La seguridad de la información debe visualizarse como un proceso de mejora permanente y gestionarse bajo este enfoque, dado el dinamismo de los riesgos de seguridad, resultado de nuevas vulnerabilidades identificadas y nuevas amenazas desarrolladas.
Lo que no se controla no puede ser mejorado
Esto adquiere más relevancia si consideramos que el propósito es aumentar y mejorar la seguridad de los países. Para ello, el reto es definir los aspectos a evaluar y la manera de medir el nivel de seguridad de un estado-nación, pensando que aquello que no se mide no puede ser controlado, y en consecuencia, lo que no se controla no puede ser mejorado.
¿Cómo medir el estado de la ciberseguridad en los países?
En el informe de reciente publicación “Ciberseguridad ¿Estamos preparados en América Latina y el Caribe?” a cargo del Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA), se busca conocer los niveles de seguridad en los países latinoamericanos y caribeños. La conclusión general a la que se llega con el trabajo es que una enorme mayoría de los países de la región aún están poco preparados para contrarrestar las amenazas del cibercrimen.
Esto se condice con lo que hallamos en nuestro último ESET Security Report, que analiza el panorama de seguridad en Latinoamérica tras encuestar a responsables de diversas empresas. Si bien se observa una lenta pero sostenida mejora en el nivel de madurez de la seguridad corporativa en la región, todavía existe un importante espacio para mejoras y aprendizaje en la búsqueda de la mitigación de los riesgos.
El informe del BID y la OEA es el resultado de la aplicación del Modelo de Madurez de Capacidad de Seguridad Cibernética (CMM, por sus siglas en inglés), desarrollado por el Centro Global de Capacidad sobre Seguridad Cibernética (GCSCC), que consta de cinco niveles:
- Inicial
- Formativo
- Establecido
- Estratégico
- Dinámico
Por lo tanto, el modelo utilizado para conocer el nivel de seguridad en un estado-nación puede ir desde una etapa inicial en la cual se comienza a considerar la ciberseguridad nacional y no se cuenta con iniciativas, hasta un escenario ideal denominado dinámico. En él, un país es capaz de adaptarse rápidamente a los cambios en el panorama de la seguridad relacionado con amenazas, vulnerabilidades, riesgos, estrategia económica o un cambio en las necesidades internacionales.
La mayoría de los países de la región están poco preparados para contrarrestar las amenazas
Un estado intermedio es el formativo, donde algunas características han comenzado a crecer y ser formuladas, pero pueden ser casuales, desorganizadas, mal definidas o incipientes. Para un nivel establecido los elementos evaluados están definidos y son funcionales, pero no se ha considerado la asignación de recursos y la toma de decisiones con una inversión es escasa. En el estado estratégico se eligen elementos clave e importantes para la organización/país en particular.
¿Qué elementos son evaluados para determinar la postura de seguridad de un país?
Los datos utilizados para este informe fueron recogidos a través de una encuesta en línea, que analizaron 49 indicadores del CMM categorizados en cinco ejes de evaluación. Además, se consideraron otros aspectos como datos estadísticos sobre la población del país o la penetración de Internet.
- Políticas y estrategia nacional de seguridad cibernética (Política y estrategia)
Este primer elemento está relacionado con el desarrollo, organización y contenido de una estrategia nacional de ciberseguridad para cada país de la región. La estrategia debe identificar intereses, roles y responsabilidades de figuras que participan en actividades de seguridad, como la industria, sociedad civil o personas, de tal manera que se trate de una propuesta integral.
Esta categoría también evalúa si el país cuenta con una estrategia de defensa para atender eventos que pueden afectar los intereses de seguridad nacional, relacionados a la capacidad de recuperación, respuesta a incidentes y el intercambio de información de dependencias y organismos de defensa. La evaluación no examina la capacidad técnica o militar, sino solo aquellos atributos fácilmente identificables como la planificación estratégica, organización y coordinación.
- Cultura cibernética y sociedad (Cultura y sociedad)
El segundo eje considera un factor denominado mentalidad de seguridad cibernética, que incluye los valores, actitudes, prácticas y hábitos del gobierno, sector privado, usuarios, expertos y otros actores en el ámbito de la ciberseguridad. La conciencia de seguridad cibernética está relacionada con la sensibilización sobre los riesgos y amenazas informáticas, misma que también es considerada en esta categoría de la evaluación.
