La revista Information Technology entrevistó, entre otros especialistas, a Iván Arce, director del Programa Seguridad en TIC de la Fundación Sadosky. A continuación la nota.
Plan de Protección
El espionaje no es algo nuevo. La diferencia es que antes tenían alguien que buscaba la información, mientras que ahora estamos dejando la información en la nube, junto con un montón de datos adicionales, que es la metadata. Los servicios en la nube son una opción más barata y hasta gratis, pero tienen otras condiciones legales y otra jurisdicción”, decía Pedro Janices, director nacional de la Oficina Nacional de Tecnologías de la Información (ONTI, organismo dependiente de la Jefatura de Gabinete de Ministros de la Nación) en la conferencia “Seguridad de la Información en Organismos Públicos”, realizada en octubre pasado en la sede de la Sindicatura General de la Nación (SIGEN).
Janices también es el responsable del Programa Nacional de Protección de Infraestructuras Críticas de Información y Ciberseguridad (ICIC), creado a mediados de 2011 “con el ánimo de empezar a ocuparse oficialmente de los temas de ciberseguridad. Antes había algún que otro intento esporádico pero no había una política nacional ni alguien que tuviera una visión general, por encima de los organismos públicos. El ICIC debe establecer procesos, lineamientos en los que hace a infraestructuras críticas y ciberseguridad. No hacemos auditoría porque para eso está la SIGE. Nosotros lo que queremos es que haya menos ataques, que haya buenas respuestas y poder identificarlos antes. Y capacitar a muchos de los técnicos de organismos públicos, que son responsables de infraestructura y terminan comprando una caja que les vende un proveedor”, sostiene el funcionario.
En la ONTI, el programa ICIC venía desarrollándose con un bajo perfil y aseguran que el caso Snowden hizo que se les prestase un poco más de atención. El escándalo desatado por las revelaciones en torno al espionaje de la Agencia Nacional de Seguridad (NSA) estadounidense no pasó desapercibido en el organismo –sumado a que la Argentina habría sido el país más espiado de América Latina después de Brasil-, ya que tiene estrechos lazos de capacitación y colaboración con sus pares estadounidenses.
“Hemos colaborado mucho con el NIST (el Instituto Nacional de Estándares y Tecnología), como por ejemplo en biometría. De golpe, hoy se está dudando de las recomendaciones criptográficas que hicieron, no hay ninguna garantía”, dice Arturo “Buanzo” Busleiman, consultor en Seguridad e Infraestructuras Críticas de la ONTI. Y sostiene: “La única forma de resolver ese dilema, porque no se puede dejar de colaborar con otros países, es haciendo auditorías, metiéndose en el código y evitando el software cerrado. La opción es software libre y no por un tema filosófico en este caso. En el Estado, donde la criticidad del software que se ejecutas en las computadoras es alta, es importante que el código se pueda leer y modificar”.
Reducir las amenazas
Según Janices, la creación del ICIC “no es para prevenir incidentes, porque éstos van a suceder de todas formas. Por vulnerabilidades desconocidas, por ataques de hacktivistas, por impericias y por intereses económicos. Pero el objetivo es reducir la cantidad de amenazas, poder identificarlas y que los responsables de seguridad estén preparados para actuar”.
El ICIC se divide en cuatro grupos de trabajo: uno dedicado a infraestructuras críticas, otro para el análisis de plataformas informáticas, el de respuesta a incidentes (el ArCERT, el equipo que actúa frente a emergencias informáticas) y el de Internet Sano, orientado a la educación y concientización en el acceso a la Web.
El objetivo del primero es la identificación, relevamiento y análisis de las infraestructuras críticas de información de la Argentina: telecomunicaciones, energía, petróleo, gas y servicios financieros, principalmente. “Si no tengo energía y comunicaciones, hoy eso es un problema. Desde esa perspectiva, tenemos que monitorear quién la produce, quién la transporta y quién la entrega. Y estar atentos a situaciones que pueden generar un problema que puede significar no tener luz, no tener cajeros, no tener semáforos o agua potable. Entonces, debemos tener un plan de contingencia”, explica Janices. Sin embargo, por el momento no disponen de una herramienta informática que realice un monitoreo centralizado y en tiempo real de la infraestructura crítica.
