En esta nota se analizan los principales aspectos sobre política de seguridad digital que han surgido durante la crisis de COVID-19, con base en las contribuciones que las delegaciones participantes en el Grupo de Trabajo de la OCDE sobre Seguridad en la Economía Digital (SDE, por sus siglas en inglés) hicieron al iniciarse el pico de la crisis. Esta nota contiene lecciones para organizaciones y formuladores de política pública que muestran claramente la urgente necesidad de: 1) emprender un trabajo continuo por parte de las organizaciones públicas y privadas para gestionar el riesgo de seguridad digital durante las crisis al poner en marcha procesos flexibles y ágiles; 2) emprender iniciativas importantes para fortalecer la seguridad digital en el sector de la salud y para las empresas pequeñas, y 3) alimentar de manera constante un ecosistema de seguridad digital de múltiples actores, para propiciar el intercambio de información en circunstancias excepcionales. Se recomienda leer esta nota en conjunto con la nota sobre política Manejo del riesgo de seguridad digital durante la crisis de COVID-19), publicada en abril de 2020, en la que se analizó cómo los actores de riesgo se habían adaptado a la crisis, las respuestas de los gobiernos, y las recomendaciones para los gobiernos y el público en general.
Siete lecciones aprendidas sobre seguridad digital durante la crisis de COVID-19
Abstract
Mensajes clave
Es importante que las organizaciones públicas y privadas estén preparadas para las crisis, y sigan procesos de gestión del riesgo de seguridad digital (por ejemplo, evaluación de riesgos, tratamiento de riesgos y planes de continuidad) que sean lo suficientemente flexibles para adaptarse a situaciones críticas. En circunstancias excepcionales, estos procesos podrían acelerarse, pero no deberán ignorarse del todo.
Los formuladores de políticas necesitan con urgencia afrontar la deficiente gestión del riesgo de seguridad digital en el sector de atención de la salud y por parte de las pequeñas y medianas empresas (pymes), dos retos fundamentales preexistentes que ahora resultan más evidentes debido a la crisis de COVID-19.
La cooperación y el intercambio de información entre organizaciones, grupos de interesados y fronteras son esenciales para mitigar el riesgo de seguridad digital, en particular durante una crisis. Los gobiernos pueden contribuir de manera fundamental a facilitar dicha cooperación, sobre todo al apoyar, reunir o alentar alianzas sostenibles de múltiples actores basadas en la confianza.
Gestionar el riesgo de seguridad digital durante una crisis requiere preparación, flexibilidad y destreza
Para las organizaciones
Lección 1 – El riesgo de seguridad digital aumenta durante una crisis debido a que las organizaciones son más vulnerables a los ataques.
El COVID-19 puso de manifiesto la crucial importancia de las tecnologías digitales para la continuidad empresarial. Al desatarse la crisis, trayendo consigo medidas de confinamiento y cierre de oficinas, las empresas se vieron forzadas a realizar actividades en línea para seguir operando. La dependencia digital de las organizaciones, que ya era alta entonces, se elevó a niveles excepcionales a medida que la tecnología digital se convirtió en la plataforma para la continuidad empresarial.
En consecuencia, la mayoría de los ecosistemas digitales de las organizaciones se sometieron a un alto nivel de estrés. El liderazgo de las organizaciones tuvo que tomar con gran rapidez decisiones vitales sobre cómo utilizar las tecnologías digitales durante la crisis. La infraestructura digital tuvo que ampliarse aceleradamente para ajustarse a las circunstancias excepcionales. Hubo disminución de la fuerza laboral (por ejemplo, de empleados dedicados a cuidar a los niños en los hogares) y a menudo esta no estaba capacitada para operar con eficacia en el nuevo entorno digital. Muchos procesos existentes perdieron relevancia y resultaron disfuncionales, hasta ser adaptados a las nuevas formas de trabajar.
