Cuando se habla sobre la ciberseguridad de un estado-nación es necesario hacer referencia a distintos aspectos, como su capacidad para responder a incidentes de seguridad de gran escala, sus legislaciones en la materia, la protección de su infraestructura crítica, su capacidad para colaborar con otros países, e incluso la cultura de seguridad que pueda permearse entre su población.

Sin duda se trata de una tarea compleja, puesto que se habla de iniciativas de gran escala, pero que resulta necesaria en la actualidad, debido a las amenazas y ataques informáticos que siguen aumentando en cantidad, frecuencia e impacto. La complejidad radica en determinar las acciones a seguir y definir un punto de referencia para los países que buscan aumentar y mejorar su nivel de ciberseguridad. En este contexto, ¿cuál puede ser un punto de partida?

Índice de Ciberseguridad Global

Una iniciativa lanzada por la Unión Internacional de Telecomunicaciones (ITU, del inglés International Telecommunication Union) es la denominada Agenda de Ciberseguridad Global (GCA, del inglés Global Cybersecurity Agenda), un marco de trabajo para la cooperación internacional que busca aumentar la confianza y seguridad en una sociedad de la información.

La CGA tiene como base cinco pilares estratégicos también conocidos como áreas de trabajo: medidas legales, medidas técnicas y de procedimiento, estructuras organizacionales, creación de capacidad y cooperación internacional. A partir de ellas surge el Índice de Ciberseguridad Global (GCI, del inglés Global Cybersecurity Index), que tiene como objetivo medir y evaluar el compromiso de los países en la materia.

Desarrollado inicialmente en 2013, el GCI se encuentra en un proceso de actualización constante para determinar aspectos relevantes de la seguridad de los países miembros de la ITU. El índice tiene como propósito medir los siguientes elementos:

  • Tipo, nivel y evolución del compromiso con la ciberseguridad en los países a través del tiempo.
  • Avances en el compromiso con la ciberseguridad de todos los países desde una perspectiva global.
  • Avances en el compromiso con la ciberseguridad desde una perspectiva regional.
  • Nivel de participación de los países en las iniciativas de ciberseguridad.

En un propósito de mayor alcance, el GCI pretende ser un punto de referencia para que los países puedan identificar áreas de oportunidad en el campo de la seguridad cibernética; al mismo tiempo, puede funcionar como un incentivo para que los estados-naciones busquen mejorar su clasificación o su evaluación relativa al GCI, lo que sin duda, permite elevar su nivel de ciberseguridad.

¿Cómo se determina el nivel de ciberseguridad?

El índice funciona a partir de un cuestionario que considera 24 indicadores. El documento se divide en cinco secciones; la primera de ellas considera las legislaciones o reglamentos sobre ciberseguridad en el país en cuestión, por ejemplo, si se cuenta con leyes relacionadas a accesos no autorizados, el uso indebido de sistemas de información o la intercepción de datos.

En un segundo conjunto de preguntas se considera la disposición de medidas técnicas, que entre otros elementos, involucra la existencia de un equipo de respuesta a incidentes de seguridad informática (CIRT, CSIRT o CERT) con foco en distintos sectores dentro del país. El tercer punto incluye aspectos relacionados con medidas organizativas, como contar con una estrategia nacional de ciberseguridad, la existencia de un organismo o agencia nacional encargado de la materia o la disposición de parámetros que permitan evaluar los avances.

El cuarto elemento evalúa las actividades de capacitación, relacionadas principalmente con la normalización, es decir, la adopción de normas y buenas prácticas enfocadas en la ciberseguridad, así como la inversión en programas de investigación y desarrollo en temas de seguridad, e incluso campañas públicas de sensibilización y concientización enfocadas a un público general.

El último elemento considera la disposición de medidas de cooperación con otros países, como acuerdos bilaterales, multinacionales o internacionales. Este factor se vuelve muy importante cuando se persiguen delitos que rebasan fronteras y son cometidos a través del uso de las nuevas tecnologías.

Ventajas de contar con un índice que permita evaluar la ciberseguridad

A través de la información recopilada, el GCI busca conocer la manera en la que los países comienzan a implementar la ciberseguridad; a su vez, mostrar las prácticas llevadas a cabo por las naciones hace que sean utilizadas como referencia o un punto de partida en otras.

Con esta información, otros países puedan adoptar, adaptar y aplicar determinados aspectos, de acuerdo con sus entornos nacionales, en busca de promover y difundir mejores prácticas. Esto no termina en el ámbito nacional, sino que puede trascender a una escala global a través del intercambio y la cooperación.

Sin duda, se trata de una iniciativa que contribuye de forma directa a conocer el estado de la seguridad de los países, y que al mismo tiempo fomenta la cultura de ciberseguridad, en busca de aumentar y mejorar los niveles de protección de información y otros activos a nivel internacional.