Diego González, coordinador del Capítulo de Ciberseguridad de CAMTIC
25 abril, 2023

Existen muchas reflexiones que podemos comentar sobre lo que aprendimos a ya casi un año de los ciberataques ejecutados sobre plataformas y servicios críticos de diferentes ministerios en Costa Rica, sobre lo que aún sigue siendo un reto y lo que definitivamente nos falta por hacer en cuanto a acciones puntuales en materia de ciberseguridad.

Siguiendo entonces la buena técnica de armar un buen sándwich, empecemos este resumen con lo bueno, con los logros y aspectos por destacar:

A diferencia de años anteriores donde varios protagonistas, en diferentes momentos, intentamos concientizar sobre los cuidados a tener en cuenta para no ser víctima de phishing, ransomware y otras amenazas cibernéticas, no hay mejor oportunidad para ello que cuando se tiene de frente al problema. Como dice el refrán, “no es lo mismo verla venir, que bailar con ella”, y bueno, esto fue lo que pasó.

En consecuencia de la afectación real de estos incidentes, la Comunidad Internacional, el Gobierno, los ministerios e instituciones públicas, se mostraron abiertos y dispuestos a la ayuda, y en definitivo a la reacción, aunque tarde ya, pero con conciencia de que en verdad era necesario “ponerse las pilas” porque la cosa sí era de verdad.

El hecho es que el problema no sólo se quedó en el entorno digital, sino que se derivaron consecuencias que afectaron seriamente el comercio, la economía en general o por ende la imagen y estabilidad país, la salud y hasta la vida misma de los ciudadanos. Y es que las afectaciones no fueron menores, por mencionar algunos recuerdos como la paralización de los sistemas del ministerio de Hacienda para la importación y exportación y por ende la reducción significativa de poder nacionalizar o enviar hacia el extranjero materias primas. Fue realmente un caos, aparte de pausarse también los mecanismos de recolección de impuestos.

Varias fuentes estiman que dicho caos le produjo al país una pérdida aproximada de dos billones de dólares, ¡increíble! También recordamos las dificultades que tuvieron muchos ciudadanos, personas mayores en su mayoría, al suspenderse sus citas y controles médicos por no haber acceso a sus expedientes. Afortunadamente no se conoce que alguien perdiera la vida por dicho suceso, pero se podría haber llegado a ese triste extremo en otras circunstancias.

Para mencionar algo positivo, todos estos acontecimientos cambiaron la perspectiva del sector privado, el cual ha estado desde entonces mucho más interesado en informarse sobre los riesgos y amenazas y entender mejor cómo proteger sus empresas y adoptar mejores prácticas de seguridad cibernética.

Continuando con nuestra preparación del sándwich, seguimos con otro buen ingrediente, y es el avance que tuvo el país en cuanto a materia jurídica desde el ámbito legislativo, con la propuesta del proyecto de ley en ciberseguridad, expediente N.º 23.292, además de la propuesta del de proyecto de ley sobre protección datos, expediente N.º 23.097, los cuales en este momento se encuentran en consulta y validación en la Asamblea Legislativa.

Otro aspecto a rescatar del sector público fue la maravillosa sinergia desarrollada entre algunos funcionarios de diferentes ministerios a la hora de analizar y abordar algunos incidentes en específico, problemáticas emergentes o bien dar seguimiento al progreso que cada uno tenía de su lado sobre esfuerzos relacionados a la ciberseguridad. Y como dijo nuestro Señor Jesús, “Dad al César lo que es del César…”, no quisiera dejar de mencionar a una mujer, quien es la autora de dicha iniciativa e gestora también de muchísimos esfuerzos como lo fue la actualización de la Estrategia Nacional de Ciberseguridad, que también se llevó a cabo en medio de la emergencia nacional del año pasado, Paula Brenes, exdirectora de Gobernanza Digital del MICITT, la cual con mucho coraje asumió una tarea difícil en un momento turbulento, pero con determinación logró entretejer con estrategia muchos hilos complejos y liderar así esfuerzos en ese tan complejo y vasto universo.

Es momento de mencionar algunos puntos de mejora, o sea, estaríamos preparando el centro de nuestro sándwich, y es que la experiencia y el año transcurrido nos dejaron valiosas lecciones aprendidas en el accionar de muchos y el resultado a corto plazo de diversas iniciativas, las cuales podemos analizar ahora.

Es definitivo que el liderazgo de proyectos, esfuerzos, controles y gestión de la ciberseguridad a nivel país no puede depender de puestos políticos que hoy están y mañana no sabemos, de esta manera no se podría desarrollar ni ejecutar con continuidad y estabilidad ningún plan. Tener un elemento orquestador con criterio y autonomía es indispensable. Esto lo afirma precisamente el actual proyecto de ley de ciberseguridad que está en el plenario, con la propuesta de creación de una Agencia Nacional de Ciberseguridad, por lo que esperemos pueda aprobarse para tener finalmente en el país un ente director con capacidades y recursos suficientes para todo lo que hay que hacer.

