Seguridad en sitios web de la Administración Pública. El caso del hackeo a Ministerio de Justicia

La seguridad de la información podemos entenderla (según wikipedia) como el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

Es, por tanto, un elemento indispensable a considerar cuando existe información que puede ser, por ejemplo, accedida a través de distintos medios, principalmente vía internet. El tema es importante a nivel empresarial, (es necesario recordar como el 2011 hacker tuvieron acceso a más de un millón de cuentas de usuarios de Sony) pero además existe la necesidad de que sea considerada un adecuado nivel de seguridad cuando existe información y sea accesible a través de plataformas de acceso, como por ejemplo un sitio web, de Organismos de la Administración Pública.

El tema de seguridad informática de los gobiernos es un tema cada día más vigente y nuestro país no se encuentra ajeno a esta realidad.

Es así como, en reiteradas oportunidades, distintos sitios webs del Estado han sido intervenidas por terceros, los que han aprovechado vulnerabilidades y bugs para tomar control de una web. Sin embargo, no sólo es posible considerar la alteración de un sitio en particular, sino el acceso a información que dicho espacio podría contar.

Así, hace unos días atrás, supuestos hackers argentinos habrían vulnerado las medidas de seguridad del sitio web del Ministerio del Interior y Seguridad Pública, dejando al descubierto los datos, como nombres, cargos, correos y contraseñas, de funcionarios del Ministerio. Al mismo tiempo, luego de atacar la web de la entidad gubernamental, dejaron el siguiente mensaje:

«Saludos mundo, somos LulzSec Argentina. Gobierno de Chile, controlen a su ejercito 😉 hahahahahaha >:]

Por otro lado, recientemente el Ministerio de Justicia sufrió otro ataque en su sitio web (cuya imagen se observa en este artículo), en donde un grupo de hackers peruanos ingresaron el texto «Eso les pasa por meterse con nosotros, nada personal», vulnerando con ello los sistemas de seguridad, lo que se agraba aun más considerardo que en septiembre del año 2012 habían sido atacados por el mismo grupo con resultado similar.

Sistema Seguridad de la Información en la Administración Pública

La pregunta que surge cuando existe este tipo de intervenciones en sitios webs de gobierno, es si existe o no una reglamentación o normativa específica para la Administración Pública, cuales son los cánones de seguridad establecidos y si éstos protocolos se encuentran debidamente actualizados.

Es necesario señalar que sí existe normativa específica que regula los sistemas de seguridad de la información, aplicándose en caso de interveniones informáticas o hackeos de sitios web, al menos 2 decretos específicos.

1) Así, existe el Decreto Supremo N°83 del año 2004, que «Aprueba norma técnica para órganos de la Administración del Estado sobre seguridad y confidencialidad de documentos electrónicos»

Es importante ver lo que señala su artículo 1°, pues se indica que corresponde a características mínimas que deben cumplir los órganos de la Administración Pública. Así, el artículo dice:

Artículo 1º.- La presente norma técnica establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documentos electrónicos de los órganos de la Administración del Estado, y las demás cuya aplicación se recomienda para los mismos fines.     Las exigencias y recomendaciones previstas en esta norma, tienen por finalidad garantizar estándares mínimos de seguridad en el uso, almacenamiento, acceso y distribución del documento electrónico; facilitar la relación electrónica entre los órganos de la Administración del Estado y entre éstos y la ciudadanía y el sector privado en general; y salvaguardar el uso del documento electrónico de manera segura, confiable y en pleno respeto a la normativa vigente sobre confidencialidad de la información intercambiada.

A pesar de que el decreto que regula estos sistemas establece esta obligación base o mínima, al mismo tiempo fija criterios de proactividad a la entidad pública para garantizar progresivamente niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de información institucional considerados relevantes, de manera tal que se asegure la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a los usuarios – clientes – beneficiarios.

Respecto a la responsabilidad directa que puede existir en caso de infracción a esta normativa y funciones que debe cumplir el funcionario competente, según el artículo 12° del decreto se señala:

Artículo 12.- En cada organismo regido por esta norma deberá existir un encargado de seguridad, que actuará como asesor del Jefe de Servicio correspondiente en las materias relativas a seguridad de los documentos electrónicos.
Las funciones específicas que desempeñe internamente el encargado de seguridad serán establecidas en la resolución que lo designe. En todo caso, deberá tener, a lo menos, las  siguientes funciones:

a)   Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de su organización y el control de su implementación, y velar por su correcta aplicación.
b)   Coordinar la respuesta a incidentes computacionales.
c)   Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de seguridad pertinentes.

