No es solo cambiar la contraseña: la ciberseguridad en el Tribunal Supremo

También disponible en Epub

Resumen

Recientemente, el Tribunal Superior fue objeto de un hackeo, exigiendo una revisión urgente y el refuerzo de sus medidas de ciberseguridad. Clarice, pasante de la Oficina de Gestión de Procesos Organizacionales, asumió la responsabilidad de realizar una investigación integral sobre ciberseguridad y presentar un informe con propuestas de soluciones para mitigar los riesgos enfrentados para apoyar las decisiones estratégicas de reorganización de la Corte. Este escenario brinda la oportunidad de discutir los fundamentos de la seguridad de la información, explorar estrategias para minimizar los riesgos cibernéticos sin dañar la productividad de las organizaciones y examinar los desafíos que enfrenta la alta gerencia al implementar controles de seguridad en procesos comerciales cruciales y gestión de riesgos, invitando al lector a reflexionar sobre las brechas que pueden existir entre las mejores prácticas y las realmente adoptadas en el campo de la seguridad cibernética. Al contextualizar la situación en los Tribunales Superiores brasileños, se busca no solo resaltar la importancia de esta discusión, sino también crear conciencia sobre la compleja interacción entre la ciberseguridad, la eficiencia operativa y la cultura organizacional.

Palabras clave: Ciberseguridad, Tribunal de Justicia, Ataques de hackers, Gestión de casos, Gestión de riesgos.

Abstracto

Recientemente, el Tribunal Supremo ha sido objeto de un ataque de piratas informáticos, exigiendo una revisión urgente y el refuerzo de sus medidas de ciberseguridad. Clarice, pasante en la Oficina de Gestión de Procesos Organizacionales, ha asumido la responsabilidad de realizar una investigación exhaustiva sobre ciberseguridad y presentar un informe con propuestas de soluciones para mitigar los riesgos enfrentados con el fin de apoyar las decisiones estratégicas para reorganizar la Corte. Este escenario brinda la oportunidad de discutir los fundamentos de la seguridad de la información, explorar estrategias para minimizar los riesgos cibernéticos sin comprometer la productividad de la organización y examinar los desafíos que enfrenta la alta gerencia en la implementación de controles de seguridad en los procesos comerciales críticos y la gestión de riesgos. Este caso invita al lector a reflexionar sobre las brechas que pueden existir entre las prácticas recomendadas y las realmente adoptadas en el ámbito de la ciberseguridad. Al contextualizar la situación en las Cortes Supremas de Brasil, el objetivo no es solo subrayar la importancia de esta discusión, sino también crear conciencia sobre la compleja interacción entre la ciberseguridad, la eficiencia operativa y la cultura organizacional.

Palabras clave: Ciberseguridad, Poder Judicial, Ataques de Hackers, Gestión de Procesos, Gestión de Riesgos.

Caminos Legales: El Viaje de Clarice en la Corte

Estudiante de administración de empresas, en una de las clases de Gestión por Procesos, Clarice se interesó por el tema de los Procesos de Negocio, en particular, por la relevancia que puede tener el control de calidad por procesos de trabajo en la realidad de una organización. Como aún no había tenido su primera experiencia de pasantía, buscó una en la que pudiera desarrollar sus habilidades en esta área o área relacionada. En esta búsqueda, encontró una oportunidad inusual: hacer una pasantía en la Oficina de Gestión de Procesos Organizacionales de uno de los 5 Tribunales Superiores de Brasil (BRASIL, 1988), asistiendo en el mapeo y mejora de los flujos de procesos de negocios de la Agencia.

Al ingresar a la Corte, Clarice vio superadas con creces sus expectativas al darse cuenta de las innovaciones tecnológicas que permeaban el ambiente. Fue una visión real del futuro del sistema judicial hacia su Transformación Digital. Entre las novedades, destacó la adopción de las videollamadas para la celebración de audiencias, lo que, a su juicio, hizo más accesible y ágil la justicia.

Además, el proceso electrónico, con todas sus fases digitalizadas, desde la petición hasta la finalización del proceso, indicó un cambio significativo en la forma en que se enfrentaba la burocracia. Y, por si fuera poco, el servicio remoto a través del "escritorio virtual" demostró que la Corte realmente estaba adoptando la transformación digital para atender mejor a la población.

Clarice estaba emocionada de sumergirse en este panorama de innovación mientras ayudaba a mapear los flujos de procesos comerciales. Su pasantía prometía ser un viaje emocionante y lleno de aprendizaje al corazón del sistema judicial brasileño.

En sus primeros días de pasantía, la supervisora de Clarice realizó una Incorporación , en el que presentó algunos documentos sobre la organización, entre ellos, el organigrama del Tribunal Superior, en el que se destacaban todas las áreas y departamentos principales. Además del organigrama, se le presentó la Cadena de Valor, en la que se destacaron los principales macro procesos llevados a cabo para alcanzar los objetivos y resultados de la organización.

A partir de la revisión de los materiales transmitidos por su supervisor, Clarice pudo verificar algunas características de la Corte, entre ellas: los jueces que trabajan en la Corte se llaman ministros y todos ellos son nombrados por el presidente, previa aprobación del Senado Federal. Además, los casos que se juzgan allí comienzan directamente en la Corte o revisan las decisiones de los tribunales regionales estatales y federales (TRF), es decir, juzgan apelaciones definitivas e importantes en procedimientos judiciales.

