¿Qué le parece
el Sitio Web?

 

Editor: Heberto Alvarado Vallejo
CNP: 12.270

http://hormigaanalitica.blogspot.com

Entrevista con Gabriel Moliné
“Tendremos un Estado 100% seguro”

 
 

 

 

 

 
Comparte este artículo
 

Para el director de la Superintendencia de Servicios de Certificación Electrónica, los ataques informáticos dentro de la administración pública, serán reducidos cuando los empleados públicos adquieran conciencia de la importancia de mantener normas mínimas de seguridad.


Hace algunos años, luego del paro petrolero, el diputado Luis Tascón adquirió notoriedad pública y trascendió tristemente a la historia por su “Lista” en la cual, desde el propio sitio web del parlamentario se podía verificar qué ciudadano había o no participado en el referendo revocatorio.
Indistintamente a los criterios que se esgrimieron a favor de la lista, en los cuales se explicaba que dicho recurso se utilizó para evitar un fraude electoral, el mecanismo desveló los riesgos que existen en la automatización de la información de los ciudadanos, cuando se aprovechan para satisfacer intereses particulares.
A lo largo de casi seis años de la “Lista de Tascón”, el Gobierno Nacional ha realizado diversos esfuerzos para recuperar la confianza de los ciudadanos, muy necesaria, para asumir los retos futuros. En los próximos tres años, se espera un aceleramiento en todos los procesos de automatización de la data de los ciudadanos. Estos van desde los certificados electrónicos, las cédulas digitales, la televisión digital y los servicios interactivos.
Saben dentro del Gobierno que la información que tendrá de los ciudadanos será fundamental para la recaudación fiscal, el control sanitario, el pago de pensiones. También saben que dicha información, mal manejada puede multiplicar los daños de la lista de Tascón e incluso irán más allá, podrían alterar la identidad de las personas y su situación legal.
Internamente, la administración pública tendrá sus propios retos. El incremento de la automatización de procesos, la dependencia a internet y los recursos telemáticos harán de la data pública un recurso muy valioso para hackers y delincuentes informáticos que desearán tener  bajo su control datos clave de la República.
El trabajo, titánico de por sí, no debe esperar a que los servicios on-line se incrementen. De hecho, desde ahora, la administración pública ha iniciado su titánica tarea. Por una parte, adecuan la capacidad telemática del Estado para auto regularse y evitar el uso ilegal de las herramientas informáticas y por la otra están formando y creando conciencia entre más de un millón de empleados públicos para que usen con más criterio y prudencia sus correos electrónicos, principal foco de contaminación con malware de las instituciones del Estado.
El ingeniero Gabriel Moliné, director del Suscerte (Superintendencia De Servicios de Certificación Electrónica),  tiene bajo su responsabilidad la seguridad de la información del Ejecutivo Nacional; también tiene que asumir todo el proceso de consolidación de las firmas electrónicas, próximo paso que se dará para hacer más rápida la interacción entre gobierno, empresas y ciudadanos.
Moliné comenta que actualmente el Suscerte está trabajando en el desarrollo de tres áreas fundamentales: el riesgo telemático, donde se determinan y clasifican cuáles son las estructuras críticas de la nación para tener controles. (Petróleo, educación, salud, entre otras).
La segunda área de trabajo es la consolidación del CENIF (Centro Nacional de Informática Forense) donde el Suscerte trabaja con la policía científica y el poder judicial para consolidar una herramienta para las fuerzas policiales y los jueces que necesitan verificar una prueba de algún delito informático: un pishing, un robo o estafa en la banca electrónica. “Antes, las primeras evidencias llegaban en un disqué a los despachos de los jueces y abogados, ellos las dañaban,  por ignorancia. Por eso, primero se trabajó con concienciación en los jueces para que conservaran la evidencia y, claro está les explicamos cuál era la mejor manera de guardarla. Parece ilógico pero muchos jueces no quieren tener las evidencia en electrónico, todo lo quieren el papel.
