Tendencias regionales en el estado de preparación en ciberseguridad, 2016-2020

En 2015 la Organización de los Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID) fueron las primeras organizaciones del mundo que se embarcaron en un estudio profundo y amplio de las capacidades cibernéticas en toda una región, evaluando el estado del desarrollo en América Latina y el Caribe.

En este contexto, la segunda ronda de evaluaciones de seguridad cibernética presentada ofrece una perspectiva longitudinal sobre el desarrollo detallado de la capacidad de seguridad cibernética en toda la región. Esta perspectiva en el tiempo ofrece una oportunidad para que los gobiernos de la región evalúen sistemáticamente su progreso a la luz de los avances en las naciones vecinas. Este conocimiento también puede ayudar a los gobiernos a racionalizar sus esfuerzos, alineados con los hitos que han identificado a nivel estratégico, en estrategias nacionales de seguridad cibernética, planes de acción relacionados u otros programas de creación de capacidad cibernética. Además, estos datos les proporcionarán información adicional a los actores, que entregan recursos para el desarrollo de capacidades, sobre el impacto que su inversión ha tenido hasta la fecha y que les permitirá, del mismo modo que a profesionales, investigadores, organizaciones internacionales y gobiernos, identificar éxitos y mejores prácticas en la creación de capacidad. No menos importante es el hecho de que estos datos longitudinales también facilitan una mejor comprensión del valor de las evaluaciones de capacidad para orientar las políticas y las prioridades de inversión.

El Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM, por sus siglas en inglés), que fue la base de los estudios regionales de la OEA y el BID en 2016 y 2020, sigue un enfoque integral que entiende la capacidad dentro de cinco dimensiones: (i) política y estrategia; (ii) cultura y sociedad; (iii) educación, capacitación y habilidades; (iv) marcos legales y regulatorios, y (v) estándares, organizaciones y tecnologías. Para medir de manera confiable la capacidad de seguridad cibernética, cada dimensión se desglosa en factores, aspectos e indicadores, y cada nivel evalúa la capacidad con granularidad progresiva.

El CMM fue diseñado en 2013 por el Centro Global de Capacidad en Seguridad Cibernética (GCSCC, por sus siglas en inglés) de la Universidad de Oxford. Para garantizar que el CMM permanezca actualizado y sea una herramienta poderosa que capture desarrollos importantes, el modelo se somete a revisiones periódicas. A medida que evolucionan los requisitos de capacidad, se hace necesario reflejar este progreso en el modelo para capturar adecuadamente los avances y ofrecer información sobre los próximos pasos posibles para una mejora adicional. En este sentido, el modelo en sí se actualizó en febrero de 2017, en consonancia con la evolución de los desafíos de seguridad y en base a la experiencia de implementar el modelo en el campo.

Esta versión revisada del CMM, utilizada en el estudio de 2020, le agrega una gama de aspectos nuevos para el análisis, como el “modo de operación” de la capacidad de respuesta a incidentes, la “comprensión del usuario de la protección de información personal en línea”, los “mecanismos para la presentación de informes”, informes de incidentes cibernéticos por “medios y redes sociales”, “legislación de protección de datos”, “protección infantil en línea”, “legislación de protección del consumidor”, “legislación de propiedad intelectual”, “cooperación formal” y “cooperación informal” sobre asuntos de delitos informáticos, “calidad del software”, “controles técnicos de seguridad” y “controles criptográficos”.

El presente estudio no sólo le aporta datos significativos a la comunidad internacional de capacidad de seguridad cibernética, sino que también muestra el valor de las evaluaciones de capacidad para guiar la estrategia, la política y la asignación nacional de recursos, y para resolver los beneficios de inversión en áreas de desarrollo de capacidades. En toda América Latina y el Caribe, se ha logrado un progreso visible en todos los aspectos cubiertos por el modelo desde 2015 hasta 2019 (el período entre los dos estudios), como se refleja en el aumento de los puntajes de madurez de capacidad. Los datos longitudinales de los dos estudios muestran varias tendencias e indicaciones de sinergias entre los esfuerzos de creación de capacidad para diferentes aspectos, que se detallan a continuación.

Los aspectos dentro de la dimensión “política y estrategia” han progresado más que otras dimensiones, lo que indica que un enfoque estratégico sistemático para la capacidad de ciberseguridad vale la pena. Los países con mejoras en el contenido o en los procesos de desarrollo de su estrategia nacional de ciberseguridad (NCS, por sus siglas en inglés) tuvieron mayores avances en todos los ámbitos, lo que indica que invertir en un enfoque estratégico tiene resultados positivos para la ciberseguridad. Desde 2015, el número de países de la región que han adoptado una NCS se ha más que duplicado. Colombia, que encabezó los esfuerzos en esta área al desarrollar la primera NCS de la región en 2011, actualmente está implementando la segunda iteración de su NCS.

