Adiós a la tecno-utopía I Amazon Web Services

Adiós a la tecno-utopía I Amazon Web Services

Autor: Arturo Cabañas, Líder de Seguridad y Cumplimiento para el Sector Público de AWS en América Latina.


A medida que avanzamos en la transformación digital, adoptamos un estilo de vida al que, como individuos y colectivo social, no estamos dispuestos a renunciar. La convicción sobre los beneficios que representa la digitalización también ha iniciado movimientos sociales y políticos que promueven la consideración del acceso a Internet como un derecho humano fundamental. En América Latina este impulso ya se refleja en proyectos de ley y pronunciamiento de varios gobiernos como el de Argentina, Costa Rica, o Chile. En el caso chileno cabe destacar que se propone su inclusión en la nueva Constitución del país.

A nivel global, la resolución aprobada por la Asamblea General de las Naciones Unidas en septiembre de 2020, entre otros asuntos, aborda este tema de la siguiente manera: 

"Las tecnologías digitales han transformado profundamente la sociedad y generan oportunidades sin precedentes y nuevos desafíos. Cuando se utilizan de manera impropia o maliciosa, pueden fomentar las divisiones dentro de los países y entre ellos, aumentar la inseguridad, socavar los derechos humanos y exacerbar la desigualdad. Forjar una concepción común de la cooperación y un futuro digitales que muestre todas las posibilidades que ofrece el uso beneficioso de la tecnología, y abordar las cuestiones de confianza y seguridad digitales, debe seguir siendo una prioridad, pues nuestro mundo depende hoy más que nunca de las herramientas digitales para mantener la conectividad y la prosperidad socioeconómica."


El lenguaje utilizado por la Asamblea General de las Naciones Unidas nos deja claro que si bien no tenemos dudas sobre los beneficios que brinda la digitalización, cada vez nos alejamos más de la visión tecno-utópica y nos acercamos más al tecno-pragmatismo, donde la realidad se impone. El reto de la seguridad digital es sin duda uno global y en esa dimensión se desarrollan esfuerzos, como el citado, en múltiples escenarios, tanto de nivel nacional como internacional. Sin embargo, para lograr efectividad, estos esfuerzos requieren de un acompañamiento y compromiso con la seguridad digital a todos los niveles.

El ecosistema básico que define la experiencia digital a nivel local incluye múltiples actores, destacando a cada usuario de los servicios digitales, cada empresa, el sector académico en todos sus niveles, la sociedad civil organizada, y el sector público. Para cada caso propongo algunas preguntas:

  1. Como usuario: ¿tomo alguna precaución al utilizar servicios digitales?, ¿cuestiono y verifico el origen y veracidad de los mensajes que recibo?, ¿cambio mis contraseñas periódicamente?; ¿mantengo actualizado el software de mis dispositivos electrónicos?, ¿creo todo lo que veo y leo en Internet, particularmente en las redes sociales?, ¿me informo sobre oportunidades para aprender y actualizarme en materia de seguridad digital?
  2. Como empresa: ¿soy consciente de las implicaciones económicas y potencialmente legales que tendría para mi negocio un ataque cibernético?, ¿cuento con algún nivel de preparación, como implementación de políticas y buenas prácticas sobre la ciberseguridad?, ¿soy consciente de mi responsabilidad como custodio de los datos personales de mis empleados y clientes?, ¿he hablado con mi equipo sobre temas de seguridad digital y su impacto en la continuidad del negocio y reputación de la empresa?, ¿cuento con algún tipo de apoyo profesional para atender mis necesidades de seguridad digital?
  3. En el sector académico: ¿estamos conscientes de nuestra tarea?, ¿estamos tomando medidas en la ciberseguridad de nuestras operaciones digitalizadas como el registro de alumnos, o la gestión de las plataformas de aprendizaje en línea?, ¿estamos contribuyendo a la formación de una cultura de ciberseguridad en nuestros alumnos, educadores y comunidad?, ¿estamos contribuyendo a la formación de nuevos especialistas en ciberseguridad y atendiendo el déficit de profesionales en este campo?
  4. En la sociedad civil organizada: ¿estamos tomando medidas de ciberseguridad en nuestras actividades y servicios?, ¿estamos contribuyendo a crear y promover programas de concientización de cultura digital y ciberseguridad?, ¿somos conscientes de los riesgos que implican las redes sociales y técnicas de desinformación?
  5. Como gobierno local, regional o nacional: ¿entendemos el papel que nos corresponde en la promoción de la ciberseguridad al nivel de nuestras instituciones, tanto internamente como en la dimensión de servicio a los ciudadanos?, ¿promovemos la cultura de seguridad digital y el cumplimiento de la regulación en nuestra jurisdicción?, ¿tenemos responsabilidad sobre infraestructuras críticas y entendemos sus implicaciones?



