1. Es un dato cierto que empresas y entidades públicas y privadas han logrado en los últimos años una alta flexibilidad en su funcionamiento derivado del desarrollo de las redes de información, en esencia, por contar con sistemas de almacenamiento y transmisión de documentos, datos y correos electrónicos. Pero esto inevitablemente conlleva la aparición de un nuevo campo abierto a un estado de inseguridad y de mayores riesgos, derivados, por ejemplo, de las posibilidades de pérdida o hurto de información o de los accesos indebidos que se producen a través de redes computacionales a sus servidores y centros de procesamiento de datos.
La hipótesis de trabajo que proponemos desde siempre, es la siguiente: ¿cómo lograr alcanzar estándares óptimos de seguridad o ciberseguridad (confidencialidad[i], integridad[ii], disponibilidad[iii]) y certeza, tanto técnica como jurídica (contractual y legal) en el contexto de los servidores, de los sitios web hoy en modalidad de cloud y/o de los data center físicos (no disponibilizados en servidores de Internet), protegiendo la información en ellos almacenada? La respuesta y la solución idónea sería adoptar medidas preventivamente, de la mano de recoger en una política de seguridad las mejores prácticas de la industria que son las Normas ISO, pero para el sector público, además, el andamiaje de Derecho Público es esencial.
También en el sector público es necesario adoptar las medidas de prevención para evitar incidentes y ataques que, aunque luego castigados, de ser exitosos pueden tener consecuencias administrativas y jurídicas importantes, siempre, bajo el supuesto que la existencia de mecanismos de seguridad de la información (y de ciberseguridad) debe ser vista por las organizaciones con la misma naturalidad y alerta con que se instalan extintores contra incendios o personal de vigilancia contra delitos tradicionales. Ocurre que si no se cuenta con firewalls, equipos y programas que eviten la penetración de programas nocivos o virulentos; si no se realizan certificaciones de seguridad por empresas auditoras externas; si no se resguarda la confidencialidad e integridad de datos y documentos recopilados, procesados, almacenados y transmitidos; y si no se vela por autenticar debidamente a los usuarios que acceden a un sistema, surgirán responsabilidades para los administradores y tenedores de los datos.
2. El ingeniero Miguel Angel DIAZ anota que las ISO 27001/2 sobre Seguridad de la Información, para el sector privado, requieren una firme decisión y el compromiso de la alta dirección para ser implementados, y que rara vez es comprendida su importancia por los directivos y stakeholders. Agrega que salvo imposiciones, se aplican con muy poca frecuencia en el sector privado porque el esfuerzo organizacional es significativo pero la «recompensa» lo justifica con creces, por la cultura que se crea y la mitigación de riesgos[iv]. Para el sector público, agregamos, el hecho o la traba real de que la motivación más clara sólo sería el ser diligentes para evitar posibles sanciones y la traba mayor el no tenerse recursos para pagarse las certificaciones.
3. De cara a Internet hoy se han desarrollado los estándares de ciberseguridad, y de hecho, el nuevo artículo 19 de la ley 19.880 exige para las plataformas del Estado que se cumplan requisitos separados de seguridad y de ciberseguridad. Normativamente, esta se define legalmente por un Decreto N°533 del año 2015, modificado, como «aquella condición caracterizada por (i) un mínimo de riesgos y amenazas a las infraestructuras tecnológicas, (ii) los componentes lógicos de la información y (iii) las interacciones que se verifican en el ciberespacio, como también (iv) el conjunto de políticas y técnicas destinadas a lograr dicha condición». La norma ISO específica es la 27.032, y con ella se pretende garantizar la seguridad en los intercambios de información en Internet para ayudar a combatir el cibercrimen con cooperación y coordinación[v]. A la cita, y aunque existe la ISO 27001 enfocada en gestión específica de seguridad de la información, la Organización Internacional de Normalización decidió crear un principio enfocado en ciberseguridad para darle mayores garantías a las organizaciones[vi].
