CyberSession #5 ¿Cómo se ve la ciberseguridad desde el Gobierno? Entrevista con Cristian Bravo Lillo, Director del CSIRT del Gobierno de Chile

Las CyberSessions de ITSitio tienen como objetivo entregar información sobre ciberseguridad de la mano de especialistas en la materia en contexto de la entrada en vigencia en Chile de la nueva Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. En este episodio, Cristian Bravo Lillo, conversó con ITSitio sobre la mirada de la ciberseguridad en un órgano gubernamental, la gestión de riesgos y la necesidad de crear una cultura en torno al tema.

Chile fue el cuarto país de Latinoamérica más afectado por ransomware durante 2023 y, ese mismo año recibió 6 mil millones de intentos de ciberataques. Estas cifras se desprenden del informe “El fuerte virtual de Latinoamérica: Chile se prepara para la ciberbatalla”, el cual recopila datos de distintas consultoras y empresas especializadas en el tema para dar cuenta del estado de situación en el país.

El Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT, por sus siglas en inglés) de Gobierno es un órgano del Estado, perteneciente al Ministerio del Interior, que funciona bajo la órbita de la Subsecretaría del Interior del Gobierno de Chile. Su función es liderar los procesos necesarios ante un incidente informático (sea ciberataque u otros) que afecte la correcta operación de los organismos de la Administración Pública del Estado, entre los que se encuentran aquellas organizaciones o empresas que brindan servicios esenciales (electricidad, agua, telecomunicaciones, entre otros).

¿Cómo se proyecta la ciberseguridad desde un CSIRT de Gobierno?

“Nos da una visibilidad relativamente buena de los servicios públicos que están conectados a esta red y a todo el resto de los servicios públicos”, comentó Cristian Bravo Lillo, Director del CSIRT del Gobierno de Chile.

“Nuestra misión dentro del CSIRT de Gobierno es ayudar a los servicios públicos a responder a sus incidentes de ciberseguridad”, agregó. Además, este organismo apoya la concientización de la población y, sobre todo, la capacitación de “los encargados de ciberseguridad, los jefes de ciberseguridad de cada uno de los servicios públicos en la importancia de algunas técnicas específicas como la gestión de riesgo, que es fundamental dentro de ciberseguridad”.

Ante la consulta sobre cómo se proyecta la ciberseguridad desde un organismo como el que dirige, el especialista sostuvo: “El cómo se ve depende mucho de desde dónde lo estás mirando”.

“Es un problema multifactorial, se resuelve tanto desde el punto de vista técnico como humano, hay tecnologías involucradas, hay política involucrada, hay concientización a las personas y todo eso es un panorama bien diverso”, precisó Bravo Lillo.

Gestión de riesgo en ciberseguridad: cómo y cuánto según el CSIRT

La gestión de riesgo es, ante todo, un proceso dinámico, un “nunca acabar” que las organizaciones requieren ejecutar always-on, para poder mapear, priorizar, medir y finalmente gestionar aquellos puntos que podrían ser considerados “ciberriesgos”. ¿El objetivo final? Proteger a las organizaciones y a las personas de potenciales ataques o incidentes informáticos. Este, no es un concepto exclusivo de la ciberseguridad, pero encuentra allí un escenario fértil para anidar.

En palabras del Director del CSIRT de Gobierno, “para la gestión de riesgos es súper importante el apellido que uno le coloque” ya que “no es lo mismo hacer gestión de riesgos en el área financiera que en el área operacional, que en el área logística o, en este caso, en el área de ciberseguridad”. Y en este punto, el especialista hizo hincapié en que la gestión de riesgos en ciberseguridad “tiene una particularidad que es distinta de otras áreas”, refiriéndose a los componentes de probabilidad e impacto.

“El riesgo tiene dos componentes fundamentales: la probabilidad y el impacto”, detalló Bravo Lillo. “En ciberseguridad, ocurre algo bien particular que tiene que ver con que la probabilidad es algo que uno puede generalizar, es decir, la probabilidad de que a ti te hackeen por una cosa específica es la misma que a mí me hackeen por exactamente la misma razón”, amplió.

“El primer componente, que es el de probabilidad, es más o menos el mismo para todas las instituciones. Entonces si tú tienes un servidor con una vulnerabilidad específica, la probabilidad de que a ti te hackeen es la misma que para mí en caso de que yo tenga el mismo servidor con la misma vulnerabilidad, pero en impacto es distinto dependiendo de cuál sea la institución”, mencionó el funcionario.

Si bien todavía no está vigente la Ley Marco de Ciberseguridad, desde el CSIRT y otros órganos del Estado, ya se preparan para entregar los lineamientos para las organizaciones que queden bajo el paraguas de esta normativa. En ese sentido, el Director habló sobre la propuesta que harán a las distintas organizaciones para que ejecuten su gestión de riesgos.

Lo que típicamente se hace en las instituciones, es que se miden ambos elementos (probabilidad e impacto) a través de lo que se conoce como escalas ordinales. Esto, de acuerdo con lo que explicó, se mide en escalas que van de 1 a 5.