Las alteraciones causadas por una crisis crean oportunidades que actores maliciosos aprovechan para sus fines, entre otros, robar dinero, secretos comerciales y datos personales. Por ejemplo, desde el punto de vista de un atacante, un hospital cuyo sistema de información se ve paralizado por un ataque de ransomware es más propenso a pagar un rescate cuando está presionado por una emergencia de salud de enormes proporciones. Las pymes que luchan por sobrevivir con relativamente pocos empleados que dominen las tecnologías de la información (TI) en un entorno digital más expuesto, tienen más probabilidades de omitir o retrasar los procesos de aplicación de parches, lo cual deja a sus servidores en posición vulnerable a la intrusión. Asimismo, es más probable que los empleados hagan clic en archivos adjuntos maliciosos o en enlaces en correos electrónicos con supuesta “información importante sobre el COVID-19”.
Lección 2 – Durante una crisis, las organizaciones deberán continuar gestionando de manera responsable y no descuidar el riesgo de seguridad digital.
Durante una crisis es preciso mantener buenas prácticas de gestión del riesgo de seguridad digital.
Sin embargo, las organizaciones pueden caer en dos grandes trampas en una crisis: seguir planes o marcos de acción diseñados para “épocas normales”, los cuales son demasiado rígidos y no se adaptan a la crisis actual, o ignorar por completo los procesos de gestión del riesgo de seguridad digital debido a circunstancias excepcionales y a la necesidad de tomar decisiones con rapidez.
La pandemia de COVID-19 reveló cuán difícil puede ser seguir procesos de seguridad digital durante una crisis, en especial cuando la naturaleza de esta ejerce una gran presión sobre el ecosistema digital, incluidos infraestructura, personas y procesos. Por ejemplo, en un muy corto periodo, muchas organizaciones públicas y privadas cambiaron rápidamente a equipos de trabajo completos de las instalaciones corporativas hacia entornos virtuales, lo cual facilita el uso corporativo de los dispositivos de cómputo personales, y adoptar nuevas herramientas de acceso remoto y teleconferencias prácticamente de la noche a la mañana. En algunos países, el gobierno aceleró el desarrollo y el uso de los servicios de “gobierno electrónico” para facilitar la continuidad de los servicios públicos (por ejemplo, el pago de impuestos o la obtención de documentos administrativos) en el contexto de implantación de medidas sanitarias estrictas (por ejemplo, confinamiento, distanciamiento social).
Bajo tales circunstancias, puede ser tentador pasar por alto los procesos de evaluación y de tratamiento de riesgos, con el fin de asegurar prontamente la continuidad empresarial. Sin embargo, la rápida implementación de una infraestructura digital nueva o temporal, y la adopción de nuevos procesos sobre la marcha podrían crear vínculos débiles que los actores maliciosos continuamente buscan explotar. Un exitoso ataque a la seguridad digital durante una crisis podría generar graves consecuencias para la organización, por interrumpir la continuidad empresarial, exponerla a una violación de datos masiva que dañe su reputación, o filtrar sus secretos comerciales y de innovaciones, perjudicando su competitividad.
A los encargados de tomar decisiones empresariales (y no técnicas) deberá corresponder la responsabilidad de determinar qué hacer respecto al riesgo de seguridad digital (es decir, reducirlo, aceptarlo, evitarlo o transferirlo). Evitar los procedimientos de gestión del riesgo de seguridad digital es incompatible con la toma de decisión responsable. Incluso bajo circunstancias excepcionales, las empresas y otras organizaciones, incluidos los gobiernos, necesitan gestionar el riesgo de seguridad digital de manera responsable para prevenir efectos contraproducentes en el corto, el mediano y el largo plazo.
Lección 3 – Las circunstancias excepcionales exigen procesos de seguridad digital ágiles que faciliten la continuidad empresarial.
No obstante, la seguridad digital debe sustentar los objetivos empresariales y no entorpecerlos mediante rígidos procesos burocráticos. Las circunstancias excepcionales exigen más celeridad de la usual para la rápida puesta en marcha de nuevas soluciones, eficaces y confiables a la vez.