Desde el programa se buscó también que los organismos estatales puedan cumplir con ciertos requisitos básicos de seguridad. Según Busleiman –que actualmente está finalizando el desarrollo de un sistema de mensajería instantánea seguro en Phyton 3.0 con una implementación de TLS y Open PGP-, “planteamos una agenda digital con SPF (Sender Policy Framework) para evitar la falsificación de dominios de correo. Pasamos de que nadie lo tuviera implementado a que más del 40 por ciento del sector público nacional lo tenga. Pedimos que tuviesen TLS y SSL implementado, además de DNS Sec, es decir, firmar digitalmente las zonas DNS para verificar las respuestas”.
El análisis de las plataformas informáticas a cargo del ICIC consta de una verificación de procesos e infraestructura expuesta a Internet. “Tomamos, por ejemplo, 120 sitios y empezamos a ver qué tienen expuesto. Es un hackeo ético. Somos el único organismo que tiene esa facultad de hacer prevención. En el caso de que se quiera hacer algo más exhaustivo, tenemos la opción de la adhesión del organismo al programa, lo que nos permite coordinar un ataque simulado y ofrecer un servicio de consultoría”, detalla el titular de la ONTI.
Los incidentes de seguridad en el ámbito estatal se mantienen en alza, afirman en el organismo dependiente de Jefatura de Gabinete. Una época de particular intensidad es la de los meses de diciembre, enero y febrero, que no casualmente coincide con la época de vacaciones, cuando no están presentes los administradores de los sitios de organismos públicos.
Pocos recursos
El ICIC consta de solamente nueve personas para cumplir con su objetivo. “Tenemos pocos recursos y debemos optimizarlos. Es muy difícil conseguir gente en el sector público. Pero ni hay una medida única, Canadá tiene 12 personas en un área similar a la nuestra, aunque Estados Unidos tiene miles y Brasil tiene como 150 CERTs”, dice Janices.
Iván Arce, director del Programa de Seguridad en TIC de la Fundación Sadosky y ex CTO de Core Security Technologies, considera que lo que falta en Argentina es mayor investigación y desarrollo en seguridad, que es lo que intenta impulsar a partir de su nuevo rol en el sector público. “El 99 por ciento de los proveedores no son de la Argentina y aunque alguien se tome muy en serio este tema y quiera implementar mecanismos de seguridad, va a terminar implementando tecnología sobre la que no tiene ningún control y confianza. Por eso es necesario tener una política que desarrolle tecnología propia y que exista un sector productivo que tenga capacidad y proyección global”, sostiene.
Desde la Fundación Sadosky, Arce lidera una serie de proyectos relacionados con la seguridad informática. Uno de ellos, en colaboración con la Universidad Tecnológica Nacional Regional Santa Fe, está orientado a mejorar la seguridad en la instancia de desarrollo de software. Otra de las iniciativas está orientada al desarrollo de software de seguridad para dispositivos móviles.
“Hay una tendencia, que viene principalmente de Estados Unidos y que circunscribe la problemática de seguridad informática a un ámbito de defensa. Pero es un error, porque es algo totalmente multidisciplinario. No digo que el Ministerio de Defensa no debería estar involucrado, pero hay muchas aristas de esta problemática que exceden ese ámbito”, sostiene Arce, quien sorprende al afirmar que no tiene ningún tipo de contacto con el programa ICIC de la ONTI.
El Ministerio de Defensa, en tanto –con el que Information Technology intentó comunicarse para conocer su estrategia de ciberseguridad pero no obtuvo respuesta. Participa de las reuniones que Janices está organizando a través del ICIC con un conjunto de más de 20 organismos estatales para la definición de una estrategia nacional de ciberseguridad e infraestructuras críticas. “Si bien la podríamos sacar nosotros solos, pensamos que era mejor convocar a cada uno de los actores para elaborar un documento con una serie de propuestas y medidas de corto, mediano y largo plazo”, expresa Janices, quien también se lamenta de no tener intercambio con Arsat, lo que pone de manifiesto que las iniciativas de ciberseguridad todavía no están del todo coordinadas en la Argentina.
Janices asegura que con la puesta en funcionamiento del ICIC lograron pasar de una postura pasiva a una proactiva. “Antes solamente teníamos el ArCERT y era como un bombero que esperaba que las cosas sucedieran”, dice. Sin embargo, cree que para lograr su tarea no alcanzará con un documento que contenga una serie de recomendaciones. “En la Argentina necesitamos el compromiso de la clase política y que haya un marco normativo para proteger las infraestructuras críticas”, concluye.