YOBLAKA

INTRODUCCION

Sin mucho análisis podemos decir sobre la existencia de una marcada brecha entre el sector financiero y el resto en materia tanto de regulación sectorial como nivel de cumplimiento en ciberseguridad.

EL SECTOR FINANCIERO

En este sector los antecedentes de regulación en materia de seguridad informática y ciberseguridad datan desde el año 2003 con la circular SBEF 443 (la mas emblemática) y reforzada en el año 2013 con la circular ASFI 193.

No vamos a opinar ahora sobre la necesidad de actualizar este marco de cumplimiento siendo de por si el mas elevado respecto al resto de Autoridades de supervisión y consecuentemente todo el sector regulado, dado que existe la ley del menor esfuerzo lamentablemente “Si no es exigible, entonces no es importante”

Inclusive es la única Autoridad de supervisión con la certificación ISO 27001. Mas claro no podía ser.

Tambien el Banco central de Bolivia es regulador en materia de IEP - Instrumentos electronicos de pago: Banca digital, Tarjetas, Billetara movil generando requisitos minimos de seguridad.

EL PROBLEMA EN EL RESTO DE SECTORES

Ninguno del resto tiene regulación significativa. La ATT ha generado la ley de telecomunicaciones y TICs que es muy básica y algunas disposiciones, pero no un marco de cumplimiento para apoyar el desarrollo de este sector. Lo mismo que la AE responsable del sector eléctrico donde la prioridad como en la ATT siempre ha sido la provisión del servicio que de por si no esta mal, pero no deja presupuesto para potenciar el sector en ciberseguridad.

Si entendemos que ahora en el contexto de la banca digital muchos temas de ciberseguridad están ligados a la autenticación utilizando el teléfono celular entonces parte del problema esta en el sector telecomunicaciones. Ya hemos visto como el FRAUDE por suplantación por reposición de SIMCARD permite a un delincuente apropiarse del alinea telefónica y consecuentemente del factor de autenticación.

El resto de sectores tiene muy poca actividad como por ejemplo el sector SALUD con una intención de regular el tema de TICS recién en los últimos años. Cabe resaltar que en ciertos sectores prima más la privacidad de datos personales que tampoco tiene un marco de cumplimiento suficiente y que vaya más allá de los derechos fundamentales expresados en la constitución política del estado.

Si sumamos que el sector salud tiene datos muy personales de los pacientes entonces dejamos a merced de los ciber delincuentes toda esta información.

No es suficiente tener algún que otro artículo en el marco de cumplimiento legal, necesitamos que cada autoridad de supervisión entienda su rol respecto a la ciberseguridad en un mundo cada vez mas digitalizado. Si el sistema completo no logra un nivel uniforme, no podemos pensar en la ciberseguridad a nivel país.

De igual manera en materia de control para entidades publicas la misma Contraloría no ha generado un marco adecuado para la explotación de las tecnologías y sistemas de información, mas aun sobre ciberseguridad. Todo esto por ejemplo recae en la ausencia marcada de una política país sobre ciberseguridad como están generando países vecinos.

CONCLUSION

Si no generamos un marco exigible no avanzaremos. No es suficiente entender a nivel técnico, necesitamos definir un marco base que vaya subiendo cada año para lograr un nivel aceptable como país. No es un tema que el color político y la línea ideológica pueda regular. Los ciber ataques son muy incluyentes y solo necesitan una conexión vía internet, entonces no es lógico decir que el país va a desarrollar sin la tecnología de la información y su consecuente nivel de CIBERSEGURIDAD. No hay coherencia en ese discurso.

Nos seguimos rezagando como país