Noticias

Últimas Noticias

    Política

    Judicial

      Economía

      Mundo

      Bogotá

        Entretenimiento

        Deportes

        Colombia

        El Magazín Cultural

        Salud

          Ambiente

          Investigación

            Educación

              Ciencia

                Género y Diversidad

                Tecnología

                Actualidad

                  Reportajes

                    Historias visuales

                      Colecciones

                        Podcast

                          Cromos

                          Vea

                          Opinión

                          Opinión

                            Editorial

                              Columnistas

                                Caricaturistas

                                  Lectores

                                  Blogs

                                    Suscriptores

                                    Suscriptores

                                      Beneficios

                                        Tus artículos guardados

                                          Somos El Espectador

                                            Estilo de vida

                                            La Red Zoocial

                                            Gastronomía y Recetas

                                              La Huerta

                                                Moda e Industria

                                                  Tarot de Mavé

                                                    Autos

                                                      Juegos

                                                        Pasatiempos

                                                          Horóscopo

                                                            Música

                                                              Turismo

                                                                Marcas EE

                                                                Colombia + 20

                                                                BIBO

                                                                  Responsabilidad Social

                                                                  Justicia Inclusiva

                                                                    Desaparecidos

                                                                      EE Play

                                                                      EE play

                                                                        En Vivo

                                                                          La Pulla

                                                                            Documentales

                                                                              Opinión

                                                                                Las igualadas

                                                                                  Redacción al Desnudo

                                                                                    Colombia +20

                                                                                      Destacados

                                                                                        BIBO

                                                                                          La Red Zoocial

                                                                                            ZonaZ

                                                                                              Centro de Ayuda

                                                                                                Newsletters
                                                                                                Servicios

                                                                                                Servicios

                                                                                                  Descuentos

                                                                                                    Idiomas

                                                                                                    EE ADS

                                                                                                      Cursos y programas

                                                                                                        Más

                                                                                                        Blogs

                                                                                                          Especiales

                                                                                                            Descarga la App

                                                                                                              Edición Impresa

                                                                                                                Suscripción

                                                                                                                  Eventos

                                                                                                                    Foros El Espectador

                                                                                                                      Pauta con nosotros en EE

                                                                                                                        Pauta con nosotros en Cromos

                                                                                                                          Pauta con nosotros en Vea

                                                                                                                            Avisos judiciales

                                                                                                                              Preguntas Frecuentes

                                                                                                                                Contenido Patrocinado
                                                                                                                                03 de diciembre de 2022 - 12:01 a. m.

                                                                                                                                La salud de la seguridad digital en Colombia

                                                                                                                                El Invima sufrió varios ataques a su infraestructura tecnológica que afectó la prestación de sus servicios. A la Fiscalía y al Ejército les extrajeron grandes cantidades de correos electrónicos que representan incontable información sensible. Esta semana millones de personas afiliadas a la EPS Sanitas y a la prepagada Colsanitas no tienen acceso a los servicios de salud porque el grupo empresarial Keralty, sufrió un ataque de ransomware. Todos estos son casos de los últimos meses muestran nuestra dependencia de la tecnología digital y los problemas de nuestra política nacional en el tema.

                                                                                                                                PUBLICIDAD
                                                                                                                                PUBLICIDAD

                                                                                                                                Que el gobierno sea víctima de ataques no es una novedad, cualquier persona o entidad puede ser objeto de un incidente de seguridad digital y -según las capacidades del atacante- puede que los afectados no tengan siquiera posibilidades de defenderse. Lo que a estas alturas es inadmisible es que no sepan cómo responder cuando suceden.

                                                                                                                                Read more!

                                                                                                                                No basta con contar con una infraestructura tecnológica en una organización para que ésta sirva. No es como comprar una silla. El software hay que actualizalo, hay que escalar la infraestructura y se requiere de técnicos que la entiendan, cuiden y protejan -incluida la información que contiene- para decir que se está trabajando en seguridad digital. Además, la dirección de la organización debe tener una comprensión mínima de lo que implica la seguridad digital, pues es quien puede destinar los recursos, dar el apoyo, pedirlo cuando lo necesita y saber responder cuando se materializan incidentes de seguridad digital. Son muchos los puntos que pueden fallar, esto hace que el sistema sea vulnerable y también dificulta responder a un incidente.

