Convergencia Research, Consultoría especializada en Latinoamérica y Caribe
jueves 20 de enero de 2022

Entrevista a Gustavo Sain, director Nacional de Ciberseguridad

Los Requisitos Mínimos de ciberseguridad de Argentina se llevarán a las universidades nacionales

El funcionario aseguró que con esta norma se ha elevado el estándar de seguridad en el Estado. Desde la dirección Nacional de Ciberseguridad, se apunta a integrar a las provincias. En diálogo con Convergencia, Sain advirtió por la mayor sofisticación de los ataques informáticos y la necesidad de capacitar a los empleados públicos en la prevención.

Gustavo Sain - Crédito: Dirección Nacional de Ciberseguridad de Argentina
Gustavo Sain - Crédito: Dirección Nacional de Ciberseguridad de Argentina

<strong>Convergencia: ¿En qué situación se encuentra la política informática modelo para dar seguridad a las aplicaciones en uso en el Estado?

Gustavo Sain (GS): Está en proceso de finalización. Es un marco de referencia para que todos los organismos del Sector Público Nacional puedan adecuar sus políticas de seguridad de la información en lo que hace a la protección de sus recursos informáticos, que son centrales porque almacenan y procesan datos de ciudadanos y ciudadanas. También integra a los servidores que brindan servicios digitales y aplicaciones web.

Para este último caso hemos elaborado una Guía de Desarrollo Seguro, de manera que los programadores del Estado o proveedores tercerizados establezcan condiciones de ciberseguridad en el desarrollo de aplicaciones web. Fue elaborada por la Dirección Nacional de Ciberseguridad, las universidades nacionales de Buenos Aires y La Plata; y las fundaciones Sadosky y Vía Libre. Esto es novedoso en lo que hace a la Administración Pública en línea, con la prioridad que tiene el gobierno en materia de ciberseguridad.

Convergencia: Catamarca fue la primera jurisdicción en adherir a los Requisitos Mínimos de Seguridad de la Información del Sector público. ¿Qué otras provincias adhirieron y cómo mejora el estándar de seguridad de Catamarca por haberse sumado a este programa?

GS:Primero, hay que destacar que los Requisitos Mínimos constituyen la única norma en todo el continente que exige a los organismos de gobierno el cumplimiento obligatorio de directrices basadas en normas internacionales. Alcanza a los organismos centralizados y descentralizados del Poder Ejecutivo Nacional, y al ser un país federal, se invita a otras jurisdicciones a adherir. La Dirección Nacional de Ciberseguridad asiste en la instrumentación de la normativa interna para la adopción de estas directrices a nivel provincial, como en el caso de Catamarca.

Estos requisitos mínimos fueron aprobados por Decisión Administrativa de Jefatura de Gabinete de Ministros, lo que obliga a los organismos de las provincias que adhieren a reportar a la Dirección a mi cargo sus planes de cumplimiento, y a la Sindicatura General de la Nación (SIGEN), a auditarlos periódicamente. Estamos trabajando con otras provincias para su adhesión, pero somos respetuosos de sus autonomías.

La norma también abre la posibilidad de que adhieran organizaciones en general. En este sentido hemos firmado un Acta Acuerdo con al Consejo Interuniversitario Nacional (CIN) para extender estos estándares a todas las universidades nacionales.

Convergencia: En sus diversos niveles, el Estado es usuario de diferentes tecnologías, plataformas, software y hardware que se emplean para ejecutar tanto actividades críticas como otras que no lo son. En esa diversidad, ¿cuál es el eje de la política de protección del Estado nacional ante ciber amenazas?

GS: En primer lugar, el cumplimiento de los requisitos mínimos fija un estándar alto de seguridad de la información, pero hay que tener en cuenta algo: nada en informática es invulnerable. Hay sistemas más o menos seguros, pero ninguno infalible al ciento por ciento. Además, está el factor humano. A diferencia de la seguridad pública, donde el Estado tiene el monopolio del uso de la fuerza, en ciberseguridad hay un ecosistema donde existe una clara preeminencia del sector privado.

La mayoría del software utilizado tanto por los ciudadanos como las organizaciones, públicas o privadas, son comerciales y no se sabe cuáles son sus condiciones de seguridad. Si el programa tiene una vulnerabilidad que no es detectada por la empresa que lo elaboró, puede ser explotada. Lo que quiero significar es que el Estado, más que basarse en estándares altos y buenas prácticas a nivel de ciberseguridad, no puede fijar esas condiciones per se. Hay sistemas más o menos seguros, pero ninguno es eficiente al 100% ninguno. Ejemplo de ello fue el ataque de ransomware a la transportadora de combustible estadounidense Colonial Pipeline, que tuvo que suspender la provisión de gasolina en toda la costa este de ese país en forma preventiva durante una semana en mayo de 2021. Ese mismo mes un ciberataque dejó sin servicios públicos a Fuenalabrada (Madrid) Oviedo (Asturias) y Vinaros (Valencia), entre otros ayuntamientos de España. Nadie está exento.

