En este nuevo mundo globalizado por Internet y las tecnologías de información, las amenazas y ataques se han vuelto más comunes y de mayor preocupación para las organizaciones. Cuántas veces hemos escuchado sobre robos de información, terrorismo informático, sabotaje, fraude y vandalismo, que en muchos casos son perpetrados por personal interno de la organización o por errores provocados por falta de controles o por procesos mal definidos.

Por ello es importante entender que la adquisición de sistemas de seguridad tales como controles de acceso, detectores de intrusos y firewalls, entre otros, ya no es suficiente. En estos tiempos es necesario adoptar soluciones que nos permitan proteger los huecos de seguridad que las tecnologías antes mencionadas no llegan a cubrir. Estas soluciones deben contemplar no solo a los “fierros” de la seguridad, sino involucrar aspectos tales como un adecuado análisis de riesgos, asignación de roles y responsabilidades y marcos normativos. Aspectos que permitirán a una organización poder hacer gala de nombrarse “segura”.

Debido a estos nuevo riesgos a los que está expuesta la información, surgió la necesidad en una institución gubernamental de llevar a cabo un proyecto que tomara en consideración no solo a los “fierros” como lo mencionamos anteriormente, sino que también tomara en consideración al personal y sus procesos, lo que dio origen a la implementación de un Modelo de Gobierno de Seguridad de la Información (MGSI). Para lograr este requerimiento, la institución convocó a través de una licitación y eligió a Scitum como el proveedor que los apoyaría en la implementación de un MGSI.

Solución

Dado que el personal encargado de la seguridad de la información dentro de esta institución no tenia establecidas reglas claras de normatividad, no estaban bien definidos los roles y las responsabilidades, no tenia implementado una metodología de administración de riesgos, ni controles para medir que las acciones tomadas se estuvieran llevando a cabo como lo planeado, Scitum se dio a la tarea de comenzar con la definición del MGSI. De acuerdo al análisis realizado previamente de la institución, la solución debía ser integrada por componentes específicos que, alineados con los objetivos del negocio y con los objetivos de TI, determinaran los lineamientos a seguir para mitigar los riesgos de la institución. El objetivo general era establecer las directrices para planear, implementar, operar, monitorear, revisar y mejorar la seguridad de la información.

Para la definición del MGSI se tomaron en consideración los siguientes componentes, los cuales explicaré brevemente:

Administración de riesgos. En el contexto de seguridad de la información, es un proceso interactivo e iterativo para la evaluación y manejo de los riesgos y sus impactos, con el propósito de lograr los niveles de confidencialidad, integridad y disponibilidad óptimos para la institución. Este proceso debe continuamente contestar a las preguntas ¿qué riesgos corre la información de nuestro negocio? ¿qué probabilidad existe de que se materialicen? ¿qué impacto tendrían en la operación? ¿podemos vivir con este riesgo? y si no: ¿qué debemos hacer para mitigarlo?
Roles y responsabilidades. En este proceso se definen los grupos de trabajo y roles específicos para cumplir con las responsabilidades de seguridad de la información. Aquí se responde a la crucial pregunta ¿quién hace qué?, así como a todo aquello que nunca nos hemos atrevido a preguntar: ¿qué me toca? ¿por qué a mi área? ¿quién será el CISO (Chief Information Security Officer)? ¿qué otros roles existen? ¿qué significa ser dueño de la información? ¿qué implica ser custodio de la información?, etc.
Normatividad de seguridad. En este proceso se define el conjunto de políticas, estándares, guías y procedimientos que permiten tener un control de la operación del negocio. La idea es saber cómo debemos cuidar la información, y nos permite también dar respuestas claras a los usuarios cuando preguntan ¿para qué sirve que cambie mi contraseña cada 3 meses? ¿por qué debo bloquear mi máquina cuando abandono mi lugar? ¿qué pasa si comparto mi contraseña aunque sea “por un día”?. Además, la normatividad dictará qué pasa si alguien no se alinea con las políticas.
Tablero de control. El tablero establece y monitorea los indicadores de cumplimiento de los objetivos de seguridad, por ejemplo, el porcentaje de áreas de negocio que han realizado análisis de riesgos de seguridad en el año, el nivel de vulnerabilidad de los sistemas críticos de información, el porcentaje de empleados con responsabilidades de seguridad que ya han recibido un entrenamiento formal en seguridad de la información, la capacidad de respuesta a incidentes, etc. En esta actividad respondemos a la pregunta ¿sabemos que se están haciendo bien las cosas?