Además, Clarice tenía algunas dudas relacionadas con la Cadena de Valor de la Corte respecto a cuáles serían los macro procesos de negocio que se destacan como finalistas, ya que la Cadena de Valor engloba muchos macro procesos, tales como: la recepción y distribución de procesos, análisis y reporte de procesos, producción de decisiones, sentencia, tramitación judicial y ejecución de actas notariales y cumplimiento de órdenes y decisiones.

A partir de esto, decidió agendar una reunión para resolverlos con su supervisora, Fernanda, quien le explicó que los macro procesos relacionados con la elaboración de órdenes y decisiones se consideran finalistas para la organización, porque son ejecutados directamente por los magistrados.

A partir de esta conversación con Fernanda, Clarice entendió un poco más sobre la estructura de la Corte y los macro procesos de negocio que trabajará a lo largo de su pasantía.

Más allá de los muros: la invasión cibernética y la fuga de datos

En medio de este mundo de nueva información y expectativas, un suceso sacude el avance de la Corte: un ciberataque a uno de los sistemas utilizados por la Corte. Era el sistema utilizado para la comunicación entre el tribunal y las partes en el procedimiento (abogados y partes en el asunto), que contenía algunas herramientas como la investigación sobre la consulta procesal y el suministro de información general, como el acceso a la colección y las preguntas frecuentes. Además, dentro de la propia agencia, el mismo sistema era utilizado como herramienta por los empleados para mover los procesos, es decir, la disposición jurisdiccional pasaba por este sistema.

Cuando ocurrió el ataque, los empleados no sabían muy bien lo que estaba sucediendo, ya que el sistema solo no estaba disponible. Sin embargo, a medida que pasaba el tiempo y la situación no se normalizaba, comenzaron a extenderse los rumores sobre el ataque, y se instaló un aire de desconfianza y miedo, pues, además del estrés de no poder completar su trabajo, había una incertidumbre de qué sería del sistema ahora.

Posteriormente, se descubrió que el sistema tenía sus limitaciones y vulnerabilidades, y fue a través de una de ellas que el atacante logró infiltrarse en él, obteniendo acceso a información confidencial¹.

Sin embargo, en lugar de apropiarse de la información directamente, el atacante desplegó un tipo específico de ataque conocido como 'Ransomware' . Este tipo de ataque se caracteriza por el uso de malware, que encripta todos los datos de los ordenadores y servidores comprometidos.

Posteriormente, el atacante exigió un rescate a cambio de la clave de descifrado necesaria para recuperar la información. Es importante tener en cuenta que, de acuerdo con la ley brasileña, no existe ningún respaldo legal para el pago de rescates en casos de ataques de este tipo.

Esto provocaba inestabilidad en el sistema, provocando que estuviera desconectado durante un tiempo determinado, lo que retrasaba los procesos y establecía una inseguridad general en el juzgado. En medio de esta situación, Clarice se encontró perdida en su primer gran problema en los tribunales. Sin saber cómo proceder, recurrió a Internet. Hubo 103.16 mil millones de intentos de ciberataques en 2022, estos fueron los datos recopilados por el Laboratorios FortiGuard , que Clarice descubrió mientras investigaba la seguridad de la información y los ataques cibernéticos. Clarice también vio afectado su trabajo por uno de estos ataques, ya que utiliza el sistema hackeado. Ahora tanto ella como el juzgado tendrán que enfrentarse a esta nueva realidad e intentar solucionar esta situación, minimizando las consecuencias y replanteando la seguridad de la información dentro del juzgado para que no vuelva a ocurrir lo mismo.

¡El impacto fue grande! ¿Y ahora qué?

En la Oficina de Gestión de Procesos Organizacionales del Tribunal Superior, la rutina dio paso a un torbellino de caos y preocupación tras el devastador hackeo... Las consecuencias fueron aterradoras e inmediatamente visibles en varios frentes. Los sistemas de seguridad eran insuficientes en sus funciones, dejando expuesta información crucial. Una serie de incidentes se sucedieron en cascada, sacudiendo la esencia de la justicia que representaba la Corte.

Miguel, el jefe de la Oficina de Gestión de Procesos Organizacionales, y su equipo se dieron cuenta rápidamente de las consecuencias del ataque. La información necesaria para el proceso de toma de decisiones en la cadena de suministro de datos ha cambiado, lo que ha provocado confusión e incertidumbre entre los jueces.

Algunos de los procesos secretos también fueron expuestos, causando indignación y preocupación generalizadas. Además, en una investigación sobre el incidente, se descubrió que los piratas informáticos tuvieron acceso temprano a determinaciones y decisiones en curso, incluso sin modificarlas, lo que puso en jaque la credibilidad del sistema judicial. Se vieron comprometidas decisiones que podrían dar forma al futuro de casos importantes.

La provisión jurisdiccional se interrumpió, con los sistemas paralizados por los ciberatacantes. La Corte es vulnerable, y todos los esfuerzos de la Oficina de Gestión de Procesos Institucionales parecen insuficientes frente a esta amenaza virtual.