Convergencia: El teletrabajo aumentó los riesgos de ciberataques y ustedes incrementaron los recaudos. ¿Siente que hoy la protección de los activos estatales está mejor que al principio de la pandemia? ¿Qué pasa con el entrenamiento del personal estatal?

GS: A nivel global hubo un incremento de denuncias de delitos informáticos a partir de un mayor uso de TICs por el teletrabajo, la educación a distancia y el aumento en la utilización de servicios digitales en la nube. A partir de un análisis de casos de incidentes gestionados por el Centro Nacional de Respuestas a Incidentes Informáticos (CERT.ar, dependiente de la Dirección Nacional de Ciberseguridad), que gestiona incidentes informáticos –sean o no delitos–, se desprende que hay una mayor sofisticación y complejidad en las técnicas en la comisión de determinados delitos. Fundamentalmente hay de dos tipos: a nivel de usuarios particulares, los fraudes y estafas en línea, y a nivel de organizaciones, fundamentalmente privadas, los ataques de ransomware.

Esto arroja como resultado la presencia de nuevas modalidades de delitos ya existentes. En cuanto a los fraudes y estafas en línea, la mayoría se produjeron a través de campañas de phishing. El fraude más común en Argentina es el phishing bancario. Durante la pandemia, las solicitudes dirigidas a las personas comenzaron a incluir datos de la víctima. Esta modalidad se denomina spearphishing. Si bien la Dirección Nacional de Ciberseguridad no recibe denuncias en forma directa y su comunidad objetivo son los organismos del sector público nacional, para estos últimos hemos elaborado alertas y recomendaciones con casos que involucraron usurpación de identidad de organismos públicos con páginas web falsas de ANSES para el supuesto pago del IFE, por ejemplo. En cuanto a los ataques de ransomware, en la Administración Pública hemos logado mitigar muchos de estos ataques desde el CERT Nacional, pero ha habido casos de público conocimiento donde algunos organismos fueron sus víctimas.

En términos de capacitación, la Dirección Nacional de Ciberseguridad ha triplicado la oferta de cursos dirigidos a los empleados públicos nacionales desde el Instituto Nacional de la Administración Pública (INAP). Se inscribieron más de 4.500 trabajadores durante este año. También creamos un programa de formación profesional de un año de duración en el que la Universidad Nacional de La Plata capacita gratuitamente mediante becas otorgadas por los gremios estatales a 50 empleados de las áreas de informática y sistemas de toda al APN. 

Esta entrevista fue publicada en el Atlas y Anuario de las Comunicaciones 2021, publicado por Grupo Convergencia en enero de 2022.

Últimas noticias y análisis

América Latina · Convergencia

28/03/2024

Convergencialatina regresa el miércoles 3 de abril

Puerto Rico · Banda Ancha Fija

28/03/2024

Puerto Rico debe desplegar fibra óptica en más de la mitad de los hogares de la isla

El dato surgió de un webinar de la Fiber Broadband Association que relevó la situación de la isla en servicios FTTH. Existe un plan para que la huella alcance el ciento por ciento delos hogares en 2027 financiado por fondos federales y con ejecución privada.

Puerto Rico · Banda Ancha Fija

28/03/2024

Puerto Rico debe desplegar fibra óptica en más de la mitad de los hogares de la isla

El dato surgió de un webinar de la Fiber Broadband Association que relevó la situación de la isla en servicios FTTH. Existe un plan para que la huella alcance el ciento por ciento delos hogares en 2027 financiado por fondos federales y con ejecución privada.

Uruguay · TV Paga · Internet & OTT · Operadores

27/03/2024

Por medio de acuerdos con Claro y Movistar, los cableoperadores amplían su oferta de Internet

Se trata de convenios de distinto tipo, que incluyen dejar la última milla para el cableoperador o contratos por ancho de banda disponible. Antel podría sumarse con arriendo de infraestructura. Algunos cableoperadores ya están construyendo sus propias redes.

Paraguay · Operadores

26/03/2024

El Gobierno analiza la privatización parcial de Copaco

El operador estatal atraviesa un delicado momento. Sus ingresos no cubren los gastos operativos y debe atender una deuda de US$ 110 millones. Además, la falta de inversiones derivó en la obsolescencia de su infraestructura. Oscar Stark, presidente de la firma, afirma que se están evaluando alternativas para lograr los fondos necesarios, incluida la posibilidad de sumar socios privados. Y cree que en 18 meses "la situación estará encausada".

Buscar más noticias