Instituto de Ciberseguridad

El rol de la ciberseguridad en las elecciones de un país – P3. Análisis de riesgos en sistemas PREP. Un caso hipotético.

enero 20, 2024 - Compliance Ciberseguridad Normativas

La seguridad en los procesos electorales es un tema de gran relevancia, abarcando desde la seguridad física hasta la cibernética. En este contexto, el sistema de Resultados Electorales Preliminares (PREP) del Instituto Nacional Electoral (INE) en México es un componente crítico. Analicemos un escenario hipotético de indisponibilidad del sistema PREP durante una elección presidencial, utilizando información pública y nuestra metodología de gestión de riesgos electorales.

En nuestros Post anteriores mostramos cuál es el contexto electoral y los principios que rigen la ciberseguridad de un proceso electoral, podemos identificar que, aunque es similar la ciberseguridad, no es igual su implementación, ya que existen diversos componentes que agregan la complejidad al asunto.

Contexto del Sistema PREP:

Hablemos de uno de los sistemas que estará en boca de todos este 2024, el sistema de Resultados Electorales Preliminares (PREP) es esencial para garantizar la transparencia y confiabilidad de los procesos electorales. Un análisis de riesgos efectivo es crucial para proteger este sistema de amenazas que podrían comprometer su operatividad y credibilidad.

Por eso, es importante realizar un análisis de riesgos de los sistemas de información, que consiste en identificar, evaluar, tratar y gestionar los riesgos derivados del uso de las tecnologías de la información y comunicaciones, y que permite implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados. Para realizar un análisis de riesgos de los sistemas de información, se pueden seguir los siguientes pasos:

Para la generación de este Post, se tomó en cuenta la documentación del Proceso técnico operativo del Programa de Resultados Electorales Preliminares para el proceso electoral federal 2020 – 2021 (PREP) (https://sidj.ine.mx/restWSsidj-nc/app/doc/1219/20/1), del Instituto Nacional Electoral.

Análisis de riesgos en sistemas PREP: Un caso hipotético

Paso 1: Definición de Objetivos y Alcance

En este apartado se debe establecer el propósito, el contexto y los parámetros del análisis de riesgos, como el sistema o proceso que se desea analizar, los activos de información que se consideran relevantes, las amenazas que se quieren identificar, las salvaguardas que se quieren evaluar, los niveles de impacto y probabilidad que se quieren utilizar, etc.

Ejemplo: Enfocamos nuestro análisis en el sistema informático del PREP, considerando los datos electorales, la infraestructura tecnológica, y la interacción con otros sistemas y usuarios.

Paso 2: Identificación y Valoración de Activos de Información

Una vez establecido el alcance y propósito, se debe identificar los activos de información que son relevantes para el sistema o proceso que se desea analizar, y asignarles un valor en función de su importancia para el cumplimiento de los objetivos de la organización. Los activos de información pueden ser de diferentes tipos, como datos, documentos, aplicaciones, infraestructura, servicios, personas, etc.

Ejemplo: Sistemas que permiten la publicación de los resultados de votación. Cualquier error o manipulación de estos datos puede tener un impacto significativo en la credibilidad del proceso.

Paso 3: Identificación de Amenazas y Asignación de Valor

Posteriormente a identificar y valorizar los activos se debe identificar las amenazas que pueden afectar a los activos de información, y asignarles un valor en función de su probabilidad de ocurrencia y de su capacidad de daño.

Ejemplo: Un ataque cibernético podría alterar los datos electorales, mientras que un fallo en la infraestructura de IT podría causar interrupciones en la transmisión de resultados.

Paso 4: Identificación y Valoración de Salvaguardas

Aquí se deben identificar las salvaguardas que pueden reducir el impacto o la probabilidad de las amenazas, y asignarles un valor en función de su eficacia y de su coste.

Ejemplo: Implementar firewalls avanzados y sistemas de detección de intrusos para proteger contra ataques cibernéticos, y establecer protocolos de validación para asegurar la precisión de los datos electorales.

Paso 5: Análisis del Nivel de Riesgo

Identificadas las salvaguardas se podría analizar el nivel de riesgo de cada activo de información, considerando el valor del activo, el valor de la amenaza y el valor de la salvaguarda, y obtener una matriz de riesgos que muestra el nivel de riesgo de cada activo frente a cada amenaza.

