Uncategorized

Infraestructura crítica en el Estado y la responsabilidad de su gestión y administración.

Retomando el post de Diógenes en el marco de lo acontecido con el sistema informático que da soporte al funcionamiento del Poder Judicial de la Nación (ver aquí), va mi  aporte desde la visión desde la seguridad y la protección de los sistemas recalcando, tal vez  con la carga de la experiencia(*), que  hacer ciber-seguridad en el Estado Argentino no es tarea sencilla, dada la manera en que se interpreta, valora y en consecuencia se gestionan los sistemas informáticos y la responsabilidad de administrarlos, mantenerlos y asegurarlos.

La Organización de Estados Americanos (OEA) define en su Declaración de Protección de Infraestructuras Críticas Ante las Amenazas Emergentes aprobada durante la quinta sesión plenaria, celebrada en Washington DC, Estados Unidos, el 20 de marzo de 2015, que la infraestructura crítica 

“…consiste, entre otras, en aquellas instalaciones, sistemas y redes, así como servicios y equipos físicos y de tecnologías de la información, cuya inhabilitación o destrucción tendría un impacto negativo sobre la población, la salud pública, la seguridad, la actividad económica, el medio ambiente, servicios de gobierno, o el eficaz funcionamiento de un Estado miembro…”.

Es importante mencionar que esta declaración es en el marco del CICTE (Comité Interamericano Contra el Terrorismo) y que, por lo tanto, está pensado en el contexto de un ataque externo o interno y no en un hecho ocurrido en un marco de ineficiencia, impericia o imprudencia por parte de quienes tienen el deber de llevar adelante la protección y el mantenimiento de los sistemas que dan soporte nada menos que a la labor de uno de los tres poderes del Estado.

Este mantenimiento implica el poder prevenir o detectar una infección con virus accidental,  una fuente de energía rota,  un caño de agua averiado, un incendio eléctrico accidental, o el simple hecho  de que alguien “apagó la luz”.

Han sido estos supuestos -y no ataques terroristas-los que han venido afectando la provisión de los servicios de gobierno a nivel Estado Nacional. En algunos casos hemos llegado al extremo de pérdida irrecuperable de información simplemente por cortes “misteriosos” de energía, que se atribuyeron, por ejemplo, a la ignorancia o mal uso de las instalaciones por parte del personal de mantenimiento y maestranza de las instalaciones gubernamentales en que se alojan los servidores afectados.

Es importante ver que una definición, como aquella de OEA, se hace específica e instrumental en la práctica, dado que en Argentina tenemos un Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad, que define su misión como “…proteger a los activos críticos de información de la Nación Argentina de los posibles ataques que pudiera ser objetivo, las acciones que desempeña y que son de prevención, detección, respuesta y recupero.” 

Si se habla de diseño e implementación de sistemas críticos, se asume capacidad de recuperación ante desastres y se incluye por supuesto la continuidad de las operaciones. Todas cuestiones inherentes a la protección de la infraestructura crítica. Sin embargo podemos ver que  en la actualidad, la propia página del mencionado Programa de Infraestructura Crítica ( cual?) se encuentra desactualizada incluyendo a la nómina de personal que lo compone, y en algún momento -no hace mucho-, el funcionamiento de uno de sus sistemas de contacto,  aún publicado, estaba deshabilitado en los hechos.

Un programa nacional de Ciber Seguridad y de Infraestructura Crítica que en varias oportunidades, conjuntamente con Interpol, ha auspiciado y organizado la capacitación con la OEA en esta materia para funcionarios públicos y organismos de gobierno, que ha emitido recomendaciones, que ha pagado los sueldos, y más aún: que se ha “relanzado” hace muy poco, carece del mantenimiento del contenido de su página web.

Todo lo expuesto no habla de un escenario que incluye las amenazas emergentes, sino mas bien de lo que podríamos llamar debilidades o “amenazas subyacentes”.

