Ciberseguridad: Panorama Global / Cybersecurity. A global approach

Photo by NASA on Unsplash

Colaborador: Ernesto Ibarra, @Eibarra_S

Ciberseguridad, de acuerdo con la Recomendación UIT-T X.1205 Aspectos generales de la ciberseguridad de la Unión Internacional de las Telecomunicaciones (UIT) la ciberseguridad es: el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciber entorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciber entorno. La ciberseguridad garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciber entorno. Las propiedades de seguridad incluyen una o más de las siguientes: disponibilidad; integridad, que puede incluir la autenticidad y  el no repudio; confidencialidad”.

Para comprender mejor la ciberseguridad es importante observar la definición de la seguridad de la información, la cual según ISO 27001: “La seguridadde la información, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización”. Estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: a) Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. b) Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. c) Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.”

Dicho Sistema de Gestión de la Seguridad de la Información (SGSI) es de suma importancia para la protección y seguridad de la información, como lo señala la propia ISO 27001, el SGSI “ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir”, como se vé en la siguiente imagen:

Fuente: ISO27001, SGSI.

Contexto global digital

Hoy día, poco más de la mitad de la población está conectada a Internet. De acuerdo a cifras de la UIT (Global ICT developments, 2018), para finales de 2018, se estimó que el 51.2 por ciento de la población global ya usaba Internet.

Global ICT Developments 2001-2018 - original.jpg

El número de usuarios de Internet es un componente de la digitalización, cuya métrica es fundamental para evaluar el avance tanto en digitalización como para poner en contexto el volumen y las aristas previo al diseño, implementación, evaluación y seguimiento de otras agendas específicas que complementan la política pública digital de cualquier país.

Sociedad de la Información y contexto internacional

Debemos referir a la Sociedad de la Información (si deseas leer sobre el origen y evolución del término ver: Karvalics, Laszlo. (2007) término que se institucionalizó a nivel mundial a partir de la Cumbre Mundial de la Sociedad de la Información (CMSI, o World Summit on the Information Society, WSIS por sus siglas en inglés). En dicha Cumbre, celebrada en 2 fases, Ginebra 2003 y Túnez 2005; se construyeron las bases para de los trabajos de cooperación internacional en materia de digitalización y el aprovechamiento de las TIC para el beneficio de la sociedad, que hasta nuestros sigue sigue como Agenda pendiente y queda mucho por hacer en las diferentes materias.

En la Declaración de Principios de Ginebra, 2003, relacionado a ciberseguridad, se señaló: “B5) Fomento de la confianza y seguridad en la utilización de las TIC”, en la cual se destacan aspectos como: el fomento a la confianza mediante la construcción de una cultura global de ciberseguridad, la cooperación internacional entre Estados y con diferentes actores, la mejorar en la seguridad, protección de los datos y la privacidad al mismo tiempo que de desarrolla la innovación y el comercio, el no utilizar las tecnologías con fines dañinos o que atenten contra la estabilidad y seguridad internacional; así como: “36. … actividades de las Naciones Unidas encaminadas a impedir que se utilicen estas tecnologías con fines incompatibles con el mantenimiento de la estabilidad y seguridad internacionales, y que podrían menoscabar la integridad de las infraestructuras nacionales, en detrimento de su seguridad. Es necesario evitar que las tecnologías y los recursos de la información se utilicen para fines criminales o terroristas, respetando siempre los derechos humanos.”

En 2003, la Asamble General de ONU aprobó la Resolución 57/239. Creación de una cultura mundial de seguridad cibernética, la cual enfatiza la necesidad de la responsabilidad y compromiso compartido de todos los actores. Debemos concebir que la ciberseguridad no es únicamente un aspecto de tecnologías ni labor exclusiva de los gobiernos; es un problema complejo y por ello requiere la colaboración y compromiso de todas las partes, todos los sectores, gobierno, organizaciones, sector privado, comunidades técnica y académica y sociedad en general. El anexo de dicha resolución señala elementos complementarios para la cultura de ciberseguridad: a) “Conciencia. Los participantes deben tener conciencia de la necesidad de la seguridad de los sistemas y redes de información y de lo que pueden hacer por mejorar esa seguridad”. b) “Ética. Dada la omnipresencia de los sistemas y redes de información en las sociedades modernas, los participantes deben respetar los legítimos intereses de los demás y reconocer que lo que hagan o dejen de hacer puede perjudicar a otros;” y; c) “Valores Democráticos. Las medidas de seguridad deben aplicarse de manera compatible con los valores reconocidos de las sociedades democráticas, incluidos la libertad de intercambiar pensamientos e ideas, el libre flujo de la información, la confidencialidad de la información y las comunicaciones, la debida protección de la información personal, la franqueza y la transparencia”.

