Uruguay: gobierno aprueba nuevo marco normativo de ciber-seguridad para evitar espionaje

El nuevo marco normativo, que fue presentado ayer en la Torre Ejecutiva por el prosecretario de la Presidencia, Diego Cánepa, se divide en tres lineamientos sobre políticas de seguridad: uno para los dominios de Internet que usa el Estado, otro para los correos electrónicos de la Administración y el último para determinar un protocolo de procesamiento de datos.

Con respecto a lo que implica a los dominios, se establecen reglas para el uso de gub.uy y mil.uy, utilizados por el Estado.

“Muchas veces se usa un domino para un proyecto puntual y después que este finaliza la web queda ahí. Eso lo único que hace es generar riesgos”, explicó a El País el responsable de CERTuy, unidad que depende de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic) -que estuvo a cargo de revisar los huecos a cubrir legalmente para evitar los ciberataques-, Santiago Paz.

El cambio en la política de uso de dominios incluye que cada uno tenga un responsable asignado y se haga un seguimiento a través del tiempo. Hoy, según precisó Paz, hay unos 500 dominios registrados por la Administración Central.

Correos.

El nuevo decreto también incluye cambios para mejorar la seguridad con los correos electrónicos. Se establece así que para comunicaciones oficiales solo se podrá usar el e-mail oficial. “Se busca evitar que se use Gmail o Hotmail”, precisó Paz.

También se establece que los servidores que administrarán los correos electrónicos oficiales deben estar en territorio nacional y que la comunicación entre servidores de e-mail de la Administración debe estar encriptada, de manera de evitar que un correo pueda ser interceptado por terceros y leído.

Datos.

También se establecen reglas para el procesamiento de datos oficiales. Y en este sentido se advierte que toda la información debe ser procesada adentro de territorio uruguayo.

“En caso de que haya una excepción se debe evaluar qué riesgo puede implicar esta. Es decir, si voy a procesar datos en otro país tengo que hacer un análisis de riesgo para evaluar qué riesgos puede implicar eso para los uruguayos”, señaló Paz.

También se enumeran técnicas de procesamientos de datos que eviten la pérdida total o temporal de la información. “Esto es, por ejemplo, para que un apagón no signifique que se corta un servicio, o que se rompa un disco duro y que por ello se genere un problema”, señaló el responsable de CERTuy.

Espionaje de EE.UU.

El año pasado se conoció que Washington había espiado a varios países de América del Sur, entre ellos Uruguay, desde la isla Ascensión, un pequeño territorio británico de ultramar.

Esto sería parte de un proyecto conocido Echelon, una red de espionaje y análisis para interceptar comunicaciones electrónicas, en el que participan Estados Unidos, Reino Unido, Canadá, Nueva Zelanda y Australia.

Sobre si este caso tuvo que ver con las medidas de seguridad decretadas, Paz señaló: “Lo que hizo el caso de Estados Unidos fue poner sobre la mesa una cantidad de tópicos que ya conocíamos desde hace mucho tiempo. Sirvió para que la opinión pública, y en especial los miembros de la Administración, tomaran conciencia”.

Aunque Paz advirtió que muchas de las cosas enumeradas en el decreto “se vienen haciendo desde hace tiempo”, reconoció que la normativa “mejorará el nivel de preparación” para evitar ataques.

Capacitación.

Por otra parte, Paz advirtió que la semana pasada se terminó de capacitar personalmente a 1.500 funcionarios de Presidencia. Esto consistió en cursos de una hora, cara a cara con cada uno de los trabajadores, en los que se los “alfabetizó en seguridad de la información”.

Los cursos se dividen en tres áreas: confidencialidad (que la información sea vista solo por quienes tienen autorización), integridad (que sea utilizada solo por quienes tienen autorización) y disponibilidad (que esté disponible siempre que se la requiera).

Paz señaló que quedan 500 funcionarios aún por capacitar que, “por un tema logístico”, recibirán sus cursos a distancia en los próximos días.

http://www.elpais.com.uy/informacion/decreto-gobierno-se-blinda-contra.html