                                                                                                                                ¿Qué puede hacer el Estado colombiano al respecto? Dentro de los desafíos está el reto cultural que supone dar una respuesta apropiada a un reporte de vulnerabilidad y, especialmente, a un incidente de seguridad digital. La entidad suele responder con incredulidad, con rabia al verse expuesta y decide ocultarse detrás del secreto. Buscando cambiar eso, en Karisma tenemos un proyecto que consiste en hacer investigaciones ciudadanas sobre vulnerabilidades en plataformas estatales que usan muchos datos personales a través de Internet. Usando metodologías no intrusivas hemos adelantado decenas de estas investigaciones que terminan con la entrega de un informe de los hallazgos a la entidad responsable para que tome las medidas necesarias.

                                                                                                                                La idea central era promover la colaboración y desmitificar los reportes de vulnerabilidades informados por terceros. Buscábamos que estos ejercicios mostraran a las entidades que ser vulnerables es un riesgo normal, que lo importante es estar preparados para responder.

                                                                                                                                Read more!
                                                                                                                                PUBLICIDAD

                                                                                                                                Percibirse vulnerable no es algo bonito. Desde que hacemos estos ejercicios la respuesta más común nace del temor, nos amenazan con el código penal o minimizan el impacto del tema. Sin embargo, con el tiempo vemos que -con la ayuda e intermediación del MinTIC y Colcert- las reacciones van cambiando, algunos entienden el ejercicio por lo que es. El ejercicio termina con la publicación de los informes manteniendo reservada la información que pueda comprometer la seguridad de la entidad. Pero, buscamos también hablar públicamente de esto como una forma de cambiar la cultura del secreto, entender que podemos aprender colectivamente.

                                                                                                                                Me pregunto si esa reacción desde el temor se relaciona con la herencia de la ciberseguridad que nace atada a un manejo exclusivo -o al menos esencialmente dependiente-, del mundo militar cuya cultura es sobre todo el secreto. Cambiar esto no ha sido fácil en el mundo, pero ya se sabe que la respuesta incluye dar información.

                                                                                                                                Independientemente de la regulación que se tenga, el principal cambio cultural recae en las directivas. Cuando conocen un reporte de vulnerabilidad o se enteran que sucedió un incidente, y a pesar de eso, deben entender que su aliado es la transparencia. En general todas las entidades comprometidas en Colombia se rajan en esto, ignoran que frente a un incidente es más costoso no informar públicamente sobre él.

                                                                                                                                Sin duda hay muchas incertidumbres a la hora de enfrentarse al incidente y hay cosas que es mejor mantener confidenciales. Pero, para una entidad que sufre un ataque lo importante es evitar conjeturas e informar lo antes posible a las personas, sobre todo a las posiblemente afectadas, indicando las medidas de mitigación de daños que pueden adoptar. Se debe también contar públicamente que enfrentó un ataque, esto incluye informar que está en contacto con las autoridades, mencionar lo que sabe del alcance del mismo, hablar del plan que tiene para enfrentarlo y crear un canal de información para actualizar a las personas y al público sobre lo que sucede. Evitar hacer esto tiene consecuencias reales para las personas y puede significar un problema reputacional que hace que la gente pierda confianza. El sistema de respuesta estatal debe ayudar en ese proceso.

                                                                                                                                ¿Cómo responde el Estado a incidentes de seguridad digital en la infraestructura crítica? El gobierno de Duque expidió el Plan Nacional de seguridad digital vigente a través del Conpes 3995 de 2020 y luego el Decreto 338 de 2022 -expedido a pocos meses del cambio de gobierno-. Según lo que hemos establecido el nuevo sistema no se ha desplegado, lo deberá hacer el gobierno de Petro.

                                                                                                                                No ad for you

                                                                                                                                En estas normas se describe la estructura que tendrá Colombia para proteger sus actividades críticas (infraestructura e información que todavía no hemos definido) y se definen las entidades que darán respuesta a incidentes cibernéticos. Desde la expedición del decreto, Karisma ha intentado indagar sobre su implementación, sin conseguir mucha información. La transición del gobierno ha dificultado el seguimiento con Mindefensa, MinTIC ( sobre todo con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT) y la Consejería TIC de la Presidencia.

                                                                                                                                No ad for you

                                                                                                                                Con el nombramiento de la viceministra TIC esta semana (¡por fin!) esto puede cambiar. En todo caso, resulta fácil anticipar que el sistema interesante pero sofisticado y complejo que del Decreto 338 no podrá desarrollarse a cabalidad. De lo que hemos establecido lastimosamente no están garantizados los recursos para desplegar esa estructura, así que tendrán que priorizar y escalonar. Además la estructura supone una capacidad instalada en el Estado que con el escenario descrito está claro que realmente no existe.

