Ecuador, en séptimo lugar en ciberseguridad en la región
Ecuador aún tiene tareas pendientes en materia de ciberseguridad. A escala regional es uno de los últimos países, solo por delante de Venezuela y Bolivia, según el Índice Global de Ciberseguridad 2018 (GCI, por sus siglas en inglés).
El GCI monitorea el cumplimiento de los compromisos adquiridos por 194 Estados parte de la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés). Cinco áreas son analizadas: legal, técnica, organizacional, creación de capacidad y cooperación. Ecuador ocupa el puesto 98 en el listado general.
Ecuador fue calificado con 0,367 puntos, lo cual lo ubica en el grupo de países que tienen un nivel medio de compromisos acatados. El informe señala, además, que Ecuador ha desarrollado compromisos complejos y participa en programas e iniciativas de seguridad cibernética.
El estudio expone que aún existe una brecha visible entre muchos países en términos de conocimiento para la implementación de la legislación sobre delitos cibernéticos, estrategias nacionales de ciberseguridad, emergencias informáticas con equipos de respuesta, conciencia y capacidad para difundir estrategias, capacidades y programas.
En ese sentido, Ecuador, Venezuela y Bolivia son los tres países que carecen de una ley de protección de datos. Christian Torres, gerente de Kryptos, una firma que previene la fuga de data confidencial con inteligencia artificial, explica que la posición del país también está influenciada porque alojaba a Julián Assange.
La seguridad de los datos en territorio ecuatoriano aún es frágil, pese a que en el 2013 la extinta Secretaría Nacional de la Administración Pública emitió el Esquema Gubernamental de Seguridad de la Información (EGSI), en la que se dispuso el uso obligatorio de las normas ISO-27 000 para la Seguridad de la Información.
Pese a ello, el 74% de las entidades públicas todavía almacena su información dentro de sus propias estructuras, “sin todas las seguridades recomendadas para evitar pérdidas de información, ‘hackeos’, robos y ciberataques”, explicó en días recientes el ministro de Telecomunicaciones, Andrés Michelena. El plan es incorporar esas instituciones a un complejo centralizado de información de la Corporación Nacional de Telecomunicaciones, en un plazo de 6 meses.
En el 2019 se empezó a delinear la Estrategia Nacional de Ciberseguridad con la asesoría del Banco Interamericano de Desarrollo (BID) y la Consultora NRD Cyber Security. Adicionalmente, el 19 de septiembre pasado el Gobierno presentó el proyecto de Ley de Protección de Datos, a raíz del robo de información sensible de 20 millones de ecuatorianos, incluidos fallecidos y 6,7 millones de niños. Derechos, obligaciones, sanciones, acceso y seguridad de datos personales son algunos de los temas que aborda la iniciativa en 90 artículos. En materia de seguridad se plantea que el responsable del tratamiento de datos personales implemente prácticas de seguridad integral. Una de ellas es la encriptación, cifrado o codificación de datos.
El mecanismo gubernamental de seguridad de la información incluirá las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier tipo de amenaza. La iniciativa también busca reducir los tiempos de respuesta. En el último caso de robo de datos, por el que se investiga a la empresa ecuatoriana Novaestrat, el bloqueo del servidor siguió protocolos y se hizo cuatro días después de recibida la alerta.
El proyecto de Ley señala que el responsable del tratamiento de la información deberá notificar de una eventual vulneración de los sistemas a la Autoridad de Protección de Datos Personales en un plazo de tres días después de tener conocimiento del caso. Retrasos injustificados en la notificación serán sancionados.
La Asociación Ecuatoriana de Protección de Datos (AEPD) colaboró en las fases iniciales de elaboración de la norma. El gremio planteó tres ejes: reconocimiento de los derechos del ciudadano sobre sus datos personales, responsabilidades en el tratamiento de la data y crear una autoridad de control independiente. Gobiernos, empresas y la sociedad civil deben tomar con mucha responsabilidad la ciberseguridad, ya que las violaciones a los datos personales también representan importantes pérdidas de dinero, dijo Torres al agregar que una ley no basta y que se necesitan acciones adicionales que mitiguen al máximo los riesgos.
Hugo Carrión, director del Centro Imaginar, que hace investigaciones referentes a la sociedad de la información, comenta que el error común es creer que la ciberseguridad se limita a configurar contraseñas seguras y renovarlas con frecuencia, cuando lo que hay que crear es una cultura digital.
El directivo comenta que se debe implementar el concepto de “activos de información” (datos e instalaciones) a fin de proteger la data según su nivel de relevancia.
Articulado
Derecho a la lealtad, transparencia e información: el titular debe ser informado cómo se obtuvieron sus datos, qué usos tienen y de la posibilidad de revocar.
Derecho de acceso: puede pedir acceso a sus datos personales sin tener que justificarlo.
Derecho a rectificación y actualización: puede solicitar que se corrijan o actualicen datos inexactos, falsos o incorrectos.
Derecho a la eliminación: puede pedir la supresión de sus datos.
Derecho al olvido digital: por medio de un juez, el usuario puede pedir que sus datos sean borrados de motores de búsqueda, redes sociales y otros espacios.
Derecho a oposición: el titular puede negarse al tratamiento de su información personal.
Fuente: www.elcmercio.com