Los valores (democracia y ética) están estrechamente ligados a los derechos humanos, entre ellos los contenidos en el Artículo 19 de la Declaración Universal de Derechos Humanos que a la letra dice: “…todo individuo tiene derecho a la libertad de opinión y de expresión, que este derecho incluye el de no ser molestado a causa de sus opiniones, el de investigar y recibir información y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión”, y es en este derecho (artículo 19) donde se encuentra el fundamento al derecho a la ciberseguridad, privacidad, y protección de datos personales, y al mismo tiempo, uno de los fundamentos de la obligación de autoridades y particulares a proteger los derechos y libertades de las personas, usuarios o no, consumidores o no; mediante las medidas -de seguridad, privacidad y protección de datos- que sea necesarias: técnica, lógica, administrativa, física o jurídica.

En el plano internacional se han realizado esfuerzos para fortalecer la discusión tanto en espacios multilaterales y multistakeholder.

En el seno de Naciones Unidas se creó el Grupo de Expertos Gubernamentales (Groups of Governmental Experts  o GGEs), el cual ha emitido Recomendaciones sobre derecho internacional y normas no vinculantes entre los Estados. El trabajo del GGEs y un panorama en el escenario internacional puede observarse en el documento “The United Nations, Cyberspace and International Peace and Security Responding to Complexity in the 21st Century”, en el cual se puede observar la interrelación entre la paz y seguridad internacional, los Derechos humanos y el Desarrollo económico y social, distintos pilares de trabajo de Naciones Unidas:

Image-1.png

Fuente: “The United Nations, Cyberspace and International Peace and Security Responding to Complexity in the 21st Century, página 37.

Actores Internacionales en Ciberseguridad:

A nivel Internacional podemos observar la participación de diferentes actores que realizan labores en materia de ciberseguridad, en favor de construir un entorno digital más confiable, más seguro y resiliente, que conforman el ecosistema internacional de ciberseguridad. Al respecto, el Cybersecurity Interdisciplinary Systems Laboratory (CISL) del MIT, señala en su documento de trabajo CISL# 2017-06 (Institutions for Cyber Security: International Responses and Data Sharing Initiatives) el conjunto de instituciones que conforman el ecosistema de ciberseguridad (sin que sea exhaustivo y orientado hacia el escenario de los Estados Unidos de América) pero, contribuye de buena forma a vislumbrar la interrelación y necesaria cooperación internacional con los órganos gubernamentales, además de que ayudará a tener línea base para dibujar el ecosistema en cada país. A continuación, citamos de dicho documento, para ilustrar el rol de algunas instituciones internacionales y su articulación:

Fuente: MIT, Working Paper CISL# 2017-06. Abril 2017.

Como podemos ver en la imagen, la cooperación permite afrontar el fenómeno de manera más coordinada e integral, lo cual impactará en el nivel de prevención, resiliencia, administración del riesgo y disminuir sus consencuencias.

En el contexto del siglo XXI, del crecimiento acelerado del volumen de datos que se tratan y cada vez más dispositivos conectados a Internet y nuevos modelos de negocio que se alimentan de datos, la era digital y sus fenómenos -como los riesgos y amenazas en el ciberespacio- al igual que muchos fenómenos globales son producto de múltiples factores -políticos, económicos y socio culturales- propios de la globalización y el poder transformador de Internet, como principal agente de cambio de la sociedad a nivel mundial. Hoy más que nunca, debemos ampliar la capacidad cooperación en el entendido de que no podremos atender fenémonos globales aisladamente.