El ataque de los piratas informáticos desencadenó una carrera contrarreloj para restaurar los sistemas y la integridad de la imagen de la Corte. Con el tiempo, se implementaron medidas paliativas para contener los impactos inmediatos. Sin embargo, el daño dejado por este acto fue profundo, y el viaje hacia la recuperación total apenas comenzaba. Ahora, además de la recuperación, el foco se centró en mejorar la seguridad y los procesos, yendo más allá de las soluciones de emergencia ya implementadas.

Los esfuerzos por revertir los efectos de este ataque sin precedentes apenas comienzan, y cada miembro de la Corte sabe que su compromiso y dedicación serán cruciales para proteger la integridad de la Corte y garantizar que prevalezca la justicia.

Sin embargo, Clarice estaba insegura y ansiosa, sin saber qué podía hacer ante el escenario que se le presentaba. En vista de esto, solicitó una reunión de alineación con su supervisor para entender cuál sería la mejor manera de ayudar a la Firma a implementar soluciones a los problemas emergentes.

Clarice : Fernanda, estoy un poco preocupada por esta reunión. La situación tras el ataque de los hackers nos ha dejado a todos preocupados.

Fernanda (supervisora) : El ataque fue realmente preocupante, pero es por eso que necesitamos fortalecernos aún más. Quiero que te concentres en una tarea importante... Como pasante en la Oficina de Gestión de Procesos Organizacionales, me gustaría que usted realizara una encuesta junto con Rodrigo, uno de los gerentes de la Oficina de Gestión de Procesos, para plantear posibles lineamientos enfocados en aumentar la seguridad de los flujos de procesos operativos de la Corte. Para ello, consulte también al equipo de tecnología, que puede ayudarle a comprender mejor los desafíos.

Clarice : Me esforzaré por llevar a cabo esta investigación. Espero que pueda contribuir de alguna manera a futuras acciones para la mejora de los procesos.

Fernanda : Exactamente, Clarice. Confío plenamente en su capacidad y sé que bajo la tutoría de Rodrigo, ambos aportarán ideas valiosas con el potencial de mejorar nuestros procesos. Investigue las mejores prácticas en ciberseguridad, explore tecnologías, Marcos y, de ser necesario, consultar con el personal de la Secretaría de Tecnologías de la Información.

Ante estos lineamientos, Clarice se mostró entusiasmada por la demanda que se le asignó y la oportunidad de generar un impacto tan relevante en su primera pasantía junto a uno de los gerentes. Con esto, se inició una investigación de alternativas para tratar de averiguar cómo la organización puede estructurarse mejor para enfrentar este tipo de riesgo cibernético, a partir de una investigación que explora tanto cómo crear una estrategia de prevención como cómo aumentar la seguridad del flujo de procesos del tribunal

Seguridad de la información: una visión general

Para cumplir con la demanda que se le transmitió, Rodrigo delimitó los pasos por los que pasarían los dos para hacer la investigación, Figura 1.

En la primera etapa, "Investigación Bibliográfica", Clarice se encargó de identificar algunos temas relevantes para prevenir futuros ataques de hackers a la Corte. A medida que identificaba estos temas, Clarice los registraba en un informe, para luego ser presentado a Fernanda, su supervisora, y a Miguel, jefe de la Oficina, consolidando los resultados de las etapas delimitadas para la investigación.

Inspirada por su trabajo en el área pública, decidió comenzar con lo que se dice en la ley, más específicamente lo que dice la LGPD, Ley General de Protección de Datos, sobre la seguridad de la información. Sin embargo, después de analizar la ley, descubrió que no existe un método específico que recomiende, la ley solo menciona que debe haber protecciones adecuadas -y esto, para la privacidad de los datos-, lo que resultó ser otro universo.

Rodrigo realizó una investigación en la parte de controles de seguridad. Entre los temas encontrados, se destacan los siguientes: Marcos y publicaciones que sugieren los controles de seguridad necesarios para protegerse contra, por ejemplo, ataques de piratas informáticos:

Controles de seguridad y privacidad para sistemas de información y organizaciones federales (NIST SP, 2020): En esta publicación, Rodrigo identificó una serie de información crucial para mejorar la seguridad de los flujos de procesos de negocio del Tribunal Superior. La publicación establece controles específicos que se pueden implementar en cualquier organización o sistema que se ocupe del procesamiento, almacenamiento o transmisión de información. Estos controles tienen como objetivo fortalecer la ciberseguridad y la privacidad, protegiendo a la institución de posibles amenazas.

Rodrigo también señaló que la publicación sugiere la importancia de mejorar la comunicación entre las organizaciones, proporcionando un léxico común para facilitar la discusión de los conceptos de seguridad, privacidad y gestión de riesgos. Esto permite a los equipos involucrados en la prevención de riesgos tener una comprensión unificada de los términos y objetivos, mejorando así la colaboración y la efectividad de las estrategias implementadas.

La publicación también describe algunos de los conceptos fundamentales asociados con los controles de seguridad y privacidad, ofreciendo una visión completa de los principios y fundamentos que guían la implementación de estos mecanismos de protección. Uno de los conceptos clave que extrajo fue el de "Controles de seguridad". Estos controles se refieren a prácticas específicas que una organización puede implementar para mitigar los riesgos de ciberseguridad y proteger sus sistemas e información de las amenazas. Abarcan una amplia gama de medidas, desde procedimientos y políticas de seguridad hasta tecnologías y prácticas operativas.

Además, el catálogo consolidado de controles de seguridad y privacidad de la publicación es una herramienta valiosa para las organizaciones, ya que proporciona una lista completa de controles específicos, cada uno con una sección de discusión que explica el propósito de su aplicación y ofrece información útil sobre cómo implementarlos y evaluarlos adecuadamente.

¿Estoy a salvo? ¿Qué debo saber?

Al presentar sus hallazgos a Clarice, Rodrigo destacó que la publicación presenta una lista de controles relacionados, evidenciando las interrelaciones y dependencias entre los diferentes controles. Esta comprensión integral puede ayudar a la Oficina de Gestión de Procesos Institucionales a recomendar un enfoque integrado y sinérgico en la implementación de estas medidas de seguridad.

Marco de ciberseguridad del NIST V 1.1 : Consiste en la Marco de referencia que presenta estándares, pautas y prácticas de la industria de una manera que permita la comunicación de las actividades y los resultados de ciberseguridad en toda la organización, desde el nivel ejecutivo hasta el nivel de implementación/operaciones (NIST CSF, 2018). Al leer la lista, Clarice pudo identificar alrededor de 5 funciones, 22 categorías, 98 subcategorías y aproximadamente 1200 controles de seguridad, descritos en el Marco de referencia , Figura 2 (NIST, 2022, apud Alves, Renato S.; Georg, Marcus A. C.; Nunes, Rafael R., 2022).

Clarice entendió que, cuando se consideran en conjunto, estos roles ofrecen una visión estratégica de alto nivel del ciclo de vida de la gestión de riesgos de ciberseguridad de una organización (NIST CSF, 2018). A continuación, el Núcleo del marco Identifica las principales categorías y subcategorías subyacentes, que son resultados específicos, para cada rol y las asocia con ejemplos de referencias informativas, como estándares, directrices y prácticas existentes para cada subcategoría.

Marco de referencia Ciberseguridad Controles CIS (CIS, 2021): De Marcos y publicaciones estudiadas y presentadas por Rodrigo, Clarice consideró que Marco de referencia por ser el más didáctico y prometedor, ya que se construyó a partir de la simplificación de las estructuras de los NIST (NIST SP, 2020 y NIST CSF, 2018). Ella se identificó en el Libro Blanco publicado por McClain & Sagerand (2018) que los 18 controles evidenciados en este Marco de referencia Objetivo de satisfacer las necesidades de las infraestructuras críticas de la organización con la mejor relación riesgo-beneficio. Esto se basa en el Principio de Pareto, que dice que el 20% de las causas son responsables de aproximadamente el 80% de los efectos. Por lo tanto, alrededor del 20% de los controles del NIST pueden proporcionar una mejora de alrededor del 80% en la ciberseguridad.

Clarice se dio cuenta de que la implementación de los controles de SSC de la CEI sigue un enfoque estructurado y progresivo. El proceso comienza con el grupo IG1, que se considera obligatorio para todas las organizaciones, independientemente de sus recursos disponibles. Este primer paso es esencial para establecer una base sólida de seguridad, incluso para organizaciones con recursos limitados.

A continuación, el marco aborda el grupo IG2, que tiene en cuenta a las organizaciones con recursos moderados. En esta fase, se añaden controles y medidas de seguridad adicionales para hacer frente a amenazas más complejas y mitigar los riesgos a un nivel intermedio.

Por último, el grupo IG3 está dirigido a organizaciones con exposición a alto riesgo, como el Tribunal Superior. Juntos, se dieron cuenta de que se tendrán que implementar controles avanzados y estrategias de ciberseguridad más sofisticadas para combatir amenazas extremadamente graves y proteger a la organización contra ataques altamente complejos (Figura 3).

Clarice se dio cuenta de que el Marco de referencia ofrece un enfoque estratégico y bien estructurado para reforzar la ciberseguridad del Tribunal. La división en tres grupos -IG1, IG2 e IG3- permite adaptar la implementación de los controles a las particularidades y recursos de la institución, flexibilizando y haciendo más accesible el enfoque.

Algunas de las publicaciones y Marcos para implementar posibles controles de seguridad en el Tribunal Superior, Clarice percibe la necesidad de identificar los procesos de negocio que se deben priorizar para implementar los controles, ya que son varios definidos por los materiales estudiados.

En vista de esto, Rodrigo también identificó el 'Protocolo de Gestión de Crisis Cibernéticas del Poder Judicial – PGCRC-PJ', Ordenanza CNJ No. 162 del 10 de junio de 2021, que establece los procedimientos de respuesta a llevar a cabo antes y después de la ocurrencia de una crisis cibernética a mediano/largo plazo. En este documento, pudo percibir que es necesario identificar las actividades primarias para el mantenimiento de la actividad final de la organización, identificar los activos que sustentan estas actividades y evaluar continuamente los riesgos a los que están expuestos y que estas son las acciones previstas para la prevención del riesgo de la crisis cibernética (Consejo Nacional de Justicia, 2021a, págs. 15-16).

Con esta información, Clarice recuerda la conversación que tuvo con su supervisor al inicio de la pasantía, en la que le hizo preguntas sobre la Cadena de Valor. En esta conversación, Fernanda explica que los procesos de negocio, 'preparación de órdenes y decisiones', son considerados finalistas para la organización, ya que son ejecutados directamente por los magistrados. Así, Clarice concluye que estos serán los priorizados en su informe.

Luego de priorizar los procesos de negocio, respectivos al Tribunal Superior, Clarice busca entender, analizando los impactos del incidente y realizando la investigación de referencia, cuáles serían los principales riesgos relacionados con las actividades que se realizan en la organización.

En esta búsqueda se identificó la investigación realizada por ALVES, Renato S. & GEORG, Marcus A. C. & NUNES, Rafael R. (2022), que identifica los Riesgos de Negocio de las principales actividades del Poder Judicial (Figura 4).

Además de los riesgos de negocio, en esta misma investigación, Clarice pudo identificar el vínculo entre los riesgos de negocio y los riesgos operacionales, derivado del análisis de las causas y fuentes del riesgo operacional (Figura 5).

Luego de estos resultados de la investigación de ALVES, Renato S. et al. (2022), Clarice ya puede vislumbrar dónde se podrían implementar controles de seguridad en los procesos de negocio priorizados de la Corte, con el fin de fortalecer su seguridad, previniendo futuros ataques.

Los departamentos judiciales y la seguridad de sus procesos de negocio

Luego de realizar la investigación, Rodrigo recordó la necesidad de entender cuáles serían las perspectivas de otros departamentos de la Corte respecto a la implementación de controles de seguridad en sus procesos de negocio. Así, Clarice se encargó de realizar las entrevistas a estos colaboradores. En estas entrevistas, se encontró con una diversidad de perspectivas y preocupaciones con respecto a la implementación de nuevos controles de seguridad en los procesos comerciales.

Algunos empleados expresaron una preocupación comprensible por la posible complejidad y retraso que tales cambios podrían implicar en los flujos de trabajo que se han establecido durante años. Temían que la adopción de nuevos controles pudiera interferir con sus rutinas diarias y dar lugar a una posible resistencia operativa.

Además, el pasante también notó una reticencia en relación a posibles modificaciones en los sistemas ya consolidados en la Corte. Muchos empleados estaban acostumbrados a las interfaces y funcionalidades existentes, y cualquier cambio podía generar incomodidad y la necesidad de adaptarse a un nuevo entorno de trabajo digital.

A pesar de la resistencia inicial, Clarice se dio cuenta de que algunas entrevistas también revelaban una apertura a la comprensión de la importancia de la ciberseguridad. Los empleados más comprometidos reconocieron que, si bien existen preocupaciones legítimas con respecto a la complejidad, la seguridad y la integridad de los datos de la Corte son fundamentales para garantizar un entorno confiable protegido de las amenazas digitales.

Seguridad y Eficiencia Operativa: una relación inversamente proporcional

Cuando se enfrentó a la tarea de investigar alternativas para prevenir futuros ciberataques en el Tribunal Supremo, Clarice se sumergió en un dilema intrigante y crucial: la relación inversamente proporcional entre el aumento de la ciberseguridad y la posible pérdida de eficiencia en los procesos de negocio.

Clarice entendió que la implementación de controles de ciberseguridad era esencial para fortalecer las defensas de la Corte frente a posibles ataques. La adopción de medidas estrictas, según lo indicado por las publicaciones y Marcos , como «Cyber Security CIS CSC V 8.0» (CIS, 2021), podría hacer que los sistemas sean más resilientes y menos vulnerables a las ciberamenazas.

Sin embargo, Rodrigo planteó la información de que a medida que se implementan controles de seguridad y se fortalece la ciberseguridad, los procesos de negocio tienden a volverse más complejos y lentos. La adición de capas de seguridad puede requerir comprobaciones adicionales, pasos de autorización y procedimientos de autenticación, lo que puede afectar al flujo normal de actividades y hacer que algunos procesos se ralenticen.

Esta dualidad llevó a Clarice a una profunda reflexión sobre cómo equilibrar la necesidad de ciberseguridad con la eficiencia operativa de la Corte. Después de todo, garantizar la seguridad de la información es esencial para proteger la equidad y la confidencialidad de los procedimientos, pero no se puede ignorar la importancia de mantener la agilidad y la eficiencia en los procedimientos judiciales.

Para hacer frente a este reto, Clarice entendió que el enfoque ideal sería encontrar un equilibrio entre la implementación de controles de ciberseguridad y la optimización de los procesos empresariales. Esto podría lograrse a través de un análisis exhaustivo y cuidadoso de la aplicación de controles, identificando dónde la seguridad es más crítica y dónde es posible simplificar los procedimientos sin comprometer la protección de datos. Es decir, implementar controles basados en el proceso de evaluación de riesgos. ¿De qué sirve la eficiencia sin eficacia?

Además, se dio cuenta de la importancia de promover una cultura de concientización y capacitación para los empleados de la Corte, a fin de garantizar que todos estén alineados con las medidas de seguridad y entiendan su relevancia para la integridad de las operaciones. No obstante, los dirigentes de la Corte tienen un papel crucial en la aplicación de las medidas de seguridad y en el equilibrio con la agilidad de las operaciones.

Una mirada hacia afuera: comparando con otras organizaciones

Para completar su investigación, decidió hacer un punto de referencia en algunas empresas brasileñas para analizar cómo se lleva a cabo la práctica de la seguridad de la información. Para ello, analizamos un artículo de Silva Netto, A. D., et al. Silveira, M. A. P. D. (2007) que estudia una muestra de 43 pequeñas y medianas empresas de la región ABC de São Paulo para conocer cuáles son los métodos más comunes y cuáles son los factores que motivan o inhiben la adopción de la gestión de la seguridad de la información. Los resultados muestran que las técnicas más utilizadas son el antivirus, la copia de seguridad de archivos y el firewall y los principales factores desmotivadores son el valor de la inversión, la dificultad de medir el costo-beneficio, la falta de conocimiento y la cultura organizacional de las propias empresas. Por último, entre las tres capas de la gestión de la seguridad -física, lógica y humana- la humana es la más deficiente. ¡Debemos hacer del ser humano el eslabón más fuerte de la cadena!

Esta investigación hizo que Clarice se replanteara un poco la diferencia entre lo que ella estudió y lo que se hace en la práctica, ya que las organizaciones no siempre elegirán los mejores métodos, ya sea porque no cuentan con recursos o conocimientos sobre seguridad de la información, o porque preferirán tener menos seguridad, pero por otro lado tendrán más agilidad en los procesos.

Fortalecimiento de la ciberseguridad

Después de una extensa investigación y dedicación, Clarice, la pasante, y Rodrigo, el gerente de la Oficina de Gestión de Procesos Organizacionales del Tribunal Superior, estaban listos para consolidar toda la información en un informe completo. Sabían de la importancia de este documento para presentar sus hallazgos y propuestas a Fernanda, su supervisora, y a Miguel, el jefe de la Oficina. El informe sería uno de los referentes para dirigir la estrategia de prevención de futuros ciberataques y aumentar la seguridad de los flujos de procesos de negocio de la Corte.

Para comunicar mejor sus conclusiones, Clarice organizó la información de manera concisa. Hizo hincapié en la importancia de un enfoque equilibrado entre la ciberseguridad y la eficiencia en los procesos empresariales, mostrando cómo los líderes desempeñarían un papel clave en la toma de decisiones informadas.

Al llegar a la parte crucial del informe, Clarice presentó la sugerencia de implementación, destacando el "modelo de tres líneas de IAA 2020" (IAA, 2020). Explicó que este modelo ayudaría a la Corte a identificar estructuras y procesos que ayuden a alcanzar los objetivos y faciliten una gobernanza sólida y una gestión eficiente de los riesgos (Figura 6).

Clarice describió los puntos principales del modelo, incluyendo el enfoque basado en principios, el énfasis en la contribución de la gestión de riesgos a la creación de valor, y la clara comprensión de las funciones y responsabilidades dentro del modelo.

Además, destacó la importancia de alinear las actividades y objetivos con los intereses priorizados de la Participantes , velando por que la Oficina de Gestión de Procesos Institucionales se comprometiera a satisfacer las expectativas de quienes confiaban en la seguridad e integridad de la Corte.

Con el informe finalizado, Rodrigo, con el apoyo de Clarice, estaba listo para presentárselo a Fernanda y Miguel. Rodrigo solicitó una reunión con ambos. Durante la presentación del informe, destacó la importancia crítica de la situación, enfatizando que el reciente ataque de piratas informáticos ha expuesto la fragilidad de los sistemas y la necesidad urgente de medidas preventivas más sólidas. Quedó claro que muchos consejos de administración aún no estaban preparados para tomar decisiones relacionadas con la ciberseguridad en los niveles superiores de gestión. Esto planteó importantes preocupaciones.

Miguel, el jefe de la Oficina de Gestión de Procesos Organizacionales, coincidió con la urgencia de la situación. Se dieron cuenta de que se debía realizar un trabajo conjunto para implementar los cambios propuestos y fortalecer la ciberseguridad. La posibilidad de nuevos ataques y sus consecuencias inminentes hicieron evidente la necesidad de tomar decisiones rápidas y efectivas, involucrando a todas las partes interesadas. El equipo se enfrenta ahora a un momento crítico en el que es esencial adoptar medidas decisivas para proteger los sistemas y garantizar la continuidad de las operaciones judiciales.

Preguntas para el debate

1. ¿Cuáles son los principales retos a los que se enfrentan las organizaciones a la hora de integrar el riesgo cibernético en las decisiones de la alta dirección y en la gobernanza general?
2. ¿Fueron satisfactorios los resultados de la investigación de Rodrigo y Clarice? Comentar lo que se podría haber hecho para mejorar la investigación realizada.
3. ¿Qué estrategias pueden adoptarse para que la Corte sea más resistente a futuros ataques cibernéticos, sin comprometer la eficiencia de los procesos operativos?
4. ¿Cuáles son las principales lecciones aprendidas del ataque anterior de piratas informáticos y cómo se pueden aplicar para fortalecer la resiliencia de la Corte frente a futuras amenazas cibernéticas?
5. ¿Cómo se puede fortalecer la colaboración entre la Oficina de Gestión de Procesos Institucionales y otras esferas de la Corte para garantizar la aplicación eficaz de las medidas de seguridad cibernética?
6. Teniendo en cuenta la constante evolución de las amenazas cibernéticas, ¿cómo podemos aumentar la preparación de la Corte para hacer frente a ataques más sofisticados en el futuro?
7. ¿Cómo se ve afectada la eficiencia de los procesos de negocio por la implementación de medidas de seguridad? En este escenario, ¿cuál es el mejor enfoque: la eficacia o la eficiencia?
8. ¿Cómo relacionar los riesgos empresariales con los riesgos operativos? ¿Cómo se puede mejorar la comunicación entre los diferentes niveles de la organización con respecto a los riesgos?

Notas de los autores

¹Es importante aclarar que un ataque de ransomware se utiliza en varias fases. En este caso de la docencia, se decidió simplificar y no ahondar en este tema con fines didácticos.

Galería

Referencias

Alves, Renato S.; Georg, Marcus A. C.; Nunes, Rafael R. (2022). Poder judicial bajo ataque de hackers: riesgos empresariales para la ciberseguridad en los tribunales brasileños. Monografía - Administración, FACE, Universidad de Brasilia - UnB, Brasilia. DOI: 10.17013/risti.n.pi-pf. Fecha de acceso: 22, jul. 2023.

BRASIL. [Constitución (1988)]. Constitución de la República Federativa del Brasil de 1988. Brasilia, DF: Presidencia de la República, 2016. Consultado el 20 de julio de 2023, disponible en https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm.

BRASIL [ley general de protección de datos] (2018). Consultado el 24 de julio de 2023 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CIS, Centro para la Seguridad en Internet. (2021). "Guía de defensa cibernética simplificada y priorizada - Controles de seguridad críticos de CIS - CSC, versión 8.0". Consultado el 23 de julio de 2023, disponible en: https://www.cisecurity.org/controls

Consejo Nacional de Justicia (CNJ). (2021a). Estrategia Nacional de Ciberseguridad del Poder Judicial. Ordenanza CNJ n.º 162/2021. Consultado el 23 de julio de 2023, disponible en: https://atos.cnj.jus.br/files/compilado1402302021061460c7617672ec5.pdf

Consejo Nacional de Justicia (CNJ). (2021b). Justicia 4.0. Consultado el 21 de mayo de 2022, disponible en https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/justica-4-0/

Consejo Nacional de Justicia (CNJ). (2012). Tribunales Superiores: ¿Qué son? ¿Qué hacen?. JusBrasil. Consultado el 22 de julio de 2023, disponible en https://www.jusbrasil.com.br/noticias/tribunais-superiores-quais-sao-o-que-fazem/170117397

FebranTech, (2023). Consultado el 23 de julio de 2023. https://febrabantech.febraban.org.br/temas/seguranca/brasil-e-segundo-pais-mais-atingido-por-ciberataques-na-america-latina-diz-relatorio

Hino, M. C., & Cunha, M. A. (2020). Adopción de tecnologías desde la perspectiva de los profesionales del derecho. Revista Direito GV, v. 16 (n. 1), e1952. Consultado el 22 de julio de 2023. doi:10.1590/2317-6172201952.

Lima, Eduardo y Moreira, Fernando y Deus, Flavio y Amvame Nze, Georges y de Sousa Junior, Rafael y Nunes, Rafael. (2022). Evaluación de la Rutina Operativa del Operador Nacional del Sistema Eléctrico Brasileño (ONS) en relación a las Acciones de Gestión de Riesgos Asociadas a la Ciberseguridad. RISTI - Revista Ibérica de Sistemas y Tecnologías de la Información. E49. 301-312. Consultado el 23 de julio de 2023, disponible en: https://www.researchgate.net/publication/362916438_Avaliacao_da_Rotina_Operacional_do_Operador_Nacional_do_Sistema_Eletrico_Brasileiro_ONS_em_Relacao_as_Acoes_de_Gerenciamento_de_Riscos_Associados_a_Seguranca_Cibernetica

McClain, S. y Sagerand, T. (2018). "Auditar, Evaluar, Analizar: Un Enfoque Priorizado utilizando el Principio de Pareto". Consultado el 23 de julio de 2023, disponible en: https://www.cisecurity.org/insights/white-papers/auditing-assessing-analyzing-a-prioritized-approach-using-the-pareto-principle

NIST_CSF, Marco de Ciberseguridad, Versión 1.1, (2018). "Marco para la mejora de la ciberseguridad de las infraestructuras críticas". Consultado el 23 de julio de 2023, disponible en: https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

Publicación especial del NIST (SP) 800-53, revisión 5, (2020). "Controles de Seguridad y Privacidad para Sistemas y Organizaciones Federales de Información". Consultado el 23 de julio de 2023, disponible en: https://doi.org/10.6028/NIST.SP.800-53r5

La PF arresta a los autores de ataques cibernéticos en el sitio web mantenido por el STF, Pinheiro Mirelle, Carone Carlos. Metrópolis, 2022. Disponible en: https://www.metropoles.com/distrito-federal/na-mira/pf-prende-autores-de-ataques-ciberneticos-a-site-mantido-pelo-stf . Consultado el 24 de julio de 2023

La Policía Federal identificó a un hacker que invadió el sistema STJ, dice el director general Ortiz, Denis. TV Globo, 2020. Disponible en: https://g1.globo.com/politica/noticia/2020/11/06/policia-federal-identificou-hacker-que-invadiu-sistema-do-stj-diz-diretor-geral.ghtml . Consultado el 24 de julio de 2023.

Silva Netto, A. D., & Silveira, M. A. P. D. (2007). Gestión de la seguridad de la información: factores que influyen en su adopción en las pequeñas y medianas empresas. JISTEM-Revista de Sistemas de Información y Gestión de Tecnología, 4, 375-397.

Corte Suprema de Justicia, (2023). Consultado el 23 de julio de 2023 https://portal.stf.jus.br/textos/verTexto.asp?servico=centralDoCidadaoCartaDeServiServicosJurisdicionais&pagina=processosConsultaProcessual

Supremo Tribunal Federal. (2018). Programa de Procesos Electrónicos: La Corte Suprema en sintonía con el futuro. Consultado el 22 de julio de 2023, disponible en https://portal.stf.jus.br/textos/verTexto.asp?servico=processoPeticaoEletronica&pagina=Informacoes_gerais_apos_desligamento_v1 .

El Instituto de Auditores Internos [IAA]. (2020). IAA 2020 Modelo de tres líneas: una actualización de las tres líneas de defensa. Consultado el 23 de julio de 2023, disponible en: https://iiabrasil.org.br/noticia/novo-modelo-das-tres-linhas-do-iia-2020

Sobre los autores

Gabriel Marinho Godinho es estudiante de Administración de Empresas en la Universidad de Brasilia, miembro del equipo de ADM Casoteca y ex miembro de AD&M Business Consulting. Tiene experiencia profesional como Consultor de Proyectos, trabajando con la Gerencia Pública y actualmente se desempeña como Analista de Procesos Organizacionales en una de las corredurías de seguros más grandes de Brasil. Correo electrónico: g.marinho99@gmail.com

Beatriz Teles Fernández es estudiante de Administración de Empresas en la Universidad de Brasilia y miembro del Equipo Casoteca ADM. Correo electrónico: falecombtf@gmail.com

Renato Solimar Alves es un gerente de Seguridad de la Información y Tecnologías de la Información que trabaja en la protección de recursos tecnológicos en el Poder Judicial desde hace 15 años. Es miembro activo del Comité de Gestión de Seguridad de la Información del Poder Judicial, y ha contribuido a la definición e implementación de políticas y lineamientos que fortalecen la postura de ciberseguridad y la respuesta a incidentes de seguridad en el ámbito judicial. Tiene un máster en Ingeniería Eléctrica, especialización en Ingeniería de Sistemas, habiéndose graduado previamente en Tecnología de Telecomunicaciones Móviles y tiene formación técnica en electrónica. Su experiencia incluye liderar equipos en el sector público y empresas de telecomunicaciones.

Carlos Zottmann es licenciado en Tecnología de Procesamiento de Datos por los Colegios Integrados de la Católica de Brasilia, MBA en Gobernanza de TI por Unieuro y posgrado Lato Sensu en Derecho Digital y Protección de Datos por IDP. Es Profesional Certificado en Seguridad de Sistemas de Información (CISSP) por ISC2, y actualmente es estudiante de Maestría en Ciberseguridad en la Universidad de Brasilia (UnB). Profesional con más de 30 años de experiencia en TI, habiendo trabajado principalmente en órganos del Poder Judicial. Se desempeña como servidor del Tribunal Superior de Justicia desde 1994, donde se desempeñó como gerente en las áreas de infraestructura y ciberseguridad, y está adscrito al Tribunal Superior Electoral desde 2018, donde se desempeña como Jefe del Centro Estratégico de Gestión de la Ciberseguridad.

Rafael Rabelo Nunes es un profesional con formación en informática y una activa trayectoria docente, que busca en la sinergia entre la tecnología y las personas, el motor para la transformación de las organizaciones. Actualmente es Profesor Adjunto a tiempo parcial en la Universidad de Brasilia, donde se dedica a enseñar e investigar cómo las TI pueden ser utilizadas estratégicamente por personas y organizaciones, teniendo en cuenta los riesgos involucrados. Es Asesor en Gestión de Riesgos del Supremo Tribunal Federal y Profesor del Centro Universitario UniAtenas. Es doctor en Ingeniería Eléctrica por la Universidad de Brasilia. Graduado en Ingeniería de Redes de Comunicación por la Universidad de Brasilia. Correo electrónico: rafaelrabelo@unb.br

Editora: Nicole Alonso Santos de Sousa es estudiante de posgrado del Departamento de Administración (ADM/FACE) de la Universidad de Brasilia (UnB) y Co-coordinadora de la ADM Casoteca. Posgrado en Finanzas y Contraloría (MBA USP/ESALQ). Licenciado en Administración de Empresas (UnB). Correo electrónico: nicolealonso2000@gmail.com

Editor: Luiz Henrique Lima Rodrigues es estudiante de Administración de Empresas en la Universidad de Brasilia y Co-coordinadora de la ADM Casoteca. Director de Relaciones 2024 en Concentro (Federación de Empresas Junior del Distrito Federal). Correo electrónico: luizhenriquelima305@gmail.com.

Se trata de una obra de ficción, cualquier parecido con nombres, personas, hechos o situaciones de la vida real habrá sido pura coincidencia. Este texto está destinado exclusivamente para el estudio y la discusión académica, y su uso o reproducción en cualquier otra forma está prohibido. La infracción de los derechos de autor someterá al infractor a las sanciones de la Ley Nº 9.610/1998.