INFORME CRÍTICO SOBRE LA AGENDA DIGITAL 2.0: SEGURIDAD DE LA INFORMACIÓN

Análisis crítico sobre el área de acción "Seguridad de la Información". Comparativa del Objetivo 5 "Desarrollo de un plan de seguridad de la información para el sector público" (D.S. N° 031-2006-PCM); y el Objetivo 7 "Implementar mecanismos para mejorar la seguridad de la información". (D.S. N° 066-2011-PCM).

I.       INTRODUCCIÓN

Los  últimos años del siglo  XX  se  han caracterizado  por  un acelerado  proceso de desarrollo  tecnológico.  La  influencia  particular  de  Internet  ha contribuido  a ponerle  un nuevo nombre  al mundo: “La Sociedad  de  la Información”.  No obstante, se observa  como obstáculo  su escasa  penetración  en  los países de  Latinoamérica, África  y Medio Oriente.

El presente informe trata de analizar un aspecto de los objetivos estratégicos referido al “Desarrollo de un plan de seguridad de la información para el sector público”; dentro del objetivo sobre la Administración del Estado de poder tener un trato horizontal en sus procesos con la ciudadanía y las empresas, proveyendo servicios de calidad, accesibles, seguros y oportunos; a través del uso intensivo de las TICs.   

II.       ANTECEDENTES

Las Tecnologías de la Información y la Comunicación (TICs), son los elementos básicos de la Sociedad de la Información, cumplen un importante papel para lograr el desarrollo social y económico de una sociedad hoy en día.

Pero en los últimos años, se ha cuestionado el por qué se debe invertir esfuerzos en promover estas tecnologías cuando al mismo tiempo muchos países en vías de desarrollo están intentando hacer frente a problemas relacionados con el suministro de agua, energía, salud, educación.

Quizás la respuesta a estas inquietudes está en la forma cómo se enfocan las políticas de desarrollo, generalmente estrategias no orientadas a cubrir necesidades de la mayoría. En el foro Anual de la Comunidad Económica Europea 2007, se precisó entre sus conclusiones que, “las nuevas tecnologías continúan siendo un importante motor para el crecimiento, la economía global está bajo un profundo proceso de transición, que llevará a una transformación de todo el sistema económico, combinando la economía clásica y la nueva economía (La Economía Digital)”.

Sin embargo a pesar de las enormes oportunidades ofrecidas por las TICs, su absorción por parte de los países en vías de desarrollo sigue siendo muy difícil, con el riesgo de que una gran parte de la población se vea fuera del proceso por falta de recursos para adquirirla o por desconocimiento de cómo aplicarla.

En el Perú, El Estado ha dado muestras que la aplicación de las TICs para mejorar y modernizar sus estructuras son necesarios; mediante Decreto Supremo Nº 031-2006-PCM del 20 de junio del 2006 se aprueba “El Plan de Desarrollo de la Sociedad de la Información – La Agenda Digital Peruana”, impulsado por la Comisión Multisectorial para el Desarrollo de la Sociedad de la Información – CODESI, en donde se plantean acciones, estrategias, metas y políticas específicas necesarias para el adecuado desarrollo, implementación y promoción de la Sociedad de la Información en el Perú.

Se debe entender a la Sociedad de la Información como el “espacio” en donde interactúan los usuarios y la tecnología; y producto de esta interacción se pueden definir estrategias de cómo usar y en donde, en que mejorar, quienes deben aplicar y en qué forma, las diferentes TICs para mejorar los procesos empresariales en general y la forma de hacer las cosas por parte de los usuarios en particular.

Cuando en 1999 Bill Gates (Cofundador y Director de Microsoft Corp.) en el libro “Los Negocios en la Era Digital”, mencionó: “…Los clientes (usuarios) son los primeros beneficiarios de la eficiencia cada vez mejor de la informática…”; estaba planteando los lineamientos por el cual deberían encaminarse las TICs, es decir, el escenario donde los usuarios directos sean los actores principales, en un marco de valores orientado al trabajo en equipo (Sociedad de la Información).

