1 oct. 2014

Estrategias nacionales de ciberseguridad en el mundo

Carlés Sole, CISO de Caixa, y Adolfo Hernández, subdirector de THIBER 23/09/2014

La creciente conectividad y el uso masivo del ciberespacio, un nuevo entorno totalmente transversal e imbricado en todos los estamentos de una sociedad moderna.

Es una constatación más de la necesidad de fijar una base común que pueda hacer frente a un ataque o una acción delictiva sobre ciudadanos, empresas o estados, perpetrada parcialmente o en su totalidad por medios digitales.

Si bien es cierto que este nuevo entorno conlleva ciertas dificultades inherentes jurídico-técnicas, la aparente despreocupación política internacional no puede obviar esta realidad que aglutina en la actualidad la variedad delictiva de mayor crecimiento: el cibercrimen, habiéndose datado el volumen total de las pérdidas asociadas al mismo en 87.000 millones de euros en el mundo en 2013. Este hecho ejemplifica a la perfección la vulnerabilidad sistémica del ciberespacio: el crecimiento, ubicuidad y grado de penetración de las nuevas tecnologías supera con creces la velocidad de los procesos legislativos existentes.

Pero el problema se ha multiplicado y se ha establecido como un riesgo real que trasciende el mero daño económico a una empresa. Ahora ya se sitúa en el ámbito nacional, supranacional y global, afectando por igual a ciudadanos, gobiernos y empresas. Sólo hay que comparar los últimos informes del World Economic Forum de Davos para ver cómo los riesgos relacionados con los ciberataques han ido adquiriendo relevancia paulatina con el tiempo.

Ciberestrategias

De esta forma, a fin de evitar impactos no previstos derivados de la falta de madurez regulatoria y procedimental y del creciente número de amenazas ciber, los estados soberanos comienzan a disponer de estrategias integrales de ciberseguridad a través de una hibridación jurídico-técnica, tanto en el entorno empresarial como sectorial. Con más de 27 ciberestrategias a escala mundial, 18 de ellas europeas –plaza que además cuenta con una directiva comunitaria de ciberseguridad–, la gestación de dichos documentos ha estado rodeada de una creciente expectación ya que otorgan, de forma general, tanto el reconocimiento estratégico que tiene el ciberespacio para los diversos países como el posicionamiento en este nuevo entorno virtual.

Si bien el contexto sociopolítico natal de muchas de ellas dista de ser el óptimo (pensemos en el caso estonio, creado menos de un año después de los ciberataques que paralizaron el país), igual de ineficaz resulta la ausencia de una estrategia de ciberseguridad nacional como aquellas que han sido alumbradas sobre situaciones demasiado generalistas, fuera de contexto presupuestario y sin un plan de aterrizaje delimitado por prioridades, plazos e hitos temporales.

Así, se observa que las diferentes realidades socioeconómicas y tecnológicas existentes en el mundo definen y delimitan en gran medida los diversos grados de desarrollo de dichas estrategias.
En áreas como el Sahel y el Magreb, debido al bajo índice de penetración de Internet, existe un grado de concienciación muy bajo respecto al valor estratégico del ciberespacio. Sin embargo, en el polo opuesto encontramos a los países que forman parte de los Five Eyes (Canadá, Estados Unidos, Reino Unido, Nueva Zelanda y Australia), los países europeos estratégicos miembros de la Alianza Atlántica en términos ciber (como Estonia) o la emergente América Latina, con Brasil a la cabeza. Es importante remarcar que los países asiáticos con aproximaciones intervencionistas sobre su ciberespacio, como China o Irán, no han hecho pública sus correspondientes aproximaciones, lo cual no significa que no tengan una hoja de ruta claramente definida.En este escenario nacieron las primeras estrategias nacionales de ciberseguridad, con un alto desarrollo entre el bienio 2011-2013. La antigüedad no es relevante de cara a su grado de implantación y madurez. Algunas de las naciones europeas, como Estonia y la República Checa, están realizando la segunda iteración y revisión de su estrategia. Del mismo modo, durante este año, se espera la aprobación de las estrategias de países como Abu Dhabi, Tailandia, Ghana y Nigeria.

