Desde Fundación Vía Libre agradecemos a la iniciativa Indela por haber confiado en nuestra propuesta de trabajo para los próximos 18 meses. Nuestro proyecto para el Fortalecimiento de las políticas de la seguridad de la información en Argentina se basa en la urgente necesidad de establecer protocolos apropiados de trabajo para la efectiva custodia de los activos digitales en poder del estado y en la construcción de una relación de cooperación entre sectores públicos y privados y muy especialmente con la comunidad de practicantes de la Infosec en Argentina.
Este proyecto nació de aquella investigación que realizamos en 2018 gracias al apoyo de AccessNow y que denominamos “Hackers y Gorras”, en la cual dimos cuenta de la necesidad de atender las preocupaciones legales de la comunidad de infosec en Argentina, así como de construir un entorno apropiado y propicio para el reporte responsable de vulnerabilidades y la debida atención de esta agenda por parte de las autoridades de los diferentes niveles del Estado.
En nuestro proyecto proponemos contribuir a la construcción de protocolos que tengan el potencial de mejorar los estándares de protección de los activos digitales (datos, ciudadanía e infraestructura crítica) de Argentina. En la actualidad, en el marco de la pandemia de Covid 19, se están desarrollando bases de datos sensibles que requieren salvaguardas específicos, a pesar de eso no existen todavía los protocolos ni las condiciones para que esto se lleve adelante, en este marco los derechos humanos de los y las argentinas quedan vulnerados.
Los problemas que detectamos y que aspiramos a atender con este proyecto son diversos, pero van desde la persecución y criminalización de investigadores de seguridad, especialmente de quienes reportan las vulnerabilidades hasta la definición de regulaciones sobre ciberseguridad sin enfoque de derechos humanos. Desde este punto de vista, uno de los objetivos centrales es modificar la mirada sobre la seguridad informática en Argentina, que deje de ser un asunto policial y punitivo y que se le de la trascendencia necesaria a la prevención, las buenas prácticas y la formación en el campo.
La filtración de datos de la ciudadanía, un tema recurrente en Argentina, la magra atención a los reportes de vulnerabilidades e incluso la persecución de la comunidad de infosec son parte del problema sobre el que planeamos trabajar. Otra parte fundamental es el desarrollo y puesta en producción de sistemas inseguros, no apropiados para el respeto pleno de los derechos ciudadanos. La construcción de protocolos de trabajo para la gestión de datos de la ciudadanía es una de las claves para subsanar estos problemas.
Entre las acciones que planeamos llevar adelante gracias al apoyo de Indela figuran:
- Generar y mantener un entorno propicio para el reporte responsable de vulnerabilidades, seguimiento de los reportes y el desarrollo de soluciones con enfoque de privacidad
- Fortaler las políticas públicas de seguridad de la información
- Contribuir a la promoción y comprensión de la tarea de la comunidad infosec de cara a la opinión pública
A partir de la realización del proyecto de “Fortalecimiento de la Seguridad de la Información. Una iniciativa de cooperación público privada para la construcción de políticas de resguardo de los activos digitales en Argentina” esperamos definir y establecer una política pública de protección de los activos digitales en poder del Estado Argentino. El diseño de una política de Estado en ciberseguridad requiere un viraje conceptual desde la tradicional mirada punitiva de investigación ex-post en materia de seguridad de la información a una activa política de prevención y buenas prácticas en la recolección, gestión y administración de la información que recopilan las diferentes áreas del Estado. En seguridad informática, en particular cuando se trata de proteger activos críticos y/o datos personales de la ciudadanía, la actuación ex-post puede redundar en una investigación criminal del incidente pero no evita el daño ya hecho tras una filtración de datos o el compromiso de una infraestructura crítica.
Nuestra mirada es diametralmente opuesta. Entendemos que se debe promover el reporte responsable de vulnerabilidades, proteger y promover a la comunidad de Infosec que realiza su tarea con esta visión y crear mecanismos y protocolos de acción apropiados para prevenir el daño. Este objetivo no se logra con programas de cibercrimen (como venía haciendo Argentina hasta la fecha) sino con un trabajo sostenido de seguridad de la información en cooperación multisectorial, pero con especial atención a la voz de la comunidad de infosec.
Por esto, este proyecto apunta a crear y mantener un entorno protegido para el reporte responsable de vulnerabilidades de sistemas de información del Estado (incluyendo empresas privadas de servicios públicos, órganos de contralor, etc), asegurar la protección legal de quien reporta, mantener un plan de seguimiento de los reportes, brindar asistencia en programas de mitigación y aplicación de un protocolo de acción sobre los reportes.
En el marco de esta iniciativa, pretendemos contribuir al establecimiento de procedimientos apropiados de gestión de las aplicaciones de cara a la ciudadanía, que realicen un control estricto de necesidad, proporcionalidad, legalidad y seguridad de la información a fin de minimizar los riesgos inherentes a la recolección de datos personales. En paralelo, vamos a generar una instancia de reporte de vulnerabilidades que pueda dar cobertura legal a quienes reportan y dar seguimiento a los actores involucrados, especialmente a quienes tienen responsabilidades ejecutivas en la gestión de los activos digitales.