4. La proyección de las normas ISO 27001, 27002, 27701 y 27032 requieren un marco específico de responsabilidades de Derecho Público, cuando se aplican e implementan en la Administración del Estado. Y el objetivo debe ser proteger los «Activos de Información» de los 14 dominios de seguridad. Este marco de responsabilidades se ha construido de la mano de normas generales que obligan a ser diligentes y de normas especiales que operan en «nichos» particulares, pero que a veces son de difícil construcción.
La ley 19880 en su artículo 19 ha establecido exigencias de seguridad y de ciberseguridad para las plataformas donde se gestionen documentos, expedientes y procedimientos administrativos electrónicos[vii]; la ley 19.628 obliga a ser diligentes a los responsables de bases de datos en el artículo 11; la ley 19.223 sanciona penalmente al responsable de una base de datos de un órgano público que los revele indebidamente, como ha ocurrido en al menos dos casos de gran envergadura; si se opta por migrar a cloud se estableció hacerse en base a un no delineado «principio de seguridad»[viii]; se exige relevar cual es la información crítica de cada servicio; etcétera.
5. El tema admite percepciones y derivadas. Por ejemplo, para estimarse que las bondades de cloud computing o de externalizar archivos y documentos de manera segura a Internet se exige que primero se levante el tema y se defina cuál es la información crítica de cada servicio; que esta si o si debe subirse encriptada no sería transable; y que para ser diligente (LBGAE) debe exigirse nube privada o cerrada y servidores locales[ix].
Del mismo modo, otro ejemplo, sea con o sin transformación digital (antes llamada reingeniería), antes de la ciberseguridad cuando nos proyectamos a Internet y superándose la idea de asegurar la gestión sólo de «documentos electrónicos» como se hizo el 2005, un Decreto Supremo N°83 no fiscalizado debe ser actualizado para la realidad de un completo SGSI o Sistema de Gestión de la Seguridad de la Información, y de partida, para asumir el camino tortuoso de establecer cuál sería la información (data) crítica de cada servicio[x]. Y si se avanza en ámbitos de identidad digital, de domicilios legales electrónicos y de notificaciones vía WEB, mecanismos no robustos al obtenerse on line como demostró serlo la clave única no abonan a la gestión de la seguridad.
6. La cuestión conceptual también se debe despejar. Los que llevan años de trabajo en el sector público, como Carlos GALÁN en España, aluden a la seguridad de la información y en paralelo a la seguridad -más bien certeza- jurídica[xi], porque claro, el sector público se valida y respalda sólo en normas de Derecho Público, porque no se trata simplemente de establecer obligaciones y conceder derechos (contractualmente) en los términos de uso o en las políticas de privacidad de un sitio WEB, si todas ellas no tienen un concreto y expreso fundamento legal y reglamentario. Asociado, la capacitación que hoy en día encuentra apoyos notables en Internet[xii] no se debe traducir en sólo recoger propuestas extranjeras sin customizarlas a la legalidad local[xiii].
7. Sobre cómo asumir el desarrollo de estándares de seguridad hay algo que decirse, si por ejemplo se concreta una posibilidad cierta de una actuación negligente, como sería el caso si los delitos informáticos los comete un funcionario del servicio público y su idoneidad no hubiera sido considerada ni evaluada (v.gr. se contrata un ex hacker procesado judicialmente sin verificar sus antecedentes)-, que causa perjuicio a los ciudadanos que intercambian sus documentos, datos y fondos (cuando se realizan pagos on line) en sistemas de servicios públicos teóricamente seguros. Y claro, esta responsabilidad concreta -que normativamente está construida- va a escalar administrativamente, si oportunamente no se hubiera descartado el destinar los recursos necesarios -considerándolos como una «inversión» y no como un «costo» de operación- para actuar proactiva y preventivamente[xiv]. Porque efectivamente el problema de la seguridad informática continuará evolucionando y no podrá ser totalmente resuelto, ya que el único computador, sistema o servidor de la red Internet seguro será el que esté siempre apagado; pero el conflicto puede ser -y debe serlo- administrado en forma oportuna e idónea.