Fórmula de cálculo: Nivel de riesgo = (Impacto x Probabilidad)

Ejemplo: Para los datos electorales, un ataque cibernético podría tener un nivel de riesgo calculado considerando la alta probabilidad y el alto impacto, mitigado por la eficacia de las salvaguardas implementadas.

Paso 6: Planificación del Tratamiento de Riesgos

En este paso se podría decidir qué hacer con cada riesgo, considerando las opciones de aceptar, reducir, transferir o evitar el riesgo, y elaborar un plan de tratamiento de riesgos que establece las acciones, los responsables, los recursos y los plazos para implementar las salvaguardas seleccionadas.

Ejemplo: Para riesgos de alta prioridad, como los fallos del sistema, se podría optar por estrategias de reducción, implementando redundancia en los sistemas y mejorando los protocolos de recuperación de desastres.

Paso 7: Ejecución y Revisión del Plan

El último punto, pero no el final se ejecuta, supervisa y revisa el plan de tratamiento de riesgos, y realizar las acciones de seguimiento, control y mejora continua de la gestión de riesgos.

Ejemplo: Contratar un servicio de monitoreo de seguridad cibernética para supervisar constantemente la integridad del sistema PREP y realizar auditorías regulares para evaluar la efectividad del plan de tratamiento de riesgos.

Conclusión

La implementación de un análisis de riesgos detallado y basado en ejemplos prácticos es vital para la seguridad y confiabilidad del sistema PREP, y de cualquier sistema o proceso en las organizaciones. Este enfoque no solo fortalece la infraestructura contra posibles amenazas, sino que también fomenta la confianza pública en el proceso electoral.

¿Cuál debería ser el resultado de todo esto o cómo podemos mejorar su comprensión?

Matriz de riesgos

Para una comprensión más profunda, consulte nuestra matriz de riesgos, que ilustra cómo puede mitigar eficazmente los riesgos en su proceso electoral.

Escenarios de Riesgo Riesgo Propuesta de Control Medios de Verificación Resultados Esperados
Ataque cibernético que altera los datos electorales Alteración de los resultados electorales Implementación de firewalls avanzados y sistemas de detección de intrusos Auditorías de seguridad cibernética y pruebas de penetración Integridad y seguridad de los datos electorales
Fallo en la infraestructura de IT que interrumpe la transmisión de resultados Interrupción en la disponibilidad de resultados Redundancia en los sistemas y protocolos de recuperación de desastres Pruebas de sistema y revisiones de protocolos de recuperación Continuidad operativa durante el proceso electoral
Errores humanos en la manipulación de datos electorales Inexactitud en los resultados publicados Capacitación del personal y protocolos de validación de datos Registros de capacitación y revisiones de procesos de validación Precisión y fiabilidad en los resultados electorales
Falta de disponibilidad del sistema durante el proceso electoral Incapacidad para acceder a los resultados en tiempo real Asegurar la alta disponibilidad del sistema con medidas de redundancia Testeos de carga y disponibilidad del sistema Acceso ininterrumpido a los resultados electorales
Acceso no autorizado a datos electorales sensibles Compromiso de la confidencialidad de los datos Control de acceso robusto y auditorías de seguridad Revisiones de registros de acceso y auditorías de seguridad Protección de la confidencialidad de los datos electorales
[qt-spacer size=”s”]

Contacto

Para garantizar la seguridad y la integridad de sus procesos electorales, le invitamos a considerar los servicios de SISRPE. Nuestro equipo de expertos está dedicado a proporcionar soluciones integrales y personalizadas para proteger su sistema electoral. Contáctenos para más información y para discutir cómo podemos apoyar sus necesidades específicas en materia de seguridad electoral.

¡Proteja la integridad de su proceso electoral con SISRPE!

[qt-spacer size=”s”][qt-socialicons text=”Whatsapp” link=”https://wa.me/message/XLMOBC7ABUGAA1″ target=”_blank” icon=”whatsapp” style=”firwl-btn-primary” alignment=”aligncenter”]
[qt-spacer size=”s”][qt-button text=”Agendar una sesión” link=”https://outlook.office365.com/owa/calendar/Citasseguridaddelainformacin@iciberseguridadio.onmicrosoft.com/bookings/s/5ZbXWRTefU6lRaMh4pnrhw2″ target=”_blank” style=”firwl-btn-primary” alignment=”aligncenter”]
[qt-spacer size=”s”][qt-socialicons text=”Linkedin” link=”https://www.linkedin.com/company/institutodeciberseguridad/” target=”_blank” icon=”linkedin” style=”firwl-btn-primary” alignment=”aligncenter”]