SEGURIDAD DE LA INFORMACIÓN EN EL PREP-IEEM 2024
Escrito por Juan Carlos Baca BelmontesEl principio de “Certeza” como uno de los ejes rectores del IEEM es un deber ser para el PREP. La certeza en el PREP esta conformada por una gran cantidad de elementos técnicos y operativos enfocados a mantener el nivel de riesgo bajo tanto en el “Sistema Informático” como en su “Infraestructura Tecnológica y de Telecomunicaciones” que lo soportan.
Hablar del nivel de riesgo es una cultura en el ámbito de las TIC´s. Cuando hablamos de seguridad, en realidad estamos hablando de niveles de riesgo, con un enfoque de por lo menos tres dimensiones básicas de la seguridad de la información; la integridad, la confidencialidad y la disponibilidad de la información. En la cultura del riesgo, el concepto de nivel de riesgo cero no existe. Siempre existen amenazas y/o peligros en todo momento. Las amenazas y/o peligros son todas aquellas condiciones, elementos, personas, equipos, métodos, etc. que se mantienen en estado potencial, pero que si se manifiestan (eventos o incidentes) ocasionarán un daño con un cierto grado de severidad. Es decir, el riesgo es una variable compuesta entre la probabilidad en que se manifiesten las amenazas y la severidad del daño que ocasionan. De ahí que hablar de garantizar un nivel de riesgo cero, es extremadamente aventurado y prácticamente imposible de lograr en la realidad. Podemos considerar niveles de riesgo bajo, pero no nulo y eso es a lo que se refiere cuando se habla de seguridad alta.
La seguridad de la información en el PREP 2024, se refiere a mantener de manera íntegra la información o los datos contenidos en las imágenes de las Actas de Escrutinio y Cómputo, mantener el control de los accesos para las personas autorizadas “confidencialidad” para su operación en la digitalización, captura, verificación y publicación de los resultados. Esa es, precisamente, la misión del PREP. Informar a la ciudadanía sobre el resultado de las elecciones de manera preliminar el día de la jornada electoral con veracidad, efectividad y nivel de confianza. Esta condición de certeza le proporciona tranquilidad a la ciudadanía que va observando los resultados en un navegador donde puede revisar el acta de la casilla donde emitió su voto, ver que su voto fue tomado en cuenta, descargar esa imagen y verificar que no fue alterada mediante mecanismos de verificación de autenticidad con métodos criptográficos incluidos en el PREP (HASH 512).
La Reforma Electoral del 2014 generó cambios respecto al tema electoral, por lo tanto, para el PREP y las regulaciones de seguridad de la información asociadas. El INE asumió la responsabilidad de supervisar y coordinar en conjunto con los OPL todos los procesos electorales en el país.
En el caso del PREP, el INE a través de la Unidad Técnica de Servicios Informáticos (UTSI) lleva a cabo esa coordinación con la Unidad de Informática y Estadística (UIE) del IEEM, responsable del diseño, desarrollo, operación y mantenimiento del PREP.
El Reglamento de Elecciones y sus Anexos 13 y 18.5 aparecieron como los lineamientos del PREP. En esta reforma se incluyeron entidades como el Comité Técnico Asesor del PREP (COTAPREP) como apoyo para el diseño, desarrollo, operación y mantenimiento del PREP. Apareció la figura del Ente Auditor cuya función se especializa en auditar el Sistema Informático del PREP en lo referente a la funcionalidad y la seguridad de la información.
Las pruebas mínimas sobre el Sistema de Información del PREP son:
- Pruebas funcionales de caja negra al sistema informático para evaluar la integridad en el procesamiento de la información y la generación de resultados preliminares.
- Análisis de vulnerabilidades, considerando al menos pruebas de penetración y revisión de las configuraciones de la infraestructura y/o servicios relacionados con Tecnologías de la Información y Comunicaciones donde se implemente el PREP.
- Pruebas de negación de servicio (DDOS) al sitio del PREP.
- Los componentes, programas, configuraciones y, en su caso códigos auditados sean los utilizados durante la operación del PREP.
- Que las bases de datos y el sitio de publicación no cuenten con información referente a los resultados electorales preliminares previo a su puesta en operación el día de la Jornada Electoral. Ante Fedatario Público.
Conéctate