Otro punto por mejorar, tanto para el sector público como también el sector el privado, es emplear un correcto abordaje a la hora de comprar productos y soluciones, para que estos realmente se ajusten a las necesidades, perfil, presupuesto y, en fin, muchos otros aspectos técnicos y estratégicos de la organización, y por supuesto, que se logre el gran objetivo de protección ante las amenazas cibernéticas.

Es importante que todo esto sea fundamentado, analizado y ejecutado bajo un criterio experto por parte de la empresa o institución, y por favor no solamente en los criterios comerciales de los fabricantes o vendedores. Está comprobado que es un gravísimo error comprar cualquier solución sin previo análisis o peor aún, sin tener claro una estrategia y plan de inversión en materia cibernética. Por todo esto, es estrictamente recomendable contratar empresas especializadas en la materia que nos brinden dicha asesoría, e inclusive nos puedan guiar a la hora de analizar las innumerables soluciones tecnológicas que nos ofrece el mercado. Esto porque es muy difícil, al no ser experto, analizar si realmente lo que nos venden lo vamos a utilizar o subutilizar, si de verdad es la solución que se ajusta al perfil y requerimientos de la empresa, si tenemos el grado de madurez para implementar esa tecnología, y por qué no, conocer también qué otras soluciones de otros proveedores se podrían tener, o sea, tener un benchmark de mercado, y no quedarnos sólo con la primera opción.

En inglés hay una frase que me encanta y traducirla es un poco complicado, pero ilustra muy bien lo que quiero explicar a continuación: Because is not the same to do the things right, than, to do the right things. Ahora en español y con mi explicación parafraseando: “Porque no es lo mismo, hacer las cosas, cualquiera que estas sean, bien hechas, que, hacer las cosas correctas, bien hechas”. Y es que, si hacemos sólo las cosas bien, cuando no sabemos o estamos seguros si estamos en lo correcto, por ende, el resultado podría estar mal, y para traducirlo mejor, hablamos de pérdidas monetarias en las inversiones que se hacen, malas ejecuciones de proyectos, pérdida de recursos valiosos de las empresas y personas, atrasos en las entregas, multas, demandas, y en fin, un fin del camino no muy motivador.

Está en nuestras manos el hacer que esta triste tendencia de fracasos y esquema vicioso tenga un verdadero cambio, para que por fin podamos transformarnos en la referencia tecnológica que siempre hemos procurado ser.

Bien, llegó la hora de terminar de preparar nuestro sándwich. Durante todo este año que pasó se han realizado innumerables eventos y capacitaciones en materia de ciberseguridad en todo el país, con temas desde la concientización, reconocimiento de los riesgos, soluciones y productos de protección, programas de formación, iniciativas público-privadas, programas internacionales de cooperación, marcos normativos, regulaciones y estándares de la industria de ciberseguridad, y hasta sobre pólizas de seguro cibernético.

Estos involucraron a toda la población, desde ciudadanos, estudiantes, profesionales, colaboradores privados, servidores públicos, empresarios, emprendedores, directores, gerentes, supervisores, ministros, asesores, diputados, y en fin, a todo nivel y en muchos sectores de la sociedad e industria. Aún falta más, lo cual nos queda de tarea para este año. Quisiera abrir paréntesis y destacar los valiosos esfuerzos de los grandes profesionales que organizaron y participaron en dichos eventos, de verdad son verdaderos patriotas que construyen este país todos los días, cierro paréntesis. Ahora, todo ese conocimiento e información realmente nos agrega valor y nos posiciona mejor como país, porque primero, nos hace menos ignorantes, y segundo, aumenta nuestro indicador de cultura en ciberseguridad, lo cual por supuesto es un buen incentivo para inversionistas y empresas de tecnología que quieran venir a hacer negocios.

Finalmente, al parecer, se vislumbra que podríamos tener cacao para hacernos un buen chocolate y acompañar nuestro sándwich. Y me refiero a algunas verdaderas ayudas económicas provenientes del exterior que podrían eventualmente materializar y dar forma tangible a muchas buenas ideas e iniciativas que actualmente tenemos en diseño, porque sin recursos, sería simplemente imposible llevarlas a cabo, o como diríamos aquí, “sin cacao, no hay chocolate”.

Sigamos pues construyendo a Costa Rica, sigamos impulsando las buenas prácticas y todo lo que aún nos falta por hacer, seamos mejores que ayer, ¡Dios nos ayude!, porque realmente sí tenemos el potencial: para ser esa referencia regional, para de verdad, hacer las buenas y correctas cosas, bien hechas, para exportar más servicios y productos de tecnología, para atraer más empresas que den buena empleabilidad, para tener un país más seguro y un futuro más estable. Sigamos adelante en este gran reto.

Escuche acá un podcast sobre este tema.

Los contenidos publicados expresan la opinión del autor y autora, y no necesariamente la visión de la Fundación Konrad Adenauer.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Recientes

Buscar

Search