El primer país que definió una estrategia de ciberseguridad en Latinoamérica fue Colombia en el año 2011. Y en 2016 redefinió dicha estrategia agregando la gestión del riesgo. Es precisamente el riesgo de ciberseguridad en el uso de las tecnologías y de las infraestructuras de comunicaciones de cualquier país el que puede afectar a su seguridad nacional. Son múltiples las amenazas que aprovechan las debilidades del ciberespacio y de la tecnología contribuyendo a la expansión de acciones delictivas en términos económicos, políticos o de otro tipo, de forma anónima y desde cualquier lugar del mundo.
Argentina publicó la estrategia de ciberseguridad en 2019 y su primera acción específica fue definir explícitamente las infraestructuras críticas. Son múltiples los ejemplos de atacantes que aprovechan las debilidades tecnológicas que soportan las infraestructuras de servicios esenciales afectando al normal funcionamiento de un país. Y estos riesgos de ciberseguridad están impactando sobre los ciudadanos y las organizaciones de sectores públicos y privados.
La importancia estratégica de disponer de un ciberespacio seguro conlleva la creación de un sistema de ciberseguridad nacional basado en una Estrategia Nacional de Ciberseguridad (ENCS). Es decir, un conjunto de órganos, organismos y procedimientos que proporcione la dirección, control y gestión de la seguridad en el ciberespacio. Ocho países en Latinoamérica tienen actualmente una estrategia nacional de ciberseguridad: Argentina, Brasil, Chile, Colombia, Costa Rica, México y Paraguay. Y países como Ecuador y Perú están en proceso de desarrollo.
Un actor clave en el desarrollo de la mayoría de las estrategias de ciberseguridad en Latinoamérica ha sido la Organización de los Estados Americanos (OEA). Pero no todos los países se han basado en el apoyo brindado por la OEA y han desarrollado su estrategia en base a organismos institucionales propios, lo que dificulta la homogeneidad. Algunas estrategias definen principios y objetivos y otras agregan objetivos específicos que las diferencian del resto. Incluso en algunos casos definen objetivos para un determinado año sin detallar cuáles son los recursos destinados a cada una de sus acciones.
Grados de madurez
En el año 2016, el Banco Interamericano de Desarrollo (BID) y la OEA definieron los diferentes grados de madurez para una estrategia de ciberseguridad, identificando cinco niveles de madurez:
- Inicial. Donde no hay una evidencia de la existencia de una estrategia nacional de seguridad cibernética; si existe un componente cibernético, puede ser responsabilidad de uno o más departamentos del Gobierno; ha comenzado un proceso para el desarrollo sin consultar a los interesados.
- Formativo. Se ha articulado un esquema de una estrategia nacional de seguridad cibernética construido sobre la base de la consulta del Gobierno; se han establecido procesos de consulta para los grupos de interés clave, posiblemente con asistencia internacional.
- Establecido. Se ha establecido una estrategia de seguridad cibernética nacional; se ha acordado un mandato específico para consultar a todos los sectores y la sociedad civil; se utilizan tendencias históricas y datos para planificar; una cierta comprensión de los riesgos y amenazas de seguridad cibernética nacional impulsa la creación de capacidades a nivel nacional.
- Estratégico. La estrategia de seguridad cibernética nacional se implementa con conocimiento por parte de múltiples partes interesadas en todo el Gobierno; se confirman los procesos de revisión y renovación de la estrategia; se llevan a cabo ejercicios cibernéticos regulares de escenario y en tiempo real; planes estratégicos de seguridad cibernética impulsan la creación de capacidad y las inversiones en seguridad; se han establecido procesos de medición y métricas, los cuales se implementan y sirven de base para la toma de decisiones.
- Dinámico. La estrategia de seguridad cibernética se revisa continuamente para adaptarse a los cambiantes entornos sociopolíticos, de amenazas y tecnológicos, impulsando el proceso de toma de decisiones de múltiples partes interesadas; se llevan a cabo medidas de transparencia y de fomento de la confianza (TCBM, por sus siglas en inglés) para garantizar la inclusión y la contribución continua de todos los interesados, incluido el mejoramiento de la asociación público-privada, la sociedad en general y los aliados internacionales.
El artículo completo del Centro de Ciberseguridad Industrial (CCI) puede leerse en el número 15 de Segurilatam (disponible en nuestra sección Kiosko Pro).
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el artículo completo?
