La importancia de impulsar csirts sectoriales en Colombia
Cristian C. Gantiva Castiblanco
Cristian C. Gantiva Castiblanco
El sector público y privado, en cualquier lugar del mundo, ha integrado su atención en un tema que es transversal a todos los niveles y campos en el día a día: el ciberespacio. Dicha atención se enfoca en diferentes perspectivas y generalidades, tanto en el desarrollo de actividades personales, como también, en la ejecución de planes y proyectos gubernamentales e institucionales de diferentes sectores. Estas perspectivas, que pueden ser económicas, sociales, culturales y militares direccionan gran parte de los avances en las estructuras administrativas y funcionales de los Estados y todos los ecosistemas que en ellos convergen, inclusive, en aquellos que se mueven por fuera de la ley. Dichas particularidades, referenciadas en la evolución de las actividades delictivas y su adaptación a nuevos entornos, han correspondido con la implementación de diferentes marcos normativos, políticos y éticos que tienen el objetivo de lograr contrarrestar los riesgos de las redes en los sectores más importantes de la sociedad.
Colombia ha realizado avances significativos en la estructura de ciberseguridad y ciberdefensa del país. Podemos encontrar en el cuerpo legislativo las leyes 527 DE 1999 “uso y acceso de los mensajes de datos, del comercio electrónico y de las firmas digitales”, 524 de 2000 “Ley General de Archivos”, 1032 de 2006 correspondiente a una modificación del Código Penal de acuerdo con delitos relacionados a los derechos de autor, 1266 de 2008 “hábeas data y datos personales”, 1273 de 2009 “se crea un bien jurídico tutelado – de la protección de la información y de los datos”, entre muchas otras que, en compañía de diferentes decretos y resoluciones han contribuido a la generación de un espacio importante en esta área para el Estado. Sumado a lo anterior, ubicamos en cuanto a políticas nacionales los CONPES 3701 de 2011 “Lineamientos de Política para Ciberseguridad y Ciberdefensa”, 3854 de 2016 “Política Nacional de Seguridad Digital” y el próximo a ser publicado “Confianza y Seguridad Digital”; en estos tres me quiero detener.
Desde la publicación del primer CONPES, relacionado con ciberseguridad y ciberdefensa en el país, se han consolidado, en la medida de lo posible, organizaciones que aportan al fortalecimiento de la seguridad digital. De acuerdo con el Departamento Nacional de Planeación, en el seguimiento realizado al CONPES 3854 se ha alcanzado un 82,76% de avance en los indicadores y 44,62% de avance financiero. Hay dos actividades fundamentales que es necesario resaltar en el desarrollo de los objetivos de los diferentes CONPES: (i) la identificación y caracterización de 13 infraestructuras críticas cibernéticas (ICC) y (ii) la puesta en marcha de unidades para la gestión de riesgos e incidentes a nivel país correspondiente con esas infraestructuras.
Mapa parcial de internet - De The Opte Project CC BY 2.5
En el año 2013 iniciaron las actividades relacionadas con la identificación de infraestructuras críticas; según el Comando Conjunto Cibernético, en los dos primeros años se definieron los líderes y equipos sectoriales del proyecto. Así, en el 2015 se provee la Guía para la Identificación de Infraestructura Crítica Cibernética de Colombia y en el año 2016 se publican los Sectores Estratégicos de la República de Colombia desde la Óptica Cibernética, acompañado del Catálogo de Infraestructura Crítica Cibernética de Colombia. Estos documentos, de manera específica, nos permiten conocer el impacto social, económico y medioambiental que podría tener un ataque a los activos de las tecnologías de la información (IT) y/o a los de las tecnologías de la operación (OT) de los diferentes sectores del Estado. De esa forma, en Colombia contamos con cuatro sectores que tienen un impacto muy alto en la escala de valoración: (i) electricidad, (ii) hidrocarburos, minería y gas (iii) financiero y (iv) TIC; cuatro sectores con impacto alto: (v) gobierno, (vi) seguridad y defensa, (vii) agua y (viii) transporte; un sector con impacto medio: (ix) industria, comercio y turismo; dos sectores con impacto moderado: (x) educación y (xi) salud y protección social y, finalmente, dos sectores con un impacto bajo: (xii) ambiente y (xiii) agricultura-alimentación.
