image_pdfimage_print

[:es]

La seguridad informática es un término conocido para cualquier país, y Cuba no es la excepción de la regla. Aquí también somos sensibles a las vulnerabilidades de los sistemas operativos mundiales, ya sean Microsoft, Android o Mac OS

Robo de información; tráfico de datos; herramientas remotas para tomar el control de una computadora; sitios web falsos que esconden programas malignos; suplantación de identidad en las redes sociales; ataque a las comunicaciones y servicios públicos…, tal parecería que estamos narrando la trama de una película hollywoodense, de esas donde los hackers malos toman el control de una red del gobierno y el policía bueno llega a tiempo, casi en el último minuto, para salvar el mundo.

Y sin embargo, hay cierta verdad en lo ficticio.

Quitando el trasfondo teatral y casi risible del argumento, no estamos tan lejos de ese día como quizá imaginamos. Nuestra sociedad, cada vez más (de) pendiente de las tecnologías, ha creado la brecha perfecta para que hasta un niño de 12 años escriba códigos informáticos y pueda hackear cuentas en sitios de juegos.

¿Pero qué tiene que ver esto con nosotros?, ya se preguntarán algunos. Bueno, mucho más de lo que creen.

La seguridad informática es un término conocido para cualquier país, y Cuba no es la excepción de la regla. Aquí también somos sensibles a las vulnerabilidades de los sistemas operativos mundiales, ya sean Microsoft, Android o Mac OS, sin mencionar que las redes institucionales se ven constantemente «bombardeadas» por correos electrónicos de dudosa procedencia y por los llamados spam (e-mails no solicitados que se envían a un gran número de destinatarios con fines publicitarios o comerciales).

Entonces, sí. Hay que hablar de protección de datos, de antivirus, de controles de acceso y análisis de riesgo, ya que la respuesta nunca estará en impedir el uso de los medios de informatización o frenar el desarrollo, sino en aprender cómo protegerse ante las alteraciones que se dan en el ámbito digital.

«En la medida en que se perfeccionen las tecnologías de la información y las comunicaciones (TIC) y sus aplicaciones se extiendan a todas las esferas sociales, se torna más importante establecer ordenamientos jurídicos, y no solo para sancionar delitos, sino porque hacen falta normas que velen por su correcto empleo.

«Desde este punto de vista, el manejo de los datos necesita de regulaciones, de otra forma, la información —que se convierte en el activo más preciado de la entidad— puede estar al alcance de personas no autorizadas o ser utilizada con fines indebidos», explica a Granma Gonzalo García Pierrat, director de organización y control de la Oficina de Seguridad para las Redes Informáticas (OSRI).

En tal sentido, lo más acabado que tiene Cuba en materia de seguridad informática no es una ley, sino la Resolución 127 del Ministerio de Comunicaciones (Mincom), emitida en el 2007; un documento que establece algunos procedimientos básicos para minimizar los daños en sistemas informáticos, además de regular el uso de las TIC en las entidades.

Sin embargo, ya han pasado diez años; y en lenguaje de las tecnologías, lo más viejo fue lo que salió en el mercado la semana pasada. Por ejemplo, algunas medidas resultan hoy tan obsoletas como negar el acceso a contenidos noticiosos porque tal búsqueda no es afín al contenido laboral del usuario.

Si bien está claro que las tecnologías que posee una entidad están dirigidas al objeto social de dicho organismo, y no para beneficio personal, tampoco se trata de negar las cosas porque sí, y mucho menos cuando las TIC pueden convertirse en una puerta a la superación profesional.

«La seguridad informática no existe para evitar que se usen las tecnologías, sino para que su uso sea de la manera más segura posible. Y a veces cometemos el error de prohibir las cosas, porque es más fácil decir no a tener que hacer el trabajo de monitoreo y control», comenta García.

«La Resolución 127 trató de ser, en su contenido, lo más amplia posible, y aunque sigue siendo útil y abarca un conjunto de aspectos importantes, es cierto que han aparecido cambios en el área de la informática y no es todo lo suficiente que se requiere ahora mismo».

De ahí, informa, que el Ministerio esté trabajando en un nuevo reglamento, en el cual se podrían introducir quizá algunas cuestiones relacionadas con las redes inalámbricas o ampliar las disposiciones para la navegación en la web.

Tal y como plantea Yarina Amoroso, presidenta de la Sociedad Cubana de Derecho e Informática de la Unión de Juristas de Cuba, la seguridad es un proceso de perfeccionamiento continuo, e implica que la reglamentación por la que se implementan y ordenan los usos de datos y servicios, sea sistemáticamente actualizada.

