Actualmente unos 3.7 billones de personas están conectadas a Internet alrededor del mundo. Se espera que en el 2020 sean 5 billones con 50 billones de dispositivos conectados a Internet. Por otro lado, las tecnologías de información y comunicación (TIC) se han convertido en un potenciador del crecimiento y desarrollo. Para ilustrar la importancia de ambos, un estudio del Foro Económico Mundial reveló que la economía digital en los países del G20 rondaba los USD$4 trillones en 2016, con un crecimiento del 10% anual. Se estima que la mayoría de ese crecimiento, cantidad de personas y dispositivos conectados, se dará en economías emergentes, a un ritmo del 15-25% anual, por lo que los países de nuestra región deben de pensar cómo maximizar las oportunidades y beneficios del uso del Internet y las TIC mediante el desarrollo de las capacidades de ciberseguridad (DCC), lo cual será crucial para los países a efectos de mejorar los índices de progreso y desarrollo en el plano económico, político y social.
Si no se logra avanzar rápidamente en esa dirección los riesgos asociados con la conectividad, tales como los ataques a las infraestructuras críticas, robo e intrusión de datos personales, cibercrimen o incluso amenazas a la seguridad nacional, potenciados por las ciber interdependencias y los efectos cascada, ponen en riesgo la estabilidad económica y social de un país o región, y la evolución del ecosistema digital y sus actores, lo cual podría generar desconfianza e inseguridad en los usuarios.
Para avanzar, todas las partes interesadas, lideradas por el gobierno, deben discutir seriamente la formulación de políticas públicas orientadas a encarar los actuales retos, que van desde la protección de las infraestructuras críticas hasta los nuevos desafíos que presentan las tecnologías emergentes (IoT, big data, inteligencia artificial, cloud computing, entre otros.). Alrededor del mundo, los gobiernos, organizaciones internacionales, y el resto de actores ha reconocido que el DCC es esencial para mitigar las externalidades negativas del incremento de la conectividad y maximización de los beneficios del desarrollo de las TIC.
Los riesgos y amenazas cibernéticas desconocen los límites geográficos, lo cual hace que los países en desarrollo estén sufriendo los mismos incidentes que los países desarrollados. Sin embargo, los primeros carecen de una estructura organizacional, estrategias, marcos jurídicos y capacidades de defensa avanzadas para hacerle frente a eses tipo de incidentes. Es por ese motivo que el DCC se ha convertido en una pieza clave para asegurar al menos un nivel adecuado de políticas de ciberseguridad. Para ello se requiere de un enfoque horizontal a través de las diferentes áreas de desarrollo de la política pública, concentrándose en el mejoramiento de la gobernanza, protección de la infraestructura, respaldo de los principios de un estado de derecho, capacitación en todos los niveles, entre otros.
Los países con niveles avanzados de madurez en ciberseguridad, organismos regionales e internacionales, centros de investigación, entre otros. se han convertido en piezas claves en el proceso de DCC de los países en desarrollo. Capacitaciones, misiones técnicas, foros, entre otros. han ayudado sustancialmente a generar conciencia, especialmente en el sector político, sobre la importancia de avanzar en este dominio, y también a coordinar la creación de equipos de respuesta de incidentes cibernéticos (CERT), la formulación de estrategias nacionales de ciberseguridad (ENCS), el mejoramiento del marco jurídico para combatir los delitos informáticos y proteger los datos personales, solo para citar algunos ejemplos. Tener el aprendizaje y las experiencias, buenas o malas, de los expertos es esencial para avanzar en la dirección correcta. A pesar de los importantes esfuerzos e iniciativas que se han desarrollado en la región, todavía nos quedamos cortos en ese proceso. Se han venido desarrollando importantes iniciativas, muchas de ellas sin un presupuesto adecuado y otras que traslapan funciones u objetivos, cada una incluso con enfoques diferentes, pudiéndose canalizar mejor los esfuerzos y recursos económicos si hubiese mejor coordinación entre las mismas organizaciones.
Los retos son muchos, contar con un recurso humano especializado, reformas institucionales y regulatorias, adaptaciones institucionales, entre otros., por lo que es primordial que cada país pueda identificar su estado actual y mapear sus prioridades y necesidades para encarar los retos locales, regionales e internacionales.
Sin duda, el primer reto, y quizá el cimiento para encarar el resto de desafíos, es convencer a los líderes de que este es un tema de altísima prioridad para el país, que requiere voluntad política y que se asignen suficientes recursos económicos para la formulación, implementación y sostenibilidad de las políticas y estrategias pertinentes para la construcción y desarrollo de las capacidades y defensas de ciberseguridad. Sin el involucramiento y las iniciativas del gobierno difícilmente se podrá avanzar. También debemos recordar que este no es un tema que compete únicamente al gobierno, es un tema de responsabilidad compartida y que involucra a un amplio espectro de partes interesadas: gobierno, sector empresarial, técnico, académico, sociedad civil. Generar conciencia en todos los niveles es de suma importancia, pues así todos entienden cuál es su rol y funciones dentro del engranaje.
Para afrontar los desafíos y cerrar las brechas, expertos del Global Public Policy Institute sugieren un enfoque basado en la implementación de cinco principios: coordinación y cooperación tanto a nivel nacional como internacional, integración de la experiencia de ciberseguridad y desarrollo, sentido de apropiación, sostenibilidad de los esfuerzos e iniciativas, y capacitación continua y mutua.
Otros expertos, como Neil Robinson, señalan que una de las primeras consideraciones es determinar qué exactamente se necesita para estar protegidos y cómo se logra ese cometido, siendo la protección de las ventajas económicas y sociales el principal conductor de los esfuerzos de la ciberseguridad. O sea, se deben definir claramente los conceptos y estrategias a seguir. En esa misma línea, un marco jurídico claro es visto como una de las piezas importantes del DCC, y que aborde temas sensibles como la protección de datos personales y derechos humanos; delitos informáticos (ley sustantiva y procesal), donde es importante citar la adhesión a la Convención sobre Ciberseguridad (“Convenio de Budapest”); y legislación internacional, que establezca un marco jurídico sobre el comportamiento de los Estados en el ámbito militar y de inteligencia. Otro aspecto a considerar es la estructura institucional a nivel estatal: (i) se deberá nombrar una entidad coordinadora de los temas de ciberseguridad, incluyendo la formulación e implementación de la ENCS, y que se le definan claramente sus funciones y responsabilidades, (ii) constituir un CERT nacional capaz de mitigar y responder oportunamente ante los incidentes cibernéticos, y (iii) otras instituciones, como reguladores (protección de datos personales, telecomunicaciones, protección del consumidor), agencias de inteligencia, y muy importante, agencias de cumplimiento de la ley, las cuales juegan un papel muy importante en la lucha contra el cibercrimen. Finalmente, la implementación de todos los aspectos antes indicados, pero principalmente del marco jurídico y de la ENCS, determinan si el DCC ha sido un éxito o un fracaso. En este proceso la asignación de recursos económicos es vital.
El experto Patrik Pawlak ha definido 10 principios que se deben tomar en consideración a la hora de DCC, y que definitivamente son aplicables a los países de la región.
- El DCC no es un sprint (carrera corta), es una maratón.
- Para el DCC se requiere que hablemos un mismo lenguaje. Debemos estandarizar conceptos y objetivos estratégicos en este dominio.
- El DCC no solo es un asunto de seguridad o tecnología, también impacta el desarrollo social y económico mundial. Debe verse con un enfoque holístico.
- Los desafíos en el DCC no son los mismos para todas las partes interesadas.
- Las prioridades en el DCC no son las mismas para todas las partes interesadas.
- No existe una única respuesta para todos los problemas, pero una solución podría ayudar a la mayoría.
- El DCC requiere de coordinación internacional.
- El DCC requiere de cooperación de todas las partes interesadas, tanto a nivel estatal, entre sectores como a nivel nacional e internacional.
- El DCC no es una prioridad, pero debería de serlo. Para este momento es una urgencia.
- Es hora de pasar de hablar de las necesidades y falencias a ejecutar acciones y dar soluciones. Hablar menos y hacer más.