III.       DESCRIPCIÓN GENERAL

Los orígenes de la expresión “Sociedad de la Información” se remonta a los años sesenta, cuando empieza a percibirse que la sociedad evolucionaba hacia un modelo diferente, en el que el control y la optimización de los procesos industriales eran reemplazados por el procesamiento y manejo de información como claves económicas. 

Desde entonces, han sido numerosos los significados que se han atribuido a este término. Pero es en la década de los noventa cuando el progreso de las tecnologías de la información y la comunicación empieza a implantarse en los países desarrollados, generalizándose de este modo su uso. 

El Termino Sociedad de la Información nace para identificar esta nueva era en la que los sistemas de comunicaciones, ágiles y baratos, combinados con las tecnologías avanzadas de la información, van a provocar una renovación en todos los órdenes de nuestra vida. 

Sociedad de la Información, es el estado en el que se encuentran las sociedades en las que se implanta y se generaliza el uso de las Tecnologías de la Información y las Comunicaciones en los distintos ámbitos de la vida de los ciudadanos, de las empresas y las instituciones; y que a todos ellos se les permite acceder a la información y productos que se encuentran en formato electrónico sin limitaciones de tiempo y espacio. 

Dentro de la Sociedad de la Información, nos enfocaremos a dar alcances generales sobre un área de acción dentro de los objetivos estratégicos del cual será materia de análisis en el presente informe como sigue:

A.   Objetivo Estratégico 5:

“Acercar la administración del Estado y sus procesos a la ciudadanía y a las empresas en general, proveyendo servicios de calidad, accesibles, seguros, transparentes y oportunos, a través del uso intensivo de las TICs”.

Este objetivo está referido al desarrollo del Gobierno Electrónico que de manera integral concibe el uso de las tecnologías de la información y comunicación para construir una nueva forma de organización social en redes, interconectada y horizontal; una organización mucho menos jerárquica y vertical que las actuales instituciones estatales y con una relación más directa y abierta a los ciudadanos, verdaderos mandantes del Estado moderno. 

B.   Estrategia 5.1:

“Rediseñar los procesos de la administración pública para hacerlos más eficientes, transparentes y con un enfoque al usuario”.

Esta estrategia permitirá, mediante la generación de normas y el desarrollo de proyectos, analizar y estandarizar los procesos en las instituciones públicas, evitar duplicidad de esfuerzos, integrar sistemas de información del Estado, incluidos municipalidades y gobiernos regionales, para mejorar la calidad de atención a los ciudadanos y ampliar su cobertura. 

C.   Área de acción:

“Desarrollo de un plan de seguridad de la información para el sector público”.
De esta manera, desarrollamos el análisis y la situación actual del área de acción presentada. 

De acuerdo con la “Matriz del Plan de Desarrollo de la Sociedad de la Información en el Perú”, el plan de seguridad de la información para el sector público presenta medidas de desempeño para cumplir con los objetivos trazados, mostrando metas y las entidades responsables.

Analizaremos cada una de estas medidas de desempeño propuestos a fin de informar las metas establecidas y los objetivos alcanzados; así también la situación actual en la que se encuentra al cabo de varios años de haberse elaborado el Plan de Desarrollo de la Sociedad de la Información en el Perú, referido al área de acción dentro del objetivo estratégico en mención.

IV.       PLAN DE SEGURIDAD DE LA INFORMACIÓN (Sector Público)

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

Uno de los campos de acción en el Plan de Desarrollo de la Sociedad de la Información en el Perú, dentro del objetivo estratégico 5, es el referido al “Desarrollo de un plan de seguridad de la información para el sector público”, el cual presenta medidas de desempeño que se han establecido para desarrollar este campo de acción; así también las metas que se han llegado a cumplir según la “Matriz del Plan de Desarrollo de la Sociedad de la Información en el Perú” y los responsables a cargo.  

