ESCUCHAR
La Corte Suprema de Justicia de la Nación (CSJN), como custodio de información crítica y sensible, tiene la responsabilidad ineludible de garantizar la resiliencia y protección de sus sistemas informáticos frente a cualquier amenaza cibernética para garantizar el acceso efectivo a la justicia, proteger los derechos fundamentales de los ciudadanos y fortalecer el Estado de derecho en un entorno digital, sostuvieron sus ministros.
Por medio de la acordada N° 32/2023, la CSJN dispuso la creación de una Oficina de Ciberseguridad que funcionará bajo la órbita de la Dirección de Sistemas y tendrá como misión gestionar la seguridad del tribunal en esta materia, garantizando la integridad, confidencialidad y disponibilidad de la información y sistemas, mediante una gestión proactiva frente a amenazas cibernéticas y promoviendo una cultura robusta de seguridad informática.
En documento anexo a la mencionada acordada, enumera las siete funciones principales que tendrá la Oficina de Ciberseguridad, que servirán para cualquier otra organización como referencia:
1. Supervisión y protección. Monitoreo constante de la infraestructura tecnológica para detectar, prevenir y neutralizar actividades maliciosas. Siempre es necesario implementar acciones proactivas principalmente focalizadas en los ambientes por donde podría diseminarse el ataque.
2. Gestión de riesgos. Evaluación continua de vulnerabilidades, diseñando e implementando estrategias para su mitigación. Como consecuencia del primer punto, al monitorear la infraestructura se detectarán sus vulnerabilidades y consecuentes posibles riesgos, por lo que es indispensable instrumentar acciones de mitigación, siempre situadas en lo preventivo.
3. Capacitación y concientización. Implementación de programas educativos para el personal, que promuevan prácticas seguras en el uso de tecnologías y conciencia sobre amenazas emergentes. Este punto es crítico al ser el eslabón más subjetivo y maleable, por un lado, y, por el otro, más contundente desde la perspectiva del daño, en caso de no respetar las instrucciones recibidas.
4. Respuesta a incidentes. Establecimiento de un protocolo de acción rápida y coordinada ante cualquier brecha o ataque de seguridad. Los primeros fundamentos se focalizaron en lo preventivo, en cambio, con este punto la organización ya sufrió un ataque, por lo que la capacidad de reacción en base al conocimiento y respeto de los protocolos instruidos será clave para el éxito para minimizar el ataque.
5. Cumplimiento normativo. Aseguramiento del cumplimiento de regulaciones, leyes y estándares nacionales e internacionales en materia de ciberseguridad. Para que esta función sea efectiva, la Oficina de Ciberseguridad deberá involucrar al área de Legales como de cumplimiento (compliance, en inglés), para que de manera orgánica evalúen cuáles normas nacionales e internacionales aplican a la institución y cómo pueden lograr su cumplimiento.
6. Evaluación de proveedores. Revisión y verificación para que los proveedores tecnológicos cumplan con los estándares de seguridad requeridos. Esta función queda incompleta, ya que debería incluir a los clientes de la institución, para que toda la cadena involucrada en el flujo de información se encuentre en sintonía con la ciberseguridad. La CSJN también tiene clientes: los ciudadanos que acuden a ella para solucionar sus conflictos, tan es así que pagan por sus servicios judiciales. Si no se contempla de punta a punta el circuito de información (accesos y egresos), la infraestructura no será lo suficientemente sólida.
7. Normativas Internas. Creación, revisión y actualización de políticas y requisitos internos de seguridad informática. Esta última funcionalidad mencionada en la acordada no es menos relevante aunque la hayan dejado para el final, además de estar muy ligada al punto 5º. El trabajo en equipo, de manera armónica y sincronizada de todas las áreas de la organización es crítico para la lucha contra los ciberataques, sin que ello asegure el éxito en la misión.
Es muy importante que la CSJN finalmente reconozca la necesidad de contar con una oficina independiente que se concentre en la protección de los activos intangibles, tanto propios como de sus clientes judiciales.
El cumplimiento de los objetivos será posible en la medida que cada integrante reconozca la criticidad de la información que administra, respete las normas dictadas sin cuestionarlas ni desafiarlas, y -en el caso de que algún miembro de la organización desoiga las instrucciones- el área correspondiente actúe con rigurosidad, sin importar si es recepcionista o presidente de la CSJN. Importante desafío, con un paso decisivo dado.
(*) Abogado. Especialista en derecho informático
