Este módulo es un recurso para los catedráticos 

 

Estrategias de seguridad cibernética: características básicas

 

Las estrategias de seguridad cibernética y las estrategias contra el delito cibernético (o prevención del delito cibernético) son términos que se han utilizado de manera intercambiable. Si bien las estrategias de seguridad cibernética y contra el delito cibernético se complementan entre sí e incluyen algunas áreas de superposición, estas no son idénticas. (Seger, 2012) (ver imagen 1) Las estrategias de prevención del delito cibernético plantean los esfuerzos para combatir directa e indirectamente el delito cibernético, tales como las respuestas de las fuerzas del orden y la promoción de la cooperación nacional e internacional entre gobiernos, empresas, instituciones académicas, organizaciones y el público, con el fin de controlar o reducir el delito cibernético (Seger, 2012). En palabras simples, las estrategias contra el delito cibernético se enfocan exclusivamente en la prevención del delito y las políticas, programas y prácticas de la justicia penal (Seger, 2012). Por el contrario, las estrategias de seguridad cibernética proporcionan orientación en asuntos de seguridad cibernética (pudiendo incluir la prevención del delito cibernético) y mapean objetivos, planes de acción, medidas y las responsabilidades de las instituciones en el cumplimiento de estos objetivos. Estas estrategias incluyen medidas legales, procedimentales, técnicas e institucionales diseñadas para salvaguardar los sistemas, redes, servicios y datos.

Imagen 1: Estrategias de ciberdelincuencia y ciberseguridad

Fuente: UNODC. (2013). Draft Comprehensive Study on Cybercrime , p. 228.

Las estrategias nacionales de seguridad cibernética esclarecen las aspiraciones de los países en términos de seguridad cibernética y prevención del delito a nivel nacional e internacional. Estas estrategias resumen los principios en los que se basa la estrategia, prescriben los intereses que esta estrategia intenta proteger, identifican las herramientas utilizadas para promover y proteger estos intereses, identifican las amenazas cibernéticas y los obstáculos que esas amenazas representan para la seguridad nacional y económica, delinean las prioridades de la política de seguridad cibernética y asignan recursos a estas prioridades (Lindstrom y Luiijf, 2012, pág. 44). Estas estrategias «motivan... a los responsables de las políticas a identificar objetivos estratégicos («fines») a precisar los recursos disponibles para alcanzar los objetivos («medios») y a proporcionar una guía sobre cómo deben aplicarse esos recursos para alcanzar los objetivos establecidos («formas»)» (Lindstrom y Luiijf, 2012, pág. 46).

Las estrategias de seguridad cibernética detallan por qué la estrategia es importante y por qué es necesaria (contexto), qué hace (objetivos), qué cubre y qué y a quién afecta (alcance) (UIT, 2018, pág. 30). Los componentes clave de estas estrategias son los objetivos, las acciones prioritarias, los resultados esperados y los mecanismos de evaluación.

Los objetivos de las estrategias de seguridad cibernética incluyen objetivos relacionados con la seguridad nacional y con las tecnologías de la información y la comunicación. Por ejemplo, la estrategia de seguridad cibernética de Suecia «se basa en los objetivos de la seguridad de Suecia: proteger de la vida y la salud de la población, el funcionamiento de la sociedad y ... [su] capacidad para defender valores fundamentales como la democracia, el Estado de derecho, los derechos humanos y las libertades. ... La estrategia también se basa en el objetivo político general [de las tecnologías de la información (IT)]... para que Suecia se convierta en el líder mundial del aprovechamiento de las oportunidades de la transformación digital» (Ministerio de Justicia de Suecia, 2017, pág. 1; consulte también Ministerio de Justicia de Suecia, «Estrategia Nacional de Seguridad Cibernética». En Nigeria, los objetivos de su Estrategia de Seguridad Cibernética (2014) son los siguientes (Sección 3.3.2):

i. Una legislación integral sobre el delito cibernético y las medidas para contrarrestar las amenazas cibernéticas que se puedan adoptar a nivel nacional, regional y mundial en el contexto de asegurar el ciberespacio de la nación.

ii. Provisión de medidas que protejan la infraestructura de la información crucial, así como la reducción de nuestras vulnerabilidades nacionales a través de un marco de garantía de la seguridad cibernética.

iii. Articular una capacidad de respuesta eficaz a las emergencias informáticas.

