1. Políticas de Banda Ancha para América Latina y el Caribe: Un Manual para la Economía Digital

14. Gestión de riesgos de seguridad digital

 

Este módulo en línea proporciona un resumen del Capítulo 14 del Manual en que se centra en las políticas públicas para gestionar la seguridad digital. En primer lugar se establece la distinción entre la gestión del riesgo de seguridad digital y otros aspectos de ciberseguridad relativos a la tecnología, aplicación de la ley, seguridad nacional y defensa. A continuación se presentan los elementos clave de las estrategias nacionales que pueden crear las condiciones marco para incrementar la confianza de todas las partes interesadas que utilizan TIC y para crear un entorno digital de prosperidad económica y social. También se examinan las herramientas de medición y evaluación de impacto existentes, y se ofrece un panorama general de los esfuerzos de política pública en la región LAC. Por último, se propone una serie de buenas prácticas en este ámbito.

Explora este módulo

Principales objetivos de las políticas
Herramientas de medición y análisis
Panorama de la situación en la región
Buenas prácticas

Principales objetivos de las políticas para la región LAC

El principal objetivo de las ambiciosas políticas encaminadas a adoptar una estrategia nacional de gestión del riesgo de seguridad digital es crear las condiciones marco para el uso de las TIC por todas las partes interesadas y el entorno digital para la prosperidad económica y social. Este objetivo general conlleva el cumplimiento de ciertas metas esenciales:

  • Comprensión de la seguridad digital y de la responsabilidad de los distintos actores en su gestión. Todas las partes interesadas han de ser conscientes de que el riesgo de seguridad digital puede afectar a su bienestar económico y social, y de que es posible que su gestión de la seguridad digital repercuta en otros actores. Por ello, es necesario que dispongan de instrucción y capacidades para entender el riesgo y gestionarlo. En concreto, deben comprender que la gestión del riesgo de seguridad digital es un desafío económico y social, y no simplemente una cuestión técnica o de seguridad nacional.
  • Desarrollo de una estrategia nacional para la gestión del riesgo de seguridad digital. Las estrategias nacionales para la gestión del riesgo de seguridad digital deben centrarse en fomentar la prosperidad económica y social. Han de ser fruto de una amplia coordinación a nivel gubernamental para garantizar su uniformidad con otras estrategias de prosperidad económica y social, y su coherencia con políticas dirigidas a proteger la infraestructura crítica y a garantizar la provisión de servicios esenciales. El objetivo es luchar contra la delincuencia, proteger la seguridad nacional y preservar la estabilidad nacional. Estas estrategias deben contar con apoyo al más alto nivel gubernamental para garantizar un equilibrio adecuado entre los diferentes intereses en juego. Asimismo, han de ser flexibles y tecnológicamente neutras, al tiempo que preservan y protegen los derechos humanos y los valores fundamentales.
  • Colaboración con otras partes interesadas. Es preciso que los responsables de políticas potencien la participación activa de todos los actores —desde empresas y sociedad civil, a la comunidad técnica de Internet y el mundo universitario— en el desarrollo e implementación de la estrategia y la política.
  • Fomento de la cooperación internacional y la asistencia mutua. Los responsables de políticas deben establecer relaciones multilaterales y bilaterales para compartir experiencias y buenas prácticas y promover un enfoque de gestión del riesgo de seguridad digital que no incremente el riesgo de otros países.

+ contenido

Herramientas de medición y análisis en la región LAC

Hay un número limitado de referencias relevantes de indicadores clave de rendimiento y mediciones para los responsables de políticas en el ámbito de la gestión del riesgo de seguridad digital. Entre ellas destacan el Índice Mundial de Ciberseguridad de la UIT (UIT, 2014), el Modelo de Madurez de Capacidad de Seguridad Cibernética del Centro Global de Capacidad sobre Seguridad Cibernética de la Universidad de Oxford (2014), el Cybersecurity Dashboard de Business Software Alliance (BSA, 2015) y, en el ámbito de la energía, el Modelo de Madurez de Capacidad de Seguridad Cibernética (C2M2) del Departamento de Energía de los Estados Unidos (2015). Ahora bien, estas referencias generalmente enfocan la ciberseguridad como una cuestión técnica y no como un desafío económico y social. Actualmente se trabaja a nivel nacional en algunos países y en foros internacionales para mejorar la base empírica de las políticas públicas en este ámbito.