A.   Medidas de desempeño:

La presente área de acción tiene como medidas de desempeño a las siguientes:

§  Implementación de una unidad de respuesta a incidentes en temas de seguridad de la información.

Meta: A marzo 2006, el Estado cuenta con una unidad de respuesta a incidentes de seguridad en cómputo.

§  Programa de reducción de riesgos y vulnerabilidades cibernéticos a la infraestructura de información y comunicaciones del Estado.

Meta: A julio 2006, normativas para los programas de seguridad de la información aprobados.

§  Programa de capacitación en seguridad de la Información para el Estado.

Meta: A abril 2006, propuesta de programa de capacitación aproado.

§  Establecimiento de cooperación internacional en seguridad de la información.

§  Meta: A agosto 2006, aprobación de un convenio de cooperación en temas de seguridad de la información con organismo nacional o internacional.

Las metas dan a conocer que las medidas de desempeño se han dejado desarrollar para su cumplimiento según los objetivos trazados. Han pasado más de diez años desde la última actuación del gobierno peruano a poder consolidar este campo de acción referido al plan de seguridad de la información para el sector público.

Según la matriz en mención, muestra a los responsables a cargo del desarrollo, los cuales son los siguientes:

§  Presidencia del Consejo de Ministros (PCM).
 

La PCM, tiene como funciones y objetivos, promover, coordinar y articular, políticas nacionales con las Entidades del Estado, la Sociedad Civil y el Sector Privado, de manera participativa, transparente y concertada, ejerciendo rectoría sobre procesos de Modernización y Descentralización, Gobernanza e Inclusión Social y Económica.

La PCM es una organización moderna y competitiva, reconocida por su excelencia y liderazgo en la gestión pública, que contribuye al logro de un Estado Moderno, Inclusivo, Descentralizado y Competitivo.

§  Superintendencia de Banca, Seguros y AFP (SBS).

La Superintendencia de Banca, Seguros y AFP es el organismo encargado de la regulación y supervisión de los Sistemas Financiero, de Seguros y del Sistema Privado de Pensiones, así como de prevenir y detectar el lavado de activos y financiamiento del terrorismo.

Su objetivo primordial es preservar los intereses de los depositantes, de los asegurados y de los afiliados al SPP.

§  Todas las entidades públicas.

Algunas de las entidades públicas, responsables del cumplimiento de este campo de acción, son las siguientes:

-       Ministerio de Economía y Finanzas (MEF).

-       Ministerio de Educación (MINEDU).

-       Ministerio de la Producción (PRODUCE).

-       Ministerio de Justicia y Derechos Humanos (MINJUS).

-       Ministerio de Salud (MINSA).

-       Ministerio del Interior (MININTER).

-       Ministerio de Trabajo y Promoción del Empleo (MTPE).

-       Ministerio de Transportes y Comunicaciones (MTC).

-       Instituto Nacional de Estadística (INEI).

-       Banco Central de Reserva (BCR).

De esta forma analizamos cada una de las medidas de desempeño, teniendo en consideración el aspecto descriptivo, antecedentes, objetivos, metas cumplidas, aplicación en la realidad, y la situación actual en la que se encuentra.

4.1.      Implementación de una unidad de respuesta a incidentes en temas de seguridad de la información.

A diferencia del año 2000, ahora la ciberseguridad es un término que ya se conoce en sectores académicos, antes únicamente se mencionaba estos temas en sectores comerciales. 

A nivel de Estado, las fuerzas armadas peruanas  abordan estos temas en especial la ciberdefensa, les comento que en el caso del ejercito del Perú este ha firmado convenios formativos, lo cual se aplaude, quien escribe forma parte de algunos de los docentes que dan los llamados cursos civiles para las FF.AA. en materia de criptografía, informática forense y ethical hacking, lo cual antes era algo inconcebible sobretodo en la década de los 90 en donde se satanizaba quienes conocían o tocaban estos temas.