Un tercer factor es la confianza en el uso de Internet por parte de los usuarios de servicios en línea, gobierno y comercio electrónico. La privacidad en línea también se considera para el estudio y se relaciona principalmente con el intercambio de datos personales en el sector público y privado.
- Educación, formación y competencias en seguridad cibernética (Educación)
En la tercera categoría se evalúa la disponibilidad nacional de educación, relacionada con la asignación de recursos y/o financiamiento de los países para temas de educación y formación en temas de ciberseguridad. A la par, se revisa el desarrollo nacional de la educación en seguridad cibernética a través de la identificación de programas educativos de nivel superior y universitario y cursos, que brinden conocimientos y habilidades a los estudiantes.
Un factor más es la formación e iniciativas educativas públicas y privadas para la capacitación de empleados, en busca de mejorar sus habilidades para hacer frente a problemas de seguridad en las empresas. También se considera la gobernanza corporativa, que incluye conocimientos y normas aplicadas en empresas públicas y privadas para identificar los riesgos que enfrentan y los principales vectores de ataque.
- Marco jurídico y reglamentario (Marco jurídico)
El cuarto elemento de evaluación está dirigido a conocer los marcos jurídicos de ciberseguridad que regulan la seguridad en las TIC, privacidad, protección de datos y otros derechos en los países que formaron parte del estudio. También se evalúa la investigación jurídica para el cumplimiento de leyes, relacionada con la capacidad para procesar las pruebas electrónicas, incluida la forma de evaluar, obtener y tratar la evidencia digital.
Además, se considera la capacidad de los fiscales para enjuiciar delitos cibernéticos y cooperar con otros países, así como la capacidad de los tribunales para ejercer la justicia y dictar sentencias en temas de delitos cibernéticos. Además, se evalúan los modelos o metodologías para la divulgación responsable de información en las organizaciones del sector público y privado cuando se identifica una vulnerabilidad en productos y servicios de proveedores.
- Normas, organización y tecnologías (Tecnologías)
En la última categoría se evalúa la adhesión a normas y métodos para la gestión de riesgos y adaptación a los cambios en el panorama de la ciberseguridad. En este sentido, la aplicación de las normas y prácticas mínimas aceptables es un factor de evaluación asociado a las adquisiciones y desarrollo de software.
También se revisa que los países cuenten con organizaciones de coordinación de seguridad cibernética, a través de la existencia y funcionamiento de Equipos de Respuesta ante Incidentes de Seguridad Informática (CSIRT, por sus siglas en inglés) y un Centro de Mando y Control de alcance nacional, asociado a la capacidad de una nación para dar respuesta a incidentes de seguridad informática.
Otro factor de evaluación es la resiliencia de infraestructura nacional, en busca de mantener un país funcionando social y económicamente. El gobierno y el sector privado deben ser capaces de proteger los sistemas de información e infraestructuras críticas para garantizar una mayor y mejor capacidad de recuperación nacional.
La protección de la Infraestructura Crítica Nacional (ICN) es un elemento más, revisado para tomar medidas de protección adecuadas para los activos cruciales. La gestión de crisis también se considera en esta categoría para simular roles y capacidades para hacer frente a situaciones del mundo real.
Finalmente, se considera la redundancia digital para activar servicios de emergencia que no tienen como base redes digitales, en caso de la interrupción de medios electrónicos de comunicación. Por último, se considera el mercado de la ciberseguridad, con la disponibilidad de tecnologías y seguros contra la ciberdelincuencia.
El camino a seguir en temas de ciberseguridad para América Latina y el Caribe
El informe inicia mostrando que una cantidad importante de países de la región cuenta con poca preparación para afrontar los retos que representa el cibercrimen. Sin embargo, como en la mayoría de los escenarios adversos, siempre existen oportunidades.
En el documento también se manifiesta que el combate efectivo de la ciberdelincuencia se puede lograr mediante el desarrollo de marcos legislativos en los países, la formación investigadora especialista en temas de seguridad y el tratamiento de pruebas electrónicas, así como la formación de jueces y fiscales.
Finalmente, el aumento de las competencias de ciberseguridad en los estados-naciones de la región se encuentra ligado a la construcción de una base de conocimientos y sensibilización en temas de seguridad, lo que debe ser considerado una prioridad. De manera constante, esto puede resultar en prácticas habituales, que junto con las tecnologías de seguridad de uso sencillo, proporcionan un punto de partida hacia una “sociedad cibernética resiliente”.