                                                                                                                                Los ajustes tomarán tiempo. Aunque hay personas valiosas detrás de los esfuerzos, también es evidente que lo hecho en el gobierno de Duque quedó en el papel. El plan no estaba enraizado en las instituciones, no superó el test de la transición, y por tanto, no tenemos una respuesta institucional que de la tranquilidad frente a uno de los desafíos más importantes de la digitalización de esta sociedad: la respuesta a incidentes.

                                                                                                                                No ad for you

                                                                                                                                En Colombia podríamos terminar en una situación de inmovilización como la que sufrió Costa Rica a principios de año -cuando un ataque al sistema de salud congeló todo el servicio de salud por días-. Esperamos que la nueva viceministra aborde con urgencia el tema y lo institucionalice. Lo peor que puede pasar es que su principal doliente sea la Consejería TIC así no desarrollará raíces.

                                                                                                                                El Invima sufrió varios ataques a su infraestructura tecnológica que afectó la prestación de sus servicios. A la Fiscalía y al Ejército les extrajeron grandes cantidades de correos electrónicos que representan incontable información sensible. Esta semana millones de personas afiliadas a la EPS Sanitas y a la prepagada Colsanitas no tienen acceso a los servicios de salud porque el grupo empresarial Keralty, sufrió un ataque de ransomware. Todos estos son casos de los últimos meses muestran nuestra dependencia de la tecnología digital y los problemas de nuestra política nacional en el tema.

                                                                                                                                PUBLICIDAD
                                                                                                                                PUBLICIDAD

                                                                                                                                Que el gobierno sea víctima de ataques no es una novedad, cualquier persona o entidad puede ser objeto de un incidente de seguridad digital y -según las capacidades del atacante- puede que los afectados no tengan siquiera posibilidades de defenderse. Lo que a estas alturas es inadmisible es que no sepan cómo responder cuando suceden.

                                                                                                                                Read more!

                                                                                                                                No basta con contar con una infraestructura tecnológica en una organización para que ésta sirva. No es como comprar una silla. El software hay que actualizalo, hay que escalar la infraestructura y se requiere de técnicos que la entiendan, cuiden y protejan -incluida la información que contiene- para decir que se está trabajando en seguridad digital. Además, la dirección de la organización debe tener una comprensión mínima de lo que implica la seguridad digital, pues es quien puede destinar los recursos, dar el apoyo, pedirlo cuando lo necesita y saber responder cuando se materializan incidentes de seguridad digital. Son muchos los puntos que pueden fallar, esto hace que el sistema sea vulnerable y también dificulta responder a un incidente.

                                                                                                                                ¿Qué puede hacer el Estado colombiano al respecto? Dentro de los desafíos está el reto cultural que supone dar una respuesta apropiada a un reporte de vulnerabilidad y, especialmente, a un incidente de seguridad digital. La entidad suele responder con incredulidad, con rabia al verse expuesta y decide ocultarse detrás del secreto. Buscando cambiar eso, en Karisma tenemos un proyecto que consiste en hacer investigaciones ciudadanas sobre vulnerabilidades en plataformas estatales que usan muchos datos personales a través de Internet. Usando metodologías no intrusivas hemos adelantado decenas de estas investigaciones que terminan con la entrega de un informe de los hallazgos a la entidad responsable para que tome las medidas necesarias.

                                                                                                                                La idea central era promover la colaboración y desmitificar los reportes de vulnerabilidades informados por terceros. Buscábamos que estos ejercicios mostraran a las entidades que ser vulnerables es un riesgo normal, que lo importante es estar preparados para responder.

                                                                                                                                Read more!
                                                                                                                                PUBLICIDAD

                                                                                                                                Percibirse vulnerable no es algo bonito. Desde que hacemos estos ejercicios la respuesta más común nace del temor, nos amenazan con el código penal o minimizan el impacto del tema. Sin embargo, con el tiempo vemos que -con la ayuda e intermediación del MinTIC y Colcert- las reacciones van cambiando, algunos entienden el ejercicio por lo que es. El ejercicio termina con la publicación de los informes manteniendo reservada la información que pueda comprometer la seguridad de la entidad. Pero, buscamos también hablar públicamente de esto como una forma de cambiar la cultura del secreto, entender que podemos aprender colectivamente.