También se registraron mejoras significativas en el fomento de una mentalidad de ciberseguridad al interior de los gobiernos y entre los usuarios de Internet. Aunque no forman parte de una campaña de sensibilización dedicada, las consultas de múltiples partes interesadas realizadas para la puesta en marcha de estrategias nacionales de ciberseguridad amplían la conciencia entre las organizaciones participantes sobre sus respectivas actividades, responsabilidades y capacidades. Estas ganancias de conciencia pueden filtrarse a otros y ayudar a extender y mantener la capacidad en este espacio. Los avances en la organización y el contenido de las estrategias se reflejan en una mayor consideración de los problemas de seguridad de las TIC entre los representantes del gobierno. Sin embargo, los datos sugieren que ambos grupos, tanto funcionarios gubernamentales como usuarios de Internet en general, aún están rezagados con respecto al sector privado; y la sensibilización de los usuarios de Internet a la seguridad en general sigue siendo relativamente baja. En este sentido, vale la pena recordar que el desarrollo de capacidades de seguridad cibernética sigue siendo un esfuerzo continuo y de toda la nación que sólo podrá tener éxito si se basa en un enfoque inclusivo que incorpore a los grupos vulnerables en toda la sociedad.

Ciertamente, los usuarios de países con legislación más avanzada y específica también informaron niveles más altos de confianza en su uso de Internet. Esto quizá se deba a que, de acuerdo con su experiencia, los usuarios han percibido un aumento de la seguridad, producido gracias a leyes específicas en materia de TIC, legislación de datos, protección del consumidor y protección infantil en línea (introducidas como nuevas medidas por el modelo actualizado).

Entre 2016 y 2020 los puntajes de madurez para la “legislación sobre delitos cibernéticos sustantivos” no progresaron, posiblemente porque ese aspecto ya tiene el puntaje promedio más alto de toda la región. Este avance en la legislación sustantiva se ha complementado cada vez más con el progreso en la “legislación procesal del delito cibernético”, que es el aspecto legal que ha registrado la mayor actividad en el período desde 2015. Sin embargo, la legislación sustantiva experimentará mayores aumentos de capacidad en “términos reales”, ya que la exigibilidad depende crucialmente de las disposiciones procedimentales.

La única excepción a este marcado progreso en la capacidad tuvo lugar en las evaluaciones de la “Coordinación de Defensa” cibernética. Sin embargo, la “Coordinación de Defensa” es un tema delicado también fuera de las Américas; más que en otros aspectos, creemos que las evaluaciones de los esfuerzos de “Coordinación de Defensa” están limitadas por la sensibilidad de la información involucrada y la renuencia potencial a compartir detalles relevantes, factores que también pueden suponer un impedimento para la “Coordinación de Defensa” en sí misma.

La investigación comparativa adicional sobre los datos longitudinales podría proporcionar información extra sobre si los avances en áreas hasta ahora poco priorizadas podrían catalizar avances en otras áreas y, por lo tanto, convertirse en un foco en el futuro. Todos los aspectos de la educación y capacitación en ciberseguridad, por ejemplo, se ubican en la mitad inferior, en términos de progreso. La escasez en la fuerza laboral de profesionales calificados en ciberseguridad es un desafío casi universal. Sin embargo, sin el financiamiento adecuado para la capacitación y educación profesional, el desajuste entre la oferta y la demanda conlleva el riesgo de retrasar las ganancias de madurez a futuro; también la falta de una base de habilidades de seguridad cibernética de apoyo podría tener efectos negativos en cascada en los esfuerzos de creación de capacidad en otras áreas. Estas consideraciones resaltan la necesidad de equilibrar las inversiones en ganancias de madurez a corto plazo para abordar las amenazas de seguridad inmediatas con planes a largo plazo para fomentar habilidades y educación que contribuyan de manera sustancial y autosostenible a las posturas nacionales de ciberseguridad.

“Divulgación responsable” fue el aspecto con el puntaje de madurez más bajo de la región. La amplitud y el enfoque integrado del CMM permiten contextualizar aún más las puntuaciones de los aspectos individuales. En este sentido, los riesgos asociados con la falta de un mecanismo institucionalizado para compartir información sobre vulnerabilidades descubiertas y políticas sobre piratería ética podrían verse agravados por los puntajes igualmente bajos para las capacidades de respuesta interna, incluyendo “organización de protección de infraestructura crítica”, “gestión de crisis”, “gestión y respuesta a riesgos” y “seguro de delito informático”, que se ubican en la parte inferior y han visto pocas mejoras desde 2015.

