Una vez promulgada la nueva Ley Marco de Ciberseguridad, se deberá constituir la Agencia Nacional de Ciberseguridad (ANCI), una nueva institución que, entre otros objetivos, absorberá al CSIRT de Gobierno. Frente a estos cambios, el equipo del CSIRT ya se está preparando para asumir los nuevos desafíos.
“Tanto las personas como la infraestructura son parte fundamental en la ciberseguridad, por eso durante este año hemos trabajando en distintas iniciativas que tienen como fin potenciar y capacitar al equipo del CSIRT y encargados de ciberseguridad del Estado, robustecer nuestra infraestructura y concientizar a la ciudadanía. Y si bien tenemos un proyecto de ley que nos ayudará a impulsar aún más la ciberseguridad en Chile, desde ya estamos implementando mejoras para incrementar nuestro nivel de madurez”, explica Cristian Bravo, director del CSIRT de Gobierno.
Desde el punto de vista de la infraestructura “evaluamos el nivel para identificar nuestras fortalezas, brechas y oportunidades de mejoras. Como consecuencia, ya estamos levantando como 10 o 12 licitaciones distintas en el portal ChileCompra para adquirir más herramientas de gestión, análisis, servidores, los que nos permitirán integrarlos a nuestra infraestructura tecnológica. Gracias a esto, podremos robustecer nuestro equipamiento y entregar una mejor protección y beneficios a las instituciones públicas”, asegura Bravo.
Otra arista muy relevante es la capacitación a los equipos humanos. “Los integrantes del CSIRT nos estamos capacitando constantemente para estar actualizados sobre las nuevas amenazas y adquirir nuevos conocimientos. Así también, realizamos distintas actividades para los encargados de ciberseguridad del Estado, con el objetivo de prepararlos frente a diferentes escenarios”, enfatiza el director del CSIRT.
Algunos ejemplos de esto eventos son:
- Cyberdrill, una actividad que duró cuatro días y que organizó el CSIRT junto con la Unión Internacional de Telecomunicaciones (ITU), Subtel y CSIRT.
- Charlas educativas de ciberseguridad, dirigidas a un público no conocedor de la ciberseguridad y que tuvo una gran audiencia del sector público y una muy buena recepción en cada sesión. La idea fue entregar conocimientos básicos de ciberseguridad, por ejemplo, cómo proteger la vida digital y qué medidas puede tomar una persona para proteger su identidad, compras, etc.
- Charlas técnicas: Se realizaron una serie de presentaciones técnicas en alianza con empresas privadas para los encargados de ciberseguridad de los servicios públicos, por ejemplo, con Google, Mandiant y Microsoft.
Finalmente, otro punto muy relevante es la concientización para la ciudadanía. Desde hace años, cada semana compartimos ciberconsejos en nuestras redes sociales para educar sobre distintos temas a las personas.
¿Estas actividades podrían traducirse en que hay una mejor cultura de ciberseguridad dentro de los organismos del Estado?
“Si bien aún falta mucho por hacer, no cabe duda que todas estas iniciativas ayudan a promover una mejor cultura de ciberseguridad. Tenemos que socializar los temas, acercarlos a las personas y lograr que entiendan que es su seguridad depende de ellos mismos.
Ahora bien, el principal factor que permite predecir la cantidad de brechas de seguridad de una organización depende directamente del número de personas que trabajan ahí. Entonces, independientemente de que uno pueda tener una buena seguridad perimetral, que se adquieran firewalls, IPS, IDS, etc., el factor técnico no dependerá en un 100% si te hackean o no, sino que el vector de riesgo es la cantidad de personas. Es decir, mientras más personas hay, mayor es la posibilidad de que te hackeen. Por lo tanto, probablemente estamos invirtiendo menos de lo que deberíamos en las personas y más en equipamiento.
Por esto, concientizar sobre ciberseguridad apunta a ese factor principal: las personas. Mientras más invirtamos en entender los problemas de las personas, los ayudemos a mejorar sus hábitos de seguridad y su ciber higiene, más fácil será disminuir los incidentes de seguridad en el estado”.
En algunos medios escritos, han señalado que Chile había bajado del ranking mundial de ciberseguridad. ¿Cómo se explica esta situación considerando por ejemplo este mes de octubre lleno de actividades para una mejor cultura de ciberseguridad?
“Gracias por la pregunta, porque es bueno poder aclarar qué ocurre en el caso particular de ese ranking NCSI de Estonia y por qué Chile aparece bajando 10 puestos.
El NCSI es un ranking continuo, es decir, no hay una edición cada año. Esta es una medición en el que cada país puede enviar información en cualquier momento y, dependiendo de esa ésta, se actualizan los datos. Por lo tanto, los países mejoran o empeoran según los cambios que incorporen.
Chile, por su parte, no ha mandado datos desde el año 2020, a diferencia de otros países que sí han actualizado su información. Entonces, al no contar con más antecedentes, bajamos en el ranking y otros suben, pero no significa que nuestra situación haya empeorado. Ahora, obviamente nosotros estamos trabajando para actualizar esta información y el ranking y de la ITU, otro medidor importante en ciberseguridad en el mundo”.
¿Cómo de alguna forma esta alianza con el sector privado y el sector público va generando una cooperación mayor en pos de una mejor ciberseguridad que es lo que todo el mundo quiere?
“De varias maneras. Una de ellas, y la que estamos explorando actualmente, es la capacitación con el apoyo del sector privado, ya que son ellos quienes tienen las herramientas y los productos que necesitamos, y la mejor manera de conocerlos es que vengan sus propios creadores a contar sobe eso.
Otra manera en la que generamos alianzas es a través del intercambio de información de incidentes de seguridad. El sector privado está mucho más cerca del tráfico malicioso que se detecta en las redes, sobre todo porque nosotros vemos una pequeña parte del internet del país, y es la que está relacionada con el Estado. Entonces, lo que queremos promover es la colaboración, en la cual cuando ellos detectan indicadores de compromiso, nos los envían y nosotros somos capaces de tomarlos e informar a los servicios públicos. Y esto mismo hacemos nosotros hacia ellos.
Entonces, para ejecutarlo de forma transparente y de la mejor manera posible, firmamos convenios con empresas privadas, tratando de privilegiar las asociaciones, ya que si tuviéramos que firmar un convenio con cada empresa, nos llenaríamos de convenios y probablemente no seríamos capaces de administrarlo. De todas maneras, estamos abiertos a generar estas alianzas de colaboración con todo tipo de empresa”.
¿Qué se viene para el CSIRT en el corto plazo? Considerando que se viene una nueva Ley Marco.
Como mencioné anteriormente, nos estamos preparando desde las distintas aristas. Para complementar, te puedo adelantar que cuando se promulgue la Ley vamos a tener que irnos a una nueva oficina, porque la Agencia Nacional de Ciberseguridad será un servicio público independiente, entonces físicamente tenemos que salir de la Subsecretaría del Interior y por último, y muy importante, vamos a aumentar el recurso humano, contrataremos a más técnicos y analistas para poder abarcar todas las necesidades y cubrir los mandatos que nos designe la Ley, a quienes además entrenaremos y capacitaremos para integrarse a nuestra entidad.