iv. Los mecanismos nacionales de desarrollo de capacidades, concientización del público y empoderamiento de las habilidades son necesarias para ayudar a fortalecer nuestra capacidad de responder con prontitud y eficacia a los ataques cibernéticos.

v. Un mecanismo fiable para lograr que las múltiples partes interesadas a nivel nacional y los socios internacionales aborden colectivamente las amenazas cibernéticas.

vi. Disuadir y proteger al gobierno de todas las formas de ataques cibernéticos.

vii. Coordinar las iniciativas de seguridad cibernética en todos los niveles de gobierno en el país.

viii. Crear capacidades nacionales contra las amenazas cibernéticas con una cooperación coherente a través de la asociación entre el sector público y privado y la participación de múltiples partes interesadas.

ix. Promover la visión nacional sobre la seguridad cibernética mediante la concientización, la asociación a través de responsabilidades compartidas y una comunidad de partes interesadas en la que se confíe.

x. Promover la coordinación, cooperación y colaboración de las partes interesadas regionales y mundiales en seguridad cibernética.

Las acciones prioritarias están diseñadas para alcanzar los objetivos. Por ejemplo, en la Unión Europea, la mayoría de las estrategias nacionales de seguridad cibernética identifican como acciones prioritarias la creación de estándares, normas y leyes de seguridad cibernética (siempre que sea necesario), el fomento de una cultura de seguridad cibernética no solo entre las partes interesadas (es decir, organismos públicos, instituciones académicas, empresas y organizaciones), sino también entre el público en general, y el cultivo de la cooperación nacional e internacional y la colaboración entre las partes interesadas pertinentes (ENISA, 2014). Algunas acciones prioritarias enumeradas en la Estrategia Cibernética Nacional de 2018 de los Estados Unidos son «dar prioridad a la innovación», «fomentar la adherencia universal a las normas en materia cibernética»; «dirigir con inteligencia objetiva y colaborativa» y «mejorar la detención de delincuentes ubicados en el extranjero» (por nombrar algunos).  

Los resultados esperados de estas acciones prioritarias incluyen lo que debería lograrse como resultado de esas acciones (p. ej., la elaboración de normas de seguridad cibernética). Por ejemplo, la Estrategia Cibernética Nacional de 2018 de los Estados Unidos enumera los resultados esperados como la gestión eficaz de las vulnerabilidades de la seguridad cibernética; la reducción o prevención de «actividades cibernéticas destructivas, perturbadoras o de alguna manera desestabilizadoras dirigidas contra los intereses de los Estados Unidos» y la disuasión de «actividades contrarias a un comportamiento responsable en el ciberespacio... mediante la imposición de costos por medios cibernéticos y no cibernéticos» y la capacidad de los Estados Unidos de «utilizar las capacidades cibernéticas para lograr los objetivos de seguridad nacional» (La Casa Blanca de los EE. UU., 2018, pág. 3).

Los mecanismos de evaluación incluyen herramientas que pueden utilizarse para determinar lo que se ha logrado (y por extensión, cómo se compara con los resultados esperados). También se incluyen los indicadores clave de rendimiento (KPI), que son medidas que se utilizan para determinar el progreso de la realización de los objetivos estratégicos de la estrategia nacional de seguridad cibernética (ENISA, s. f., anexo B). Sobre la base de esta evaluación, se modifican las estrategias nacionales de seguridad y se revisan las acciones prioritarias (ITU, 2018).

Entre los ejemplos de las estrategias de seguridad cibernética están los instrumentos de política adecuados (p. ej. normas, políticas, leyes, programas educativos, etc.) necesarios para alcanzar los objetivos de dichas estrategias (ITU, 2018, pág. 33), así como los responsables de supervisar la implementación de los instrumentos. Por ejemplo, en la Política Nacional de Seguridad Cibernética 2017-2022, Chile incluye las medidas que deben implementarse en función de los objetivos estratégicos específicos y los organismos responsables de aplicar o ayudar en la implementación de las medidas. Asimismo, en el Plan Nacional de Seguridad Cibernética 2022 de Filipinas, se identifican las medidas para alcanzar los objetivos estratégicos y las funciones y responsabilidades de las principales partes interesadas. 

Siguiente:  Estrategias nacionales de seguridad cibernética: ciclos de vida, buenas prácticas y repositorios
Volver al inicio