La tercera área de trabajo es el Centro Nacional Control de Incidencias Telemáticas, mejor conocido como VenCERT, ente del cual Moliné es también su director general. Explica el vocero que esta oficina es el bombero informático de la administración pública nacional. “No solo basta con saber que  provocó el fuego, es importante determinar quien lo causó, se debe saber resolver el problema, mantener el gobierno electrónico funcionando con salud”.
Hoy día, comenta Moliné, los ataques informáticos no se limitan a la fronteras de un país, puede llegar desde cualquier parte, lo que genera nuevos retos, como el idioma, ubicar dónde está el atacante; Cómo interactuar con los centros de seguridad de otras naciones, trabajar con el las horas.
“Los CERT en todo el mundo se articulan e intenta resolver los problemas. Es un servicio proactivo y reactivo. Proactivos porque se monitorean la plataforma del gobierno; en nuestra caso lo hacemos con la mitad de las 2400 páginas de la administración público. Lo hacemos con un sistema desarrollado en software libre, diseñado por el Suscerte.  Con esta aplicación podemos ver e l comportamiento de las páginas, vemos los servicios disponibles, si se produce algún cambio se levanta un alerta. Es un sistema que trabaja 7x24.
Más allá de estos tres pilares Moliné está consciente que el conocimiento de la seguridad de la información en la administración pública nacional no se ha disgregado. Por eso, realizarán campañas para formar personal técnico y profesional para tratar estos casos. Incidentes, cómo anunciar, cómo informar,  cómo mostrar información.
“Tenemos un trabajo constante; nuestra meta es crear una red en toda la administración pública, para que se conozcan las vulnerabilidades de un servidor web, por ejemplo. El usuario  debe estar informado. Todos deben saberlo, y todos deben saber el ataque. Por eso, nosotros tenemos que  reportarlo. Algo que debe quedar claro, es que no se menciona quién es el afectado. Se articula y se resuelven los problemas”.
En esta capacitación de las alianzas más importantes que ha tenido el Suscerte son Las Fuerzas Armadas Nacionales. “Son un componente crítico que debe estar preparada para solucionar problemas; por ejemplo, en las elecciones de febrero, se demostró. Se detectaron muchos ataques a las páginas del Estado y evitamos incluso que se cometieran delitos electorales”.
-Como administración pública debemos orientar a las grandes instituciones y establecer lineamientos para garantizar la seguridad de la información. Aquí, todos los elementos son importantes, desde la persona que opera el PC hasta el supervisor. Si no se tiene cuidado con las contraseñas, las seguridad no sirve para nada.
El Estado ha crecido mucho, ¿cuál ha sido la dependencia que más ataque ha recibido?
Parte de la confianza de los entes es mantener recelo en divulgar ese tipo de información. No damos datos de este tipo, porque se puede dar una falsa percepción de una institución.
Estamos dando lineamientos, les decimos que la seguridad empieza por la persona. En este sentido, todos los elementos son importantes desde la persona que maneja el computador, hasta el técnico que opera el servidor. Puedes tener el gran sistema de seguridad pero si el funcionario no toma las previsiones mínimas de resguardo de la información sus sistemas serán vulnerables.
Incluso le hemos dicho la personal de informática, que tengan cuidado con lo que dicen en los sitios donde generalmente comen.  Si te sientas cerca de una mesa donde están ellos, escucharás que están trabajando de trabajo.
Políticas de clasificación de la información, crear un estándar dentro de la administración pública para el manejo de la información, el uso y creación de páginas web.
¿Qué hacen cuando el ataque o el espionaje vienen desde adentro de la administración pública?
Nosotros tenemos dos brazos, el VenCERT, que presta apoyo técnico. Las denuncias de este tipo las maneja el CENIF, es el canal ideal, nosotros los apoyamos en levantar evidencias, hacer alguna auditoria del sistema, pero no es nuestra misión fungir como un cuerpo policial.
¿Hay suficiente seguridad en la administración pública?
Estamos trabajando hacia eso, tener un Estado 100% seguro, dar un conjunto de pasos para llegar allí. Todo sistema no es 100% vulnerable
¿De dónde vienen los principales ataques?
Grandes  focos de ataque son el Medio Oriente, Norteamérica y Asia, estas son las regiones donde se presentan los grandes focos de ataques. Brasil es el principal atacante de América Latina.
