En los últimos días ha sido motivo de controversia un artículo en el plan nacional de desarrollo que proponía por facultades extraordinarias crear la Agencia Nacional de Seguridad Digital y Asuntos Espaciales, la cual tendría a cargo generar directrices para la ciberseguridad de Colombia.
El artículo 307, señalaba y le daba facultades al presidente para:
“Crear una entidad u organismo denominado Agencia Nacional de Seguridad Digital y Asuntos Espaciales, entidad descentralizada del orden nacional, que formará parte de la Rama Ejecutiva, con personería jurídica, autonomía administrativa, financiera y patrimonio propio, adscrita al Departamento Administrativo de la Presidencia de la República. En ejercicio de las facultades aquí conferidas, el presidente deberá determinar el objeto, competencias específicas y la estructura orgánica de la nueva entidad.
La entidad estará conformada por dos (2) direcciones: i) La Dirección Nacional de Seguridad Digital que será responsable de la planificación, coordinación, articulación y gestión de los riesgos de seguridad digital en el país y será el soporte institucional y de coordinación para la definición, ejecución, seguimiento y el control de las estrategias, planes y acciones dirigidas a fortalecer la confianza y seguridad de todas las partes interesadas en el ámbito digital; y ii) La Dirección Nacional de Asuntos Espaciales que será responsable de establecer la gobernanza e institucionalidad del sector espacial y propenderá por el desarrollo del país en este ámbito. Así mismo, diseñará e implementará estrategias de desarrollo productivo en el sector espacial, teniendo en cuenta la industria, los procesos de ciencia, tecnología e innovación y los instrumentos de cooperación internacional; lo anterior, en articulación con el sector productivo y la academia”.
El artículo no fue aprobado en los debates y generó controversia de lo necesario que es para el país una agencia de seguridad digital que dé las directrices para los temas de ciberseguridad y que trabaje con todos los organismos para articular una estrategia contra ataques y distintos incidentes que afecten al país. La creación de esta entidad responde a la necesidad de abordar de manera integral los desafíos que plantean la seguridad digital y que en el último año ha mostrado los riesgos de empresas públicas y privadas en casos como Keralty, el Invima, la Universidad del Bosque, Audifarma, por tan solo mencionar algunas.
Te puede interesar: 10 Consejos de seguridad para que no te estafen con las compras online
Así mismo, una agencia es una forma de coordinar distintos esfuerzos para apoyar una cultura de seguridad de la información. Como establecer procesos para incidentes de seguridad en infraestructuras críticas y en distintas entidades pública y privadas
El debate en el congreso ha tenido voces a favor y en contra. Los que la apoyan aseguran que no se puede desconocer los riesgos que hoy existen en temas de ciberseguridad y la necesidad de articular políticas y directicas de todas las instituciones del gobierno. Los que se oponen aseguran que no el artículo no es claro en dar pautas claras a los límites de la agencia en temas como la privacidad de los usuarios, si se interceptarán datos informáticos, la forma como se controlará por parte del gobierno el uso de software y capacidades de ciber inteligencia. Un punto que es válido. Los limites deben ser claros.
Muchos congresistas en contra señalan que la creación de la agencia debe tener un proyecto de ley especial que sea claro en mostrar su fundamento y que el tema de ciberseguridad da para más que un simple artículo en el plan de desarrollo.
En primer lugar, la ciberseguridad ya tiene varios fundamentos en Colombia, en primer lugar, existen leyes como la Ley 1273 de 2009, la Ley 1581 de 2012, en temas de protección de datos. Colombia también es parte del Convenio de Budapest, y tiene en distintas entidades el apoyo y las capacidades para investigar incidentes delitos informáticos.
Contamos con organismos como el CAI virtual de la policía o el COLCERT con sus servicios de CSIRT a todas las entidades públicas. Se tiene unidades especializadas en ministerios como el de defensa, y en la Fiscalía general de la Nación. Así mismo, se cuenta con la SIC, la cual cuenta con un laboratorio forense para la investigación de incidentes. Lo mismo, pasa en otras entidades como la procuraduría y con todos los procesos existentes del MINTIC.
Te puede interesar: Cinco fallas de seguridad que le abren paso a los ciberataques
Desde el tema normativo se cuenta con COMPES de ciberseguridad de gobiernos anteriores y con Guías y procedimientos de seguridad y privacidad de la información. En especial el MSPI, o modelo que no ha sido actualizado da unas pautas para temas de seguridad de la información en entidades públicas, y en donde se puede ver varios avances de la creación de sistemas de gestión de seguridad de la información (SGSI). Por eso decir que no existe nada en ciberseguridad es un error, ya que durante los últimos años se han redactado y diseñado documentos, modelos, guías que aportan a la ciberseguridad en Colombia.
Si bien es cierto, los ataques cada vez son más especializado, la metodología para enfrentarse a estas amenazas se debería concentrar en tres aspectos:
1: Un tema técnico: la capacidad que tiene las entidades para realizar pruebas técnicas, detectar amenazas con software, hardware y capacidades.
2: Un aspecto documental el cual puede utilizar algunos modelos ya existentes.
3: Un aspecto cultural: la necesidad de integración de las distintas entidades púbicas e instituciones.
En temas de ciberseguridad se debe articular un componente técnico basado en equipos Red Team y Blue Team, el cual proteja y defienda las destinas infraestructuras críticas. El ejercicio Red Team y Blue Team es un tipo de simulación de ciberseguridad en la que dos equipos, llamados Red Team (Equipo Rojo) y Blue Team (Equipo Azul), se enfrentan en un entorno controlado para evaluar y mejorar las defensas de una organización o un estado. Muchos gobiernos realizan este tipo de ejercicios para identificar riesgos y para prepararse para incidentes. Esto es una parte clave para cualquier agencia de seguridad y son de los temas que deben definirse en objetivos, estrategia, alcances, obligaciones.
En temas de incidentes o ciberataques, se debe generar la obligación de reportarlos y de hacer el monitoreo de que pasa con la información que fue vulnerada. Para esto existen ya procedimientos existentes del MINTIC, de la SIC, pero en algunos casos no se aplican. Por eso hacer el inventario de lo existente es fundamental en el papel de la nueva agencia, ya que existe un camino recorrido y desde los modelos de seguridad se pude partir para hacer monitoreos.
La Agencia Nacional de Seguridad Digital y Asuntos Espaciales, es necesaria, pero tiene que hacerse con un fundamento técnico, jurídico, y especializado en ciberseguridad. El basar su creación en la discusión del plan del desarrollo puede generar muchas preguntas.
Se debe tener en cuenta las bases existentes y dejar claro si se reinicia desde cero o se toma lo bueno que existe de más de 10 años de trabajo con modelos como el MSPI, y distintos procedimientos y guías.
Y lo más importante de nada sirve tener una agencia de ciberseguridad sino se genera una cultura y se empieza a vincular a la sociedad civil y distintos actores de ecosistemas de ciberseguridad. En temas de ciberseguridad existen distintas habilidades y capacidades y se deben mapear desde el inicio de la agencia para que la estrategia sea clara y contundente. Es por eso que el proyecto de agencia nacional de seguridad digital amerita un análisis detallado y no dejarlo solo al tema político.
La agencia de seguridad digital en Colombia es necesaria, pero vale la pena hacer una discusión de fondo y que se realice lo más pronto posible, ya que los ciberdelincuentes (crackers), van mucho más rápido y generan incidentes todos los días.
Imágenes: