Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Global Cybersecurity Index 2024: la seguridad en el escenario mundial
En tiempos donde la tecnología y la digitalización son esenciales, es imprescindible contar con una Ciberseguridad sólida. Las naciones enfrentan crecientes amenazas y sofisticadas tácticas de ciberdelincuentes que buscan perturbar economías, comprometer la seguridad nacional y erosionar la confianza pública. El desafío no solo radica en combatir la ciberdelincuencia, sino también en mejorar las capacidades en materia de Ciberseguridad. ¿Cuáles son los principales impulsores de estas capacidades en los distintos países?
La Unión Internacional de las Telecomunicaciones (ITU, siglas en inglés) en la 5ª edición de su Índice Global de Ciberseguridad (GCI, siglas en inglés), recientemente publicada, analiza las capacidades de preparación de los países en el ámbito digital. Estamos ante un panorama rodeado de complejidades e incertidumbre de un mundo hiperconectado. Por lo cual es preciso comprender mejor los esfuerzos mundiales para proteger el ciberespacio e identificar los retos que nos aguardan.
La Ciberseguridad un imperativo estratégico para los gobiernos, así como para los sectores críticos y no críticos de la sociedad.
El panorama cibernético actual resalta la necesidad constante de mejorar y adaptar la Ciberseguridad. Por tanto, evaluar los esfuerzos en ciberseguridad es esencial para que los gobiernos fomenten el desarrollo en este campo.
✅ Según el índice desarrollado por la ITU, aunque una puntuación perfecta refleja un fuerte compromiso siempre es necesario seguir trabajando en medidas y respuestas adecuadas. GCI resalta los esfuerzos de muchos países en cinco pilares fundamentales: jurídico, técnico, organizativo, desarrollo de capacidades y cooperación.
En este escenario global las naciones están expandiendo los servicios digitales y conectando a la gente, pero aún tienen trabajo para integrar la Ciberseguridad en sus objetivos de conectividad. Existen brechas significativas en capacidad cibernética y retos en recursos como personal, equipos y financiación.
Algunos países avanzan en ciberseguridad pese a tener un desarrollo limitado de TIC. Según el Índice de Desarrollo de TIC (IDI), países con altos niveles de TIC enfrentan riesgos de ciberespacio inseguro por falta de recursos, afectando la resiliencia y confiabilidad.
Ámbito legal
Muchos países han implementado medidas legales que aclaran las preocupaciones vinculadas con la Ciberseguridad, abarcando la privacidad y protección de datos e inclusive hasta las actividades ilegales en línea. Destacan ir en aras de una mayor armonización entre las leyes y regulaciones, tal es el caso de la alineación con el Reglamento General de Protección de Datos o Reglamento (RGPD) y los tratados internacionales de ciberdelitos. Esto ha permitido que estén agregando o actualizando medidas con un lenguaje tecnológicamente neutral, creando más flexibilidad en la interpretación y la alineación entre los delitos u obligaciones en línea y fuera de línea.
No obstante, algunos países presentan ambigüedades en las exigencias de notificación de brechas y sus aplicaciones (como el Reglamento de Ciber resiliencia de la UE), aún es necesario aunar más esfuerzos para generar un mayor impacto en garantizar la especificidad y la aplicación del cumplimiento legal y regulatorio.
✅ Hay que señalar que RGPD y otras leyes similares han impulsado un aumento en el número de países con leyes de privacidad y requisitos de notificación de brechas. Sin embargo, la tendencia se ha estabilizado y muchos necesitan aclarar más sus esquemas legales y regulatorios en términos de privacidad, protección de datos y notificación.
Además, estos esfuerzos pueden complementarse con el desarrollo de capacidades, para garantizar que los actores pertinentes estén bien capacitados y sean conscientes de las amenazas actuales a la ciberseguridad.
Medidas técnicas
Una Ciberseguridad con fundamentos sólidos requiere una combinación de personas competentes, procesos, procedimientos bien documentados y tecnologías. Existe aún disparidad en la implementación de medidas técnicas como vínculo para apoyar los esfuerzos en ciberseguridad.
Los equipos de respuesta a incidentes de seguridad informática (CSIRT) son esenciales para la detección, prevención, respuesta y mitigación de ciberamenazas. Funcionan como puntos focales nacionales e internacionales, fomentando la cultura de divulgación, concienciación y formación.
