Hace unos meses escribí este artículo para una revista, sin embargo, el mismo no fue publicado, ni se me comunicó que no lo iban a publicar.
Así que lo comparto por acá, porque creo que puede tener algún valor para alguién.
Editorial
Al margen del video compartido por la red social whatsapp inicialmente y posteriormente por medios de comunicación masivos, sobre “Las ratitas haciendo dinero” desde la Penitenciaría, hace algún tiempo atrás, es importante establecer las razones de este nivel de pasividad y desconocimiento generalizado, en gran parte de sociedad Costarricense, sobre el tema de seguridad en la red o también llamada Ciberseguridad.
Como nos ven desde afuera, los organismos internacionales, que estudian el fenómeno de la Ciberseguridad.?
Para responder esta pregunta, podemos escudriñar en el informe anual publicado por la Unión Internacional de Telecomunicaciones UIT, en donde se estable el Índice Global de Ciberseguridad.
El Global Cybersecurity Index (GCI) es un índice compuesto, producido, analizado y publicado por la UIT para medir el compromiso de los países con la seguridad cibernética con el fin de crear conciencia sobre la misma.
El GCI se basa en la Agenda de Ciberseguridad Global (GCA) de la UIT que se lanzó en 2007 y refleja sus cinco pilares: legal, técnico, organizacional, desarrollo de capacidades y cooperación.
El GCI combina 25 indicadores en una medida de referencia para monitorear el compromiso de seguridad cibernética.
El índice utiliza datos recopilados a través de una encuesta en línea. Para cada pilar, se han desarrollado preguntas para evaluar el compromiso.
Para el 2018, la UIT contó con el apoyo de 32 expertos en el área para el análisis de los datos.
El estudio del 2018, señala que la brecha en el nivel de compromiso de ciberseguridad entre las diferentes regiones todavía está presente y visible. El estudio fue enviado a casi 200 nacionales, de las cuáles 160 respondieron el cuestionario, obteniendo un 10% más de participación que en el estudio elaborado en el año 2017.
Además de proporcionar el puntaje GCI, el informe también proporciona información sobre prácticas nacionales que dan una idea del progreso alcanzado.
En el Índice Global de Ciberseguridad ( GCI ) estudio publicado para el año 2018, los países fueron agrupados según su índice de compromiso con el tema.
El estudio incluye en este último informe, cambios significativos, evolucionando según los comentarios y opiniones de los miembros de la UIT y aportaciones de expertos.
El cuestionario del estudio se redujo de 153 a 50 preguntas, para el año 2018.
Se evaluaron y modificaron valores de ponderación como:
· Proyectos de ley (o cualquier otro documento borrador relevante) tiene una ponderación de 0.5 (anteriormente 1.0).
· La investigación y la recopilación de datos de fuentes oficiales se utilizaron para completar la encuesta.
· Debido a la baja tasa de respuesta relacionada con la pregunta sobre las mejores prácticas nacionales, así como falta de información disponible de fuentes oficiales nacionales, la pregunta no fue considerada en el marcador final. Además se incluyeron elementos sobre protección infantil en línea en las preguntas y la puntuación.
Marco conceptual del informe
Que incluye cada pilar?
Legal: las medidas legales (incluida la legislación, la regulación y la contención de la legislación sobre correo no deseado) autorizan a un estado nación a establecer mecanismos básicos de respuesta mediante la investigación y el enjuiciamiento de delitos y la imposición de sanciones por incumplimiento o incumplimiento de la ley. Un marco legislativo establece la base mínima del comportamiento sobre el cual se pueden construir más capacidades de ciberseguridad. Fundamentalmente, el objetivo es contar con una legislación suficiente para armonizar las prácticas a nivel regional / internacional y simplificar el combate internacional contra el cibercrimen. El contexto legal se evalúa en función de la cantidad de instituciones y marcos legales que se ocupan de la ciberseguridad y el cibercrimen.
Técnico: la tecnología es la principal frontera de defensa contra las amenazas cibernéticas (incluido el uso de equipos informáticos de respuesta a emergencias o incidentes, el marco de implementación de estándares, los mecanismos técnicos y las capacidades implementadas para abordar el correo no deseado, la protección infantil en línea, etc.). Sin las habilidades técnicas adecuadas para detectar y responder a los ciberataques, los países siguen siendo vulnerables. El desarrollo y uso eficiente de las TIC solo puede prosperar verdaderamente en un entorno de confianza y seguridad. Por lo tanto, los países deben crear e instalar criterios de seguridad mínima aceptados y esquemas de acreditación para aplicaciones y sistemas de software. Estos esfuerzos deben complementarse con la creación de un organismo nacional con el objetivo de tratar los incidentes cibernéticos, una entidad gubernamental autorizada y un marco nacional para vigilar, advertir y responder a los incidentes. Los elementos técnicos se evalúan en función del número de mecanismos prácticos para hacer frente a la ciberseguridad.