En sentido se lo anterior, la innovación y transformación digital ha demostrado, si éstas se utilizan de manera adecuada, podría ayudar a resolver problemas tan graves como la pobreza, el hambre, el cambio climático, la corrupción, mejorar servicios públicos como la salud, la educación, el transporte, y muchos otros beneficios. Tan es así que, han sido un componente fundamental en la Agenda para el Desarrollo Sostenible, en la implementación y consecución de los 17 Objetivos (Agenda 2030, Objetivos de Desarrollo Sostenible), y en razón de dicha importancia que tienen las TIC también debe elevarse la importancia de la ciberseguridad, en la implementación de tecnologías y uso de datos en la ruta de los objetivos de desarrollo sostenible.

Objetivos de Desarrollo Sostenible

El valor de los datos en la era digital

Este constante y acelerado desarrollo digital de las sociedades, en todos los sectores y actividades de la vida cotidiana, ha dado pie a varias denominaciones de la dinámica social, económica y cultural contemporánea cada vez más digital -sociedad de la información y el conocimiento, economía del conocimiento, la Revolución de los datos y hace un par de años la Cuarta Revolución Industrial; en todas estas denominaciones con sus particularidades refieren el gran potencial en el tratamiento y uso de datos, y metadatos. En la actualidad es más fácil y rápido generar, almacenar, usar y transferir datos, principalmente gracias a Internet, con servicios en la nube o cómputo en la nube (cloud computing), y un sin fin de dispositivos móviles y nuevos modelos de negocio.

Dicho volumen de información, datos y metadatos, aunado a la gran capacidad de su tratamiento y facilidad de transferencia y explotación también ha generado grandes inquietudes y preocupaciones por diversos sectores. Cada día es más común escuchar casos de ciberataques contra infraestructuras de gobiernos, notas periodísticas sobre posibles actos de ciberespionaje o incluso actividad que algunos refieren a como actos de ciberguerra. También existen vulnerabilidades que son aprovechadas por delincuentes que roban datos y afectan o pueden afectar a millones de personas de todo el mundo, (véase caso SONY), recientemente hemos visto también como empresas (que no delincuentes) hacen uso indebido o tratan fuera de los principios de derecho y valores éticos de los datos (véase caso Cambridge Analytica).

La variedad de ataques es muy amplia, desde el uso de una app que decifra o rompe las contraseñas de seguridad en una red wifi doméstica hasta ataques de crimen organizado a nivel internacional que atenta las infraestructuras críticas de información o sistemas estratégicos de los Estados. Dichas amenazas pueden afectar: a) La paz y el orden internacional; b) La seguridad nacional, desarrollo económico y la democracia de los países; c) Los derechos (humanos, fundamentales o derechos en general); d) el patrimonio de empresas e individuos; e) la dignidad y el sano desarrollo físico y psicológico de niñas, niños y adolescentes; entro muchos otros.

Los datos son tan valiosos que son llamados “el petróleo o la moneda del siglo XXI”.

Impacto del cibercrimen y ciberseguridad

Ante tal valor, la información, datos, así como las infraestructuras tecnológicas de organizaciones privadas (empresas) y entes públicos (autoridades de cualquier orden de gobierno) deben ser protegidas ante: Efectos o consecuencias provocadas por la naturaleza (terremotos, huracanes, inndaciones, etc. O bien por aquellas provocadas por las personas: a) Omisiones internas que generan vulnerabilidades o representen un riesgo y amenaza a los activos de información; b) Ataques informáticos y delitos electrónicos o cibercrimen c) Cualquier amenzas cibernéticas (que se genere dentro o fuera del ciberespacio) que pueda afectar la integridad, autenticidad, no repudio y disponibilidad de la información y los datos, o los derechos de las personas, la economía, la democracia, la seguridad nacional o la paz internacional.

En el entendido se su impacto global, el Foro Económico Mundial, en el Global Risks Landscape 2019 señaló que el “cibercrimen” y “el robo de datos” ocupan los lugares 4 y 5 respectivamente, de la lista de riesgos a nivel global, como se observa a continuación:

Fuente: World Economic Forum Global Risks Perception Survey 2018–2019.

Por su parte, el Centro para Estudios y Estrategias Internacionales (Center for Strategic and International Studies -CSIS-) en alianza con McAfee, en el Estudio Economic Impact of Cybercrime – No Slowing Down, estima que el cibercrimen a nivel mundial costó 600 billones (en USD) en 2017, y sigue creciendo.