Aunque menos comunes, los CSIRT sectoriales juegan un papel fundamental, especialmente a nivel regional, permitiendo compartir recursos y esfuerzos conjuntos para abordar problemas comunes. Cada sector enfrenta amenazas y necesidades específicas, especialmente aquellos que forman parte de la infraestructura crítica y su cadena de suministro.
Personas, procesos, tecnologías, información y entornos permiten preparar y empoderar a las naciones para prevenir, proteger y responder eficazmente a los ciberincidentes.
Sin embargo, la implementación de los CSIRT sectoriales enfrenta desafíos debido a la falta de recursos y capacidades en varios países. Sobre todo en países de bajos ingresos y pequeños Estados insulares, los esfuerzos se centran en el desarrollo de los CSIRT nacionales. Con el avance de la infraestructura TIC, las necesidades sectoriales podrán ser cubiertas a nivel nacional o mediante CSIRT regionales.
Además, es esencial realizar simulacros y ejercicios de Ciberseguridad con la participación de todas las partes interesadas.
Medidas organizativas
Se necesita una mayor coordinación y alineación para dar forma a iniciativas nacionales de ciberseguridad más inclusivas y basadas en datos.
La postura de Ciberseguridad de un país requiere de la implementación de sólidas medidas organizativas que ayuden a guiar de manera efectiva. Los países exhiben progresos significativos en la existencia de sus objetivos estratégicos claros, con un plan de acción, ejecución y medición. GCI pone en manifiesto que, si no existe una red de socios bien definida que trabaje conjuntamente con la industria, la sociedad civil y el mundo académico, los esfuerzos en diferentes sectores e industrias se vuelven dispares e inconexos, frustrando los esfuerzos hacia la armonización nacional en el desarrollo de la ciberseguridad.
Las Estrategias Nacionales de Ciberseguridad (NCS, siglas en inglés) se han convertido en una pieza fundamental cada vez más común para que los gobiernos se organicen en torno a la Ciberseguridad, quienes además se encuentran trabajando para desarrollar métricas y medidas claras para entender cómo realizar un seguimiento de los resultados de la Ciberseguridad a nivel nacional. También para realizar un seguimiento en profundidad de las aportaciones de la ciberseguridad, como las auditorías. Trasladar estos parámetros a la política y a la aplicación requiere funciones y responsabilidades claras, así como marcos organizativos receptivos.
Además, ponen en evidencia las revisiones y actualización de las estrategias existentes. La amplitud y profundidad de las NCS varían considerablemente, pero en algunos países estipulan al menos:
- Ciberseguridad de las infraestructuras críticas.
- Principios de gestión del ciclo de vida.
- Compromiso de las partes interesadas.
- Un plan de acción.
“Tener un plan de acción no garantiza que se prioricen o incorporen todas las mejores prácticas”. El informe señala que prevalece en los países la implementación de prácticas como la participación de las “partes interesadas” y la “gestión del ciclo de vida” al inicio o al final de la NCS, a lo que instan a incorporar estos aspectos en todo el ciclo de vida de la estrategia. Como resultado, se genera la pérdida de información valiosa y el valor agregado de la estrategia con las partes interesadas para alinearse en prioridades claves y oportunidades de adaptación que ayude a que la estrategia sea relevante, sostenible y eficaz.
GCI destaca que las auditorías son una práctica común para evaluar la Ciberseguridad y los riesgos cibernéticos. Sin embargo, muchos países no las incluyen en sus planes de acción. Además, los esfuerzos en infraestructuras críticas a menudo carecen de medidas legales de respaldo.
También subraya que los profesionales en Ciberseguridad están bien capacitados para gestionar riesgos y responder a incidentes. Muchos países tienen sistemas nacionales y organismos responsables que proporcionan capacitaciones específicas en este ámbito.
La implementación de estrategias e iniciativas de protección infantil en línea sigue siendo limitada.
La protección infantil en el ámbito digital es fundamental en las políticas públicas y requiere la colaboración de toda la sociedad. Aunque muchas leyes ya incluyen medidas contra ciberdelincuencia y explotación sexual, solo algunos países cuentan con estrategias integrales de protección infantil que incluyen campañas de concienciación para educadores, policías y canales de denuncias, apoyando a los niños y jóvenes en sus viajes digitales y ayudándoles a comprender los riesgos en línea.
