La ciberseguridad en el gobierno y cómo lograrla es una preocupación constante en el mundo actual. Si bien los hackers tienen múltiples vías de acceso para atacar las redes informáticas, en términos cibernéticos la mayor vulnerabilidad de cualquier organización reside en acciones del personal (como abrir correos electrónicos con phishing o navegar por sitios web infectados, por ejemplo). Por ende, su capacitación constante para hacer frente a los ataques es también una de las mejores maneras de mejorar la ciberseguridad de cualquier organización.
En el caso del gobierno, cada vez hay más programas dirigidos a los ciudadanos que promueven el uso de las TIC —acceso a la información, pago y consulta de servicios, servicios educativos, entre ellos— pero no siempre están debidamente protegidos. La asociación civil Consejo Mexicano de Asuntos Internacionales (COMEXI), en conjunto con expertos de la consultoría Mckinsey & Company, determinaron que los principales riesgos del sector público en materia cibernética son:
- La vulneración de los datos de los ciudadanos.
- Afectaciones en la operación de los servicios públicos.
- Daños en la operación interna de las instituciones públicas.
Al diagnóstico añadieron la recomendación de crear un organismo centralizado responsable de la gobernanza digital del gobierno, con leyes adecuadas para regular a las entidades públicas y presupuesto suficiente para operar.
Ciberseguridad en el gobierno: entrenamiento inteligente para lograrla
La falta de comunicación efectiva es una limitante cuando se trata de implementar sistemas de protección en las TIC, aún en países del primer mundo. De hecho, una investigación publicada por Trend Micro a principios de enero pasado reveló que el 57% de los CISO encuestados considera que la comunicación interna es el principal obstáculo que enfrentan.
Sin embargo, hay soluciones que la mayoría de las organizaciones pueden implementar sin elevar demasiado sus costos; éstas pasan por capacitar de manera constante e inteligente al personal. De acuerdo con expertos de ISACA (asociación internacional de profesionales de la seguridad en TIC originalmente llamada Information Systems Audit and Control Association, con más de 159,000 miembros en 180 países), la mejor manera de enfocar este entrenamiento continuo es de manera análoga a las actualizaciones de software: no hacerlas oportunamente genera riesgos que crecen con el tiempo.
Recomendaciones de ISACA
- Crear un plan integral de ciberseguridad y actualizarlo conforme a las amenazas más recientes.
- Establecer políticas de comunicación interna efectivas para inculcar en los empleados las mejores prácticas.
- Inculcar en el personal una cultura de ciberseguridad desde el momento de su contratación.
- Hacer evaluaciones periódicas tanto del personal como de los equipos, para determinar las vulnerabilidades.
- Ofrecer entrenamiento continuo a lo largo del año a los empleados de todos los niveles.
- Designar en cada área a un empleado que funja como delegado del departamento de TIC para dar seguimiento al entrenamiento de ciberseguridad y mantener motivados los demás.
- Entrenamientos con “fuego real”: simular ataques organizados por el departamento de TIC (como el envío de correos con phishing) para evaluar y analizar la respuesta del personal para luego retroalimentarlo sobre la mejor forma de proceder.
- Educar a los empleados en la importancia de mantener buenas prácticas de ciberseguridad también en su vida privada.
- Recompensar a los empleados que ayuden a identificar amenazas a la ciberseguridad y las comuniquen oportunamente a los encargados de TIC.