+ contenido

Panorama de la situación en la región LAC

Varios países LAC han adoptado estrategias digitales nacionales o están en vías de implementarlas. Lamentablemente, la gran mayoría de estas estrategias carecen de una visión a largo plazo clara sobre el riesgo de seguridad digital y deben responder a diversos desafíos, tales como: Vários países de región LAC tienen una estrategia nacional de seguridad digital o están en curso de definición de una. DeUnfortunately, the great majority of national digital strategies in place lack a clear long-term vision on digital security risk and face a number of challenges, such as:

  • creación y mejora de marcos jurídicos de seguridad digital
  • creación de capacidades operativas para gestionar el riesgo de seguridad
  • distribución clara de responsabilidades entre las instituciones gubernamentales
  • cooperación internacional entre múltiples partes interesadas (OEA, 2014).

Todo apunta a que la mayor parte de los países LAC no están enfocando el riesgo de seguridad digital desde un punto de vista económico y social, a diferencia de lo que propugna la OCDE. También hay que reconocer que algunos países LAC afrontan otros desafíos adicionales que limitan su capacidad para adoptar dicho enfoque (OEA y Symantec, 2014).
La implementación de mecanismos de coordinación en los gobiernos para formular y ejecutar estrategias nacionales de seguridad digital es uno de los grandes retos de los países LAC. Sin embargo, en lugar de distinguir claramente las diferentes facetas de lo que a menudo se conoce como “ciberseguridad” y abordarlas bajo una estrategia global que garantice la coordinación y coherencia a nivel estatal, los gobiernos suelen enfocar este tema desde una perspectiva única, como la seguridad internacional o la ciberdelincuencia. Esto lleva a dejar de lado los aspectos económicos y a tratar la cuestión en un compartimento estanco de políticas públicas, al margen de los actores no gubernamentales. Las restricciones presupuestarias han limitado la adopción de mecanismos de coordinación entre los organismos gubernamentales de la región, y solo en unos pocos países los correspondientes ministerios y autoridades competentes han asignado presupuestos anuales a estrategias digitales nacionales.
Si bien ha mejorado la participación de las partes interesadas en la mayoría de las estrategias nacionales de seguridad digital, todavía no está consolidada en gran parte de los países LAC, muchos de los cuales carecen de mecanismos flexibles y de planes a medio y largo plazo para apoyar a los distintos actores en el desarrollo de políticas y marcos jurídicos sobre seguridad digital (OEA y Symantec, 2014). En cambio, numerosos países, entre ellos Colombia, México, Panamá y Perú, han establecido CSIRT nacionales plenamente respaldados por sus respectivos gobiernos, que contribuyen activamente a facilitar el intercambio de información sobre incidentes y amenazas de seguridad informática, además de ofrecer formación a su personal y al público en general sobre seguridad de la información. Sigue aumentando el número de países LAC que ha aprobado legislación para combatir la ciberdelincuencia con arreglo al Convenio de Budapest del Consejo de Europa, y son muchos los interesados en solicitar formalmente la adhesión a dicho convenio y a su protocolo adicional, pese a que implicará un proceso político complejo y a largo plazo.

+ contenido

Buenas prácticas para la región LAC

El capítulo 14 del Manual mostra diversas buenas prácticas para fomentar las políticas y estrategias de gestión del riesgo de seguridad digital, basadas en la recomendación de la OCDE de 2015 sobre gestión del riesgo de seguridad digital para la prosperidad económica y social (Recommendation on Digital Security Risk Management for Economic and Social Prosperity) y su documento anexo (OCDE, 2015a).
En concreto, los responsables de políticas deben reconocer que el riesgo de seguridad digital es una cuestión económica y social, y no solamente un desafío técnico. También han de tener en cuenta que es imposible crear un entorno digital totalmente protegido y seguro en el que se evite por completo el riesgo, por lo que conviene que potencien un enfoque en el que los dirigentes y los responsables de la toma de decisiones asuman la responsabilidad de gestionar dicho riesgo. Esto implica reducirlo a un nivel aceptable que viene dado tanto por los objetivos económicos y sociales y sus correspondientes beneficios, como por el contexto. Todas las medidas incluidas en las estrategias de ciberseguridad nacionales deben reflejar este enfoque, tanto si están relacionadas con infraestructura crítica de información, como con la cooperación internacional o los CSIRT.

+ contenido

CONSULTE TODOS LOS TEMAS DEL MANUAL

Introducción •  Marcos regulatorios y estrategias digitales •  Política de espectro •  Competencia y cuellos de botella en la infraestructura •  Ampliación del acceso y servicios de banda ancha •  Asequibilidad, gravámenes e inclusión digital •  Convergencia •  Integración regional •  Competencias y empleos en la economía digital •  Adopción por las empresas, emprendimiento y contenido digital •  E-salud •  Protección del consumidor y comercio electrónico •  Gestión de riesgos de seguridad digital •  Protección de la privacidad