A medida que los niños acceden a internet, es necesario protegerlos y empoderarlos para que se convertiertan en participantes activos en la creación de un ciberespacio seguro y confiable.
Desarrollo de capacidades
Los esfuerzos de capacitación y concientización son fundamentales para crear un ecosistema de ciberseguridad sólido. Los países corren el riesgo de erosionar los avances logrados en la mejora de la conectividad plena y universal si no apoyan la creación de capacidades y la concienciación en este aspecto. La gran mayoría de países realizan actividades en el marco del desarrollo de capacidades y en su mayor parte son campañas de concienciación. Además, los países se encaminan en desarrollar y potencializar el talento cualificado en la industria.
Los sectores privados y públicos, la docencia , los espacios para la investigación y el desarrollo (I+D) forman parte de los esfuerzos por fomentar la capacitación nacional.
Cada vez más los países se dirigen a grupos demográficos específicos como parte de sus campañas de concientización. La creación de una cultura de la Ciberseguridad es un desafío permanente para todos los países. Se desarrollan o apoyan campañas de concienciación que buscan informar a los usuarios y cambiar comportamientos.
✅ GCI puntualiza que las campañas dirigidas son esenciales para identificar y educar sobre las amenazas a la Ciberseguridad. Sin embargo, su eficacia depende de las métricas empleadas para medir su impacto, especialmente en redes sociales. Las métricas superficiales como "me gusta" y compartidos no reflejan con precisión el verdadero alcance.
Es necesario adoptar enfoques centrados en el ser humano, que aborden las preocupaciones y desafíos específicos de las personas para navegar en un ciberespacio seguro. Esto incluye adaptar las campañas a diversos públicos, considerando factores culturales y socioeconómicos.
Priorizar la participación significativa y los resultados conductuales sobre las métricas superficiales puede garantizar campañas que verdaderamente empoderen a las personas y contribuyan a un entorno en línea más seguro para todos.
Todavía la carencia de programas de desarrollo de habilidades en ciberseguridad en todos los niveles educativos supone un reto.
Cooperación y colaboración público-privada
Siendo la Ciberseguridad de naturaleza transnacional, una respuesta eficaz exige la cooperación y colaboración entre los sectores público, privado y gubernamental. Además, los esfuerzos han aumentado en el contexto de los acuerdos internacionales, regionales y sectoriales en torno a la Ciberseguridad. Aun así, muchos países no forman parte de estos acuerdos, ya sea por conflictos, falta de recursos humanos o beneficios poco claros.
“La operacionalización y el impacto de los acuerdos y marcos siguen siendo un desafío”. Cabe destacar que la colaboración con el sector privado ofrece a los gobiernos la oportunidad de aprovechar los conocimientos y la experiencia de este sector para mejorar la Ciberseguridad. Casi la mitad de los países cuentan con procesos interinstitucionales en ciberseguridad en sus gobiernos. No obstante, la colaboración con el sector privado es menos común: menos de la mitad de los países forman parte de asociaciones público-privadas con empresas nacionales o extranjeras.
No debemos hacer esfuerzos de ciberseguridad dispares, inconexos y frustrantes, que es un problema complejo e interconectado que demanda de un enfoque holístico, integral y transversal.
“El éxito de los acuerdos, alianzas y procesos es si van más allá del papel y pasan a la acción”. El fomento del intercambio de información, la creación de capacidad y la evaluación conjunta de las amenazas permite a la comunidad internacional poder abordar con mayor eficacia el cambiante panorama cibernético, incluida la creciente intersección de la Ciberseguridad y la IA. La creación de colaboración nacional sigue siendo un área que necesita mejoras.
La Ciberseguridad es más que una cuestión de hardware o software: la coordinación entre actores nacionales competentes es un componente importante para lograr compromisos coherentes. Hay avances alentadores, ya que los organismos responsables pueden ayudar a impulsar enfoques más cohesivos y colaborativos en Ciberseguridad.
◾ Descarga el informe completo Global Cybersecurity Index 2024 →
____
.jpg "La CIA publica un informe sobre deepfakes y cómo manejar esta amenaza")
Imagen: Wirestock / Freepik.