Los entes militares eran más herméticos a dar cabida a este tipo de actividades y no solo me refiero al sistema militar, recuerdo bien que en el año 2001, el estado peruano tuvo una amenaza del colectivo anonymous, quien indico paralizaría diversas webs ministeriales, lo preocupante en esa ocasión es la pésima reacción de las autoridades y jefes de informática, que ante la advertencia de anonymous, tuvieron una actitud y reacción nefasta, menospreciando y subestimando a los atacantes, indicaron en esa ocasión que el Perú era un país preparado para impedir estos ataques, lo cual demostró su desconocimiento en la materia, un error garrafal, al subestimar a un atacante el comportamiento de este se exacerba y magnifica, este duelo de soberbias del atacante y víctima, el afán de demostrar superioridad provoca situaciones muy esperadas, como entenderán tras estas declaraciones, no he vuelto a ver declarar a ningún jefe de dichas áreas en la prensa. 

Es innegable que cualquier web o servicio puede sufrir un ataque informático, allí lo que importa es el tiempo de respuesta para restablecer los servicios, sin embargo dando revisión a portales como “www.zone-h.orgvemos” que semanalmente diversas webs estatales son atacadas  exitosamente, solo mencionamos las paginas reportadas, porque muchos ataques realizados por colectivos de hacktivistas no son reportados en dicha web. 

En el campo educativo, ahora algunas universidades e institutos, han programado cursos dentro de la malla de especialidad de redes y seguridad que aborden estos temas, inclusive las entidades educativas superiores que están justamente en procesos de acreditación, proveen a los alumnos accesos a certificaciones oficiales relacionadas a los ejes de hacking y seguridad informática.

A nivel de la banca ASBANC “Asociación de Bancos del Perú” han creado una unidad de investigación forense, en diversos bancos ya cuentan con unidades de investigación forense lo cual es meritorio.

A nivel del Estado, han nacido y se han fortalecido diversas entidades, solicitando peritos informáticos forenses en el Ministerio Publico, Defensoría del Pueblo, Poder Judicial entre otros, se ha ejecutado el nuevo código procesal penal en el país, excepto la capital, lo cual da una idea de la magnitud del crecimiento en estos temas, en Perú contamos con una Ley de delitos informáticos, se ha conformado el equipo de respuesta ante incidentes informáticos, P-CERT, el cibercomando peruano el cual es manejado desde el ministerio de defensa  vienen desarrollando reuniones en diversas ciudades para la configuración del nuevo libro blanco de la defensa nacional, se dio apertura a licitaciones públicas en procesos de ethical hacking, implementaciones de equipos mediante licitaciones públicas, en el caso de la policía peruana, se han adquirido equipos para labor forense los cuales se manejan desde la DIVINDAT. En el caso de la ONGEI, esta estableció la agenda digital que enmarca el avance del país en temas de políticas de ciberseguridad.

Actividades formativas en estos últimos 5 años se ha descentralizado los congresos nacionales e internacionales e donde se aborden estos temas en las diversas partes del Perú, nació el Cyber Security Government y otros certámenes, por lo cual tenemos una clara visión de lo bien que se acoge estos temas, la celeridad de las redes sociales ayudo a poder visibilizar como estos temas han crecido en oferta y demanda.

Varios expositores peruanos han conferenciado en certámenes en países como son Ecuador, España, Bolivia, Colombia, Chile, Argentina, lo cual visibiliza el crecimiento del tema en el entorno peruano. No obstante siempre existen los malos “expertos”, que en vez de apoyar al crecimiento en el país,  se dedican a difamar y hablar pestes del estado peruano, de las fuerzas armadas y de todo aquel que aborde este tema, pero bueno eso ya se trata de madurez, en el caso de Mypes cada vez es más frecuente el robo de información, casos de ransonware, defacing, lo que obliga a buscar profesionales a conocer y  mantenerse actualizados en este tema.

4.2.  Programa de reducción de riesgos y vulnerabilidades cibernéticos a la infraestructura de información y comunicaciones del Estado. 