2) También resulta aplicable la aplicación del Decreto Supremo N°100 del año 2006. que aprueba Norma técnica para el desarrollo de sitios web de los órganos de la Administración del Estado, en donde establece procedimientos y forma de confección de sitios webs y cumplimientos de estándares, lo que se suma la vigilancia y seguridad de las mismas, estableciendo obligaciones, tal como indica artículo 7°:

Artículo 7º.- Los órganos de la Administración del Estado deberán tener un plan de contingencia para cada sitio web que administren, el cual contemplará las medidas a ser ejecutadas en el caso de que el sitio web deje de estar disponible para el público, o que el nivel de acceso disminuya o sea intermitente, o que se vea comprometido por ataques externos.

 ¿Necesidad de ajuste normativo?

Ante los reiterados ataques y violaciones de seguridad de sitios web públicos, es necesario considerar una modificación de normativa aplicable y una mayor fiscalización en el cumplimiento de los estándares establecidos.

Así, el Decreto Supremo N° 83 es del año 2004 y el Decreto Supremo N°100 del año 2006 y no han sido actualizadas a estándares internacionales vigentes ni han sufrido modificaciones mayores a pesar del avance tecnológicos y que formas de vulneración han cambiado desde la época de dictación de dichos decretos.

La División de Modernización , dependiente del Ministerio de Secretaría General de la Presidencia se encuentra trabajando en dichos cambios reglamentarios . Incluso invitaron, por medio de una consulta pública para recibir todo tipo de aporte, observación y comentario, para modificar normas referentes a gobierno electrónico, las que incluye las analizadas.

Sin embargo, mientras no exista texto actualizado, es necesario que exista mayores medidas de seguridad respecto a la información  que cuenta la administración pública, para dar así fiel cumplimiento a la debida confidencialidad, la disponibilidad e integridad de la misma.

[QR size=»150×150″ link=»yes»]

8 thoughts on “Seguridad en sitios web de la Administración Pública. El caso del hackeo a Ministerio de Justicia

  1. Claramente se puede ver que la fiscalización y normativas ante estas situaciones, duerme en los laureles. Porque mientras todo funciona bien no hay nada de qué preocuparse…lamentablemente la tecnología avanza, pero la ley no con ella.

  2. toda la razón estimado.
    Por lo mismo la importancia de implementar medidas, actualizar decretos y terminar con fechas de «implementación»

    Saludos

  3. Según antecedentes, en el primer hackeo participaron argentinos y en segundo, peruanos

  4. ojo que el ds83 establece dos niveles para la seguridad de la informacion. el nivel básico fija ciertos niveles y un plazo, que expiró hace mucho tiempo y que lamentablemente nunca hubo voluntad real para hacerlo cumplir, ni recursos suficientes para esto. el segundo nivel establecía que en lo que correspondiera, se debian cumplir los estandares iso17799, hace bastante rato atrás ya… y el iso 17799 fue a su vez actualizado ya por el iso 27002, por lo que el gobierno completo debería ser capaz de dar a la fecha, prueba fehaciente de cumplir en ese nivel de estandar…. lo que evidentemente no sucede.

    en algun momento inclusive se definió que el ds83 tuviera un nuevo plazo para cumplir ( no me acuerdo cual decreto fue el que modificó sus plazos, pero estiraron el chicle al 2010, creo ) , y se estableció en el marco del programa de mejoramiento de la gestión una serie de instrucciones para revisar el nivel de cumplimiento ( y al ser pmg, el no cumplimiento tiene un impacto directo en el sueldo del personal, lo que compromete fuertemente a la institucion para lograrlo ) … sin embargo, me consta que proyectos importantes se dejaban fuera del pmg y de la obligatoriedad de cumplimiento de los estandares de seguridad con excusas como «este proyecto es gestion, no es de tecnologia, asi que no aplican esas normas» ….

    al final, nos van a seguir hackeando, y los que generan las normas van a seguir tratando de arar en el mar…

Comments are closed.

Proudly powered by WordPress | Theme: Looks Blog by Crimson Themes.