Como nos indican los estudios y las noticias que seguimos diariamente, los ciberataques siguen en aumento y la pregunta que nos planteamos en la actualidad no es sobre la posibilidad de ser víctima de los cibercriminales, sino, ¿cuándo experimentaremos uno de estos ataques? Las preguntas que les acabo de sugerir no son una guía o desarrollo exhaustivo, solo tienen el objetivo de alertar sobre cuestiones fundamentales e invitar a la acción, para que estemos alertas y mejor preparados. En adición, hay varios conceptos claves que nos pueden ayudar en este proceso de auto disciplinarnos:

  1. Zero Trust o Confianza Cero: confianza cero sigue la máxima: "nunca confíe, siempre verifique", lo que significa que no se debe confiar en los dispositivos de manera predeterminada. Aunque técnicamente puede ser un ejercicio sofisticado, en términos generales puede ser adoptada como una actitud permanente. Se trata de asumir una postura basada en gestión de riesgos, aplicada a nuestra rutina diaria.
  2. Seguridad por diseño: se refiere principalmente a los desarrolladores de software y de dispositivos digitales. Es una filosofía o enfoque que pretende incorporar la seguridad en cada etapa del proceso de desarrollo de un producto. Es un cambio de norma importante, ya que, por años, y lamentablemente todavía, algunos equipos técnicos (principalmente en desarrollos no-comerciales), ceden ante la presión por fechas de entrega y relegan la atención a los aspectos de seguridad para una etapa posterior, que en ocasiones nunca llega. Sin embargo, y como filosofía, puede extenderse de manera a todo desarrollo digital y actividad que implique utilización de plataformas digitales como pueden ser las campañas de movilización social que organiza la sociedad civil, o cuando nos registramos para un nuevo servicio y definimos preferencias y aspectos de la seguridad de nuestro perfil de usuario.
  3. Seguridad por defecto: también alude principalmente a los desarrolladores y fabricantes de software y otros productos tecnológicos. Se trata de asegurar que los productos se preconfiguran para obtener la máxima seguridad al salir de la fábrica. Una configuración de fábrica segura por defecto ofrece la máxima protección de ciberseguridad que incorpora el producto desde el primer día de la instalación, lo que es un excelente punto de inicio. Sin embargo, en el proceso de parametrización final, tanto en empresas, instituciones o en los hogares, corremos el riesgo de reducir la seguridad de forma innecesaria, en muchas ocasiones por falta de conocimiento. El crecimiento en la adopción de dispositivos muy populares como son las videocámaras con acceso remoto o controles para apagar o encender las luces del hogar remotamente, así como por la dispersión de dispositivos conectados en todos los espacios, está agudizando esta situación.
  4. Seguridad como responsabilidad compartida: se trata de conocer mi parte de responsabilidad en los sistemas digitales, ya que generalmente es compartida con otros interlocutores del ecosistema. En la actualidad hay muchos ejemplos, pero quizás los más representativos son los de la seguridad en el uso de servicios en la nube, y la gestión de dispositivos de los empleados en una organización (BYOD – "bring-you-own-device"). Específicamente, en el caso de los servicios de nube es fundamental para el cliente de estos servicios entender la diferencia entre el potencial de seguridad que ofrece la nube y que como usuarios somos responsables por configurar apropiadamente los mecanismos de seguridad que la nube pone a nuestra disposición. Asumir que el proveedor de servicios de nube es el único garante por la seguridad de mi operación es un error bastante común, en donde ambos tienen parte de la responsabilidad. Igualmente, en el caso del uso de dispositivos móviles personales para acceder a las herramientas empresariales, el cumplimiento de las políticas de seguridad de la empresa se hace extensivo al dispositivo personal y tanto el empleado como la empresa deben cuidar por su cumplimiento.
  5. Cumplimiento de la seguridad: las leyes, reglamentos y directrices deben ser respetadas y aplicadas. Estas son máximas necesarias en el mundo analógico y digital. Podemos tener los mejores planes y la mejor legislación para la ciberseguridad, pero es fundamental que todos y cada una de las partes involucradas, velen por su cumplimiento.



Aunque aún podemos inspirarnos por la tecno-utopía que nos inclina a pensar que con la tecnología resolveremos todos los problemas de la humanidad, también debemos entender que grandes sueños y aspiraciones requerirán algún tipo de esfuerzo. En este momento, el éxito en nuestras aspiraciones por una vida digital segura, en el preámbulo de un nuevo derecho de la humanidad, necesitamos pragmatismo y esfuerzos personales e institucionales. No podemos esperar más para actuar, la responsabilidad es compartida por todos y todas, y requiere cumplimento.


No hay comentarios.

Imágenes del tema de enot-poloskun. Con tecnología de Blogger.