Hace unos meses publiqué una opinión crítica sobre el marco jurídico de la Agenda Digital 2020. Fui poco optimista, lo reconozco, pero mis razones para desconfiar de los cambios legales que promete, derivaban de mi experiencia durante más de quince años trabajando de cerca en estos temas en el sector público, en donde he visto lo difícil que resulta pasar desde la planificación a los resultados concretos.
Sin embargo, estoy convencido de la importancia de contar con lineamientos a nivel país, propios de este tipo de agendas. Por eso, el problema no está en lo que plantean. De hecho, me parece importante comentar de modo general una de esas acciones de la Agenda Digital 2020, la número 25, donde se plantea el desarrollar una estrategia de seguridad digital que proteja a los usuarios privados y públicos.
Actualmente se está avanzando en esta medida, como pudimos ver con la consulta pública que se realizó hace un par de meses sobre la propuesta de Política Nacional de Ciberseguridad 2016-2022 (PNCS).
Claro, como bien indica la PNCS, para Chile es relevante contar con estrategias de seguridad en el ciberespacio, ya que ellas facilitan la adopción de medidas a nivel país. En concreto, la PNCS obedece a 5 objetivos de mediano plazo –esperados de aquí a 2022- y luego menciona una serie de acciones concretas de corto plazo, que deberían lograrse entre 2016 y 2017.
Veamos brevemente esos cinco objetivos de política de Estado sobre ciberseguridad:
1. Gestión de riesgos para infraestructuras de información.
Se espera que al 2022 Chile cuente con infraestructuras de información, públicas y privadas, capaces de resistir y recuperarse de incidentes de seguridad en el ciberespacio.
Es interesante el enfoque con que plantea lo anterior, basado en gestión de riesgos y reconociendo que éstos no son iguales para todas las infraestructuras de información del país, incluso en aquéllas infraestructuras críticas, como las del sector de telecomunicaciones, salud, defensa, transporte, energía, alimentación, entre otros.
Miro con buenos ojos ese primer objetivo, porque las acciones de ciberseguridad deben ser escogidas con inteligencia, considerando las amenazas y riesgos que se enfrentan y no como si fuera un único tipo de ataque.
Además, lo que está detrás de este objetivo es trabajar para permitir la continuidad operativa de esas infraestructuras de información, foco frecuente de los atentados terroristas, del hacktivismo o del cibercrimen organizado bajo el anonimato de la Deep web.
2. Cultura de ciberseguridad.
El segundo objetivo de la PNCS pone énfasis en otro factor clave de éxito: las personas. Es bien sabido que la seguridad de la información encuentra su eslabón más débil en los usuarios, en las personas que con sus malas prácticas, su falta de cuidado y su poca rigurosidad, son capaces de tornar ineficaces a costosos y complejos sistemas tecnológicos de seguridad.
¿Qué sacamos con adquirir sofisticados programas de monitoreo y seguridad, con controles de acceso lógico y cifrado, por ejemplo, si luego la persona que realiza el aseo en la oficina permite que ingrese un extraño al lugar y revise los documentos confidenciales que se encuentran impresos dentro de los papeleros. Aunque no lo crea, por más que los “arrugue”, podrá seguir leyéndolos, así que piense en mejores medidas de destrucción de documentos.
Por eso es muy importante que la PNCS trabaje para cimentar una cultura de ciberseguridad, logrando que los distintos usuarios (autoridades, profesionales, estudiantes y ciudadanos de a pie) se sensibilicen sobre los riesgos que corren y cambien sus hábitos inseguros, es decir, se les logre concienciar.
3. Industria de ciberseguridad.
También me parece importante que la PNCS no crea que el tema se aborda únicamente desde el Estado, porque sería un error. Es necesario que la industria chilena de tecnología contribuya a la ciberseguridad y, para ello, necesita que se fomente la innovación y el desarrollo.
Acá surge la oportunidad para iniciativas de seguridad y privacidad por diseño en la tecnología que adquirimos y utilizamos, que resultan ser medidas más eficaces de protección que el solo hecho de esperar regulaciones legales.
4. Cooperación.
La ciberseguridad es un fenómeno global y, como tal, debe ser entendido y abordado de esa manera. Así lo advierte la PNCS, cuando plantea como objetivo a 2022 el establecimiento de relaciones de cooperación con otros actores, por ejemplo, entre policías de distintos países, entre jueces, etc.
Acá se suele mencionar como iniciativa la adhesión de nuestro país al Convenio del Cibercrimen, de Budapest, ya que allí se incluyen articulaciones pensadas para lograr esa cooperación necesaria para enfrentar los delitos en el ciberespacio.
Lo comparto, pero igualmente habría que pensar si resulta suficiente adherir a un convenio internacional de este tipo, máxime si el enfoque que plantea sigue construido bajo la lógica territorial de los Estados, donde el éxito depende de lo que haga cada país, dentro de sus fronteras. Eso sí, no estoy diciendo que debe existir necesariamente una policía especial para el ciberespacio y un tribunal ad hoc mundial. Simplemente digo que hay que reflexionar sobre este mecanismo.
5. Estado garante.
Finalmente, el quinto objetivo a 2022 de la PNCS plantea que el Estado velará por los derechos de las personas en el ciberespacio, mediante la prevención y sanción efectiva de delitos, garantizando el pleno respeto de los derechos humanos.
Reconozco que este objetivo, aparentemente irrefutable, es el que me despierta más inquietudes. Les explico por qué.
Chile, al igual que los demás países, enfrenta diversas amenazas en el ciberespacio, no solo las que nacen desde la deep web o red profunda –en donde se organiza un importante número de ciberdelincuentes-, sino también en la Internet que utilizamos habitualmente. A diario se producen ataques informáticos a gobiernos, a empresas o a usuarios individuales, provocados por gobiernos, empresas o usuarios individuales.
Los incidentes de seguridad son una realidad en la virtualidad del ciberespacio y la participación de los gobiernos no siempre será en calidad de garante o de víctima, sino también puede ser como infractor.
Ante ello me pregunto si los gobiernos, llegado el momento en que deban elegir, dejarán de invocar la falacia de la seguridad y el control a costa de los derechos y libertades de las personas. Creo que no, que como la fábula del escorpión, va dentro de su naturaleza el buscar más y más control, incluyendo el que ejercen sobre sus ciudadanos.
Esto puede ser motivado por distintas razones, muchas de ellas pueden encerrar intenciones aparentemente loables o beneficiosas para las personas, pero como se materializa a través de un gobierno que prefiere la seguridad a costa de la libertad, suele terminar basando su control en la invasión excesiva en los derechos de las personas, hipotecando la libertad. Si no me creen, lean cualquier libro de historia y lo comprobarán.
En resumen, los invito a leer el borrador de la PNCS -en tanto no se dicte el documento oficial- ya que es interesante el enfoque que se plantea para la ciberseguridad en Chile.
Se trata de una mirada construida sobre la gestión de riesgos de seguridad, con objetivos a 2022 y acciones a corto plazo para lograr resistir como país a los incidentes de ciberseguridad; que no olvida el papel del Estado en el ciberespacio, como garante de los derechos de las personas; y, no menos importante, que comprende que la ciberseguridad también requiere participación clave de la industria; cooperación global; y que el paso más sólido que se puede dar en este tema le corresponde al propio usuario, en la medida que sea consciente de su autocuidado.