El sector público es centro vibrante de vida y economía modernas, cada vez más dependientes de las tecnologías de la información y la comunicación (TICs).

Junto con el crecimiento del valor económico de las TIC para las ciudades, crecen rápidamente también las amenazas. En este ambiente de seguridad, una estrategia para proteger la seguridad cibernética de un sector es crítica para gestionar los riesgos y aumentar la resiliencia. 

El gobierno seguro puede confiar en estar mejor posicionado para aprovechar las oportunidades y crecer. A nivel nacional, las autoridades lidian con principios, leyes, políticas y programas para mejorar la seguridad cibernética. 

El sector público se está convirtiendo en parte crucial de esta discusión porque es blanco también de ataques informáticos. El sector nacional tiene necesidades de seguridad práctica que no pueden esperar por políticas nacionales e internacionales para seguir el paso. Necesitan formas inmediatas para priorizar los riesgos y asignar roles y responsabilidades en aspectos clave de la seguridad cibernética. Además, el estado tiene que equilibrar costos, sistemas existentes y heredados y la administración de programas y sistemas nuevos.

Una estrategia de seguridad cibernética debería tener una serie de principios claros que propicien un marco de decisión en la identificación, gestión y mitigación de riesgos de seguridad, en forma tal que exista equilibrio entre los derechos civiles, el derecho a la intimidad, costos y otras prioridades en la puja actual hacia ciudades conectadas con la nube y la tecnología móvil.

Basada en el riesgo. Evaluar riesgos identificando amenazas, vulnerabilidades y consecuencias, y gestionarlos por medio de atenuaciones, controles, costos y otras medidas. 

Orientada a resultados. Centrarse en el estado final deseado en lugar de prescribir los medios para lograrlo, y medir el progreso hacia ese estado final. 

Establecer prioridades. Adoptar un enfoque gradual hacia las prioridades, reconociendo que interrupciones y fallas no son iguales entre los activos críticos o a través de sectores críticos. 

Factibilidad. Debe optimizarse para su adopción por el mayor número posible de activos críticos y para su implementación en el mayor rango posible de sectores críticos.

 Respeto a la intimidad y los derechos civiles. Debe incluir protecciones basadas en los Principios de Mejores Prácticas en lo referente a la Información (FIPPs) y otras políticas, prácticas y encuadres sobre privacidad y libertades civiles aceptadas internacionalmente. 

Influencia a escala nacional y global. Debe integrar los estándares nacionales e internacionales de forma lo más extendida posible, con la armonía en mente.

Antes de desarrollar una estrategia de seguridad cibernética, El Estado debería examinar su panorama de amenazas. El tipo de amenazas en línea que enfrentan los datos, sistemas e infraestructura de la ciudad han crecido en complejidad e incluyen de todo, desde software malicioso y spam hasta fraude en línea y actividades terroristas. 

El flujo de información es crítico para una ciudad en lo que atañe a su capacidad de mantener los servicios y conectarse con sus ciudadanos. Registros de salud, informes policiales e impuestos comerciales, todo contiene datos que deben ser protegidos. Aunque el uso inteligente de los datos es vital para mejorar los servicios públicos, también implica un incremento de información de identificación personal (PII) en riesgo. Las amenazas a los datos provienen primariamente de personas, aunque la pérdida de datos debido a desastres naturales (como inundación, tsunami o huracán) puede ocurrir. Algunas amenazas pueden no ser maliciosas, como la descarga involuntaria de software infectado. Por ejemplo, cuando un técnico insertó inadvertidamente una memoria USB infectada en una red de computadoras, el resultado del ataque del virus hizo caer el sistema de control de una turbina de una compañía eléctrica estadounidense durante tres semanas. Sin embargo, las amenazas suelen ser maliciosas, como el robo de información privilegiada o la corrupción de datos, o un hacker que instala un botnet o interrumpe servicios con un ataque DDoS.