[i] Información accesible sólo a personas autorizadas.
[ii] Información no modificada sin autorización, ante accidentes o actos maliciosos.
[iii] Sin menoscabos o interrupciones no autorizadas, sin degradaciones en cuanto a accesos y que la información permanezca accesible a usuarios autorizados.
[iv] Véase la URL https://www.linkedin.com/feed/update/urn:li:ugcPost:6696899110097821696?commentUrn=urn%3Ali%3Acomment%3A%28ugcPost%3A6696899110097821696%2C6696929704504545280%29
[v] Véase la URL https://www.riesgoscero.com/blog/iso-27032-el-estandar-enfocado-en-ciberseguridad
[vi] «La ISO 27032 ofrece el uso de buenas prácticas… y brinda herramientas para gestionarla dentro de una organización, permite contar con procesos de protección de operaciones y de las actividades que se realicen en línea, de los softwares que se utilicen, manejo de datos y de servicios y capacitar al personal que va estar a cargo del manejo de estas herramientas».
[vii] Véase la URL https://www.diarioconstitucional.cl/articulos/sobre-la-transformacion-digital-del-procedimiento-administrativo-en-chile-principios-generales/
[viii] Véase la URL https://transparenciaactiva.presidencia.cl/Otros%20Antecedentes/Inst-Pres-N001.pdf
[ix] Rodrigo REVECO ha comentado on line que aparece atractiva la idea de una nube de gobierno, para con ella implementar una estrategia nacional de nube para cierta información del Estado que no revista problemas de críticos de confidencialidad; véase la URL https://www.linkedin.com/posts/activity-6697142127601815552-ayHt
[x] Rodrigo REVECO lo ha calificado de norma exitosa, y claro, si se considera que instaló un grado de sensibilidad sobre el tema es correcto decirlo; véase la URL
https://www.diarioconstitucional.cl/columnistas/311/
[xi] Véase la URL https://www.youtube.com/watch?v=rKMPIA35b4o&feature=youtu.be
[xii] Sobre lo hecho por INCIBE en España, véase por ejemplo la URL https://www.youtube.com/watch?v=9CVj_Fwp71Y&list=PLr5GsywSn9d8pUMODmSqxtJ27fGH6N4Z-&index=2
[xiii] En concreto: «cumplir con los requisitos legales» en materia de seguridad de sistemas apunta a evitar brechas asociadas al incumplimiento de cualquiera norma legal, estatuto, norma reglamentaria o administrativa asociada e inherente a las condiciones, exigencias y requisitos de seguridad, con este norte, para la identificación de la legislación aplicable el estándar de seguridad idóneo apunta a que se reúnan todos los requerimientos estatutarios, regulatorios relevantes y de interés para una organización en general y para un servicio público en especial, los que además deben estar explícitamente definidos y documentados y deben mantenerse actualizados.
[xiv] Es por eso que en materia de «principios de una cultura de seguridad» sobresale el de la «responsabilidad», en cuya virtud todos los participantes son responsables de la seguridad de los sistemas de información y redes; ellos, porque dependen de sistemas de información y redes interconectados de manera local y global deben comprender su responsabilidad en salvaguardar la seguridad de éstos; deben además responder de una manera apropiada a su papel individual; deben revisar sus propias políticas, prácticas, medidas y procedimientos de manera regular y evaluar si éstos son apropiados en relación a su entorno; y especialmente aquellos que desarrollan y diseñan o proveen productos o servicios de seguridad deben distribuir a los usuarios de manera oportuna información apropiada, incluyendo actualizaciones, para que entiendan mejor la funcionalidad de la seguridad de sus productos y servicios y la responsabilidad de ellos en relación a este tema. (Santiago, 24 agosto 2020)