Van dirigidos a las alcaldías, el Ejecutivo nacional: ministerios, seguro social, son los más atacados. Luego están las  gobernaciones y la  infraestructura criticas; petróleo, energía, educación.
¿PDVSA y CANTV reciben atención de ustedes  o son autónomos?
Ellos llevan sus procesos, pero trabajamos en conjunto cuando necesitan un apoyo. Estas empresas tienen años trabajando con las tecnologías y conocen muy bien todos estos procesos.
¿Las demás dependencias del Gobierno como está en materia de seguridad?
El Gobierno decretó en Gaceta Oficial que todas las dependencias deberían tener un responsable de seguridad en todas sus áreas. Desde allí se ha venido trabajando para tener comunicación entre todos estos expertos. Claro está PDVSA y CANTV son dos instituciones son muy fuertes y tenemos en ellos grandes aliados. Nos hemos dado cuenta que en un área del estado no están todos los expertos. La intención es convocarlos y articular una respuesta entre todos.
¿Cuáles son los ataques más comunes que tiene la administración pública nacional?
No están lejanas a las de otros países. El Código malicioso es el principal atacante. Mensajes que llegan a los correos de los funcionarios que están en el Gobierno. En internet están publicadas las listas con los correos de la mayoría de los funcionarios.
Colocar los correos electrónicos en los sitios web genera una vulnerabilidad, ¿qué controles tendrán?
El correo electrónico es el mecanismo que impulsa a internet. Por eso, eliminar los correos no es la solución. Lo que estamos evaluando es la creación de correos electrónicos que sean institucionales. Dentro de cada institución debe haber controles de Spam, filtros para los diversos códigos maliciosos. Los mensajes que llegan a los correos, las cadenas. Todo sto pasa en la administración pública.
¿Cuántos correos electrónicos puede haber en la administración pública?
Si hablamos de 2400 páginas, existen igual número de dominios. Si los asociamos en servidores de correos tenemos por lo menos 2400 servidores en la administración pública con “N” cantidad de correos.
¿Las instituciones públicas delegan en terceros el manejo de esta data o lo tienen in situ?
Depende de la institución, es muy variado. El enfoque es variado, depende de la institución. Tenemos el caso de Cantv, que es también un gran proveedor de servicios, con una infraestructura inmensa, capaz de alojar los servidores de correo y web.  Muchas instituciones pequeñas pueden ver en su Data Center una alternativa para alojar su información. Si es una institución mediana o grande, debería buscar su propio centro de datos.
¿No es más seguro que el Estado desarrolle sus propios Data Center para sus diversas instituciones?
Evidentemente, mientras más control tengas de la información, más seguro te puedes sentir. Por eso se dio el paso con el Software Libre, ahora se hará con los servicios, pues, en la medida que esté más estandarizada la administración pública en esa misma medida será más segura.
¿Qué tanto se ha avanzado en las firmas electrónicas, y cómo se valida o certifica a esta persona o empresa?
Suscerte gesta esta certeza que no “pinchan”. Se creó  para generar una cadena de confianza, Que surge con la creación del certificado raíz, que es la piedra inicial de la certificación electrónica. Nosotros delegamos en nuestros proveedores de servicios es garantía. Ellos emiten los certificados a las personas naturales y jurídicas. ¿Quiénes son ellos? La fundación Instituto de Ingeniera  y  Procert, que es una empresa privada. Ambos están acreditados por nosotros para que emitan sus certificados. Ellos dan las garantías para que esas firmas estén validadas; estas organizaciones tienen dos años trabajando.
Una de las cosas que impulsará el Gobierno electrónico es la cédula electrónica,  proyecto que lleva el SAIME. Una cédula con un chip que permitirá que todos los venezolanos tengamos un certificado electrónico.
Con este certificado, se mejorarán las comunicaciones con el estado. Saber quién está del otro lado de la información. Tener certeza de que esa información es segura y de la persona con la que se está interrelacionando el Estado.
¿Cómo se libera el Suscerte y el Estado de la percepción que dejó la Lista Tascón, con una cédula electrónica se tendrá mucho más control de la gente, quién garantiza que esta información no se manipulará para un fin político?