Una vez terminado el proceso de definición y desarrollo del MGSI, el cual incluyó los componentes antes mencionados, la segunda fase del proyecto fue llevar a cabo la implementación del MGSI, que involucró la difusión de las políticas de seguridad desarrolladas, el nombrar las nuevas actividades del personal de la institución con base en lo definido en el documento de roles y responsabilidades, haber llevado el análisis de riesgos previo para identificar las área de oportunidad y, al tener estas actividades implementadas, darles seguimiento por medio del tablero de control.

Esta segunda parte del proyecto fue de gran importancia, ya que no sirve de nada desarrollar y definir el MGSI si no se implementa y el personal involucrado no conoce cuáles son sus nuevas funciones y como las van a llevar a cabo. Sin el apoyo de la institución en general no es posible que el MGSI funcione adecuadamente.

Con estas acciones se logró cumplir con el objetivo de implementar un MGSI dentro de esta institución gubernamental, el cual permitió ver la seguridad como una solución global y recurrente.

Beneficios

Gracias a la implementación del MGSI, la institución logró los siguientes beneficios:

Toma de decisiones acertadas en materia de seguridad gracias a la información actualizada de lo que está pasando: los riesgos, los avances, indicadores de seguridad, etc.
Reacción oportuna y ágil ante incidentes de seguridad gracias a la clara definición de roles y responsabilidades, minimizando así los impactos de un ataque.
Mayor conciencia de la gente dentro de la institución acerca de la importancia de la seguridad, evitando fugas de información por ataques de ingeniería social.
Aumento en el grado de confianza de los clientes y asociados de la institución al asegurar que la información se encuentra gobernada por un modelo que permanentemente vigila y mitiga los riesgos.
Disminución de los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.

Conclusión

Sin duda alguna la implementación del Modelo de Gobierno de Seguridad de la Información (MGSI) fue un éxito tanto para Scitum como para esta institución gubernamental, ya que éste se adoptó como una manera de ver la seguridad con un enfoque integral que considerara infraestructura, gente y procesos.

Es evidente que la tecnología ha permitido grandes avances en distintos campos de estudio e investigación, así como en nuestra vida cotidiana, permitiendo la comunicación a cualquier parte del mundo con relativa facilidad y a bajo costo, o el acceso a la información casi de manera instantánea.

En el ámbito de los procesos electorales, el uso de la tecnología se vuelve fundamental. Como ya se ha explorado, una consideración relevante está relacionada con el voto electrónico y los riesgos de seguridad asociados a esta manera de elegir gobernantes. Junto con los beneficios que se obtienen, como la rapidez para contabilizar votos o la accesibilidad a la información, también se identifican desventajas como una mayor propensión a ataques informáticos, al utilizar más sistemas de información.

La importancia de la seguridad de la información en las elecciones

Los países que tienen como propósito la instauración de una auténtica democracia deben alcanzar metas en diferentes ámbitos, como en temas políticos, sociales, económicos o electorales. En este último punto, resulta de vital importancia el desarrollo de procesos de elección que ofrezcan certeza y confianza al electorado sobre los resultados de las votaciones.

Aunque en muchas ocasiones esto se convierte en una tarea compleja, derivada principalmente de los posicionamientos políticos, un factor que puede contribuir a lograr la confianza consiste en desarrollar plataformas tecnológicas seguras, que permitan el cómputo de los votos, de tal forma que no se vean alteradas las preferencias ni la intención del voto de los electores que han ejercido su derecho.