Por tanto, los procesos de gestión del riesgo de seguridad digital deberán ser flexibles para ajustarse a necesidades empresariales excepcionales sin sacrificar las buenas prácticas de seguridad. Durante la crisis, los responsables de tomar decisiones deberán agilizar los procesos de evaluación y tratamiento del riesgo de seguridad digital, para facilitar un cambio rápido a soluciones digitales urgentes que garanticen la continuidad empresarial. Ello requiere una relación eficaz, de confianza y sin contratiempos entre los responsables de tomar decisiones empresariales y los técnicos expertos en seguridad, lo cual facilitará la toma de decisiones sobre gestión del riesgo de seguridad digital con base empresarial. Para adaptarse a una mayor variedad de situaciones, las organizaciones podrían, por ejemplo, ajustar la complejidad y la profundidad de sus procesos de toma de decisiones sobre gestión del riesgo de seguridad digital de acuerdo con los niveles de probabilidad de que se presente una crisis (por ejemplo, de improbable a real).
Además, por necesidad, una mayor tolerancia del riesgo podría moldear las decisiones sobre gestión del riesgo de seguridad digital durante los primeros días de la crisis, con lo que aumenta la exposición de la organización al riesgo (por ejemplo, abrir puertos de red, utilizar soluciones insuficientemente probadas, etc.). Es importante revisar estas decisiones operativas y cerciorarse de que el riesgo de seguridad digital aceptado bajo circunstancias excepcionales se ajuste también al interés de la organización en correr riesgos bajo circunstancias normales.
Lección 4 – La preparación para la seguridad digital es clave y debería ser parte de una planificación más amplia para de la continuidad empresarial.
La pandemia del COVID-19 destacó la importancia de la preparación, donde una organización que ha sometido a prueba planes pueda implementarlos rápidamente cuando ocurran sucesos graves, con el fin de asegurar la continuidad y la resiliencia empresariales. La preparación forma parte esencial de la gestión del riesgo de seguridad digital, como se establece en el principio de “preparación y continuidad” de la Recommendation on digital security risk management for economic and social prosperity (Recomendación sobre gestión del riesgo de seguridad digital para la prosperidad económica y social) (OCDE, 2015[1]).
No obstante, las organizaciones tienden a enfocar la preparación para la seguridad digital de manera estrecha, como un medio para estar preparadas para un incidente de seguridad digital que rápidamente escale hasta convertirse en una crisis. La crisis de COVID-19 demostró que una crisis de seguridad no digital también puede requerir preparación en materia de seguridad digital. Por consiguiente, es necesario integrar más la preparación para la seguridad digital en la gestión de riesgo empresarial general, la continuidad empresarial y la planificación de gestión de crisis.
Para las organizaciones, la vuelta a la “normalidad” es también una oportunidad de estudiar la eficacia y la congruencia de los planes de emergencia y los procesos de gestión del riesgo de seguridad digital (por ejemplo, ¿siguió la organización los procesos previamente definidos? ¿Fueron suficientemente flexibles los planes de emergencia?, etc.).
Para los gobiernos
Lección 5 – Durante una crisis, el gobierno necesita aumentar su alcance más allá de los operadores de actividades críticas hacia los actores clave de su cadena de suministro.
La pandemia de COVID-19 también destacó la función de los marcos de política pública1 en el fortalecimiento de la seguridad digital de actividades críticas. Dichos marcos identifican a los operadores de actividades críticas y establecen los requisitos de gestión del riesgo de seguridad digital que deben cubrir. La Recommendation on Digital Security of Critical Activities (Recomendación sobre seguridad digital de actividades críticas) (OCDE, 2019[2]) presenta un conjunto de recomendaciones de política para los gobiernos en esta área (véase el recuadro).