El mundo informático no puede hacer nada que en el mundo real no sucede. La certificación electrónica puede ayudar a encontrar los responsables de delitos o identificar quienes solicitan  pasaportes, quienes pagan impuestos. También pueden dar alguna información clave para resolver casos de estafa, u otros delitos. ¿Quién hace una solicitud?, en manos de quién está.
Un elemento que genera transparencia es el uso de las Tecnologías de la Información, un ejemplo es el CNE; se ha demostrado que la automatización de los procesos genera confianza. Al haber más servicios con certificaciones electrónicas y otras medidas de seguridad; el Cenif, el Vencert, le dan al usuario más garantías.
¿Cómo el Estado se regula. Estados Unidos es un caso palpable de que esa información sirve para conocer toda la vida del ciudadano. La no violación de la seguridad se limita entonces a un asunto ético?
Desde hace algún tiempo tenemos la ley de delitos informáticos; una ley muy reconocida en el mundo. Tiene elementos perfectibles, pero esa ley nos da el estamento legal para dar respuesta. La gente debe utilizarlos y seguir mejorando los canales. Otro tema es la certificación electrónica, que sirve para avalar un documento, pues, si  tiene una información y se cambia, puedo saber quien lo hizo o como lo hizo. Otro tema es la criptografía, que se basa en un elemento técnico, que son las claves públicas y privadas. Al ser el ciudadano el único garante de  la información que reside en el chip; es el único responsable si esta información llega a manos de otros.  Toda la información del chip está protegida por el certificado electrónico. Le damos el poder a la gente.
Poder de este tipo sin tener formación es muy peligroso. Hoy día damos la cédula a cualquier persona quien la pida. ¿Cómo se evita esto?
El fraude existe desde que el hombre es hombre. Estamos trabajando mucho para el ciudadano, es importante decir que los medios electrónicos tienen una penetración inmensa. Las redes sociales crecen muchísimo. Queremos cambiar la cultura autodidacta, y es por eso que estamos trabajando con las comunidades organizadas, los colegios y las universidades sobre el tema  de la seguridad de la información. Si das tu información, muy probablemente cualquier atacante tendrá acceso a toda tu información, tal cual como ahora si das una clave. En la medida que conoces las herramientas que tienes más  seguro estarás.
¿Cómo marcha la cédula electrónica?
El proyecto lo lidera Saime, y muchas instituciones trabajamos con ellos; le estamos dando apoyo. Comienza a finales de este año.
Ataques que se están recibiendo
Según VenCERT el cambio de información de las páginas web de las instituciones del estado y los códigos maliciosos son los principales ataques que tienen las dependencias del estado. El Spam está en un cuarto lugar.
Los virus son el malware con más repercusión en la administración pública.
Otro ataque consecuente son los falsos correos electrónicos de los bancos, que solicitan cambios de cuenta o de claves. Muchos funcionarios públicos siguen mordiendo el anzuelo.
Gestión de incidentes telemáticos hasta agosto de 2009
126% Malware
36% Defacement
13% Phishing
6% Falla de disponibilidad de sitios Web
4% SPAM
2% Hardening de Plataforma; Apoyo Técnico, Cross-Site Scripting, Denegación de servicios DOS, Espionaje Informático; Problemas de DNS,  Publicación ilegal de información
 98% de los incidentes atendidos por Suscerte fue resuelto; el 2% restante se encuenta en espera de confirmación de solución efectiva por parte de las instituciones afectadas.
Entes más atacados
48% páginas de las alcaldías
37% Administración Pública Nacional
4% Ministerios
4% Gobernaciones
4% Embajadas de Venezuela en el mundo
2% Infraestructura crítica
Contenidos ilegales detectados por VenCERT en las elecciones de Noviembre de 2008
Publicación ilegal de resultados electorales: 80%
Falta de disponibilidad en páginas de carácter oficial: 7%
Falla de enlace Internacional: 7%
Error de redirección de sitio Web: 7%
Incidentes de Seguridad en las elecciones de febrero de 2009
Publicación no permitida de resultados electorales: 62%
Páginas con falla de disponibilidad: 19%
Desfiguración de portales web: 12%
Virus informático: 8%
Medidas
Articular con el ministerio de relaciones exteriores para la protección de los sitios de las embajadas sitios
Seguridad en el ALBA
Suscerte trabaja con los centros de seguridad de las naciones ALBA para articular estrategias de seguridad conjuntas. Actualmente existe mucha comunicación con Argentina y Brasil.