Cuando se piensa o se habla sobre ciberseguridad de la información en el sector público suele plantearse en términos de procesos y tecnologías. Es innegable su importancia pero, en realidad, el factor más importante y de hecho, los verdaderos protagonistas de la seguridad de la información en las organizaciones son sus empleados, quienes en el día a día gestionan y usan los dispositivos tecnológicos para crear, manejar, administrar, procesar, difuminar y almacenar su principal activo: la información.
Desde esa perspectiva y así como nadie discute la pertinencia de que los empleados o miembros de cualquier organización, pública o privada, desarrolle conocimientos y prácticas de protección civil, seguridad física y prevención de riesgos laborales, es cada vez más crucial la formación de una conciencia y el desarrollo de normas y prácticas de ciberseguridad.
El desarrollo de una cultura de ciberseguridad en el sector público será útil para plantear y sobre todo, fijar las bases de la protección de la información confidencial de la propia organización, así como de la de sus clientes y proveedores, si es una organización privada, y de los usuarios o beneficiarios en el caso de un organización o entidad pública.
De esa manera, es crucial la promoción del desarrollo de una cultura de ciberseguridad en los empleados o miembros de la organización mediante la asimilación clara de las políticas, normativas y procedimientos de seguridad que se hayan establecido y logrando que, de manera efectiva y rotunda, se observen las buenas prácticas en seguridad de información que se hayan establecido; esto último, no menos importante, deberá ser parte de un monitoreo que, junto a la sensibilización y capacitación de los empleados o miembros de la organización, deberá ser continuo.
Ransomware, amenaza creciente
En este contexto, es claro que la transformación digital en la cual viven actualmente las organizaciones privadas y las empresas a nivel mundial, hace que los delincuentes informáticos tengan una serie de oportunidades para penetrar los aún vulnerables sistemas de información y, en la amplia diversidad de tipos de ciberataques, ha crecido considerablemente la demanda de profesionales de seguridad digital.
Según Comstor, una proveedora de soluciones de tecnologías de información, los ataques ransomware en Latinoamérica crecieron 30%, de manera anualizada, entre 2014 y 2017, y la proporción no debió ser muy diferente en 2018. En ese sentido, y sólo superado por Brasil (55%), en la lista de países con mayor número de secuestro de datos en la región latinoamericana, México está la segunda posición, con 23.4%, lo cual despierta serias dudas con respecto a los niveles de seguridad de la información que se tienen en este país. En vista de esto, la seguridad de la información en las organizaciones se ha convertido en un renglón estratégico en los programas de inversión para asegurar su continuidad y crecimiento.
Áreas de oportunidad en la ciberseguridad del sector público
Comstor apunta que, crecientemente, México está moviendo su infraestructura hacia el mundo digital, aunque subsisten importantes áreas de oportunidad: justamente, la débil cultura de seguridad de la información y las todavía casi inexistentes buenas prácticas cibernéticas, además de la urgente necesidad de formar profesionales en seguridad de la información.
Si bien hoy cerca del 50% de los profesionistas mexicanos se gradúan en una variedad de carreras relacionadas con la tecnología, puede decirse que todavía hay una grave ausencia de especialistas en seguridad de información. Al respecto, diversos estudios indican que, además, la falta de mano de obra especializada en dicho campo está creciendo en el país y el déficit que se proyecta llegará a 1,800,000 profesionales en tres años, en 2022, lo que equivale a un incremento de 20% con relación a las proyecciones hechas apenas en 2015.
Comstor apunta que en México existen personas con talento en el área de ciberseguridad, pero no en cantidades suficientes para cubrir la demanda actual en las organizaciones. Si no existen recursos humanos suficientes, puede anticiparse con un alto grado de certidumbre que las estrategias de seguridad de la información tendrán un destino poco afortunado, por decir lo menos.
Esto explica por qué algunas empresas están por su propia cuenta entrenando a profesionales en seguridad de la información, los cuales deben conocer y sobre todo, entender las dinámicas internas de sus respectivas empresas para identificar las opciones más optimas o posibles de implementar las soluciones de seguridad y al mismo tiempo, impedir que su información estratégica sea sustraída por externos o internas y caiga en manos equivocadas, afectando sus intereses comerciales.
Desafíos urgentes
Es importante reconocer que en países como México la ciberseguridad está estrechamente vinculada a la infraestructura física, sobre todo en el sector público, en el que hay un déficit notable en la inversión no sólo en infraestructura, sino en el desarrollo de capital humano, que es lo más grave. Según los especialistas y, la verdad sea dicha, el mismo sentido común, la falta de inversión amplifica los riesgos de ataques cibernéticos.
De este modo, es importante subrayar la necesidad de asignar recursos a este tema en el sector público, donde las diversas entidades manejan información estratégica y vital en muchos aspectos sociales y de interés nacional, en parte a través de nuevos incentivos para las asociaciones público-privadas, para construir y fortalecer las bases físicas y las redes digitales que permitirán a la sociedad mexicana crecer y prosperar.
Conocida por los especialistas la casi nula promoción del desarrollo de una cultura de ciberseguridad de información en el sector público, vale la pena preguntarse si ante los desafíos actuales y de corto plaza en el campo digital, el recién inaugurado gobierno mexicano entiende la importancia crucial de la seguridad de la información no sólo para el desarrollo del país, sino para el éxito de sus propias operaciones y funcionamiento, y si acepta que hoy, con rotunda claridad, no existen ni los cimientos establecidos de una cultura de seguridad de la información en el sector público mexicano… Y urge.
