Este módulo es un recurso para los catedráticos

Cooperación internacional en asuntos de seguridad cibernética

La Unión Internacional de Telecomunicaciones (UIT), un organismo de las Naciones Unidas que es considerado el «principal foro mundial a través del cual las partes trabajan para alcanzar un consenso sobre una amplia variedad de cuestiones que afectan a la futura dirección de la industria de las TIC» (UIT, s. f.), lanzó la Agenda Global sobre Seguridad Cibernética, que es «un marco para la cooperación internacional destinada a aumentar la confianza y la seguridad en la sociedad de la información» (UIT, s. f.). La Agenda Global sobre Seguridad Cibernética identifica cinco pilares estratégicos: legal, técnico, organizacional, creación de capacidades y cooperación (consulte la imagen 3).

Imagen 3: Pilares del Índice de Ciberseguridad Global

Fuente: Acayo, Grace. (2017). Global Cybersecurity Index Overview. International Telecommunication Union, 2nd Annual Meeting of Community of Practice on Composite Indicators and Scoreboards (9-10 noviembre 2017, Ispra, Italy), diapositiva 5.

El pilar legal se centra en la armonización de los reglamentos y las leyes relacionadas a la seguridad cibernética y a los delitos dependientes de la cibernética y propiciados a través de ella. Los casos en cuestión son las leyes sobre delito cibernético (consulte Delitos Cibernéticos Módulos 2 y 3), las leyes y regulaciones sobre protección de datos (consulte Delitos Cibernéticos Módulo 10),

las leyes de seguridad cibernética y otras leyes relacionadas (p. ej., Ley Danesa de Protección de Datos de 2018, Dinamarca; Decreto sobre Delitos de 2009, Fiyi: División 6-Delitos Informáticos; Ley Federal N° (1) de 2006 sobre Comercio y Transacciones Electrónicas, Arabia Saudita,; Ley sobre el Uso Indebido de la Informática de 1990 y Ley de Protección de Datos de 2018, Reino Unido. Para más información sobre este pilar, consulte UIT, 2015; UIT, 2017).

El pilar técnico abarca las instituciones técnicas existentes, las normas y protocolos de seguridad cibernética y las medidas necesarias para combatir las amenazas contra la seguridad cibernética. Un ejemplo de institución técnica es un Equipo de Respuesta ante Emergencias Informáticas (CERT), definido como «una organización o equipo que proporciona, a una circunscripción bien definida, servicios y apoyo tanto para prevenir como para responder a incidentes de seguridad informática» (Wahid, 2016). Las capacidades de los CERT varían según el rango y combinación de servicios reactivos, proactivos o de gestión de la calidad de la seguridad ofrecidos (CMU-SEI, 2006). Por ejemplo, estos servicios pueden incluir la respuesta oportuna a un incidente para que el ataque pueda ser contenido e investigado rápidamente y facilitar la rápida recuperación a un estado anterior al incidente (Borodkin, 2001). Además de la respuesta a incidentes, un CERT puede realizar otras actividades como llevar a cabo una evaluación de vulnerabilidades y proporcionar sesiones informativas de seguridad; estas actividades adicionales dependen de la organización (Proffitt, 2007). Los países pueden tener CERT y Equipos de Respuesta ante Incidentes de Seguridad Informática (CSIRT) nacionales, gubernamentales y sectoriales, o una combinación de todos o algunos de ellos (para más información sobre este pilar, consulte UIT, 2015; UIT, 2017). Los CERT y CSIRT también han creado grupos dentro de sus regiones para compartir información y coordinar actividades, entre otros (p. ej., el CERT de Asia Pacífico o APCERT; el CERT de África o AfricaCERT).

¿Sabían que...?

CERT® es una marca registrada del Software Engineering Institute of Carnegie Mellon University. Los CSIRT pueden solicitar autorización para utilizar la marca registrada CERT. El siguiente sitio web incluye los pasos que un CSIRT debe seguir a fin de recibir la autorización para utilizar la marca registrada CERT.

El pilar organizacional incluye estructuras y políticas organizacionales de seguridad cibernética y organismos responsables de la coordinación de la política de seguridad cibernética. Este pilar incluye las estrategias nacionales de seguridad cibernética y los marcos nacionales de seguridad cibernética, así como los organismos reguladores que supervisan la implementación de estas estrategias y marcos (p. ej., el Consejo de Seguridad Cibernética de Islandia, la Oficina Federal para la Seguridad de la Información en Alemania, la Oficina de Seguridad Cibernética y Aseguramiento de la Información del Reino Unido, el Ministerio de Ciencia, TIC y Planificación del Futuro en la República de Corea y el Departamento Nacional de Planeación y el Ministerio de Tecnologías de la Información y Comunicaciones en Colombia, por nombrar algunos (para más información sobre este pilar, consulte UIT, 2015; UIT, 2017).