De acuerdo al Global Cybersecurity Index 2018, (ITU, 2019), los países con mejor evaluación son: Reino Unido, Estados Unidos de América, Francia, Lituania y Estonia. Del Continente Americano, los primeros son: Estados Unidos de América, Canadá, Uruguay y México, como se puede ver en la tabla siguiente:

En dicho Índice se evaluaron 173 países. Aunque es difícil llevar a cabo un diagnóstico preciso de tema y pudieran existir áreas de oportunidad en la metodología y faltar fuentes oficiales al respecto, coincidimos en el valor y conveniencia de contar con estas métricas para el diseó, implementación, evaluación y mejora continua de las estrategias nacionales.

América Latina y el Caribe

De acuerdo con el reporte ​Tendencias de seguridad en América Latina y el Caribe (OEA y Symantec, 2014) el cibercrimen le costó a México entre 3,000 y 5,000 millones de dólares al año.

En 2016, en el Estudio “Ciberseguridad ¿Estamos preparados en América Latina y el Caribe” (OEA y BID, Pág. 86, 2016), se aporta una evaluación basada en el Modelo de Madurez de Capacidad de Seguridad Cibernética (CMM, por sus siglas en inglés), cuyos niveles son: 1) Inicial; 2) Formativo; 3) Establecido; 4) Estratégico; y 5) Dinámico. Dichos niveles se basan en 49 indicadores del CMM, que se dividen entre cinco dimensiones: a) Políticas y estrategia nacional de seguridad cibernética (“Políticas y estrategia”); b) Cultura cibernética y sociedad (“Cultura y sociedad”); c) Educación, formación y competencias en seguridad cibernética (“Educación”); d) Marco jurídico y reglamentario (“Marco jurídico”); e) Normas, organizaciones y tecnologías (“Tecnologías”).

Sólo como ejemplo del impacto del combate al cibercrimen, en 2018, la Organización de Estados Americanos (OEA) en colaboración con el gobierno de México (CNBV), elaboraron un estudio sobre Estado de la Ciberseguridad en el Sistema Financiero mexicano el cual señala que: “el costo total anual de respuesta y de recuperación ante incidentes de seguridad digital de las entidades e instituciones financieras en México en 2018 fue de USD$ 107 millones aproximadamente.” Lo cual equivale, casi, al valor de la banca en Latinoamérica.

Consideraciones finales

Por todo lo que está en juego, debe considerarse como prioritario trabajar en fortalecer la “ciberseguridad” en su dimensión amplia, desde la visión de Estados como un enfoque multidimensional (seguridad ciudadana, seguridad pública, nacional e internacional); en espacios multilaterales (entre Estados) o multistakeholder (donde participan actores de diversos sectores: gobierno, sector privado, comunidades técnica y academia, sociedad en general); así como con un enfoque de gestión de riesgos y de manera transversal e integral en organizaciones públicas y privadas y en el uso diario de dispositivos digitales y adecuado manejo de la información a nivel individual.

Como podemos observar, ante un mundo cada vez más interconectado, donde los fenómenos se vuelven más complejos y globales cada día, el construir un entorno global más seguro, más confiable y más resiliente es tarea de todos.

Retos y Desafíos

Dentro de los principales retos y desafíos destacamos:

  1. Mantener el las discusiones y foros internacionales el tema de ciberseguridad y establecer mecanismos de cooperación, para seguir fortaleciendo las capacidades en la materia, en todas las regiones del mundo.
  2. Convencimiento de los líderes políticos y del sector privado sobre sobre la ciberseguridad como tarea paralela en la innovación y desarrollo de nuevas soluciones tecnológicas y componente del desarrollo sostenible, de nuevos modelos de negocio y de la digitalización del gobierno y sus servicios digitales.
  3. A nivel del sector privado, cambiar el enfoque de “gasto” en  ciberseguridad hacia “inversión”, para lo cual es vital conocer el valor del activo intangible (información), el grado de riesgo y posibles consecuencias económicas, sociales, de dignidad y derechos, de reputación y hasta políticas.
  4. El entender que la ciberseguridad no es sólo una cuestión de tecnología, y por tanto no sólo es una tarea para ingenieros y que amerita el liderazgo del más alto nivel en los estados y las organizaciones públicas y privadas.
  5. La ciberseguridad requiere acciones coordinadas a nivel Global, Regional y de Estrategias Nacionales que articulen los esfuerzos de lo global a lo local y viceversa; que corresponda a una visión de Estado, y que se articule transversalmente dentro de los planes nacionales de desarrollo y sus diversas Estrategias, programas y agendas, en apego a los Derechos Humanos.
  6. Es urgente desarrollar y/o fortalecer la cultura de ciberseguridad: a todos los ordenes de gobierno, poderes, ámbitos público y privado, así como en los diferentes sectores de la economía y  segmentos de edad de la población.
  7. Adecuar contenidos y capañas de concientización para niñas, niños y adolescentes, para consumidores de comercio electrónico, para usuarios de redes sociales, para emprendedores, para madres y padres y sociedad en general.
  8. Impulsar el respeto, los derehos, las libertades tanto en la vida diaria del espacio físico como en el entorno digital. Pues un ciberespacio seguro inicia en los valores que practica cada persona consigo mismo, los demás y su entorno.
  9. Creación de expertos y formar y capacitar profesionales de todas las ramas y disciplinas, pues todos integramos el entorno digital y construimos la sociedad de la era digital a partir de nuestras comunicaciones, como usuarios de Internet o consumidores de bienes y servicios digitales.
  10. Incluir la ciberseguridad como materia desde los primeros niveles educativos, entre otras habilidades digitales.

