Columna de Opinión

Autor: Lic. Jorge Nunes, Presidente de la Asociación de Auditoría y Control de Sistemas de Información (ADACSI).

La Tecnología informática y el control: Modernización, Innovación y Gobernabilidad

Introducción: Impacto de la informática en la sociedad actual

Hasta hace no muchos años, cuando se hablaba de computación y de tecnologías de la información y comunicación (TIC), venía a la mente una computadora, una impresora y un diskette y, más recientemente, la navegación por internet. Hoy eso ha cambiado. El alcance es más amplio, dado el gran avance de las comunicaciones, las capacidades inalámbricas y la proliferación de los dispositivos móviles y servicios electrónicos que se prestan en la “nube”.

Una característica de estos tiempos son las redes sociales, que han conectado a las personas de una manera distinta, que han permitido relacionarse, reencontrarse, comunicarse. Este fenómeno que crece día a día, ha incorporado en la cultura social el manejo de la tecnología, el concepto de “tiempo real”, los problemas típicos de las comunicaciones y del software, y los conceptos de “app” y “upgrade”, que para generaciones anteriores era algo inentendible.

Todo ello favoreció la expansión del correo electrónico, la banca en línea, las clases no presenciales (educación on line¬) y se está incorporando un nuevo concepto de Internet de las cosas (IoT, por las siglas en inglés Internet of thinks). Esta Transformación Digital conlleva un cambio de mentalidad, es la transformación de la organización e implica la transformación de las personas.

A su vez, genera oportunidades estratégicas de incorporar nuevas tecnologías, pero sobre todo, nuevas lógicas, para que el servicio sea más eficiente. Por lo tanto, en las organizaciones se debe actualizar el modelo de servicio, dándole un enfoque sistémico, alineado con la exigencia de las personas que tienen “cultura digital”.

Para ello se debe tener, entre otras cosas, un mayor conocimiento de la realidad, de las tendencias del momento; entender qué es lo que ha cambiado concretamente y del motivo o motivos por los que se ha producido dicho cambio. Esto nos permitirá saber de qué manera podremos relacionarnos con las personas en el entorno digital.

El Estado, transformación clave

Cuando nos preguntamos sobre "aplicaciones informáticas en el Estado" nos referimos a los sistemas que se utilizan para mejorar los servicios que brinda un gobierno a sus ciudadanos. Cuando se incorpora tecnología y no se desarrollan nuevas formas de gestión y de actividades (reingeniería de procesos) se genera un concepto de modernización aparente.

En muchos casos la tecnología se adapta a la estructura vigente sin modificar los procesos, se automatizan tareas que antes se realizaban manualmente, sin analizar ni evaluar su necesidad o su optimización, brindada por las bondades de las nuevas herramientas; las normas no se adecuan y los circuitos que quedan vigentes terminan entorpeciendo los procesos.

Las organizaciones deben ser rediseñadas, deben transformar su estructura, alcance, mecanismos de gestión, con reportes e indicadores de control, implementación de mejores prácticas, nuevos flujos de trabajo y brindar mejores servicios.

Para lograr un impacto en el servicio al ciudadano y obtener una verdadera innovación de los procesos de las organizaciones, se deben tener en cuenta ciertas premisas que son clave para el éxito de cualquier proyecto de modernización. A continuación se describen algunas de estas premisas:

1) Necesidad de los ciudadanos (principalmente de los millennials). En general los ciudadanos requieren interacciones integradas entre múltiples servicios y no una acumulación de múltiples interacciones inconexas.

• a. Capacidad de autoservicio: el objetivo es darle más efectividad al proceso, de agilizar y ofrecer mayor comodidad al ciudadano relacionado con el tiempo, modo y lugar de hacer los trámites. Esta opción hoy puede ser implementada por la capacidad que ha adquirido la sociedad en el manejo de la tecnología y el cambio cultural que fue expuesto en la introducción de este artículo.
• b. Acceso móvil a los servicios: acceder a los servicios en forma remota, las 24 horas, los 365 días del año (24x365), a través de un dispositivo móvil o conectado a una red. Tiene para los ciudadanos un valor incalculable y le permite disponer de más tiempo para sus necesidades.
• c. Seguridad: un tema clave en toda esta transformación y nueva forma de conectarse. En la medida que los procesos no sean seguros, no brinden un adecuado control y no se encuentren disponibles (24x365), se corre el riesgo de perder confiabilidad e imagen, además de alguna acción o reclamo legal por falencias en los procesos.

2) Mejor atención:

• a. Brindar servicios a través de diferentes canales (omnicanalidad): obliga a tener unificado el proceso y disponible en forma homogénea. No es posible ofrecer servicios por distintos canales, con diferentes requerimientos o distintas condiciones.
• b. Aumentar la funcionalidad: al incorporar más canales de atención, se mejora el servicio y se le brinda al ciudadano alternativas acorde a sus necesidades.
• c. Transformar experiencias del ciudadano: como fue expuesto en el punto anterior, en la actualidad el ciudadano tiene la experiencia suficiente para utilizar distintos medios y recursos tecnológicos. Esto facilita la implementación y ahorra el costo de agregar a los proyectos la capacitación del usuario, situación que hace algunos años no existía.