Organizacional: Las medidas organizativas (incluidas estrategias nacionales, agencias responsables, métricas de ciberseguridad) son indispensables para la implementación adecuada de cualquier iniciativa nacional. El estado nacional debe establecer objetivos y metas estratégicas generales, junto con un plan todo incluido en la implementación, entrega y medición. Las agencias nacionales deben estar presentes para implementar la estrategia y evaluar el resultado. Sin una estrategia nacional, un modelo de gobernanza y un órgano de supervisión, los esfuerzos en diferentes sectores entran en conflicto, lo que impide los esfuerzos para lograr una armonización efectiva en el desarrollo de la seguridad cibernética. Las estructuras organizativas se evalúan en función de la presencia de instituciones y estrategias que involucran el desarrollo de la ciberseguridad a nivel nacional.
Creación de capacidad: la creación de capacidad (incluidas las campañas de sensibilización del público, el marco para la certificación y la acreditación de los profesionales de la seguridad cibernética, los cursos de formación profesional en seguridad cibernética, los programas educativos o los programas académicos, etc.) es intrínseco a los primeros tres pilares (legal, técnico y organizativo). La ciberseguridad se aborda con mayor frecuencia desde una perspectiva tecnológica, aunque existen numerosas implicaciones socioeconómicas y políticas. La creación de capacidad humana e institucional es esencial para aumentar la conciencia, el conocimiento y el know-how en todos los sectores, para soluciones sistemáticas y apropiadas, y para promover el desarrollo de profesionales calificados. El desarrollo de capacidades se evalúa en función del número de programas de investigación y desarrollo, educación y capacitación, y profesionales certificados y agencias del sector público.
Cooperación: el delito cibernético es un problema global y no está restringido a las fronteras nacionales ni a las distinciones sectoriales. Como tal, abordar el delito cibernético requiere un enfoque de múltiples partes interesadas con aportes de todos los sectores y disciplinas (incluidos acuerdos bilaterales y multilaterales, participación de foros / asociaciones internacionales, asociaciones público-privadas, asociaciones interinstitucionales, mejores prácticas, etc.). Una mayor cooperación puede permitir el desarrollo de capacidades de seguridad cibernética mucho más fuertes, lo que ayuda a disuadir las amenazas en línea repetidas y persistentes y permite una mejor investigación, captura y enjuiciamiento de agentes maliciosos. La cooperación nacional e internacional se evalúa en función del número de asociaciones, marcos cooperativos y redes de intercambio de información.
Las clasificaciones de nivel de compromiso de los países se obtuvieron utilizando el percentil 99:
1. Los países altos dentro de este rango (1.000-0.670) se clasifican (1-51), total 53 países.
2. Puntajes medios de país (0.669-0.340), rango en rango de 52-99 a 54 países .
3. Los puntajes bajos de los países (0339.-0.000) varían en rango de 100-175, con un total de 87 países.
Como quedó Costa Rica parada, en este informe?
Los países se clasifican en el informe, según su nivel de compromiso: alto, medio y bajo.
1. Países que demuestran un alto compromiso en los cinco pilares del índice.
2. Países que han desarrollado compromisos complejos y participan en programas e iniciativas de seguridad cibernética.
3. Países que han comenzado a iniciar compromisos en ciberseguridad.
Costa Rica, quedó clasificada en el grupo de “bajo nivel de compromiso”, al igual que todas las naciones de Centro América. En LATAM, sólo Uruguay, quedó clasificado dentro del nivel alto. En nivel medio, quedaron ubicados países como: Panamá, Cuba, Paraguay, Ecuador, Venezuela, Argentina, Jamaica, República Dominicana, Chile, Brasil y Colombia.
En el ranking por las Américas, Costa Rica se ubica en el lugar #18 y #115 a nivel global. En términos relativos estamos por debajo de la mitad de los peores países calificados en el índice.
Pero lo más relevante, es que nuestro país no participó en el proceso GCI 2018 y tampoco presentó sus respuestas al cuestionario, ni validaron los datos recopilados por el equipo de GCI.
Así pues, no es de extrañar, que ante la apatía de las instituciones gubernamentales relacionadas con el tema, la sociedad en general y el sector privado, seamos presa fácil, de unos cuantos “vivazos” que lucran con nuestro analfabetismo tecnológico.
Fuente bibliográfica: Global Cybersecurity Index, ITU
Garcia se hace el siguiente cuestionamiento en la introducción de su libro:
Gain a competitive advantage by developing a skill set that’s in demand, worldwide.
