viernes
8 y 2
8 y 2
La semana pasada el gobierno de Colombia sufrió un ataque cibernético sin precedentes, que dejó mas de 30 entidades públicas sin poder atender a los ciudadanos. Entre esos hay servicios básicos y esenciales, como la administración de justicia, que debió aplazar todos los procesos en curso hasta que se pueda resolver el problema.
En entrevistas posteriores, el ministro de las TIC, a mi modo de ver, se ha enredado bastante explicando que fue lo que pasó y que es lo que están haciendo para resolverlo. Pero lo mas grave de todo este episodio es que no se le entiende al ministro cuando le preguntan por la copia de seguridad o backup. No explican de si hay o no una copia de la información secuestrada en el ataque o, de si la hay, de donde está o si está completa.
Conociendo la tradición colombiana de manejo de riesgos, es muy probable que esta copia no exista, o exista solo parcialmente. En este país muy poco se ha comprendido la importancia de la redundancia en los sistemas esenciales y críticos, salvo en muy contadas ocasiones. En el país somos bien mediocres para medir el riesgo y, sobre todo, para gastar recursos - bien sea públicos o privados - para generar “colchones” que permitan sobreaguar eventos improbables en su ocurrencia, pero con consecuencias gigantescas.
Los eventos de “cisne negro”, como los bautizó Nassim Taleeb, un matemático que ha escrito varios libros al respecto, son precisamente eso. Eventos que ocurren muy infrecuentemente, pero que una vez ocurren tienen un impacto monumentalmente grande. Este ciberataque al gobierno es prueba exacta de uno de estos fenómenos.
Y de ahí la importancia del n-1. Consiste en eliminar un componente de un sistema n (el -1) y ver qué sucede ante la ocurrencia de diferentes eventos que afectan ese sistema. Esto permite diseñar soluciones que sirvan para mitigar los impactos de la ocurrencia de esos eventos que se están simulando. Así se planea, por ejemplo, el diseño de la red de transmisión y distribución eléctrica en el país, la cual tiene redundancias que permiten mantener el fluido eléctrico ante diferentes eventos que afecten una u otra parte de la infraestructura. Si se cae una torre o una línea, por ejemplo, hay vías alternas para transportar la energía y permitir que no haya cortes de energía muy frecuentes o muy largos.
Pero son contados los casos donde esto ocurre. Como ya lo mencioné, en Colombia somos muy malos para invertir plata en redundancia, por considerar que es un gasto innecesario y, valga la repetición, redundante. “Fresco, que eso no pasa”, o “Tranquilo, que eso no nos toca”, son las frases de populares que reflejan, en el fondo, una cultura de vivir en el día a día, de no pensar en lo que puede venir ni en sus consecuencias. Esta característica, que parece inofensiva, en el fondo es lo que justifica la falta de inversión en la mitigación de riesgos y sus consecuencias.
Esto se ha visto en infraestructura de transporte, en vivienda, en seguridad cibernética, en la redundancia de redes de telecomunicaciones, entre muchos ejemplos. Y en donde si hay confiabilidad, como el cargo por confiabilidad del sector eléctrico, arrecian las críticas porque se tiene la impresión de que se está gastando plata de manera innecesaria.
Ojalá este ataque cibernético nos haga entender un poco más la importancia del n-1. De que alguien tiene que poner la plata para poder mitigar esos riesgos, así la infraestructura o los procesos en los que se invierta no se usen sino una vez cada cuaresma. Invertir en la mitigación de riesgos es fundamental. Porque cuando viene el cisne negro, es mejor estar muy bien preparados..