«El objetivo es brindar una protección adecuada contra las amenazas accidentales o intencionadas a la confidencialidad, integridad o disponibilidad de una red; y ello implica también implementar mecanismos para darle seguimiento al cumplimiento de los objetivos de la legislación en términos de eficacia y eficiencia», dice Amoroso.

A FALTA DE UNA LEY…OTRAS SOLUCIONES

Más allá de lo que pudiera ser cambiado o no, lo que sí está claro es que las reglas por sí solas no hacen todo el trabajo; las personas también deben tomar conciencia y saber que son responsables por las acciones que realizan en el ámbito digital.

Tan importante es la redacción de leyes claras y precisas, como la autorregulación del usuario. En ambos casos, Cuba tiene viejas deudas.

Según considera el director de organización y control de la OSRI, uno de los grandes vacíos legales que tenemos ahora mismo es que no existe una vía directa para sancionar a una persona por introducir programas malignos o acceder sin autorización a una red. «Todavía hay quienes consideran innecesario tipificar los delitos informáticos dentro del sistema judicial, pues creen que las infracciones o violaciones cometidas en esta área se pueden, como delitos, juzgar dentro de los estatutos generales».

Y aunque en nuestro país se ha reconocido la pertinencia de hacer esta delimitación, las palabras y buenas intenciones no acaban de concretarse en hechos. «Desde hace más de una década se está discutiendo un proyecto para incluir modificaciones en el código penal cubano, pero mientras se espera la aprobación, los daños continúan», asegura García.

«Al no tener tal tipificación, cuando se presente un caso de delito informático frente al

tribunal de justicia, el hecho tiene que ser considerado en analogía con otra transgresión que se le parezca, como daños a la propiedad económica de una empresa. Entonces por ahí es que se juzga, y no por el delito informático en sí mismo».

Por ejemplo, si un ciudadano crea y propaga intencionadamente un virus informático y no hay daño colateral que se pueda cuantificar, desde lo penal, estamos en desventaja, sostiene. «Casi siempre logramos una condena, pero las complicaciones son muchas cuando la situación pudiera solucionarse de forma más sencilla».

Entre el 2004 y el 2006, rememora García, estuvo circulando un gusano (programa maligno) que afectó a un importante número de empresas, sobre todo en La Habana. No obstante, para demostrar el perjuicio que ocasionó este delito, hubo que visitar a cada uno de los afectados y cuantificar las pérdidas.

«El proceso se hizo más engorroso porque había directivos que no sabían cómo determinar, en cifras monetarias, el daño que significaba para la entidad tener caída durante una semana la red de telecomunicaciones (correos electrónicos, conectividad a Internet, llamadas telefónicas)».

Entonces volvemos, como en efecto dominó, al otro elemento de la cadena: la cultura del usuario. A veces pensamos que por instalar un cortafuego o poner contraseñas ya está asegurada la estabilidad de la red, cuando la educación informática de quienes

poseen y usan las computadoras resulta tan determinante como un buen antivirus.

Autentificar el acceso a los datos con contraseñas, no responder e-mails que soliciten información personal, no descargar ficheros de fuentes desconocidas, ni instalar aplicaciones sin ser autorizados, pudieran parecer medidas demasiado básicas como para que alguien no sepa de ellas; y sin embargo, sucede.

Por supuesto, desde lo interno de cada organismo también deben efectuarse acciones de control. Según García, el administrador de la red «tiene que ejecutar un análisis de riesgo y determinar cuáles son las prioridades en términos de seguridad, o sea, de qué virus o fallos hay que proteger los programas y softwares más importantes». Todo ello, agrega, sin descuidar las barreras físicas para preservar los ordenadores y equipos de eventualidades como incendios, terremotos, inundaciones y fallos en la instalación eléctrica.

No obstante, lo que suele suceder casi siempre es que se elabora el plan de seguridad y se implementan los controles, pero no se hace nada más hasta que ocurre un incidente.

Niurka Milanés Sarduy, directora general de la empresa cubana Segurmática, señala que la supervisión es la primera barrera para frenar cualquier problema en la red. «Soluciones antivirus, antispam, análisis de URL maliciosas, así como mantener actualizado los parches de seguridad pueden hacer la diferencia».

Fuente : http://www.granma.cu/cuba/2017-02-16

 

[:]

Compartir
  •  
  •  
  •  
  •  
  •  

Comentarios

comentarios