Soberanía digital de la información (*)

Cuando participamos como consultores para la elaboración de la propuesta del Plan Nacional de Gobierno Digital hacia el 2021, el ente rector del planeamiento estratégico adscrito a la PCM no tenía claro cuál sería la metodología a seguir. Lo había para planes institucionales, por cortesía de una ONG canadiense, pero no para este ámbito. El post-it rezaba: “Jorge, para enviar este diagnóstico a Álvaro[1], debes incluir lo que has redactado en el paso 2 y 3, sino lo van a observar”.

Desde una posición principista, basada en la experiencia en el sector de telecomunicaciones desde 1996, llegamos a coincidir con los requerimientos del profesor Barletti[2] quien nos recibió como funcionario encargado en el CEPLAN para determinar los lineamientos de formulación de dicho instrumento de gestión estratégica. Un año más tarde, nuestros aportes impactarían en la promulgación de la Ley de Gobierno Digital via DL 1412.

En aquel contexto, como recientemente comentaba en videoconferencia[3] el Almirante Arnaez, todo estaba por hacer, y si lo estaba era copia de algún paper OCDE o similar. Así pues, para nuestro análisis, nos remitimos a la evidencia normativa publicada en una línea de tiempo, tratando de enlazar los principales hitos en dirección hacia el nuevo escenario digital que hoy nos corresponde experimentar de forma acelerada por el impacto global del covid 19.

Ante lo expresado, el presente documento procura desarrollar un breve análisis comparativo de lo actuado en el tema de la seguridad digital y sus bemoles en referencia a la plataforma instalada actualmente para resguardar la soberanía de la información sensible a los intereses nacionales.

Podemos ensayar cómo reaccionarían los amigos ambientalistas, colaboradores en la Política 35 del Acuerdo Nacional, si un “wikileak-perucho” divulgara un secuestro de funcionarios de la Oficina del Alto Comisionado en Asuntos de Lucha contra la Tala Ilegal. Por un montaje de brecha intercultural, los “excluidos awajún” lograron obtener el visto bueno de dicha Comisión pese a estar operando en zonas no autorizadas. Del cerco hostil con machete en mano, una vez obtenido dicho documento, pasaron al festejo en un español “muy limeño y cordial”.

Las prácticas de seguridad de la información, adecuadas o no, de parte de cualquier organización serán replicadas por cultura en el escenario digital. En ese sentido, el activo más importante de una corporación privada o entidad pública quedara supeditada al nivel de operación y servicio de la plataforma contratada, dentro o fuera. El dilema CAPEX/OPEX entre despliegues on premise o cloud, debe centrarse en primer lugar al control de datos que ingresan al circuito de decisión, en segundo lugar, al procesamiento de los mismos, y tercero, definitivamente a la soberanía de los insumos y productos comprendidos en dicho proceso.

Markham College en el año 1998, implementó un “novedoso sistema privado inalámbrico” entre las sedes de Miraflores (Upper School) y Santiago de Surco (Lower School). Un enlace con equipos Solectek en la frecuencia ISM de 2.4 GHz, muy costoso para la época, permitía el transporte de datos de la intranet académica y administrativa, fuera de la red de cualquier proveedor público, con total soberanía de la información para la institución. Así, con un E1 de velocidad, el padre de familia podía acceder al sistema remotamente y confirmar la asistencia de su hijo en tiempo real. El estudiante literalmente ingresaba seguro al colegio con su portátil en una mano y lonchera en la otra. La orden del Controller[4] fue muy clara: “Seguridad o nada”.

Los componentes y/o elementos de una plataforma tecnológica de información encajan o se agrupan en una de las tres dimensiones[5]. En la física, que incluye todo equipo o dispositivo que integra la infraestructura física y asigna la tangibilidad de la infraestructura de datos y comunicaciones, sea propia o arrendada. En la lógica, que incluye el software o aplicación que integran los sistemas de información y comunicaciones y asigna la intangibilidad de la plataforma. Y finalmente, la humana, que incluye a todo usuario y/o técnico que se interrelaciona con las dimensiones anteriores para consolidar el propósito de la organización y asigna la usabilidad de la plataforma.

La tendencia marcada por la “industria 4.0” requiere una reformulación del pensamiento estratégico dentro de las organizaciones del Estado. Observando la seguridad estratégica de la información, la incursión temprana de los líderes de TI ha sucumbido ante la permanente oferta y “beneficios” de los proveedores de nube. Un indicador clave es encontrar hasta 25 procesos relacionados a la computación en la nube.

