Segurilatam 023

/ Tercer cuatrimestre 2022 56 artículo técnico Ciberseguridad en infraestructuras críticas clave para lograr que un programa fun- cione así: la cultura y la ayuda. Cultura: La cultura de esos países es diferente a la nuestra, ni mejor ni peor, solo diferen- te. Y como se sabe en el ámbito de la ciberseguridad, no se puede imponer un cambio de cultura en una organización por la fuerza porque eso no sería cultura. Todo debe evolucionar y se deben gene- rar hábitos, que, por lo general, parten de la confianza. Ayuda: La ayuda es un factor clave en países donde se obliga a denunciar y el mode- lo funciona. Funciona no por el simple hecho de existir una sanción, sino por- que el Estado pone a disposición sus recursos para ayudar a analizar, mitigar y/o recuperar a las organizaciones que han sufrido un incidente. Después de un incidente se investiga el nivel de culpabi- lidad de las organizaciones y, en base a ello, se establecen las multas. En varios de los países de Hispa- noamérica no existe este concepto de ayuda. Simplemente se pretende que se les notifique para ellos notificar a otras entidades y aplicar la multa debida. Lo cual, obviamente, lleva a que la mayoría de las organizaciones trate de esconder lo más que pueda los incidentes que su- fre y sus consecuencias. La poca cantidad de CERT nacionales habla también de la poca interacción que suele haber en muchos países en- tre las distintas áreas de gobierno. En muchos casos aún se debate si la pro- tección de las infraestructuras críticas debe estar bajo la responsabilidad de un comando conjunto militar, debajo de la Presidencia, si debe ser parte de un ministerio o si debe ser uno espe- cífico. En todos los casos se sigue debatiendo sobre cuál es el alcance real que debería tener. La mayoría de las discusiones se da en el ámbito político, no técnico. Por ello, es mucho más complicado de re- solver que lo que podemos entender los que trabajamos en tecnología. Falta de inversión Como Hispanoamérica atraviesa años complejos en materia económica, y tras ello la pandemia y la crisis mundial que aún genera desconciertos, el foco de las inversiones no suele estar en comprar hardware o software adecuado para la protección de las infraestructu- ras críticas. Y la mayoría suele dejar que cada organización se autoorganice y elija cómo se protegerá, qué reportará y cómo lo hará. Lamentablemente, lo que vemos en general son muchísimos esfuerzos per- sonales de profesionales que trabajan en cargos públicos que se van desgas- tando día a día al ver que no llegan a obtener los resultados esperados por es- tos desmanejos. La protección de las in- fraestructuras críticas requiere inversión en tecnología, porque, aunque una parte puede ser delegada en las organizacio- nes a cargo de dichas infraestructuras, otras no pueden ser delegadas jamás. Poca colaboración En materia de colaboración público- privada, no me refiero a los esfuerzos individuales o colectivos de profesiona- les que intentan establecer mejoras en sus países, sino de la lentitud con la que se llevan a cabo debido a la propia burocracia. Todo hace pensar que esa lentitud se debe al desconocimiento de la importancia. Pero también es cierto que la cantidad de urgencias en otras áreas de los países de Hispanoamérica requiere que los legisladores deban ele- gir y suelan dejar de lado los temas de ciberseguridad según su priorización. Muchas veces, la colaboración por parte del sector privado apunta a cubrir necesidades puntuales como herra- mientas, horas de servicio, conciencia- ción y formación de entidades como los CERT. Pero quizás deberíamos también dedicar mucho más tiempo a hablar el mismo lenguaje que los legisladores para hacerles entender la importancia de la protección de las infraestructuras críticas. Tal vez no estamos logrando ayudarlos a comprender la importan- cia y la urgencia de tratar estos temas para lograr que los proyectos de ley no sean eternos ni sean copias de otros proyectos de otros países con culturas diferentes. En resumen, la protección de las in- fraestructuras críticas tiene mucho de política. Pero también tiene mucho de nosotros, los profesionales que debe- mos seguir encontrando otras formas de colaborar porque es algo que, definitiva- mente, debería preocuparnos. Y no solo para ser un tema de conversación en las conferencias. La mayoría de ciudadanos que tienen conocimiento sospecha que sus países hacen poco por proteger las infraestructuras críticas