Puntos comunes

Como principal objetivo, estas estrategias vertebran la ciberseguridad como materia prioritaria en la agenda de los respectivos gobiernos. Y promulgan, con más o menos éxito, establecer un liderazgo único para coordinar las acciones y los actores involucrados en la lucha contra los riesgos derivados del ciberespacio.

Asimismo, ponen de manifiesto la gravedad y complejidad de las ciberamenazas, así como el grado de organización alcanzado por los grupos delincuentes o terroristas que están detrás de ellas. Y enfatizan la dimensión social del problema, trascendiendo la mera pérdida económica o el daño individual que puedan causar.

También identifican la necesidad de coordinación entre los estamentos públicos dedicados a la ciberseguridad y la de éstos con los actores privados, una de las principales barreras a la hora de luchar contra el cibercrimen. Destacan, por supuesto, la necesidad de cooperación internacional, otra gran asignatura pendiente en la batalla contra un riesgo que, por naturaleza, es global.

Así pues, podemos afirmar que la gran mayoría de las estrategias presentan una estructura común, pivotando sobre tres conceptos básicos:
  1. Qué preocupa, identificando claramente qué tipo de ciberamenazas son las más probables, identificando los nuevos actores y sus motivaciones.
  2. Quién tiene responsabilidades, delimitando roles y órganos de gestión para la puesta en marcha de las respectivas iniciativas.
  3. Cómo se responde a esa preocupación, con líneas de actuación y medidas concretas que marquen una firme determinación política en la consecución de los objetivos marcados.

Divergencias

Sin embargo, tras un análisis algo más detallado, se encuentran diferencias sustanciales, no tanto en el reconocimiento del valor del ciberespacio, sino en las líneas de acción y el down-to-earth de las tareas concretas.

1. Organización de la ciberseguridad.
La alta fragmentación entre los actores estatales con competencias en el plano ciber varía notablemente entre las diversas naciones. Este hecho dificulta la efectividad de las acciones que se deben desarrollar en la lucha global contra la ciberdelincuencia. No se encuentran referencias explícitas a este hecho en las estrategias el ámbito internacional.
En las estrategias, de forma general, no se hace mención a los medios tradicionales de cooperación internacional formal en cibercrimen y ciberamenazas, pudiendo no encontrarse habilitados para garantizar la obtención de, por ejemplo, pruebas electrónicas, por lo general, de difícil acceso, volátiles y ubicuas.

2. Dotación presupuestaria.
En casos como Estados Unidos, Reino Unido u Holanda se dota de forma expresa a la estrategia de ciberseguridad de un presupuesto definido y aprobado, algo que no ocurre, por ejemplo, en España. Esta dotación es relevante de cara a asegurar recursos exclusivos para este terreno y dar un mensaje de compromiso a la sociedad en general.

3. Definición de amenazas y persecución del cibercrimen.
La divergencia, o ausencia en algunos casos, de una tipificación formal internacional de los actos considerados como delictivos en el ciberespacio supone un serio problema, pudiendo crear lagunas jurídicas y dando lugar a regiones opacas o “paraísos de cibercrimen”. Si bien en determinadas regiones existe un cada vez más nutrido grupo de normas nacionales en materia de ciberdelito, se hace notar la falta de tipificaciones comunes.

4. Vínculos territoriales y acuerdos de colaboración.
La potencial ubicuidad de las actuaciones en el ciberespacio y sus amenazas pone de manifiesto la fragmentación jurídica existente en el plano internacional, si bien existen acuerdos multilaterales que agrupan determinadas regiones de extensión variable (como sucede en la UE). De esta forma, pocas estrategias de ciberseguriad nacionales reflejan esta realidad.

Conclusión

Durante años las empresas han tenido que luchar, prácticamente solas, contra las amenazas inherentes al uso de la red. En ello les iba su viabilidad económica: fraude, daños reputacionales, propiedad intelectual, indisponibilidad de sus servicios, etc. Y los gobiernos apenas han dedicado recursos para apoyarlas. Pero ahora está en juego el propio desarrollo económico nacional y las libertades de los ciudadanos, y han empezado a reaccionar. Sin duda, queda mucho trabajo por hacer y muchos entresijos políticos por limar, pero comenzamos la andadura por el buen camino.

Fuente: Thiber y Red Seguridad

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!