El 01 de marzo de 2023, la empresa Endor Labs, domiciliada en Palo Alto, California, propietaria de una de las plataformas más extendidas que promueven del uso del software abierto emitió un informe en el que identificó diez de los principales riesgos derivados de esta forma de desarrollar aplicaciones para las organizaciones públicas y privadas y expuso las insuficiencias de los métodos tradicionales para proveer la ciberseguridad en el manejo de datos.

El informe parte de un hecho. La mayoría de los diseñadores de aplicaciones y plataformas usan software libre, lo que implica un alto riesgo derivado de la obsolescencia (no comunicación generacional entre las distintas versiones) o falta de mantenimiento oportuno y que puede resultar en afectación a los sistemas, fuga no autorizada de datos y vulneración de la confiabilidad, disponibilidad e integridad de la información.

Este informe se elaboró con la participación de expertos de la industria y de los responsables de la ciberseguridad de organizaciones con presencia muy importante en el mercado y abarcó tanto el diseño, el mantenimiento, la colaboración institucional como el ámbito operacional de las plataformas y aplicaciones informáticas.

El software libre, que es distinto al código abierto (open source), es aquel que se encuentra disponible para ser ejecutado, revisado en sus códigos, modificado y compartido sin limitaciones entre personas y organizaciones y representa más del 80%de los programas disponibles en el mercado, toda vez que posee la ventaja de que no está condicionado a las políticas y derechos de propiedad, el costo es menor al software cerrado, la flexibilidad para su adaptación a la organización y la autonomía es mayor para el diseño, operación, mantenimiento y transformación de las políticas institucionales de TIC.

Lee también

• El monopolio del golpe de Estado técnico
• La barbarie jurídica y el Plan B electoral

En México, el e-gobierno es una política pública transversal en las Estrategias Digitales Nacionales (EDN) 2013-2018 y 2021-2024, cuyo antecedente fue el Sistema Nacional e-México 2000-2012. Estas estrategias pretenden aprovechar las TIC en la consecución de una buena administración a través de la automatización de procesos.

La EDN vigente tiene como instrumento jurídico el Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal, publicado el 6 de septiembre de 2021, que sustituyó el Manual Administrativo de Aplicación General en las Materias de Tecnologías de la Información y de Comunicaciones y de Seguridad de la Información (MAAGTICSI).

Este acuerdo, suscrito por el coordinador de Estrategia Digital Nacional de la Oficina de la Presidencia de la República, concentra el compliance digital de la Administración Pública Federal en un colaborador directo del titular del Ejecutivo e instruye al uso intensivo de las TIC, así como la interacción transversal de los sistemas informáticos instituciones. Un aspecto relevante es que ordena la implementación de soluciones tecnológicas basadas en software libre y estándares abiertos para “lograr la autonomía, soberanía e independencia tecnológicas dentro de la APF” por razones de austeridad. También crea, para evitar la contratación de servicios duplicados o similares, un repositorio centralizado de software libre para compartirlo institucionalmente y generar ahorros presupuestales.

En los gobiernos, el software libre es una de las tecnologías que ha tenido un mayor desarrollo en las aplicaciones y plataformas informáticas y está es una tendencia irreversible. Los fabricantes de este tipo de software son nacionales y extranjeros y son proveedoras de la entidades y dependencias de la Administración Pública Federal, pero su funcionalidad depende de dos elementos que el gobierno de la autollamada 4T ha descuidado: la gerencia de los proyectos informáticos y su autorregulación con base en una estrategia homologada de ciberseguridad.

El MAAGTICSI abrogado establecía un modelo administrativo para los gestores de las TIC y los responsables de la seguridad de la información y contenía un control interno y un compliance digital en la materia con objetivos generales y específicos, procesos, productos, responsables y flujogramas

Si bien en el artículo 75 del Acuerdo vigente indica que las instituciones deberán contar con un Marco de Gestión de Seguridad de la Información (MSGI) que procure los máximos niveles de confidencialidad, integridad y disponibilidad de la información generada, procesada, almacenada y compartida por dichas instituciones está es una instrucción genérica sin lineamientos que faciliten la homologación y la interacción entre las entidades y dependencias.

¿Cómo se van a prevenir los riesgos derivados de la estrategia de uso de software abierto para gastar menos? La justificación de lo barato, la austeridad, sin un esquema de seguridad de la información puede salir caro. Se restan elementos para el mejor control interno y compliance digital y sólo se sustituye por un discurso entusiasta y atractivo, pero jurídica, administrativa y técnicamente insuficiente.

Investigador del Instituto Mexicano de Estudios

Estratégicos de Seguridad y Defensa Nacionales

cmatutegonzalez@gmail.com

Facebook.com/cmatutegonzalez

Twitter @cmatutegonzalez

www.carlosmatute.com.mx