Seguridad de la Información y Ciberseguridad

Un elemento clave expresado en párrafos anteriores se refiere a la seguridad que se debe brindar a los ciudadanos cuando realizan transacciones a través de los portales de la Administración Pública, y el debido cuidado que debe tener el Estado en el manejo de la información que almacena. Se puede definir la seguridad informática como la disciplina que se encarga de proteger la integridad y privacidad de la información almacenada en los sistemas informáticos, garantizando integridad, disponibilidad y confidencialidad.

Para ello, se debe hacer un poco de historia y recordar que a partir de la década del 80, la computadora personal (PC) comienza a popularizarse y se empieza a tomar conciencia sobre la integridad de los datos almacenados. Ya en los años 90 se hace alarmante la aparición de virus y gusanos que atacan a los usuarios de PC´s y a equipos conectados a redes y a internet. Además, comienzan los ataques a sistemas informáticos y aparece el concepto de hacker. A partir del año 2000, los eventos de riesgos materializados hacen que se comience a implementar muy seriamente la Seguridad de la Información. Como puede observarse, la Seguridad de la Información es una disciplina que se incorpora por necesidad y es contemporánea a la evolución de la tecnología. Además, populariza los términos de cifrado/descifrado, criptoanálisis, firma digital, etc., todo ello con el fin de incorporar protección a la información almacenada y transportada.

En encuestas realizadas sobre esta disciplina, se ha detectado que no todos los Organismos tienen dentro de sus estructuras orgánicas una función específica de Seguridad de la Información.

En el último año y principio de este, hubo acontecimientos que generaron alerta mundial a Empresas y a Estados, por haber recibido ataques cibernéticos a sus sistemas informáticos a través de las redes, por lo tanto, el concepto de proteger la información pasó a ser una función crítica para todas las Organizaciones e individuos. Ya no se trata de una intrusión a las bases de datos o robo de información, sino que hablamos de robo y costo por el rescate de los datos (ransomware).

Para lograr mitigar estos riesgos, se deben proteger los activos críticos digitales, abordando las amenazas a la información procesada, almacenada y transportada por los sistemas de información interconectados (Ciberseguridad). La Ciberseguridad es un campo complejo y en constante evolución, por lo tanto requiere de profesionales calificados que comprendan los fundamentos y conceptos sobre la tecnología informática y comunicaciones (TIC) y la implicancia que conlleva el uso de estos elementos.

Los conceptos de la Ciberseguridad son varios, en este caso se mencionan sólo dos, considerados básicos:

1) Contexto: la responsabilidad sobre el funcionamiento y la seguridad de las TIC es de la máxima jerarquía del Organismo, quien tiene además las decisiones estratégicas, las autorizaciones de adquisiciones informáticas, y debe evaluar el rendimiento de las TIC y velar por el cumplimiento de leyes, normas y reglamentaciones. Es decir, debe ejercer el gobierno de la tecnología informática, que incluye la función de gobierno de seguridad en TIC y la Gestión de la Seguridad en TI, y contempla la Ciberseguridad.

2) Concientización situacional: la Ciberseguridad tiene un papel significativo en el ciberespacio actual, el cual se encuentra en una evolución permanente, por lo tanto, para evaluar el riesgo y sus consecuencias, se debe tener en cuenta en el ámbito de las infraestructuras críticas.

Para proteger con éxito los sistemas y la información, los profesionales deben demostrar un alto grado de conciencia situacional.

Cada Organismo tiene su propia cultura, lo que significa que las condiciones varían de una organización a otra. Por lo tanto, es fundamental que los profesionales de la Ciberseguridad tengan una comprensión del entorno en el que operan y una conciencia continua para identificar las amenazas que afectan a otras organizaciones e industrias, para asegurar que se mantenga el conocimiento pertinente. Resulta primordial para esta toma de conciencia una comprensión de los factores claves (servicios/tecnología) que afectan la seguridad de la información.

Asimismo, nuevas tendencias en movilidad y conectividad presentan más variedad de desafíos que nunca, ya que los nuevos ataques continúan desarrollándose junto con las tecnologías emergentes.

La responsabilidad de proteger estos activos recae en las partes interesadas, para quienes estos activos tienen valor. En consecuencia, los responsables deben tener en cuenta las amenazas al evaluar el riesgo de estos activos, ayudando de esta forma al proceso de selección del control. El control tiene como objetivo¬ reducir las vulnerabilidades e impactos y minimizar los riesgos a nivel aceptable. También los controles deberán ser monitoreados y revisados para asegurar que cada uno funcione en forma adecuada para contrarrestar el riesgo para el que fue diseñado; manteniendo una adecuada relación entre el costo del control respecto del valor del riesgo mitigado.

Conclusión

Es de esperar que lograda una solución moderna e innovadora para los procesos de las organizaciones se generarán resultados favorables de forma rápida y eficiente.

Es necesario iniciar el proceso de modernización y aprendizaje para incorporar tecnología en los Organismos, junto con el cambio cultural que ello implica, en lo inmediato y de forma eficiente, con el fin de generar una plataforma tecnológica adecuada, procesos sistemáticos y gobernabilidad en TI, que puedan soportar los servicios de manera segura y controlada.

Esta es una necesidad real dado que se está avanzando en forma acelerada en la interconexión digital de objetos con internet (internet de las cosas, IoT), lo que hoy se llama la Revolución Digital, es decir, las relaciones entre los objetos y las personas... tema para abordar en un próximo análisis.

ISSN electrónico 2718- 6784