En junio comienza un programa que ya se hizo en Brasil. Legislación y manejo de datos, bajo la lupa.

La Organización de los Estados Americanos (OEA) comenzará en junio una capacitación en Argentina para revisar las prácticas de ciberseguridad de las dependencias estatales. “El programa involucra trabajo con el equipo de políticas de seguridad informática de Argentina para revisar las prácticas del Gobierno e incluso la legislación”, explicó Kerry-Ann Barrett, gerenta del programa de ciberseguridad de la OEA, en una mesa redonda de la cumbre AWS Summit 2022.

“Estamos trabajando en un proceso de optimización con Argentina. Lo hicimos con Brasil hace tres años, luego con República Dominicana y ahora se lo ofrecimos al gobierno argentino. Además vamos a evaluar lo que llamamos el ‘modelo de madurez de las capacidades en ciberseguridad’ en relación al modelo de la Universidad de Oxford”, agregó en una charla frente a periodistas y analistas de mercado. 

Este modelo se basa en el programa del centro internacional de Capacitación Global en Ciberseguridad de la Oxford Martin School, “un centro internacional líder en investigación sobre creación de capacidad de seguridad cibernética eficiente”. Producen papers e investigaciones académicas de manera constante para actualizar el conocimiento sobre los ataques informáticos.

Secretario general de la Organización de Estados Americanos, Luis Almagro. Foto EFE

“Vamos a aplicar ese modelo a todas las políticas y legislaciones, además de entrevistar a todos los involucrados y luego vamos a producir un reporte junto con AWS sobre las organizaciones del sector privado. Ese reporte es para delinear las recomendaciones para llevar la ciberseguridad a un siguiente nivel”, explicó Barrett, en relación con el trabajo conjunto que se hará en Argentina.

“Esperamos poder viajar a Argentina, pero dependemos de las restricciones del Covid. En República Dominicana, por ejemplo, lo hicimos de manera remota y tuvimos varias reuniones virtuales que sirvieron para cumplir con el objetivo”, cerró la experta.

El tema no es menor para el Gobierno argentino: en 2020, la Dirección Nacional de Migraciones sufrió un ciberataque que filtró 1.8 GB de datos sensibles de ciudadanos argentinos. El año pasado, un usuario usó un acceso no autorizado al Registro Nacional de las Personas (Renaper) y filtró datos personales además de fotos de documentos de cientos de miles de ciudadanos.

Estandarizar las prácticas en la región, la clave

El Renaper fue hackeado el año pasado, con filtraciones de datos sensibles de ciudadanos. Foto Renaper

Además, la Organización de los Estados Americanos (OEA) explicó de qué manera se trabaja con los estados asociados para combatir el cibercrimen.

“Durante los últimos tres meses tuvimos webinars sobre confianza cero, es uno de nuestros principales focos para estados americanos. También estamos muy atentos a la cadena de suministro de las empresas que se contratan, y ahí es donde es clave la confianza cero: pensamos el problema desde lo tecnológico pero somos conscientes de que el problema es humano”, explicó Barrett.

La expresión (en inglés, “zero trust”) alude a una forma de trabajo en la que se asume que los usuarios tienen que ser autorizados y validados de manera constante: incluso los propios empleados son considerados potenciales atacantes.

Esta estrategia, según contó en otra de las charlas el Jefe de Seguridad Informática de los Estados Unidos, Chris DeRusha, es el foco de la administración Biden tras demostrar una fuerte preocupación por el aumento incremental de los ciberataques estos últimos dos años.

“Son humanos los que están detrás de las computadoras, son humanos los que lanzan un ataque: por eso hacemos foco en ‘zero trust’”, agregó la experta de la OEA, en referencia a los últimos ataques de grupos como Conti, Lockbit y Lapsus, que pusieron en jaque a gobiernos como los de Perú y Costa Rica.

En este sentido, la especialista explicó los “tres pilares” en los que reposa en la actualidad la política de ciberseguridad de la OEA.

“Por la naturaleza internacional que tiene el ciberdelito es importante que todos usen las mismas definiciones: qué es un incidente, qué es un ciberataque. Necesitamos consensos globales. El segundo punto clave es cómo asegurarse que distintos países tengan reciprocidad en las investigaciones de los cibercriminales”, explicó.

“Y lo último es delimitar a qué nos referimos cuando hablamos de ‘daño’. Porque entran factores que tienen que ver con las penalidades y las compensaciones por los ataques”, cerró la especialista.

Por último, Barrett insistió de manera enfática en que los países deben tener el puesto de CISO (Chief Information Security Officer) como tienen las grandes empresas.

Estas discusiones tuvieron lugar en la AWS Summit 2022, una convención anual que realiza Amazon Web Services, la división de computación en la nube de Amazon, en Washington.

Allí expertos y miembros de distintas industrias y dependencias públicas que trabajan con los servicios de AWS se reúnen para participar en discusiones y presentar las novedades del área de los productos y servicios atados al cloud computing.

Fuente: Clarín.