El recién designado Delegado Presidencial de Ciberseguridad, Mario Farren, en una de sus primeras entrevistas, dada a El Mercurio el 15 de junio; mencionó dos aspectos fundamentales de los que la institucionalidad de ciberseguridad nacional deberá hacerse cargo.
En primer lugar, señaló la necesidad de enfrentar la protección de las infraestructuras críticas de manera transversal desde los frentes privado, público y desde el sector Defensa. No deja de ser interesante esta declaración de Farren ya que es, quizás, la primera vez que desde el ejecutivo se hace explícito un potencial rol para la Defensa en la protección de las infraestructuras críticas; erradicando con esas declaraciones añejas visiones de limitar solo a situaciones de crisis interestatales o casos de conflictos, la contribución del Sector Defensa en este ámbito.
Ojalá que esta afirmación inicie de una vez la postergada discusión tendiente a dimensionar el alcance de dicho rol y que, a su vez, el Sector Defensa tome la positiva iniciativa de explicitar cual es su propuesta al respecto y hacia donde apuntan sus actividades en el ciberespacio, más aun cuando la vigente Política de Ciberdefensa recoge, específicamente en su artículo 4.1, los argumentos de Farren.
El segundo aspecto relevante de las declaraciones del nuevo Delegado Presidencial, es el de la necesidad de generar análisis estratégico para anticiparse a los riesgos, lo que en la actualidad, según sus palabras, no ocurre. Esta es una potente afirmación y no debería dejar indiferente a quienes están preocupados de la ciberseguridad, pues constata crudamente la que parece ser la mayor carencia de Chile en su esfuerzo de ciberseguridad nacional: la ciberinteligencia estratégica.
Sin nombrarlos, Farren alude a los elementos que permiten lograr una adecuada conciencia situacional de ciberseguridad; es decir, aquel conocimiento que permite conocer tanto la condición propia, como la del adversario y la del entorno. Mientras que la situación propia permite identificar vulnerabilidades y falencias, el conocimiento de la situación del “adversario” permite contrastar aquellas con sus capacidades e intenciones. Ambos conocimientos por cierto son complementarios para generar los escenarios de riesgo, anticiparse a los peligros y orientar el esfuerzo de ciberseguridad.
Es por eso que el notable esfuerzo que está desarrollando el CSIRT de Gobierno dependiente del Ministerio del Interior, en especial con los mecanismos de difusión de amenazas detectadas y el mejoramiento de las medidas de seguridad al interior del Estado; podría potenciarse aun más solucionando la carencia mencionada por Farren, ya que la inteligencia anticipatoria provee de elementos de juicio para una mejor toma de decisiones en todos los niveles de conducción incluyendo la reacción.
Por lo mismo, llama la atención que en ninguno de los esquemas de la institucionalidad provisoria de ciberseguridad nacional dadas a conocer por su antecesor, no se le haya asignado rol alguno a la Agencia Nacional de Inteligencia (ANI), organismo que por naturaleza debiera proveer dicha inteligencia estratégica y anticipatoria.
Tal irrelevancia es preocupante porque deja un vacío en el proceso de producción de ciberinteligencia que no necesariamente puede ser cubierto por la inteligencia del sector Defensa o Policial, ni por los mecanismos de colaboración entre CSIRT gubernamentales.
Demás está decir que el rol de la ANI en esta materia, y su eficacia por cierto, son materias que pueden discutirse públicamente en casi todos sus aspectos sin afectar la seguridad nacional, incluyendo visión estratégica, propósitos y objetivos; no discutir sobre ello apelando a la necesidad de mantenerlas en secreto es solo una excusa.
Es de esperar que en este segundo impulso que se le dará a la ciberseguridad nacional se apunte, por un lado, a la coordinación de nuestra naciente institucionalidad para potenciarla por medio de la colaboración activa de todos los actores; se refleje en los proyectos de ley respectivos una visión estratégica que fomente la conciencia situacional, como insumo de estrategias e iniciativas para generar una ciberseguridad efectiva y, finalmente, se impulsen los cambios necesarios en la ANI para que la ciberinteligencia nacional tome, por fin, el rumbo que requiere para que produzca, por lo menos, los análisis estratégicos anticipatorios que echa de menos Mario Farren.
Gracias por visitar el blog.
Héctor Gómez Arriagada 