Ahora bien, por otro lado, el desarrollo de los objetivos de cada CONPES ha permitido que se estructure un ecosistema para la ciberseguridad y ciberdefensa en el país. Antes de mencionar cómo es dicha estructura, es necesario entender los conceptos que versen sobre la misma, en especial dos de estos: el primero es el concepto de CSIRT (Computer Security Incident Response Team) y, el segundo, el concepto de CERT (Computer Emergency Response Team). Según la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), ambos conceptos han sido desarrollados en Europa y Estados Unidos y son consecuentes con la creación de, como su nombre lo dice, equipos que prestan servicios de reacción y prevención ante incidentes informáticos[1]; la diferencia entre uno u otro está limitado a la denominación que en el marco normativo se le dé en cada país pero también, por otro lado, a la característica de especificidad que tienen los CSIRT a diferencia de los CERT, siendo estos últimos aquellos que abarcan áreas generales en funciones y sectores del país.
En el caso colombiano contamos con diferentes articuladores en la protección de las ICC. En la cabeza de la coordinación se encuentra la Presidencia de la República y entidades y ministerios que apoyan las responsabilidades como el MinTIC, MinJusticia, Cancillería, la Dirección Nacional de Inteligencia, el Departamento Nacional de Planeación, la Unidad de Información y Análisis Financiera y la Fiscalía General de la Nación. Sin embargo, los implicados de manera directa en la ciberseguridad y ciberdefensa del país son en especial tres organismos: (i) el ColCERT, (ii) el Comando Conjunto Cibernético (CCOCI) y (iii) el Comando Cibernético Policial (CCP). Estos tres están encargados de la protección de los activos IT y OT de los 13 sectores en Colombia, el ColCERT como coordinador a nivel nacional en la ciberseguridad de las ICC [2], el CCOCI como unidad militar con componentes conjuntos y coordinador de las Fuerzas Militares, es el principal organismo en la protección y ciberdefensa de ICC[3] y el CCP como cuerpo encargado de la ciberseguridad ciudadana y la judicialización del cibercrimen [4]. Adicional a lo anterior, en Colombia contamos con CSIRTs específicos que aportan al monitoreo de seguridad digital en algunos sectores; a pesar de esto, es necesario un enfoque más específico en los planes nacionales de ciberseguridad y ciberdefensa como se argumenta a continuación.
Primer código HTML - Dominio público
Los esfuerzos desde el CONPES 3701 han logrado posicionar a Colombia en el séptimo puesto regional y el número 73 del Global Cybersecurity Index en el año 2018[5], no obstante, es importante consolidar la seguridad digital en cada uno de los sectores específicos. Si bien con los 3 organismos enunciados en el párrafo anterior, adicional con el CSIRT PONAL constituido en el año 2012, el CSIRT Gobierno de Colombia organizado en el año 2018 y el CSIRT Financiero establecido en el año 2019 se logran alcanzar de manera general las 13 ICC y al menos, de manera concreta, cuatro de estas: (i) financiero, (ii) TIC, (iii) gobierno y (iv) seguridad y defensa, se presenta necesario liderar la construcción de CSIRTs sectoriales para las nueve ICC restantes. Dicho liderazgo debería estar dirigido por cada uno de los ministerios y apoyado en el ecosistema de ciberseguridad y ciberdefensa que se tiene en el país, es primordial la identificación de entidades públicas y privadas para cada caso y la agrupación de necesidades conjuntas que permitan las mejores prácticas en la constitución y aporte a los planes nacionales. A pesar de dicho liderazgo, es fundamental también que las iniciativas emerjan desde cada sector, de tal manera que el peso de las capacidades no recaiga sobre el Estado sino, por el contrario, éste conserve un rol de coordinador, asesor y ejecutivo de carácter nacional.
La consolidación del CSIRT Financiero es un ejemplo adecuado para la forma en que los sectores pueden aportar a la ciberseguridad y ciberdefensa del país. De acuerdo con la información contenida en la página web del CSIRT[6] su creación se da de la articulación de “esfuerzos conjuntos entre el sector público y privado en pro de combatir el cibercrimen de manera integral y colaborativa”, articulación que es orientada por la Asociación Bancaria y de Entidades Financieras de Colombia (ASOBANCARIA). Sin lugar a duda, la conformación de este CSIRT presenta un hito importante para que asociaciones de los diferentes sectores como ACOLGEN (electricidad), ACP (hidrocarburos), ANDESCO (electricidad, agua, TIC, financiero, gas y ambiente), ACOLTES (transporte), ANATO (turismo), entre otras, encuentren en la estructuración de CSIRTs sectoriales un avance importante en la seguridad de sus nichos y, en particular, una ventaja en la gestión de los riesgos cibernéticos y los posibles impactos económicos, sociales y ambientales en el país.
[1] Para más información sobre las funciones de los CSIRT se puede observar el documento de ENISA “Cómo crear un CSIRT paso a paso” Producto WP2006/5.1(CERT-D1/D2).
[5] El informe se puede conseguir en https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx y estará actualizado en el segundo semestre del 2020 con el Global Cybersecurity Index 2019.