lunes, 31 de octubre de 2011

Lima, Perú: Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 (Parte I)

Antes de empezar a leer este post recomiendo mirar primero el siguiente videito para tener una mejor referencia de que va el tema.


Tecnología: conocer los riesgos y aprender a usarla

Y luego de eso, también descargar el documento al que se hace referencia en el titulo de este post.
Plan Estratégico de Ciberseguridad Nacional Electrónico 2011 – 2015 Oficina Nacional de Gobierno Electrónico Pe-CERT

Y bueno, empezamos. Este antes de ser un post, lo considero unos apuntes y observaciones que voy a ir haciendo sobre el documento linkeado mas arriba (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015), y así poder enriquecerlo con actualizaciones y comentarios que se puedan dar.

Al abrir el documento en cuestión, en la segunda página que trata sobre la información general de dicho documento podemos observar aparte del nombre de dicho documento (Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ) se le llama también Proyecto, osea que (valga la redundancia) se le está dando el trato Proyecto. Tener esto en cuenta.

Aparte podemos observar que tiene el apartado llamado Versión (1.0), osea que para alegría de los que lo hayamos leído, se le pueden hacer cambios (ojalá que exista la voluntad de hacerlo).

Otro campo mas que aparece en dicha página de información es la de Documentos Relacionados, la cual aparece vacía. Aquí llega la primera observación. Es posible que un documento que se supone va a tener una llegada nacional no va a tener ningún tipo de documentación relacionada?. Vamos, si este es un plan que trata de resolver un problemática de Ciberseguridad Nacional, es posible que no tenga ningún tipo de documentación relacionada como análisis de riesgos o al menos un listado amplio de los problemas encontrados en el estado los cuales van a ser resueltos por dicho plan? Porque si esta es una solución a problemas que tenemos, mínimo tenemos que saber cuales son esos problemas no?

Bueno y siguiendo en el documento luego de ver el indice, que dicho sea de paso no cuenta con una sección de glosario de términos para explicar a los no entendidos en el tema las dudas en terminología usada, pasamos a la primera sección de Introducción.

La Introducción si bien es extensa, personalmente la veo útil. Introduce al lector al tema de gobierno electrónico, que vendría a ser la base de la cual se desprendería un plan de Ciberseguridad Nacional.

El segundo punto de Introducción a la Ciberseguridad que si bien describe la evolución y problemática de la Ciberseguridad, hubiera sido bueno que incluya una descripción mas concreta de lo que es específicamente la Ciberseguridad. Adicionalmente se puede leer el siguiente texto:

La tecnología utilizada está cambiando y el diseño de la planta evoluciona de sistemas propietarios, aislados y poco conocidos, a sistemas basados en tecnologías abiertas de uso común en TI y bien documentados en Internet, así como una mayor integración de los sistemas. 

Primero. A que planta se refieren? (glosario de términos). Segundo, la evolución de sistemas propietarios a tecnologías abiertas no es tal. Siempre vamos a encontrar sistemas heterogéneos.

Llegamos al tercer punto de Alcance. Como se mencionó al principio, al documento se le está dando el trato de un proyecto. y si leemos el siguiente link  Alcance (gestión de proyectos), podemos deducir que en esta sección de Alcance como mínimo se tendría que indicar cuáles son las instituciones involucradas y las medidas que se van a proceder a implementar. En ves de eso, en esta sección el documento en cuestión se cita a si mismo. 

ALCANCE: En este documento se desarrolla El Plan Estratégico de Ciberseguridad Nacional 2011 al 2015 – ONGEI - PECERT
Cuarto punto. Destinatarios. Esta sección la veo que está de sobra. Si se hubiera definido bien el Alcance, los destinatarios estarían incluidos dentro de esa sección. En lugar de eso se indica que los destinatarios son los funcionarios de la ONGEI, pero dicho documento fue realzado por la ONGEI. Osea de la ONGEI para la ONGEI. Eso no me termina de quedar claro, aunque puede ser de un grupo de trabajo a otro dentro de la ONGEI. De ser esto ultimo, tendran en los grupos de trabajo el recurso humano necesario para ello?

Quinto punto. Análisis Conceptual. Se desarrollan los conceptos de Gestión Pública, Sociedad de la Información, Gobierno Electrónico y Ciberseguridad. Esto también lo veo útil, pero (y voy a ser rajon) si se iba a desarrollar estos puntos, nos hubieran ahorrado a los lectores muchas lineas en las secciones anteriores de Introducción e Introducción a la Ciberseguridad no?

También en el análisis conceptual de Ciberseguridad podemos leer el siguiente texto:
A su vez en la respuesta deben tomar parte diferentes actores que hablan diferentes lenguajes, por lo que es necesario trabajar de manera concienzuda en la coordinación multidisciplinar en los campos científico, tecnológico, político, diplomático, económico, jurídico, militar y de inteligencia.
y si nos remitimos a la sección de Documentos Relacionados mencionada anteriormente en la que no aparece ninguna referencia a algún documento relacionado, se podría desprender que probablemente no se haya tomado en cuenta desde un principio en la preparación de este Plan de Ciberseguridad Nacional a algunos sectores mencionados en el párrafo citado (diplomáticos, jurídicos militares e inteligencia).

Sexto punto. Gobierno Electrónico Internacional y la necesidad de la Ciberseguridad. Se tratan los temas de Análisis General, Entorno General y Experiencias americanas y mundiales citando a los países Corea del Sur, EEUU, Canada, Reino Unido, Colombia, Chile, Uruguay y Brasil. En realidad este punto debería llamarse solamente  Gobierno Electrónico Internacional, debido a que no hay prácticamente ninguna referencia a la  necesidad de la Ciberseguridad. Solamente se menciona escuetamente cierta experiencia del Reino Unido. Esta sección hace mayormente referencia al tema de Gobierno electrónico dejando de lado el tema de la necesidad de la Ciberseguridad el cual deberia ser el tema central de dicho documento ( Plan Estratégico de Ciberseguridad Nacional 2011 - 2015 – ONGEI- PECERT ).


De momento esto es todo en esta primera parte. Las siguientes van a llegar mas pronto que tarde. Cualquier comentario, aporte, corrección o raje fino va a ser bien recibido.

1 comentario:

Alexa Fuentes dijo...

Inicialmente, la gestión de la ciberseguridad se ocupó de proteger la seguridad en la información en las organizaciones de una manera reactiva. Sin embargo, los cambios en el entorno han obligado a evolucionar hacia una visión de la ciberseguridad mucho más proactiva, que pretende prevenir la enfermedad y no curarla cuando ya apareció.