El pilar de creación de capacidades abarca los esfuerzos para promover la concientización, educación y capacitación sobre seguridad cibernética. Algunos ejemplos incluyen campañas públicas de concientización, investigación y desarrollo en seguridad cibernética, formación profesional y programas nacionales de educación y planes de estudios. Por ejemplo, en República Dominicana, «la Comisión Nacional para la Sociedad de la Información y el Conocimiento (CNSIC) tiene un programa nacional de concientización oficialmente reconocido que promueve normas, valores y comportamientos sociales que contribuyen a la integridad, la creatividad y la innovación en la navegación por el ciberespacio» (UIT, 2015, pág. 171; para más información sobre este pilar, consulte UIT, 2015; UIT, 2017). Otros países también han lanzado campañas de concientización y educación sobre seguridad cibernética (consulte el recuadro sobre «Ejemplos de campañas nacionales e internacionales de concientización y educación sobre seguridad cibernética»). Además de estas campañas de concientización y educación sobre seguridad cibernética, la UIT brinda herramientas para ayudar a los países en sus esfuerzos de creación de capacidades. Estas herramientas están diseñadas para «capturar información sobre amenazas específicas que afectan al país» (Redes de Investigación Honeypot o HORNET) y «agregar y difundir datos relevantes sobre incidentes» (Motor de Alerta e Informes de Vigilancia de Abuso o AWARE) (UIT, s. f.).

Ejemplos de campañas nacionales e internacionales de concientización y educación sobre seguridad cibernética

Australia

Australia tiene un campaña Stay Smart Online que brinda a las personas y a las pequeñas empresas información sobre cómo protegerse de las amenazas contra las amenazas a la seguridad cibernética y reducir su riesgo. Además, el sitio web de la Oficina de la Comisión de Seguridad Electrónica de Australia promueve la seguridad en línea proporcionando recursos educativos para niños, padres y otros, informándolos sobre las diversas formas de delitos cibernéticos (en particular los delitos cibernéticos interpersonales, tratados en Delitos Cibernéticos Módulo 12) y las formas en que pueden protegerse en línea y ofreciendo a los usuarios la opción de denunciar ciertos delitos cibernéticos a través del sitio web. Por ejemplo, la Oficina tiene un portal de denuncias en línea contra el abuso mediante el uso de imágenes, donde las víctimas pueden denunciar los casos en que sus imágenes sexuales o de desnudos han sido compartidas (cargadas o distribuidas) sin su consentimiento. La Oficina se esfuerza para localizar las imágenes y trabaja con las redes sociales o los intermediarios de internet pertinentes (y, en algunos casos, con los agresores) para que las imágenes sean retiradas y eliminadas (Flynn y Henry, por publicar).

Canadá

En Canadá, Get Cyber Safe brinda a las personas y empresas información sobre los riesgos de seguridad cibernética y las formas en las que las personas y las empresas pueden protegerse de las amenazas a la seguridad cibernética.

Reino Unido

La campaña GetSafeOnline del Reino Unido es una iniciativa de concientización sobre seguridad cibernética que ofrece a las personas información sobre prácticas seguras en el hogar y en el lugar de trabajo.

Estados Unidos

La iniciativa StaySafeOnline de la Alianza Nacional de Seguridad Cibernética ofrece a las personas información sobre prácticas seguras en internet, delitos cibernéticos, seguridad de cuentas clave en línea y dispositivos digitales, así como sobre gestión de la privacidad. El Mes de Concientización Nacional sobre Seguridad Cibernética (NCSAM), que se celebra cada mes de octubre, fue lanzado por una asociación público-privada (es decir, la Alianza Nacional de Seguridad Cibernética y el Departamento de Seguridad Nacional de los Estados Unidos) cuyo objetivo es brindar los recursos que las personas necesitan para navegar por internet y utilizar los dispositivos digitales de forma segura. Asimismo, el Mes Europeo de Seguridad Cibernética (ECSM), una campaña de concientización sobre seguridad cibernética que se celebra de forma similar cada mes de octubre, pretende informar a las personas sobre el delito cibernético y seguridad cibernética en un esfuerzo por modificar las prácticas inseguras de internet. Además, en febrero de cada año se celebra en todo el mundo el Día Internacional de la Internet Segura para promover la seguridad y fomentar comunidades en línea sanas y felices.

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) también creó una campaña internacional de educación y concientización conocida como PARA. PIENSA.CONÉCTATE.™ Las empresas, los ministerios de los gobiernos nacionales y las ONG de ámbito nacional por ejemplo de Bolivia, Panamá, Mongolia, Tonga, Nigeria, Trinidad y Tobago, Antigua y Barbuda, Jamaica, India y Japón (por mencionar algunos) han adoptado e implementado este tipo de campaña de concientización (Anti-Phishing Working Group, s. f.). El Departamento de Seguridad Nacional de los Estados Unidos creó un paquete informativo para su campaña PARA. PIENSA. CONÉCTATE.™ para permitir que otros países lancen campañas nacionales similares en sus propios países. Este paquete incluye una lista de comprobación de las mejores prácticas, un ejemplo de plan de comunicaciones y una métrica de la campaña de concientización sobre seguridad cibernética (Mes Europeo de Seguridad Cibernética, s. f.).

