Transformación digital y riesgos tecnológicos: Consideraciones de política pública
*Este artículo está escrito por Erick Rincón Cárdenas y Camilo Cetina.
A finales de 2020 la ciudad de Tulsa (Oklahoma, Estados Unidos), cuya población apenas supera los 400 mil habitantes, figuró en el Top-10 de la más reciente medición de ciudades digitales realizada por el Centro de Gobierno Digital de los Estados Unidos (CGD). De acuerdo con este reporte, Tulsa invirtió en modernas soluciones de datos durante el último año con su programa Urban Data Pioneers, que aplica análisis de datos para responder mejor a problemas críticos. Por ejemplo, modelos predictivos para comprender el riesgo de incendios domésticos, o el uso de Tableau para ayudar a las agencias de la ciudad a comprender mejor sus finanzas y tomar decisiones fiscalmente informadas.
Sin embargo, menos de seis meses después de ganado el reconocimiento, Tulsa fue víctima de un ciberataque que suspendió gran parte de los servicios ciudadanos digitales y obligó a la ciudad a cerrar su red, interrumpiendo las comunicaciones por correo electrónico municipal, así como los pagos de facturas en línea. Según un comunicado de prensa emitido por el gobierno de la ciudad, casi 19.000 archivos, incluidos miles de citaciones policiales de Tulsa, fueron robados el pasado 6 de mayo y compartidos en la web oscura a principios de esa misma semana.
El caso de Tulsa ilustra un fenómeno interesante: aunque la transformación digital aporta importantes beneficios, también aumenta la exposición a una variedad de riesgos tecnológicos derivados de un ecosistema digital interconectado. Fenómenos como la suplantación de identidad, la alteración de la información, el saboteo a su disponibilidad e incluso el abuso de función pública para actividades que van desde el tráfico de datos personales, tráfico de información privilegiada tributaria hasta el lavado de activos, presentan un complejo panorama de riesgos en la adopción de tecnologías digitales para la gestión pública.
En ese sentido, un buen punto de partida para realizar la gestión de riesgos consiste en contar con un marco general para impulsar un modelo práctico y coherente en todos los dominios de las Tecnologías de Información (TI), para de esta manera identificar y clasificar los riesgos. Cabe mencionar algunos de los más importantes como: (i) el riesgo de ciberseguridad, (ii) el riesgo de gestión de datos y (iii) el riesgo de operaciones de terceros.
El caso de la ciudad de Tulsa ilustra bien el riesgo de ciberseguridad, el cual está intrínsecamente relacionado con el robo de identidad. A partir de la virtualidad de todo tipo de operaciones y trámites, los ataques cibernéticos generalmente buscan acceder a datos personales y violar la privacidad para luego proceder con suplantaciones de identidad. Los ladrones de identidad, hacen un uso indebido de la información personal de las víctimas para promover una variedad de esquemas que implican entre otros: el uso indebido de cuentas existentes, la apertura de nuevas cuentas, obtención fraudulenta de beneficios, servicios o documentos del gobierno, fraude en la atención médica e intermediación de datos personales. Como consecuencia de lo anterior, solo en Estados Unidos, con la migración al trabajo remoto durante el último año, se ha registrado un aumento en los ciberataques en un 150% respecto al año inmediatamente anterior, buscando generalmente apoderarse de datos confidenciales y retenerlos como rehenes a cambio de un pago.
Así mismo, es importante identificar el riesgo por fallas en el monitoreo de datos. El monitoreo de datos es la práctica de recopilar, mantener y utilizar datos de forma segura, eficiente y rentable con el fin de prevenir usos indebidos. Por ejemplo, los datos de las tarjetas de pago robadas pueden desactivarse para emitir otras nuevas; pero si no existe un monitoreo constante de los datos, puede que transcurra tiempo considerable para que la institución detecte transacciones con datos robados. De acuerdo con la Asociación de Examinadores de Fraude, el monitoreo proactivo de datos se asoció con una reducción del 52% en pérdidas y fraudes detectados en el sector financiero.
El último riesgo referente a las operaciones de terceros, recalca la importancia de que cualquier organización esté segura que las terceras partes que contrata protegen el entorno tecnológico que desarrollan. Si la institución pública desea mejorar su capacidad de respuesta, gestionar sus activos digitales, cumplir con los acuerdos de licencia de software y/o gestionar de forma eficaz los incidentes y no tiene los conocimientos técnicos para hacerlo, es posible (y recomendable) para esta considerar contratar un tercero. No obstante, en la obtención de estos servicios de terceros, se deben estructurar acuerdos con cuidadosa consideración de la gestión de riesgos.
En efecto, los ciberdelincuentes se han vuelto extremadamente sofisticados cuando se dirigen hacia organizaciones y sus usuarios, ya que a menudo trabajan para identificar enlaces débiles ( entre el proveedor tecnológico y la organizaciones),que permitirán el acceso a datos privilegiados y altamente confidenciales, como los son los relacionados con finanzas, datos de clientes o propiedad intelectual. De acuerdo con el Instituto Ponemon, el 56% de las organizaciones ha tenido una brecha causada por uno de sus proveedores, razón por la cual, la debida diligencia debe incluir evaluaciones de seguridad para reducir la exposición de datos confidenciales. Es por este riesgo latente que, aun cuando un servicio sea desarrollado por un tercero, la estructuración de compra pública de servicios digitales debe desarrollar e implementar procedimientos adecuados de diligencia debida, contratación y monitoreo para todos los terceros, incluidos los proveedores de tecnología.
En estos casos, dependiendo de la actuación de cada organización será posible establecer diferentes mecanismos de control como: (i) Conozca a su cliente (KYC por sus siglas en inglés Know Your Customer), que consiste en la verificación de identidad de sus clientes, ya sea antes o durante el tiempo en que comienzan a utilizar la plataforma; (ii) Identidad digital, la cual puede traer consigo un procedimiento de autenticación dentro de la plataforma con herramientas “simples”, desde un usuario y correo hasta un documento nacional de identificación electrónico; (iii) Privacidad por diseño, que trata de la protección de datos a través del diseño de políticas de prevención dentro de la implementación de tecnología; y (iv) Firmas electrónicas o digitales, las cuales crean mecanismos seguros para permitir al usuario realizar determinada operación de modo seguro y verificable.
En conclusión, la determinación de los riesgos en materia tecnológica hace parte importante de la integridad requerida en los servicios digitales. Los controles de TI brindan garantías relacionadas con la confiabilidad de información y servicios. Estos controles van desde políticas generales de gobierno digital hasta políticas institucionales específicas de protección de acceso, habilitando la capacidad de rastrear las acciones y transacciones de las personas responsables. Teniendo en cuenta lo anterior, una vez definidos cada uno de los riesgos, se podrán implementar los controles de TI esenciales para proteger activos, clientes, socios e información confidencial; así como preservar la reputación y confianza de las plataformas que proveen servicios digitales a los ciudadanos y a los gobiernos.
*Erick Rincón Cárdenas – Abogado de la Universidad del Rosario, con postgrados en Derecho Financiero y Derecho contractual de la misma Universidad. Doctor en Derecho de la Universidad Europea de Madrid. Es Profesor Asociado de la Universidad del Rosario y Presidente de la Asociación Colombia Fintech.