Un propósito clave de cualquier evaluación de CMM es descubrir medidas que funcionen bien, pero también identificar brechas. En este sentido, el BID, la OEA y todos los países participantes de la región merecen un reconocimiento por presentar esta línea de base actualizada y por trazar un camino que otras regiones podrían seguir para lograr una mayor conciencia fundamentada de sus niveles de capacidad.

Además de los compromisos con el desarrollo de capacidades de seguridad cibernética a nivel nacional, América Latina y el Caribe ha sido más que el fundamento de una serie de iniciativas regionales muy dinámicas. Por ejemplo, en 2016 se realizó el lanzamiento de CSIRT Américas, una plataforma que permite la cooperación regional y el intercambio de información entre los equipos de respuesta a incidentes gubernamentales y nacionales de los Estados Miembros de la OEA. A raíz del ataque del ransomware WannaCry en 2017, CSIRT Américas, una ha facilitado la identificación y el aislamiento temprano de los puntos críticos de infección en las Américas para frenar la propagación de WannaCry dentro de la región. Para mitigar brotes futuros, la plataforma ha creado un depósito central de herramientas para sus componentes regionales de modo de prevenir y combatir las infecciones de ransomware. Desde 2015, la propia comunidad de respuesta a incidentes ha crecido a 20 CSIRT nacionales dentro de la región.

Desde 2016, los equipos de las Américas se han entrenado junto con sus homólogos de Europa, África y Asia en ejercicios anuales regulares, organizados en colaboración entre la OEA, el Instituto Nacional de Seguridad Cibernética (INCIBE) y el Centro Nacional de Protección de Infraestructura Crítica. En 2018, la OEA, el BID y el INCIBE organizaron un primer desafío conjunto de ciberseguridad específicamente para apoyar y alentar a jóvenes talentos en España y las Américas a seguir una carrera en campos relacionados con la ciberseguridad.

En su compromiso por promover el cumplimiento de las líneas de base para el comportamiento responsable en el ciberespacio identificado por los informes de consenso del grupo de Expertos Gubernamentales sobre Seguridad de la Información de Naciones Unidas, en 2017 la OEA estableció un grupo de trabajo sobre medidas de cooperación y fomento de la confianza en el ciberespacio. A través del intercambio de mejores prácticas con la Organización para la Seguridad y la Cooperación en Europa (OSCE), el Grupo de trabajo ha desarrollado dos conjuntos de medidas de fomento de la confianza, las cuales ya han sido adoptadas por los Estados Miembros de la OEA.

Como parte de estas medidas, los Estados Miembros de la OEA han resuelto compartir información sobre políticas nacionales de seguridad cibernética, establecer un punto de contacto nacional para discutir las amenazas cibernéticas a nivel regional, identificar un punto de contacto separado dentro de sus ministerios de Asuntos Exteriores en apoyo de la cooperación internacional, y la cooperación y el diálogo, y apoyar estos canales, cuando corresponda, con plataformas y acuerdos para promover prácticas que fortalezcan la estabilidad en el ciberespacio. Entre otros compromisos se incluyen además la capacitación de diplomáticos y funcionarios gubernamentales en general en asuntos de seguridad cibernética y el fortalecimiento de iniciativas de creación de capacidad a través de campañas de sensibilización tanto en el sector público como en el privado.

La OEA y el GCSCC tienen una relación especial. Las dos organizaciones han estado colaborando desde el desarrollo del CMM, han implementado proyectos piloto conjuntos del modelo en Jamaica y Colombia en 2015 y una evaluación posterior en Brasil en 2018. Esta asociación estratégica se formalizó mediante un memorando de entendimiento en 2015 y, siendo un socio confiable, la OEA fue un contribuyente activo en el proceso de revisión de la CMM. La colaboración entre las dos organizaciones también se extiende más allá de la CMM, e incluye iniciativas conjuntas en eventos de partes interesadas como el Foro para la Gobernanza de Internet (IGF, por sus siglas en inglés). En el futuro, la OEA y el GCSCC trabajarán en estrecha colaboración para poner a prueba un Marco de daño cibernético, que se implementará junto con el CMM, así como para establecer un centro regional en América Latina como parte de una constelación global más grande de centros de capacidad regionales de ciberseguridad.

Sadie Creese Directora, Centro Global de Capacidad en Seguridad Cibernética, Universidad de Oxford

Reporte de Ciberseguridad 2020 |  InterAmerican Development Bank – Organization of American States

DESCARGA EL REPORTE CIBERSEGURIDAD 2020: RIESGOS, AVANCES Y EL CAMINO A SEGUIR EN AMÉRICA LATINA Y EL CARIBE

Social Share Buttons and Icons powered by Ultimatelysocial