En otras palabras, esto significa que los sistemas, las redes o equipos de cómputo utilizados en los procesos electorales cuenten con los mecanismos de seguridad apropiados y se apliquen prácticas de seguridad, para evitar que personas ajenas al proceso de contabilización de votos y emisión de resultados, puedan llevar a cabo actividades ofensivas, que atenten contra la confidencialidad, integridad o disponibilidad de esta información.

Por ejemplo, recientemente se ha retirado la acreditación de un sistema de voto electrónico por presentar debilidades, como el uso de contraseñas en cuentas de administrador del sistema operativo, que son fácilmente recuperables, o utilizar cifrado WEP en la red inalámbrica con sus debilidades ya conocidas. Sin ir más allá, es probable que condiciones de esta naturaleza puedan ser identificadas en los sistemas de información utilizados para el cómputo de los votos.

Diversidad de motivaciones y de amenazas informáticas

Si algún atacante se lo propone, existe la posibilidad de que pueda acceder a la información o los sistemas utilizados en los procesos electorales, ya que todas las plataformas son susceptibles de tener vulnerabilidades, mismas que pueden ser aprovechadas con fines maliciosos.

Por diferentes motivaciones, como la inconformidad con los resultados, pertenencia a grupos de hacktivismo, ideologías políticas de oposición o un afán por obtener un resultado favorable, algún interesado podría intentar tener acceso a esa información o bien contratar los servicios de personas con falta de ética y el conocimiento técnico necesario para hacerlo, lo que puede derivar en un delito informático, según el país donde se realice.

Por lo tanto, una cantidad importante de amenazas latentes deben estar consideradas durante las jornadas de elección y posterior a ellas, ya que podrían afectar los resultados o boicotear el proceso electoral.

Estas amenazas pueden ir desde denegaciones de servicio (DoS), la explotación de vulnerabilidades en el software utilizado, ataques específicos por código maliciosos, fuga de información, hasta la aplicación de ataques de Ingeniería Social utilizando distintos medios, como spear phishing, entre muchas otras.

La principal tarea: contribuir a la generación de confianza

Por todo lo anterior, la seguridad de la información juega un papel relevante en este tipo de jornadas, en donde su propósito primordial es contribuir a la generación de procesos electorales confiables, que independientemente de los resultados, puedan disipar cualquier duda sobre la manera en la que se contabilizan los votos y se obtienen los resultados.

En estos casos, seguramente existirán inconformidades por las partes no favorecidas con los resultados y se podrán poner en duda los métodos utilizados por los candidatos para ganar las elecciones, lo que se pretende evitar es que se pueda juzgar la manera en la que se conducen los procedimientos de cómputo.

También, diversos conflictos y consecuencias de gravedad pueden derivar de un incidente o incidentes de seguridad asociados a los procesos electorales. Por ejemplo, el votante que ha visto modificada su decisión, el candidato que ha perdido una elección, los partidos políticos que pueden adjudicarse una victoria de manera fraudulenta, un proyecto de gobierno que fracasa por la elección perdida o el daño a la credibilidad e imagen de las instituciones encargadas de organizar los comicios.

En este sentido, cobra mucha importancia la contribución de la seguridad de la información en actividades de esta naturaleza, donde distintas tareas que continuamente son recomendadas en esta materia deberían ser aplicadas para proteger los datos y la infraestructura tecnológica, considerando tres elementos básicos: tecnología, procesos y personas.

Por lo tanto, en la medida en la que la seguridad de la información sea involucrada en los procesos de elección (ya sean con métodos tradicionales o aquéllos que involucren al voto electrónico) esto debería redundar en una mayor transparencia, y por lo tanto en una mayor confianza por parte del electorado a la hora de adoptar nuevas prácticas.

En definitiva, se trata de un importante desafío que los profesionales de la seguridad de la información tienen en este campo: asegurar el proceso electoral con el objetivo de brindar transparencia y confianza para todos los actores de la elección.