En este contexto, tenemos Lex-100 y a esta altura todos sabemos que hablamos del sistema que da soporte al funcionamiento del Poder Judicial de la Nación.

¿Que puede ser más «crítico» para un Estado que toda la estructura que da soporte a la misión de impartir justicia; que el hecho de que el Poder Judicial de la Nación deje de funcionar?

¿Qué es lo que falla cuando es crítico el estado de la infraestructura que da soporte un poder del Estado?.

Porque esto es algo que también hay que empezar a pensar:

Los sistemas de computadoras conectados no son sólo «facilitadores» de la actividad de gobierno -en este caso de la caída del sistema LEX 100-. Las computadoras remplazaron maquinas de escribir, reemplazaron correspondencia en papel, reemplazaron búsquedas en grandes cantidades de papel impreso (como el caso de las guías telefónicas, o de los mapas y planos de las ciudades y sus medios de transporte), reemplazaron las agendas en papel, remplazaron las libretas de direcciones y teléfonos, reemplazaron la firma ológrafa. Reemplazaron formas de hacer las cosas. 

Hoy no son un facilitador, son un soporte. Sobre sistemas informáticos se apoyan procesos enteros de trabajo. Si falla el sistema informático lo que falla es el proceso, y por lo tanto la función que este debe cumplir. Si falla lex – 100, falla el Poder Judicial de la Nación. Esto, y NO otra cosa es lo que significa “informatizar”, tantas veces usado como sinónimo de “mejorar”. Puede ser para bien, o puede ser para mal. No es la naturaleza del hecho, sino la naturaleza de la ejecución: esto es, cómo se lleva adelante en base a la capacitación de todo el personal involucrado.

¿Lex – 100 debería fallar? Los que sabemos de seguridad de la información también sabemos que esta pregunta solo es importante a la luz de una certeza: Lex -100, como cualquier otro sistema, va a fallar. Y por lo tanto, si se considera importante que aquel proceso que soporta siga funcionando, se deben tomar las medidas para que cuando falle, siga operando, es decir que  ese sistema siga funcionando “en contingencia”. Para que si falla, se recupere. Para que si sucede un desastre, nos podamos sobreponer al menor costo posible porque se trata de una “Infraestructura Crítica”.

Para hacer esta evaluación en términos más técnicos, existe algo llamado Gestión de Riesgo. Eso es un procedimiento por el cual, entre otras cosas, se identifican los riesgos, se clasifican, se ponderan, y luego se elige la forma de lidiar con ellos. De “administrarlos”. Y todo ese proceso de gestión -que además es permanente e iterativo-, genera grandes cantidades de documentación producto del trabajo mencionado y que tal vez, en estas horas luego de que el «sistema estuvo caído», alguien quiera ir a buscar. Información sobre: diseño, riesgos, evaluaciones permanentes, cumplimiento de estándares, políticas de uso y seguridad, acuerdos de nivel de servicio con proveedores y confidencialidad, planes de funcionamiento en contingencia, planes de recuperación ante desastres, y los registros de las pruebas que tienden a garantizar  la continuidad de las operaciones y la seguridad de los procesos, todo ellos potencialmente existentes en caso de una operatoria profesional y responsable.

En conclusión en “la falla” del Poder Judicial de la Nación, pareciera que hubo mayor dosis de imprudencia, negligencia o impericia, que de un desastre imponderable.

Y si  todo está bien, sería bueno saber por qué no hubo: ni continuidad de las operaciones, ni rápida recuperación ante un desastre, ni la inclusión y el tratamiento de la infraestructura informática del Poder Judicial de la Nación en el programa de protección y gestión de infraestructura crítica.

Por último recalcar que si bien hablamos puntualmente aquí del caso Lex-100, no se trata de una gestión o un gobierno, sino de la manera amplia en que se mira a los sistemas informáticos desde el Estado: que en la actualidad son soporte de procesos críticos, y por tanto implican una gestión y administración experta y responsable.

Pablo H. Gris Muniagurria