La Agencia del Gobierno Electrónico y la Sociedad de la Información y el Conocimiento (Agesic) se ha propuesto como objetivo aumentar la capacidad de detección de los incidentes de ciberseguridad, señaló su director de Seguridad de la Información, Santiago Paz. En la actualidad se tarda en resolver cada problema una hora en promedio y el objetivo para 2020 es demorar solo minutos e identificarlos antes que ocurran.
«Los incidentes o ataques informáticos ocurren todo el tiempo y la Dirección de Seguridad de la Información de la Agesic debe tener la capacidad para detectarlos y procesarlo», resaltó Paz.
Se llama «incidente» al incumplimiento de una política de ciberseguridad, ya sea explícita o implícita, así como cualquier evento que comprometa la confidencialidad interior de la información o disponibilidad sobre un sistema.
Para que el concepto de incidente sea más comprensible, Paz ejemplificó con una analogía doméstica, como cerrar la puerta de la casa con llave: «Todos los habitantes de ese hogar lo saben (cerrar la puerta) sin que esté escrito en ningún lado, por lo cual, si al llegar al domicilio aparece la puerta abierta, significa que la política de seguridad se incumplió.Lo mismo sucede con el ingreso a un sistema; y el rol de esta dirección es atender ese incumplimiento y solucionarlo», explicó.
«La Dirección de Seguridad trabaja sobre los Sistemas Activos de Información Críticos del Estado, que refieren a las áreas informáticas necesarias para asegurar y mantener el correcto funcionamiento de los servicios vitales para la operación del gobierno y la economía del país», agregó. Esto incluye el acceso al agua potable, la energía, las telecomunicaciones, el sistema financiero, entre otros.
Todos esos sistemas utilizan servidores con información, por lo que el rol de ese departamento de la Agesic es atender los incidentes que se reportan y que afectan a gran parte de la población.
En ese sentido, se considera una incidencia a un sistema crítico toda aquella que afecte a más de 30 % de la población, no importa si es del sector público o privado.
El proceso de respuestas a incidentes cuenta con una fase de detección que es la clave para mejorar y tener cada año más incidentes.
En 2009 había un registro de 33 incidentes anuales, mientras que este año finalizará con un millar aproximadamente, que se detectan, responden y mitigan. “Esto implica que mejoró la capacidad de detectarlos”, aseguró Paz, para luego enfatizar que esa unidad maneja todos los sistemas de información críticos en el país.
Proyecto del quinquenio
Desde la Dirección de Seguridad de la Información, se trabaja en un proyecto en el marco de la agenda digital de los próximos cinco años, que consiste en un centro de operaciones de ciberseguridad que trabaje las 24 horas los siete días de la semana, haciendo un seguimiento permanente de sistemas de alerta.
Para ello, desde el punto de vista de su capacidad operativa, la Agesic debe trabajar en conjunto con el sector privado y la academia para que en el momento que ocurra un incidente se dispare el proceso con mayor eficacia y eficiencia.
Paz afirmó que actualmente la Dirección de Seguridad de la Información tiene tiempos de respuesta en promedio de una hora, un tiempo muy bueno y valorado a nivel regional.
Sin embargo, manifestó que se espera mejorar y responder incidentes en minutos, para que en el momento en que ocurra un incidente, sin importar la hora ni el día, se responda de manera inmediata. En este año, se detectaron unos 700 incidentes, 53 % de los cuales fueron de nivel de severidad bajo, seguidos por 44 % de nivel medio, 2 % alto y 1 % muy alto.
Paz explicó que existen distintas formas de detección de incidentes, ya sea a través del sistema de monitoreo que indica cuando se está ante un posible incidente, a través de un afectado que reporta el incidente directamente o por un tercero que sabe que está pasando un incidente a otra otras personas.
Cuando se detecta un incidente, pasa por una etapa de clasificación en dos dimensiones, por severidad y por tipo.
El nivel de severidad puede ser alto, medio o bajo, según el impacto que tuvo ese incidente en el sistema del servicio afectado y la complejidad de la falla.
La clasificación por tipo incluye, hasta el momento 20 distintos, que incluyen la recepción de correo basura (spam), el uso de una identidad falsa para obtener datos personales (phishing), estafas (scam), fallas del software o hardware, errores de configuración, entre otros.
Dentro de las fuentes de detección, hay una cantidad de información que se recolecta y que será la base para la siguiente fase de desarrollo de esta unidad, que implica contar con la capacidad de detectar incidentes antes de que sucedan.
El experto explicó que esto es posible en base a la detección de un tipo de comportamiento típico que se da previo a un incidente, entre otros indicadores.
De esa manera y con las capacidades necesarias, se podrá prevenir que ocurran incidentes que atenten contra los sistemas de los servicios básicos.
El objetivo hacia 2020 es poder tener una respuesta de minutos cuando ocurra un incidente y tener la capacidad de detectarlos antes de que ocurran. La meta es crecer en 20 % de aumento de incidentes anualmente, meta que se viene cumpliendo desde 2009.
En relación a las capacidades, Paz aseguró que en Uruguay, si bien hay personas formadas en tecnologías de la información y en seguridad, al ser un sector con desempleo 0 % es difícil encontrar con los suficientes recursos humanos.
Ante ese escenario, la estrategia que maneja la Agesic es contratar personas y formarlas a través de asociaciones con centros de formación, tanto en el país como en el exterior.
Internet de las Cosas
Paz sostuvo que la preocupación en el mundo es el “Internet de las Cosas”, que genera problemas de ciberseguridad.
El concepto «Internet de las Cosas» refiere a la interconexión digital de objetos cotidianos con la red de redes de computadoras, como puede ser una red de cámaras de seguridad, hasta varios electrodomésticos de un hogar.
En ese sentido, explicó que un ‘botnet’ es una red de computadoras robot que se utiliza en ciberataques, conectándose todas al mismo tiempo a un mismo servidor, el cual al recibir tantas conexiones colapsa quedando fuera de servicio.
El problema del Internet de las Cosas, que cada vez interconecta más objetos, desde cámaras, televisores o electrodomésticos, es que estos dispositivos suelen traer una configuración de seguridad muy pobre que hace que muchas veces mantengan un usuario y contraseña por defecto de la marca.
El mayor ciberataque que se dio en las últimas semanas en Alemania dejó sin servicio a la compañía de telecomunicaciones al colapsar sus servidores a través de botnets. Paz aseguró que ese problema y la vulnerabilidad de los sistemas que incluyen Internet de las Cosas es el tema de discusión a nivel mundial.
Vía Presidencia de la República