                                                                                                                                Me pregunto si esa reacción desde el temor se relaciona con la herencia de la ciberseguridad que nace atada a un manejo exclusivo -o al menos esencialmente dependiente-, del mundo militar cuya cultura es sobre todo el secreto. Cambiar esto no ha sido fácil en el mundo, pero ya se sabe que la respuesta incluye dar información.

                                                                                                                                Independientemente de la regulación que se tenga, el principal cambio cultural recae en las directivas. Cuando conocen un reporte de vulnerabilidad o se enteran que sucedió un incidente, y a pesar de eso, deben entender que su aliado es la transparencia. En general todas las entidades comprometidas en Colombia se rajan en esto, ignoran que frente a un incidente es más costoso no informar públicamente sobre él.

                                                                                                                                Sin duda hay muchas incertidumbres a la hora de enfrentarse al incidente y hay cosas que es mejor mantener confidenciales. Pero, para una entidad que sufre un ataque lo importante es evitar conjeturas e informar lo antes posible a las personas, sobre todo a las posiblemente afectadas, indicando las medidas de mitigación de daños que pueden adoptar. Se debe también contar públicamente que enfrentó un ataque, esto incluye informar que está en contacto con las autoridades, mencionar lo que sabe del alcance del mismo, hablar del plan que tiene para enfrentarlo y crear un canal de información para actualizar a las personas y al público sobre lo que sucede. Evitar hacer esto tiene consecuencias reales para las personas y puede significar un problema reputacional que hace que la gente pierda confianza. El sistema de respuesta estatal debe ayudar en ese proceso.

                                                                                                                                ¿Cómo responde el Estado a incidentes de seguridad digital en la infraestructura crítica? El gobierno de Duque expidió el Plan Nacional de seguridad digital vigente a través del Conpes 3995 de 2020 y luego el Decreto 338 de 2022 -expedido a pocos meses del cambio de gobierno-. Según lo que hemos establecido el nuevo sistema no se ha desplegado, lo deberá hacer el gobierno de Petro.

                                                                                                                                No ad for you

                                                                                                                                En estas normas se describe la estructura que tendrá Colombia para proteger sus actividades críticas (infraestructura e información que todavía no hemos definido) y se definen las entidades que darán respuesta a incidentes cibernéticos. Desde la expedición del decreto, Karisma ha intentado indagar sobre su implementación, sin conseguir mucha información. La transición del gobierno ha dificultado el seguimiento con Mindefensa, MinTIC ( sobre todo con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia - colCERT) y la Consejería TIC de la Presidencia.

                                                                                                                                No ad for you

                                                                                                                                Con el nombramiento de la viceministra TIC esta semana (¡por fin!) esto puede cambiar. En todo caso, resulta fácil anticipar que el sistema interesante pero sofisticado y complejo que del Decreto 338 no podrá desarrollarse a cabalidad. De lo que hemos establecido lastimosamente no están garantizados los recursos para desplegar esa estructura, así que tendrán que priorizar y escalonar. Además la estructura supone una capacidad instalada en el Estado que con el escenario descrito está claro que realmente no existe.

                                                                                                                                Los ajustes tomarán tiempo. Aunque hay personas valiosas detrás de los esfuerzos, también es evidente que lo hecho en el gobierno de Duque quedó en el papel. El plan no estaba enraizado en las instituciones, no superó el test de la transición, y por tanto, no tenemos una respuesta institucional que de la tranquilidad frente a uno de los desafíos más importantes de la digitalización de esta sociedad: la respuesta a incidentes.

                                                                                                                                No ad for you

                                                                                                                                En Colombia podríamos terminar en una situación de inmovilización como la que sufrió Costa Rica a principios de año -cuando un ataque al sistema de salud congeló todo el servicio de salud por días-. Esperamos que la nueva viceministra aborde con urgencia el tema y lo institucionalice. Lo peor que puede pasar es que su principal doliente sea la Consejería TIC así no desarrollará raíces.

                                                                                                                                Ver todas las noticias
                                                                                                                                Read more!
                                                                                                                                Read more!
                                                                                                                                Este portal es propiedad de Comunican S.A. y utiliza cookies. Si continúas navegando, consideramos que aceptas su uso, de acuerdo con esta  política.
                                                                                                                                Aceptar