Sugerencias:

  1. OEA-CICTE_Programa de Ciberseguridad: http://www.oas.org/es/sms/cicte/prog-ciberseguridad.asp
  2. Instituto Nacional de Ciberseguridad de España (INCIBE): https://www.incibe.es/
  3. Programa de Ciberseguridad de UIT: https://www.itu.int/es/ITU-D/Cybersecurity/Pages/default.aspx
  4. WEF, Centro para la Ciberseguridad: https://www.weforum.org/centre-for-cybersecurity
  5. ENISA: https://www.enisa.europa.eu/
  6. NATO Cooperative Cyber Defence Centre of Excellence: https://ccdcoe.org/about-us/
  7. ISOC_Ciberseguridad: https://www.internetsociety.org/tag/cybersecurity/
  8. National Cybersecurity Institute (NCI): https://www.nationalcybersecurityinstitute.org/
  9. Geneva Internet Platform: https://dig.watch/baskets/security
  10. The Great Hack, Netflix, 2019.

Entradas previas:

Síguenos en:

Twitter: @amdetic

Facebook: amdetic

Youth Coalition on Internet Governance

Ser parte del mundo de la gobernanza de Internet no es cosa fácil. Para lograrlo se requiere estar al tanto de cuestiones técnicas y sociales de Internet, así como comprender el funcionamiento y alcance que tienen distintas organizaciones relacionadas con el tema. Si estás interesado en participar en las discusiones …

Reuniones de la ICANN

Las reuniones de la ICANN son el punto de encuentro de distintos grupos de individuos y organizaciones internacionales dispuestas a discutir y desarrollar políticas referentes al sistema de nombres de dominio de Internet. Estas reuniones han sido claves para fortalecer el modelo de múltiples partes interesadas con toma de decisiones …

Programa de becas de la ICANN

El programa de becas es un esfuerzo realizado por la ICANN para preparar a la próxima generación de personas que formará parte de su comunidad, de la cual se espera un compromiso hacia la organización y sus procesos de desarrollo de políticas. Quienes son elegidos para participar tienen la oportunidad …

Foro para la Gobernanza de Internet 2017

Breve acercamiento al Foro para la Gobernanza de Internet El Foro para la Gobernanza de Internet (IGF, por su sigla en inglés) se celebra anualmente, desde el 2006. Se trata de un espacio abierto y descentralizado, al que acuden sociedad civil, sector privado, gobiernos y comunidades técnicas y académicas para …

5to Foro – Día Mundial de Internet 2017

El 16 y 17 de mayo se llevó a cabo el 5to Foro del Día Mundial de Internet, organizado por el Instituto de Investigaciones Jurídicas de la UNAM, la Academia Multidisciplinaria de Derecho y Tecnologías (AMDETIC), el Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación (INFOTEC) …

Quinto Foro Día Mundial de Internet, México 2017.

Los próximos 16 y 17 de mayo de 2017 se realizará el Quinto Foro “Día Mundial de Internet” con motivo del Día Mundial de la Sociedad de la Información y las Telecomunicaciones. El Foro tiene como objetivo reunir a expertos en temas relacionados con Internet con la finalidad de presentar …