Este módulo es un recurso para los catedráticos
Postura de seguridad cibernética
Postura de seguridad cibernética es un término utilizado para describir las capacidades de seguridad cibernética de un país, organización o empresa. Se han utilizado varias herramientas para evaluar la postura de seguridad cibernética. Un ejemplo de esta herramienta es el Índice global de seguridad cibernética (GCI) de la Unión Internacional de Telecomunicaciones. Según la UIT (s. f.), el Índice global de seguridad cibernética (GCI) es una herramienta de creación de capacidades que evalúa el compromiso de los países con la seguridad cibernética, identifica su postura respecto a ella y los aspectos que deben mejorarse. Se puede evaluar la postura de seguridad cibernética de los países en función de su desarrollo en los cinco pilares (legal, técnico, organizacional, creación de capacidades y cooperación) encontrados en la Agenda Global sobre Seguridad Cibernética de la UIT. En particular, los países reciben puntajes de dicho índice basados en su nivel de compromiso con los cinco pilares. Estos puntajes incluyen la iniciación (es decir, pasos iniciales que demuestren el compromiso con los pilares), la madurez (es decir, compromisos hechos con los pilares) y el liderazgo (es decir, un alto compromiso con los pilares) (UIT, 2017, pág. 13).
Los resultados de la encuesta del Índice global de seguridad cibernética de 2017 revelaron que la mitad de los países que respondieron no tenían una estrategia de seguridad cibernética (UIT, 2017). Los resultados de la encuesta del Índice global de seguridad cibernética de 2017 también revelaron una gran variación en los compromisos de seguridad cibernética entre los Estados dentro y fuera de sus regiones. Los resultados revelaron además que la solidez de los compromisos de seguridad cibernética de los países variaba según el pilar (es decir, los países obtuvieron una puntuación alta en algunos pilares y media o baja en otros) (UIT, 2017; para información detallada de los resultados, consulte UIT, 2017). Sin embargo, para que los esfuerzos sean efectivos, se necesitan compromisos de seguridad cibernética en todos los pilares.
El Centro Mundial de Capacidad en Seguridad Cibernética (GCSCC) de la Universidad de Oxford desarrolló un Modelo del estado de desarrollo de capacidad en seguridad cibernética (CMM) para evaluar la postura de seguridad cibernética de los países (es decir, la madurez de la capacidad de seguridad cibernética) examinando los esfuerzos de los países en «políticas y estrategias de seguridad cibernética», «cultura y sociedad cibernética», «educación, capacitación y habilidades en seguridad cibernética», «marcos regulatorios y legales» y «normas, organizaciones y tecnologías» (Centro Mundial de Capacitación en Seguridad Cibernética, 2016, págs. 10-13). Esta evaluación informa a los países en qué estado de madurez se encuentran: fase inicial (es decir, sin seguridad cibernética o empezando a desarrollarse), formativa (es decir, con cierta seguridad cibernética), consolidada (es decir, con seguridad cibernética en funcionamiento; con una consideración mínima de la asignación de recursos), estratégica (es decir, con elecciones deliberadas y calculadas sobre seguridad cibernética) y dinámica (es decir, se adapta la seguridad cibernética a los cambios del entorno y de las necesidades) (Centro Mundial de Capacitación en Seguridad Cibernética, 2016, pág. 7). Se ha utilizado el CMM para evaluar numerosos países de todo el mundo de forma individual o como parte de un estudio regional (Centro Mundial de Capacitación en Seguridad Cibernética, 2018). Además del CMM, el Centro Mundial de Capacitación en Ciberseguridad desarrolló el Portal de Capacidad para la Seguridad Cibernética, que incluye material de creación de capacidades y mejores prácticas de seguridad cibernética y facilita el intercambio de información con el fin de ayudar a los países a mejorar su postura de seguridad cibernética.
Los países también han implementado marcos para ayudar a los sectores público y privado a mejorar su postura de seguridad cibernética. Un ejemplo de ello es el Marco para mejorar la infraestructura crítica de seguridad cibernética del Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) (publicado en 2014, revisado en 2017 y 2018), el cual proporciona lineamientos, normas y mejores prácticas para ayudar a los sectores público y privado a mejorar su postura de seguridad cibernética. En 2017, se aprobó el Decreto Ejecutivo sobre el Fortalecimiento de la Seguridad Cibernética de las Redes Federales y la Infraestructura Crítica de los Estados Unidos, en el que se ordenaba a las organizaciones federales a utilizar este marco para mejor su postura de seguridad cibernética. También se ha adoptado o adaptado este marco por parte de empresas y organizaciones dentro de los Estados Unidos y algunos otros países (p. ej., Italia, Uruguay y Bermudas) (NIST, 2018). La Asociación de Auditoría y Control en Sistemas de Información (ahora sólo conocida por su acrónimo ISACA) desarrolló un programa de auditoría para comprobar la eficacia de las medidas de seguridad cibernética que implementaron las empresas, organizaciones y agencias utilizando el marco del NIST (ISACA, 2017). Del mismo modo, las regulaciones del Gobierno chino, como el Reglamento Especial sobre Divulgación de Información de Bancos Comerciales y la Medida de Notificación de Incidentes de Seguridad de la Información en Internet, y la normativa de Taiwán, como la Guía de Notificación de Incidentes Importantes de Bancos y las Medidas sobre Notificación y Respuesta a los Incidentes de Seguridad de la Información y la Comunicación a Nivel Nacional, son normas destinadas a facilitar la colaboración entre los sectores público y privado sobre la seguridad cibernética. (Chang, 2012; Chang et al., 2018).
Reconociendo que la postura de seguridad cibernética depende de la cantidad y calidad de la fuerza laboral en seguridad cibernética, Estados Unidos también implementó en 2017 el Marco para el personal de seguridad cibernética de la Iniciativa Nacional para la Educación en Seguridad Cibernética (NICE). Este marco forma parte de los objetivos estratégicos de la NICE para desarrollar una fuerza laboral en seguridad cibernética a través de la identificación de los conocimientos, habilidades y destrezas necesarias para los diferentes puestos de trabajo en seguridad cibernética y para proporcionar orientación a la academia y a los empleadores sobre la creación e implementación de programas académicos y de formación profesional. El déficit mundial en cantidad y calidad de profesionales en seguridad cibernética explica el hecho de que es necesario prestar atención al desarrollo de la fuerza laboral en seguridad cibernética en la mayoría de los países (Frost & Sullivan Executive Briefing, 2017).
Siguiente: Conclusión
Volver al inicio