La seguridad por bandera

Ángel Barroso Chico

Agencia Digital de Andalucía.

El intercambio electrónico de documentos (EDI) se ha convertido en una herramienta fundamental en la relación entre el ciudadano y la Administración Pública – también internamente en la interrelación entre los propios organismos de la administración -. Agiliza la comunicación, crea un registro evidenciable de las transacciones realizadas en ambos sentidos (Ciudadano <-> Administración, Administración <-> Ciudadano) y evita la pérdida de tiempo necesaria para la atención presencial de las peticiones. Baste decir que ahorra el tiempo innecesario que el ciudadano dedica a desplazarse a las oficinas de las administraciones necesarias y, por otra parte, permite a la administración optimizar el tiempo y número de recursos necesarios para atender la típica “ventanilla”.

Todos recordamos el famoso episodio de la película “Las doce pruebas de Astérix”. En él, el noble galo tiene que lidiar con la burocracia romana. Hasta tal punto llega el caos, que los mismos burócratas acababan enloqueciendo víctimas de sus propias formalidades administrativas. Un ejemplo cómico pero que ilustra perfectamente el caos en que puede llegar a convertirse el “diálogo entre las partes”.

Es evidente la mejora que supone la facilidad y comodidad que supone la interrelación electrónica, pero, puesto que en estas circunstancias los interlocutores no llegan a “verse”, también que genera una complicación implícita: Garantizar la autenticidad de la comunicación.

En este mundo “moderno”, tan habituado a las estafas electrónicas, se hace imprescindible acreditar que la existencia y las comunicaciones, tanto del ciudadano solicitante como del gestor de la cosa pública (ya sean personas físicas o jurídicas), son reales y no han sido alteradas por el camino.

Por este y otros muchos motivos es necesario securizar todo proceso administrativo. Sin duda, la ciberseguridad se ha convertido en piedra angular de todo tratamiento electrónico de datos en la Junta de Andalucía, que se está dotando tanto de recursos como de personal para conseguir un nivel de respuesta adecuado a los requisitos que los nuevos procesos están reclamando.

¿Qué herramientas se están empleando para ello?

  • Firma electrónica.
  • Medidas de ciberseguridad.
  • Formación en ciberseguridad.

Analicémoslas a continuación.

Firma electrónica

Como paso previo a cualquier comunicación electrónica, tanto el origen como el destinatario de las transacciones han de acreditar su existencia “física/jurídica” ante un intermediario en el que ambos confían – en la mayoría de los casos la Fábrica Nacional de Moneda y Timbre (FNMT) -. Se trata de una entidad certificadora que acredita la correspondencia unívoca entre el comunicante y un token digital que se le entrega a modo de aval electrónico. Ese token se denomina Firma electrónica.

El funcionamiento de la Firma Electrónica consiste en una operación en varios pasos:

 

  • Se aplica al documento un algoritmo matemático que crear una huella digital llamada hash. Este hash es un número que identifica de forma inequívoca el documento.
  • El hash se encripta usando la clave privada del firmante.
  • El hash encriptado y la clave pública del firmante se combinan en una firma digital, que se agrega al documento.

Para verificar la autenticidad del documento, el receptor debe tener un programa que soporte firmas digitales. En nuestra comunidad autónoma el programa “AutoFirmaJA” usa la clave pública para desencriptar el clave hash. Luego calcula un nuevo hash para el documento. De este modo puede comparar el hash calculado con el hash desencriptado; si coinciden, el documento no ha sido modificado. Así, mismo el programa valida que la clave publica usada en la firma pertenezca a la persona/entidad nombre que lo haya firmado.

En la actualidad, la Junta de Andalucía está integrando el uso de la firma electrónica para permitir el acceso en sus aplicaciones horizontales más importantes (SSO, Single Sign-on), así como en los procesos de verificación y validación del intercambio de documentos electrónicos.

