Únicamente siete países de Latinoamérica y el Caribe cuentan con un plan de protección de infraestructura crítica ante un ataque digital y sólo 12 han aprobado estrategias nacionales de ciberseguridad.
Las cifras hacen parte del más reciente informe sobre el estado de la ciberseguridad en América Latina y el Caribe, elaborado en conjunto con la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID). El documento, que llega a su segunda edición (la primera fue en 2016), fue lanzado este martes.
La investigación examina una serie de aspectos en materia de seguridad digital en 32 países del continente y establece comparaciones entre los resultados encontrados en 2016 frente a los registrados a hoy.
Si bien el documento destaca avances en la región, como la adopción de estrategias nacionales de ciberseguridad (en 2016, sólo uno de cada cinco países analizados había diseñado este marco), aún queda mucho camino por recorrer. El análisis destaca que Colombia fue el primer país en adoptar esta política, que promulgó originalmente en 2011 (y hoy se encuentra introduciendo una segunda iteración).
Entre varios otros retos, uno de los factores que limita el avance de un progreso más agresivo y rápido en la región es la escasez de talento humano en esta materia. De acuerdo con Moisés Schwartz, gerente de Instituciones para el Desarrollo del BID, “la brecha de profesionales en ciberseguridad se estima en 600.000 personas en la región. El problema se agrava cuando se analiza desde la perspectiva de género, ya que menos de un cuarto de los profesionales son mujeres. Frente a esta escasez, únicamente 20 de los países estudiados cuentan con alguna oferta académica en ciberseguridad”.
La columna vertebral del análisis es el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM, por sus siglas en inglés), un índice compuesto por varias categorías principales (que a su vez se descomponen en otras subcategorías): política y estrategia de ciberseguridad; cibercultura y sociedad; habilidades de educación, capacitación y ciberseguridad; marcos Legales y Regulatorios; y normas, organizaciones y tecnologías.
El CMM fue diseñado en 2013 por el Centro Global de Capacidad en Seguridad Cibernética (GCSCC, por sus siglas en inglés) de la Universidad de Oxford. Para 2020, el CMM recibió mejoras, al agregar nuevos aspectos de análisis como “como el ‘modo de operación’ de la capacidad de respuesta a incidentes, la ‘comprensión del usuario de la protección de información personal en línea’”, aclara el informe del BID y la OEA.
El documento señala que “aunque América Latina y el Caribe ha mejorado sus capacidades de ciberseguridad desde 2016, el nivel de madurez promedio de la región todavía está entre 1 y 2, de acuerdo con el CMM (en el que 1 significa etapa inicial y 5 significa dinámica o avanzada)”. La investigación afirma que el Cono Sur es la subregión más madura en sus capacidades de seguridad digital, teniendo en cuenta los cinco aspectos que mide el indicador diseñado por la Universidad de Oxford.
Pensar en seguridad digital va mucho más allá de las instituciones financieras y los ataques que intentan hacerse con dinero y datos personales de sus usuarios; este sector es el más asediado en términos de ciberseguridad, vale la pena aclarar. “Nuestra vida diaria gira alrededor de actividades cada vez más digitalizadas y, por consiguiente, más sensibles a amenazas cibernéticas. Cadenas de suministro de alimentos, transporte, pagos y transacciones financieras, actividades educativas, trámites gubernamentales, servicios de emergencia, y el suministro de agua y energía, entre un sinnúmero de actividades, operan en la actualidad a través de tecnologías digitales”, escribió Schwartz en el informe.
Por su parte, Farah Diva Urrutia, secretaria de seguridad multidimensional de la OEA, asegura que “este año en particular, la pandemia global de COVID-19 ha destacado el papel vital y el uso de las tecnologías de la información y la comunicación (TIC) en la prestación de servicios esenciales y su profunda integración en nuestras sociedades” y añade: “En un sentido más general, en la última década, los ataques cibernéticos han aumentado en frecuencia e ingenio. El bajo costo y el riesgo mínimo que conllevan estos delitos han sido factores clave en su crecimiento”.
¿Cómo le fue a Colombia?
De acuerdo con el informe del BID y la OEA, “si bien el gobierno ha tomado medidas significativas para asegurar el ciberespacio del país con las dos políticas de seguridad cibernética, el sector privado (en particular las pyme) aún tiene un largo camino por recorrer para estar preparado para las actuales amenazas en este campo”.
De los cinco ejes analizados por el CMM, el que obtuvo un mayor avance en conjunto para Colombia fue el relacionado con “Marcos legales y regulatorios”. En éste, algunas de las categoría que presentaron una mayor mejoría entre lo registrado en 2016 y los resultados de ahora fueron “Legislación sobre protección de datos” y “Protección infantil en línea”, entre otras.
Sin embargo, en este eje hubo varios indicadores que no mostraron avance alguno, como “Privacidad, libertad de expresión y otros derechos humanos” y “Legislación procesal y sustantiva contra el delito cibernético” (son dos ítems por aparte), entre otros.
En conjunto, el eje que registró menos mejorías desde 2016 fue “Formación, capacitación y habilidades de seguridad cibernética”. En éste se cuentan apartados como “Marco para la formación” y “Marco para la capacitación profesional”, entre otros.
Avances en la región
De acuerdo con Sadie Creese, directora del Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford, es muy positivo el aumento de países que han desarrollado estrategias nacionales de ciberseguridad: desde 2015 este número se ha más que duplicado.
Otro de los aspectos que se destacan en la región es la cooperación internacional que se ha ido desarrollando en estos temas, como la creación de CSIRT Américas, una plataforma que permite el intercambio de información cuando hay incidentes gubernamentales y nacionales en esta materia.
Sin embargo, según Creese, “Divulgación responsable” es el aspecto en el que la región presenta menor madurez, de acuerdo con las mediciones del CMM. La experta dice lo siguiente: “En este sentido, los riesgos asociados con la falta de un mecanismo institucionalizado para compartir información sobre vulnerabilidades descubiertas y políticas sobre piratería ética podrían verse agravados por los puntajes igualmente bajos para las capacidades de respuesta interna, incluyendo ‘organización de protección de infraestructura crítica’, ‘gestión de crisis’, ‘gestión y respuesta a riesgos’ y ‘seguro de delito informático’, que se ubican en la parte inferior y han visto pocas mejoras desde 2015”.
COMENTARIOS