En muchos países, las agencias de seguridad digital han establecido canales de comunicación con operadores como hospitales, para facilitar el intercambio de información respecto a amenazas emergentes y brindar asistencia técnica de ser necesario. Sin embargo, en algunos países, los gobiernos han tenido que ajustar sus listas de operadores de actividades críticas en el sector de la salud para incluir a las organizaciones que hacen parte de sus cadenas de suministros, como los productores y distribuidores de mascarillas y tapabocas, pruebas médicas y ventiladores, o centros de investigación sobre vacunas. Los gobiernos tuvieron que identificar rápidamente a estos actores, informarles de las posibles amenazas a la seguridad digital y las medidas de seguridad por aplicar y establecer canales de comunicación para brindar ayuda en caso de necesitarse en un suceso grave.
Recomendación de la OCDE sobre seguridad digital de las actividades críticas
Adoptada en diciembre de 2019, la Recomendación de la OCDE sobre seguridad digital de actividades críticas establece un conjunto de recomendaciones de política para garantizar que las políticas dirigidas a los operadores de actividades críticas se centren en lo que es crucial para la economía y la sociedad sin imponer cargas innecesarias sobre las demás. Estas recomendaciones apoyan a los adherentes a:
Adaptar su marco general de política;
Garantizar que los operadores reduzcan con eficacia el riesgo de seguridad digital para funciones críticas a un nivel aceptable para la sociedad;
Promover y desarrollar alianzas basadas en la confianza; y
Mejorar la cooperación en el ámbito internacional.
La Recomendación también aclara cómo se relaciona esta área de la política pública con una política más amplia de gestión de riesgo y protección de infraestructura esencial a nivel nacional.
Fuente: OCDE.
Los gobiernos deberán adoptar planes ambiciosos para fortalecer la seguridad digital en el sector de la salud y para las pymes en el mediano plazo
Lección 6 – Se necesitan políticas proactivas para mejorar la seguridad digital en el sector de la salud y para las pymes.
La crisis de COVID-19 atrajo atención a la deficiente seguridad digital de las pymes y de las organizaciones pequeñas como los gobiernos locales. Al igual que las empresas grandes, la pandemia de COVID-19 las forzó a cambiar al trabajo a distancia, algunas veces de la noche a la mañana. Este cambio aumentó el potencial de ser víctimas de ataques y creó nuevas vulnerabilidades. Por ejemplo, muchas pymes no tenían redes privadas virtuales (VPN, por sus siglas en inglés) en marcha, no utilizaban la autenticación multifactor para acceso remoto, o tuvieron que permitir que los empleados utilizaran sus propios dispositivos, que no eran tan seguros como los proporcionados por la organización.
Más aún, la crisis destacó la vulnerabilidad del sector de la salud. Como se menciona en la nota sobre política de la OCDE de abril de 2020 (OCDE, 2020[3]), ha habido múltiples casos de ataques maliciosos dirigidos al sector de la salud durante la crisis, incluidos los ataques de Denegación de Servicio Distribuido (DDoS) y los ataques ransomware a hospitales de Francia, Alemania, España y la República Checa. Sin embargo, los ataques a dichas instituciones no son nuevos ni poco comunes. Durante años se han identificado y documentado lagunas en la gestión del riesgo de seguridad digital en este sector. En muchos países, incluidos Francia, Alemania y Estados Unidos, se han realizado ataques exitosos a la seguridad digital. En 2017, muchas organizaciones del sector de la salud fueron seriamente afectadas por el ransomware WannaCry, en particular en el Reino Unido, porque tenían procesos de gestión de vulnerabilidad deficientes (como parches no implementados de manera oportuna) y dependían de sistemas operativos que habían llegado al final de su vida, es decir, para los cuales ya no había actualizaciones en materia de seguridad disponibles. El mismo año el Health Care Industry Cybersecurity Task Force establecido por el Departamento de Salud y Servicios Humanos de Estados Unidos concluyó que “la ciberseguridad en la atención de la salud es un problema fundamental de salud pública que requiere atención inmediata y enérgica”. Estos significativos vacíos en el sector de la salud a menudo se derivan de la falta de apropiación del riesgo de seguridad digital, la falta de recursos, del financiamiento para la seguridad digital y de la falta de mecanismos de cooperación e intercambio de información. A pesar de esto, en muchos países de la OCDE, los hospitales y otras instituciones de salud se consideran como operadores de actividades críticas y están sujetos a regulaciones como la Directiva relativa a las medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información (NIS) de la Unión Europea.