Medidas de ciberseguridad

Dicen que la mejor manera de prevenir un ataque es conocer al enemigo. MITRE ATT & CK es una base de conocimiento accesible a nivel mundial de tácticas y técnicas basadas en observaciones del mundo real sobre las amenazas a la seguridad cibernética. Ésta, muestra de manera organizada las distintas etapas de los ataques, desde el acceso inicial al sistema hasta el robo de datos o el control de la máquina. Da recomendaciones para las plataformas de escritorio más comunes (Linux, macOS y Windows), así como para plataformas móviles.

Se pueden aplicar medidas de todo tipo, pero entre las más recomendables y que figuran en el catálogo de mitigaciones de MITRE encontramos:  

  • Mantener actualizados los productos antivirus de la entidad y verificar que están activadas las opciones de detección de comportamiento sospechoso en los endpoint.
  • Verificar las políticas y el correcto funcionamiento de las herramientas de backup del organismo.
  • Restringir el acceso a ficheros y directorios en unidades locales y de red.
  • Evitar que el usuario pueda instalar HW y SW sin autorización.
  • Implementar una herramienta de DLP (Data Loss Prevention). Algunos productos AV ya lo incluyen entre sus funcionalidades.
  • Formar al usuario en el correcto uso de las herramientas informáticas y en la detección de intentos de phishing, ingeniería social, y manipulación de sistemas.
  • Utilizar una herramienta SIEM para la recopilación y análisis de LOGS.

En cualquier caso, todas las recomendaciones de MITRE, junto con el uso de herramientas EDR/SIEM (Endpoint Detection and Response/Security Information and Event Management que combinan IA y BigData), son de utilidad y el responsable de Seguridad del organismo debe hacer patente su importancia ante los directivos de su entidad.

Formación en ciberseguridad

La formación en Seguridad debe ser un aspecto integral en el currículum de todo empleado de la administración pública. Tenemos como ejemplo la Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.

Como ya se está haciendo en algunos casos, es recomendable distribuir periódicamente boletines de Seguridad y documentos de buenas prácticas entre los usuarios de los distintos organismos. Por otra parte, el Instituto Andaluz de Administración Pública (IAAP), entre sus campañas de formación anuales incluye formación tanto a nivel de usuario como a nivel técnico sobre ciberseguridad.

A riesgo de repetirme y enlazando con una de las recomendaciones de MITRE, es importante insistir en la importancia de formar adecuadamente tanto al ciudadano como a la administración en la necesidad de garantizar un uso correcto y veraz del EDI.

Según algunos informes, el 78 % de los departamentos TIC que consiguen detectar ataques selectivos en minutos emplean alguna solución de seguridad (SIEM) en tiempo real. Por ello, es necesario implementar una solución de este tipo en los organismos que lo precisen. Pero teniendo en cuenta que el factor tiempo de reacción es decisivo a la hora prevenir y/o detener una posible amenaza, considero necesario contar de partida o en su caso la creación de un equipo de técnicos con capacidad para utilizar eficazmente herramientas SIEM para detectar ataques selectivos. A mi juicio, estimo que – virus y ransomware aparte – en el caso de la Administración Púbica, por la naturaleza de los contenidos que gestiona, la prevención de fuga de datos es la amenaza a la que con más probabilidad está sometida. Por último. como obstinadamente recalco en mi exposición, es necesario concienciar al personal de los departamentos de Seguridad en aprovechar la información y las herramientas disponibles en el ámbito tecnológico para estar alertas y valorar adecuadamente cualquier indicio de ataque.

Conclusión

Confío en que en los tiempos en los que nos movemos todos ya somos conscientes de la complejidad de los problemas asociados a una falta de atención apropiada a la seguridad en las comunicaciones electrónicas y también de los esfuerzos que la Administración debe y está realizando para garantizar y mejorar la respuesta que se da a las necesidades de los ciudadanos, a fin de cuentas… trabajamos para ellos.

Así pues, enarbolemos la bandera de la Seguridad y tengámosla presente en nuestro día a día digital, damas y caballeros.

Fin.

Referencias

Si te ha gustado este artículo, encontrarás más contenidos interesantes en nuestra sección “Actualidad”.

Y no dejes de ver qué tenemos publicado en los distintos números de EnRed@2.0.