“Hay evidencia de que medir o gestionar los riesgos de esta manera no es útil porque no te permite hacer verdadera gestión”, advirtió. “Lo que uno debiera hacer, y lo que nosotros estamos proponiendo hacer desde el CSIRT de Gobierno, es medir la probabilidad tal cual como lo hacen los ingenieros, es decir con números entre 0 y 1 o como probabilidades”, afirmó.

El impacto en dinero: la clave para la gestión de riesgo

Al mismo tiempo, Bravo Lillo destacó la importancia de medir el impacto en dinero, es decir, en el costo que le cuesta a la organización resolver el problema. “Si estamos hablando del hackeo de un servidor, necesitas pagarle a una persona para que te solucione el problema, necesitas contratar un sitio de contingencia en caso que se trate de un sitio web, hay horas en las cuales tú no haces lo que se supone que tenías que hacer, por lo tanto, tiene un costo ocioso”, apuntó. “Entonces, empiezas a sumar costos y finalmente puedes llegar siempre a una cifra de lo que te cuesta resolver el problema”, expresó.

En Chile, próximamente se comenzarán a dictar los Decretos con Fuerza de Ley que pondrán a andar la maquinaria de la Ley Marco de CIberseguridad. En línea con esto, desde el CSIRT se pedirá a los distintos organismos públicos que cumplan con determinados parámetros en la gestión de riesgos.

“Tanto probabilidad como impacto se pueden medir de mejor manera y nosotros vamos a proponerle a los servicios públicos y, eventualmente también a los privados, que cumplan con ciertas características específicas, que midan el riesgo de esta manera y que por lo tanto, gestionen los riesgos de una forma un poco más técnica pero que te permite una mejor gestión”, adelantó el Director.

¿Dónde empieza y termina la ciberseguridad?

¿Es posible trazar una línea de largada y una meta final para la ciberseguridad? ¿Cuál es la punta del ovillo? Hoy, la ciberseguridad no es sólo un término que corresponde a los equipos informáticos de las empresas.

Ante el nuevo escenario mundial, la ciberseguridad se configura como uno de los grandes temas del mundo. Y, un desafío de esas características requiere varios frentes entre los que se cuenta lo técnico, lo humano, lo político, lo privado y lo social, entre otros.

“Nosotros siempre explicamos que la ciberseguridad es una política pública, en primer lugar, traspasa largamente en el contexto técnico”, manifestó Bravo Lillo. “Hoy es una política pública que requiere, por lo tanto, de la preocupación de los países”, aseguró.

Chile es el único país de Latinoamérica cuya Política Nacional de Ciberseguridad se renovó en el tiempo. En 2023, luego de una extensa revisión de la primera edición, se relanzó el documento para dar paso a la etapa 2023-2028, hoy en ejecución.

“Los países están empezando a entender que esto también es una política pública y que por lo tanto debieran invertir en generar sistemas que se preocupen tanto de prevenir los incidentes de ciberseguridad, como de solucionar los problemas, una vez que esto sucede”, expresó.

“El resto de Latinoamérica tiene un concepto súper elevado de lo que estamos haciendo acá en Chile”, destacó el directivo. “El objetivo principal de la Política Nacional de Ciberseguridad es poner de acuerdo a todos los servicios públicos para tomar medidas que, a la larga, protejan a las personas, a las empresas y su información e identidad, que es hoy una de las cosas más importantes que tenemos para mantener de manera integral”.

Desde Chile para el mundo: cómo pueden los países de Latinoamérica seguir la huella trazada en Ciberseguridad

Chile se constituye como el primer fuerte virtual de Latinoamérica debido a que fue un país pionero en tener una Ley Marco de Ciberseguridad y dos Políticas Nacionales que apuntan a distintos frentes en torno a este mismo tema.

Las características productivas y de desarrollo del país, presentan un entorno propicio para el avance de tecnologías que, en otros territorios de Latinoamérica, llegan en menor medida. Esto es clave para enfrentar el escenario de seguridad informática de hoy y convierten a Chile en un ejemplo que otros países se interesan por conocer.

Consultado sobre qué roadmap deberían seguir otros países de la región para avanzar en temas de ciberseguridad, Bravo Lillo dijo que “una de las cosas que ha funcionado muy bien, es el no pretender hacerlo todo de una sola vez”.

“Normalmente en ciberseguridad, funciona muy bien el implementar algo, ver si funciona, si funciona mejorarlo, si no funciona corregirlo y partir desde ahí y esto es un poco la política que uno puede seguir en todo orden de cosas dentro de ciberseguridad, que hoy en día es un campo muy vasto”, sostuvo el especialista.

“Siempre la recomendación nuestra en ese sentido es: construye un poco, aprende mucho, mejora para la próxima vez. Yo creo que es el mejor consejo que podríamos dar respecto a cómo hacerlo en ciberseguridad a escala nacional incluso”, finalizó Bravo Lillo.