Los gobiernos deberían desarrollar planes ambiciosos para abordar el importante vacío en seguridad digital para las pymes y en el sector de la salud.
Alimentar un ecosistema de seguridad digital con múltiples actores es esencial para facilitar el intercambio de información durante una crisis
Lección 7 – Durante una crisis es fundamental el intercambio de información y a menudo este depende de un ecosistema preexistente de aliados confiables.
Identificada como un principio clave de la Recomendación de la OCDE 2015 sobre Gestión del Riesgo de Seguridad Digital para la Prosperidad Económica y Social, la cooperación de múltiples actores y la cooperación internacional han surgido como una condición crucial para una gestión exitosa del riesgo de seguridad digital durante la crisis de COVID-19. El intercambio eficaz de información sobre los riesgos de seguridad digital que incluyen ataques, vulnerabilidades, incidentes y estrategias de protección a menudo depende de un ecosistema preexistente de actores confiables que abarcan muchos niveles (organizaciones, sectores, grupos de actores y fronteras).
En muchos países de la OCDE, la crisis de COVID-19 sacó a la luz nuevas, inesperadas y a menudo generosas formas de cooperación de múltiples actores. Muchos proveedores de servicios de seguridad digital ofrecían asistencia gratuita a grupos vulnerables, como organizaciones de atención de la salud y pymes (por ejemplo, la “liga COVID-19 CTI”, siglas de Cyber Threat Intelligence, reunió a profesionales de la seguridad digital de 40 países que ofrecían servicios gratuitos a actores vulnerables).
Los gobiernos suelen desempeñar una función clave y actuar como organizadores o coordinadores de dicha cooperación de múltiples actores. Por ejemplo, en Francia, la agencia de seguridad digital ANSSI aprovechó la plataforma en línea de sensibilización y reporte de incidentes ya existente2 (basada en una alianza público-privada) para proporcionar recursos y conectar a personas y organizaciones con proveedores de servicios de seguridad digital. En Israel, el gobierno abrió un mercado para facilitar la conexión entre dichos actores, y en el cual los proveedores son aprobados por el Directorado Cibernético Nacional de Israel (INCD) a través de mecanismos de vía rápida (fast-track).3 La crisis también resaltó la importancia de los modelos innovadores de alianzas público-privadas y de coordinación de múltiples actores, por ejemplo con el uso de marcos regulatorios de prueba (sandboxes) en el sector salud.
Toma tiempo desarrollar confianza entre actores con diferentes culturas y objetivos. Los gobiernos pueden ayudar a crear las condiciones para facilitar mecanismos de cooperación de múltiples actores basados en la confianza, en particular para el intercambio de información relacionada con el panorama de riesgos y el agrupamiento de recursos.
Lecturas adicionales
[3] OCDE (2020), Dealing with digital security risk during the coronavirus (COVID-19) crisis, https://oe.cd/il/covid-digitalsecurity.
[2] OCDE (2019), Recommendation of the Council on Digital Security of Critical Activities, https://legalinstruments.oecd.org/api/print?ids=659&Lang=en.
[1] OCDE (2015), Recommendation of the Council on Digital Security Risk Management for Economic and Social Prosperity, https://www.oecd.org/sti/ieconomy/digital-security-risk-management.pdf.
Notas
← 1. Por ejemplo, en la Unión Europea, la directiva NIS requiere que los Estados designen a los operadores de servicios críticas (OSS).