Los sistemas digitales del Estado son vitales para la continuidad de sus operaciones. Los sistemas escolares utilizan herramientas en línea para agilizar el aprendizaje y para registrar y realizar el seguimiento del desempeño de los estudiantes. Los sistemas para el cumplimiento de la ley ayudan a la seguridad y protección de los ciudadanos. Los sistemas de comunicación de emergencias son cruciales durante tormentas o emergencias médicas. Si cualquiera de ellos fuera comprometido y causara una interrupción del servicio, los ciudadanos estarían en riesgo. Como con las amenazas a los datos, los sistemas pueden ser comprometidos por acciones tanto maliciosas como involuntarias.

La infraestructura, muchas entidades del estado son dueñas, operan o regulan su infraestructura crítica, como la red de distribución eléctrica, la provisión de agua, el transporte. Cada vez más estos servicios públicos clave están siendo sustituidos por sistemas basados en las TIC para mejorar su eficiencia, pero el incremento de la conectividad y la cada vez más extendida tercerización eleva la vulnerabilidad de las infraestructuras a los ataques informáticos.

El primer paso en el desarrollo de una estrategia de seguridad cibernética se enfoca en la identificación, análisis y evaluación de riesgos a gestionar. Los riesgos en el ciberespacio son típicamente pensados como riesgos para los sistemas de información que, en caso de explotar, podrían impactar negativamente en el bienestar económico  o en la seguridad pública de sus ciudadanos en grado significativo. Un enfoque basado en los riesgos debe contemplar la estructura general de sistemas para determinar dónde se producen las dependencias críticas y averiguar cómo mitigar las vulnerabilidades para reducir la probabilidad de fallas del sistema.

La modelización de amenazas puede ayudar a identificar los activos que el estado trata de proteger, además de aquello de lo cual quiere protegerlos. Un modelo de amenazas realiza un inventario de activos municipales clave y sus amenazas, determina la probabilidad de que esos activos necesiten protección, observa la capacidad  para defenderse contra las amenazas y determina las consecuencias de la inacción. Este enfoque permite a los líderes del estado identificar y mitigar potenciales problemas de seguridad tempranamente, mientras los problemas son relativamente fáciles y económicos de resolver. Categorizar las amenazas en línea (como se muestra en la tabla siguiente) puede facilitar la valoración de amenazas para luego desarrollar estrategias preventivas y reactivas específicas.

Las recomendaciones de la NTP-ISO 17799, Tecnología de la Información: Código de buenas prácticas para la gestión de la seguridad de la información en entidades del Sistema Nacional de Informática, son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls a aplicar y cómo se utilizan. En este sentido La Norma Técnica Peruana ISO-17799, fue emitida para ser considerada en la implementación de estrategias y planes de seguridad de la información de las entidades públicas. De acuerdo con la ONGEI, se entiende por política de seguridad al conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está permitido y qué no lo está en el área de seguridad durante la operación general de dicho sistema.

4.3.        Programa de capacitación en seguridad de la Información para el Estado.

La capacitación de los empleados de una organización es clave para el uso de los sistemas de información con las máximas garantías de seguridad, previniendo incidencias que, en el peor de los casos, pueden derivar en desastres mayores y en pérdidas para el negocio. Por ello, los estándares y requisitos legales de seguridad suelen incorporar aspectos de capacitación y concienciación del personal interno.

A tal fin, Ingenia participa con sus clientes en el diseño de planes de capacitación y concienciación, así como en su posterior ejecución a través de cursos presenciales de seguridad y cursos de e-learning a la medida de las necesidades concretas de formación.

4.4.        Establecimiento de cooperación internacional en seguridad de la información.

El término Cooperación para el Desarrollo no tiene una definición única, ni siquiera un nombre único, válidos para todo tiempo y lugar. Como concepto ha experimentado diversos cambios, en función del pensamiento, políticas y valores presentes en las relaciones internacionales. Los acontecimientos históricos de envergadura también han influido decisivamente en las interpretaciones, nombres y expresión práctica de este concepto.