La aplicación de la promulgada Ley de Gobierno Digital, más que inversión en tecnología, exige el cambio de mentalidad de los funcionarios públicos. Y si establecemos la próxima obligatoriedad del reglamento inconcluso a la ley de Ciberdefensa, debemos de ponderar que tipo de información exponer ante las diferentes categorías disponibles SaaS[6], PaaS[7] o IaaS[8].

En ese sentido, resulta acertado en el análisis la conceptualización del sistema de estadística agraria que requiere un mix local/nube para la digitalización de imágenes georreferenciadas con información pertinente al agricultor rural, cuyo impacto busca mejorar la calidad de quienes obstinadamente se mantienen en condición de extrema pobreza por negarse al uso de semillas mejoradas o aceptar la influencia de activistas ideológicos en zonas de conflicto social.

Por eso, se requiere evaluar los requerimientos que realcen las capacidades del sector público o privado en adoptar y utilizar tecnologías digitales para transformar nuestros sectores productivos y modelos de negocio. Un ataque de denegación de servicios en plena exposición en la Expo TIC 2013, nos hizo “entrar en vereda”. Nuestro principal competidor veía con preocupación el reciente plan de telefonía pública bajo protocolo IP. Nos tiene que pasar para aprender. En el caso del sector agricultura, la plataforma tecnológica debe atender una política pública basada en tres criterios: competitividad, capacidades[9] y conectividad. Asimismo, en las decisiones futuras se deberá tomar como marco de referencia, los casos de éxito de la comandancia de ciberseguridad de MGP en los Panamericanos 2018.

De otro lado, es importante observar las políticas que colisionan con la soberanía de los datos públicos. En este caso, la Estrategia Nacional de Datos Abiertos[10], concebida para facilitar la interoperabilidad de la información, no tardará en encontrar las brechas normativas ante la divulgación no autorizada de datos entre entidades de gobierno que cogestionan o administran servicios dirigidos al ciudadano con entidades privadas.

Por tanto, urge el esfuerzo de todos los actores y estamentos del Estado para acelerar la promulgación del reglamento de Ciberdefensa, que será perfectible, pero será mejor caminar avanzando. Esperemos que la Secretaria Digital de Gobierno Digital se encuentra a la altura para retener al talento formado con la mejor metodología[11], desde cuando se fundó la Oficina Nacional de Gobierno Electrónico. Muchos de ellos, de conducta intachable se ven forzados a abandonar una línea de carrera ante el oportunismo político de funcionarios que saltan de programa, proyecto o servicio. La integridad del componente humano será clave para una gestión efectiva en la defensa y soberanía de la información en el Ciberespacio.

La coyuntura de crisis nos entrega la oportunidad de reformar el Estado sobre una plataforma soberana, confiable y segura para todos. Gobierno, Fuerzas Armadas, Empresa y Academia juntos en la implementación transversal de la Nube Perú[12] al servicio de los intereses nacionales. Juntos para la identidad y soberanía del ciudadano digital.

¡Avancemos!

(*) Ensayo para el XXXVII Curso de Dirección Estratégica para la Defensa y Administración de Crisis, Escuela Superior de Guerra Naval, Grupo H, 2020-1.

[1] Álvaro Velezmoro, Director Nacional de Coordinación y Planeamiento Estratégico, CEPLAN 2017.

[2] Bruno Barletti, actual Director Ejecutivo CEPLAN 2020.

[3] Sesión 22, Cedeyac XXXVII, 13.08.20

[4] Quien en broma nos repetía “I wear Custer or nothing”

[5] Coincidencia con Almirante Arnaez, ante exceso de modelos sobredimensionados en referencia.

[6] Software as a Service

[7] Platform as a Service

[8] Infraestructure as a Service

[9] Evento AWS sugerido: https://pages.awscloud.com/LATAM-event-OE-Digital_Experience-2020-reg-event.html?sc_channel=em&sc_campaign=LATAM_WWPS_WEBINAR_digitalexperience_20200901_7010z000001LmHP%20-%20DG%20(EPS)&sc_medium=em_275995&sc_content=REG_webinar_wwps&sc_geo=latm&sc_country=mult&sc_outcome=reg&trk=dg02

[10] https://busquedas.elperuano.pe/normaslegales/decreto-supremo-que-aprueba-la-estrategia-nacional-de-datos-decreto-supremo-n-016-2017-pcm-1484961-4/

[11] Prueba-Error

[12] Que inicialmente puede contar con la experiencia de la PIDE https://www.gob.pe/742-plataforma-nacional-de-interoperabilidad-del-estado-usar-servicios-de-la-pide