Pocos progresos en ciberseguridad y protección

Pocos progresos en ciberseguridad y protección

La cobertura de Ottawa es incompleta y no contempla protección a infraestructuras estratégicas.

OTTAWA.- Existen vacíos y debilidades en los mecanismos que el gobierno federal ha implementado para enfrentar ataques cibernéticos, reveló un nuevo informe del Auditor General de Canadá, Michael Ferguson.

El documento señaló que el progreso fue más lento entre 2001 y 2009, cuando las redes de ordenadores fueron evolucionando rápidamente y las amenazas al gobierno y al sector privado fueron evidentes.

Ferguson aceptó que la situación ha mejorado desde 2010, cuando el gobierno anunció una estrategia y un plan de ciberseguridad para proteger la infraestructura estratégica. Sin embargo, el Auditor advirtió que la cobertura de Ottawa es incompleta.

Se citó al Centro Canadiense de Respuesta de Incidentes Cibernéticos (CCIRC) para el escrutinio, establecido en 2005, con el mandato de compartir información sobre seguridad cibernética y monitorear las amenazas las durante las 24 horas del día.

Ferguson dijo que esta agencia no funciona, opera de lunes a viernes. Actualmente, el centro opera en horario de oficina de lunes a viernes, con un solo miembro del personal de guardia después de horas habituales.

El informe señaló que el gobierno planea ampliar el horario del centro y mantenerlo abierto los siete días de la semana. Pero la pregunta de Ferguson es si eso será suficiente. “Como el CCIRC no está funcionando todo el día.

Se corre el riesgo de un retraso de la información crítica relacionada con las vulnerabilidades recién descubiertas, o eventos activos cibernéticos reportados a CCIRC después de las horas de funcionamiento.”

El informe también señaló que, si bien se supone CCIRC es para compartir información sobre las amenazas informáticas en todos los departamentos del gobierno federal, así como con las provincias y el sector privado, se han producido fallos en la comunicación. Cuando los auditores consultaron a los propietarios y operadores de infraestructura del sector privado, se encontraron algunos nunca habían escuchado de CCIRC.

El informe también encontró que en un supuesto caso de que los ordenadores del gobierno federal fueran atacados por piratas informáticos, “el CCIRC no es notificado por los departamentos afectados hasta después de una semana de que la intrusión fuera descubierta, en contra del procedimiento”.

Agregó que CCIRC transfirió en 2011 la responsabilidad de proteger los sistemas de información del gobierno de Canadá a Communications Security Establishment, ESCI, que no ha estado proporcionando CCIRC con información oportuna sobre sus conclusiones.

La seguridad cibernética fue sólo una de las áreas examinadas por el auditor general. En los Siete capítulos de informe también se evaluó al gobierno en otros ámbitos, como el complejo sistema de asistencia a veteranos heridos.

Entre los resultados del gobierno listan los tópicos de militares heridos o enfermos que enfrentan una carencia información sobre los programas de apoyo, beneficios y servicios, así como largas esperas para obtener asistencia.

También citan a Industrias Canadá de no informar públicamente sobre los resultados de su iniciativa estratégica aeroespacial y de defensa, lo que ha dado cientos de millones de dólares en asistencia a la industria aeroespacial.

Igualmente, Defensa Nacional ha hecho algunos de los trabajos necesarios para ejecutar su cartera de $ 22 millones de bienes raíces, incluyendo sus 21 bases principales, pero queda mucho trabajo.

De acuerdo con el informe, el gobierno gastó más de $ 8 mil millones de dólares en contratos de servicios profesionales y especiales en el año fiscal 2010-2011, cumpliendo con la mayor parte de sus compromisos de reformar su concesión y programas de contribución, según lo recomendado por un panel en el 2006.

El informe de la Auditoría General buscó respuestas a las amenazas de ciberseguridad, entre otros temas.