En términos generales y sencillos, la Cooperación para el Desarrollo o Ayuda Oficial al Desarrollo o Cooperación Internacional se entiende como un conjunto de actuaciones y herramientas de carácter internacional orientadas a movilizar recursos e intercambiar experiencias entre los países desarrollados y los países en vías de desarrollo para alcanzar metas comunes estipuladas en la agenda mundial y basadas en criterios de solidaridad, equidad, eficacia, sostenibilidad, co - responsabilidad e interés mutuo.

La Cooperación Internacional busca el aumento permanente y la sostenibilidad de los niveles de desarrollo social, económico, político y cultural de los países en vías de desarrollo, mediante la erradicación de la pobreza, el fin de la exclusión social tanto en educación como en salud, la lucha contra las enfermedades infecciosas y la conservación del medio ambiente.

V.       ANÁLISIS FINAL 

El Plan de Desarrollo de la Sociedad de la Información en el Perú, ha ido mejorando en los últimos años hasta la actualidad de acuerdo con el área de acción desarrollada en el punto anterior, en sus diferentes medidas de desempeño. 

Respecto de la primera iniciativa por parte del Gobierno Peruano, al establecer el liderazgo en la planificación y ejecución de un conjunto de acciones que permitan el desarrollo articulado y sostenido de la Sociedad de la Información en el país, es que se plasmó el llamado “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana”. El cual hasta la actualidad viene desarrollándose para cumplir con los objetivos establecidos. 

A continuación se menciona las normas jurídicas que han sido creadas para el Plan de Desarrollo de la Sociedad de la Información:

§  Resolución Ministerial N° 181-2003-PCM de 4 de junio de 2003. Crea la “Comisión Multisectorial para el Desarrollo de la Sociedad de la Información (CODESI)”.

§  Decreto Supremo N° 031-2006-PCM de 20 de junio de 2006. Aprueban el “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana”.

§  Decreto Supremo N° 066-2011-PCM de 26 de julio de 2011. Aprueban el “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0”.  

Es así, que a continuación se realiza un análisis crítico final y comparativa del objetivo referido al “Desarrollo de la Seguridad de la Información para el Sector Público”; esto de acuerdo con el Objetivo 5 (D.S. N° 031-2006-PCM), y el Objetivo 7 (D.S. N° 066-2011-PCM).

Conforme a las normas legales que se han aprobado, promulgado y promovido su ejecución; esto respecto al área de acción: “Desarrollo de un Plan de Seguridad de la Información para el Sector Público” del Objetivo 5; y en comparación a la estrategia 4: “Implementar mecanismo para mejorar la seguridad de la información” del Objetivo 7, es que se ha desarrollado la evolución en el punto anterior (de acuerdo con las medidas de desempeño). 

A.   Objetivo 5 (D.S. N° 031-2006-PCM)

 “Desarrollo de un plan de seguridad de la información para el sector público”.

De acuerdo con las medidas de desempeño de la Matriz del Plan de desarrollo de la Sociedad de la Información en el Perú, no se ha impulsado la ejecución de los objetivos trazados, puesto que la mala gestión del Gobierno Peruano ha afectado en gran manera, no teniendo recursos económicos para el desarrollo del presente objetivo.

El Gobierno Electrónico no ha generado grandes cambios en la administración pública, respecto al uso de las NTICs y la mejora para los ciudadanos, y la relación de estos con el sector público.

Además la Gobernabilidad se ha visto afectado al no cumplir  con las demandas de la población respecto a la seguridad de la información.

Las amenazas cibernéticas han aumentado en el transcurso de los años, superando los límites de seguridad que la población demanda, y por ello el Objetivo 5, respecto al Plan de Seguridad de la Información en el Sector Público no se ha llegado a cumplir con las metas trazadas y los objetivos propuestos. 

B.   Objetivo 7 (D.S. N° 066-2011-PCM)

“Implementar mecanismos para mejorar la seguridad de la información”.

