistema de Naciones Unidas).
- Programa interamericano sobre seguridad cibernética, en el que se hace referencia a la cooperación para el desarrollo, creación y apoyo de los países al CSIRT y la colaboración de los sectores públicos y privados. (AG. Res. 2004. Estrategia de Seguridad Cibernética, OEA).
- Convenio de BUDAPES (Consejo de Europa).
- Reglamento General de Protección de Datos - GRPD (Unión Europea).
- Y, por supuesto, manual de TALLIN 1.0 y 2.0 (OTAN).
Colaboración
Un ejemplo de que los países están entendiendo la necesidad de cooperar con otro, es la adhesión de Chile al convenio de Budapest sobre la Ciberdelincuencia. Primer tratado internacional sobre delitos cometidos a travé de internet y otras redes informáticas, por lo que representa un sistema de cooperación para el desarrollo de capacidades, a fin de enfrentar de mejor manera las amenazas en el ciberespacio , además del reciente acuerdo firmado entre Chile y España sobre inversión, ciberseguridad y movilidad (Entre otros acuerdos con EEUU y Brasil, por ejemplo), el cual en el último tiempo se ha enfocado en el desarrollo de una política de ciberseguridad y ciberdefensa, delito informático y proyectos de ley como el de infraestructura crítica y protección de la vida privada.
Finalmente, la cooperación entre los países e incluso entre las empresa, representa un gran valor que por definición aporta al objetivo del grupo, como resultado de una estrategia de trabajo conjunta, para alcanzar una meta en común, en este caso, la ciberseguridad y ciberdefensa.
Citas bibliográficas
- Las imagenes las saque de Pikist
- Los cinco cambios tecnológicos que ya transforman el mundo y la Economía. Eduardo López Alonso (25/04/2017)
- Tecnología y economía. Ben Schneider (25/11/2017)
- Glossary of Key Information Security Terms. NIST IR 7298 Revisión 2 (Mayo 2013)
- Executive Summary | 2018 Internet Security Threat Report. Volume 23 (Marzo 2018)
- Biblioteca del congreso nacional de Chile. El Poder Legislativo, La Ley.
- Ministerio de Defensa Nacional de Chile. Ciberdefensa.
- Ciberseguridad no solo es tecnología. Jose María Lopez (31/05/2017)
- A rule book on the shelf? Tallinn manual 2.0 on Cyberoperations and subsequent state practice. Dan Efrony y Yuval Shany (2018).
- Panorama regulatorio internacional y nacional. Daniel Álvarez Valenzuela (2018).
- Cómo funciona la millonaria industria del cibercrimen. Desirée Jaimovich (26/11/de 2017)
- Ministerio de Relaciones Exteriores de Chile.
- Chile depositó el instrumento de adhesión al Convenio de Budapest sobre la Ciberdelincuencia Viernes (21/04/2017).
- Chile y España firman acuerdos sobre inversión, ciberseguridad y movilidad (09/10/2018)
- Significado de Cooperación https://www.significados.com/cooperacion/
Comentarios
Publicar un comentario