Sudáfrica

Sudáfrica ha desplegado varias campañas de concientización sobre seguridad cibernética dirigidas exclusivamente por la academia, las organizaciones privadas y los organismos públicos (Dlamini y Modise, 2012). Además, el Departamento de Telecomunicaciones y Servicios Postales de Sudáfrica creó un Centro de Seguridad Cibernética, que incluye información y recursos sobre medidas de protección contra el delito cibernético y campañas de concientización sobre seguridad cibernética. Al igual que los Estados Unidos y otros países, Sudáfrica tiene una campaña de concientización sobre seguridad cibernética que se celebra anualmente en octubre (Pazvakavambwa, 2016).

Myanmar

En 2018, se lanzó CyberBayKin, una campaña de seguridad cibernética de Myanmar, para concientizar sobre la seguridad y el riesgo cibernético en Myanmar. La Universidad de Monash (Australia) y Kernellix Co, Ltd. (Myanmar) iniciaron la campaña, en colaboración con el Centro Nacional de Seguridad Cibernética del Ministerio de Transporte y Comunicaciones de Myanmar. En el lanzamiento se presentaron seis personajes de cómic de Myanmar que fueron diseñados para la campaña. En la campaña de un año de duración, se publicarán ilustraciones de cómic de concientización sobre la seguridad cibernética cada quince días en la plataforma de Facebook. El Departamento de Relaciones Exteriores y Comercio de Australia, en el marco de la Estrategia Internacional de Participación Cibernética y la Facultad de Ciencias Sociales de la Universidad de Monash, apoya y financia la campaña. (CyberBayKin, 2018).

El pilar de la cooperación se centra en las asociaciones interinstitucionales y público-privadas, las redes de intercambio de información y los acuerdos de cooperación. Un ejemplo de ello es la Estrategia Internacional de Compromiso Cibernético para mejorar la colaboración público-privada y la cooperación entre países. Otros ejemplos incluyen asociaciones entre países e intercambio de información con la UIT, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA), la Organización para la Seguridad y la Cooperación en Europa (OSCE), y la Organización del Tratado del Atlántico Norte (OTAN) y acuerdos de cooperación, como el Convenio sobre Delitos Cibernéticos de 2001 del Consejo de Europa, el Acuerdo sobre Cooperación en la Lucha contra los Delitos Relacionados con la Informática de 2001 de la Comunidad de Estados Independientes, el Convenio Árabe sobre la Lucha contra los Delitos Relacionados con la Tecnología de la Información de 2010 de la Liga de Estados Árabes y el Convenio de la Unión Africana sobre Seguridad Cibernética y Protección de los Datos Personales de 2014, por nombrar algunos (para más información sobre este pilar, consulte UIT, 2015; UIT, 2017).

Un análisis comparativo de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) (2012) de las estrategias nacionales de seguridad cibernética en diez países (Australia, Canadá, Finlandia, Francia, Alemania, Japón, Países Bajos, España, Estados Unidos y Reino Unido) reveló diferencias en las definiciones de seguridad cibernética, pero similitudes en los enfoques de los países para abordar la seguridad cibernética de manera integral, incluyendo en diversos grados los contenidos de cada pilar legal, técnico, organizacional, creación de capacidades y cooperación.

Para crear una estrategia nacional de seguridad cibernética integral y eficaz, la Guía para la elaboración de una estrategia nacional de ciberseguridad de 2018 de la UIT propone la inclusión de las siguientes áreas temáticas en la estrategia: gobernanza (tratada en este módulo), gestión de riesgos (es decir, el proceso de identificación, evaluación y control o eliminación de amenazas, tratados en Delitos Cibernéticos Módulo 9); preparación y resistencia (tratados en Delitos Cibernéticos-Módulo 9); servicios críticos de infraestructura y servicios esenciales (tratados en Delitos Cibernéticos Módulo 14); capacidad, creación de capacidades y concientización (tratados en este módulo y en Delitos Cibernéticos Módulo 7); legislación y regulación (tratados en Delitos Cibernéticos Módulos 2, 3 y 10); y cooperación internacional (tratados en Delitos Cibernéticos-Módulo 7). Otras organizaciones también han proporcionado orientación sobre el desarrollo de la política de seguridad cibernética y los marcos reguladores, las medidas técnicas y organizacionales, la creación de capacidades y la cooperación (p. ej., el Modelo de gobernanza cibernética de la Mancomunidad de 2014 de la Organización de Telecomunicaciones de la Mancomunidad).

Siguiente: Postura de seguridad cibernética
Volver al inicio