Con el transcurso del tiempo, y al ver que la seguridad de la información ha sido vulnerada, el objetivo 7 no se ha podido consolidar hasta la actualidad. Debido a la mala administración púbica que presenta nuestro país, la implementación de mecanismos para mejorar la seguridad de la información, no ha sido desarrollada.

A inicios del año 2016, el Banco Interamericano de Desarrollo (BID) y la OEA emitieron el Informe Ciberseguridad 2016, ¿Estamos preparados en América Latina y El Caribe? En dicho informe evaluaron los avances en cada país de la región, ubicando al Perú en un puesto intermedio e identificando los principales retos a afrontar. Algunos puntos resaltantes fueron los siguientes:

-       Perú actualmente no cuenta con una estrategia nacional de Ciberseguridad. No obstante, sí posee la mayoría de elementos necesarios para combatir las amenazas en el ciberespacio. 

ü  Desde 2005 existe en la Policía la DIVINDAT (División de Investigación de Delitos de Alta Tecnología) que se especializa en combatir delitos informáticos. Hasta antes de la creación de tipos penales específicos, la mayor parte de casos recibidos eran procesados como nuevas modalidades de estafa.

ü  Desde 2009 contamos con el PECERT, un órgano de coordinación dentro de la Administración Pública dedicado a enfrentar los ciberataques dirigidos contra los sistemas del Estado. Este modelo de CERTs es además el más común en el mundo.

ü  Desde 2011 tenemos la Ley de Protección de Datos Personales que busca crear un ámbito de protección sobre la disposición y uso de dichos datos por terceros.

ü  En el 2013, se renovó la Ley de Delitos Informáticos que cubre de cierta forma el vacío normativo que existía sobre algunos de los ataques más comunes: la vulneración de sistemas informáticos, entre otros. Esta norma posteriormente fue perfeccionada en 2014.

-       El Perú actualmente se encuentra en proceso de adherirse al Convenio de Budapest, que es un tratado internacional de cooperación sobre delitos informáticos. Actualmente quien es responsable de gestionar su aprobación e implementación es la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI).

-       A pesar de que existe literatura online en algunos portales web del Estado, la educación y concientización sobre las amenazas informáticas es muy baja en el país. Esto en parte se debe a la inexistencia de un plan nacional de Ciberseguridad, pero también a la falta oferta de programas de capacitación en estos temas.

De acuerdo con el análisis descrito, nuestra realidad sobre la seguridad de la información se encuentra muy alejado de las expectativas realizas y los objetivos trazados en el Plan de Desarrollo de la Sociedad de la Información en el Perú.  

III.       CONCLUSIONES FINALES 

La economía es el factor preponderante que influye de manera directa en el desarrollo de la Sociedad de la Información, ya que las grandes inversiones que se requieren solo son abordables si el entorno económico es favorable.

El uso de las tecnologías de las telecomunicaciones conduce a un nuevo escenario económico, con implicaciones y oportunidades de desarrollo de las diferentes regiones del país, convirtiéndose en la principal esperanza para generar un desarrollo económico sostenible. La relación entre tecnologías de las telecomunicaciones y economía es evidente, tanto por la dimensión económica del sector de las nuevas tecnologías, como por su impacto directo o indirecto en el resto de los sectores industriales y de servicios.

El desarrollo del plan de seguridad de la información para el sector público ha tenido muchas dificultades para consolidar sus medidas de desempeño a lo largo de todos estos años, desde su implementación y aprobación, hasta la última norma legal aprobada mediante D.S. N° 066-2011-PCM.

IV.       FUENTE DE INFORMACIÓN

§  Linkografía:

-       http://hiperderecho.org/2016/10/ciberseguridad-peru/

-       www.codesi.gob.pe

§  Dispositivos Legales:

-       Decreto Supremo N° 066-2011-PCM de 26 de julio de 2011. Aprueban el “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana 2.0”. 

-       Decreto Supremo N° 031-2006-PCM de 20 de junio de 2006. Aprueban el “Plan de Desarrollo de la Sociedad de la Información en el Perú – La Agenda Digital Peruana”.