Este módulo es un recurso para los catedráticos 

 

Estrategias nacionales de seguridad cibernética: ciclos de vida, buenas prácticas y repositorios

 

El ciclo de vida de la estrategia nacional de seguridad cibernética incluye cinco fases (ITU, 2018, págs. 16-27):

  • La primera fase (fase 1) es la fase de iniciación, que incluye la identificación de las partes interesadas pertinentes, así como sus funciones en el proceso de desarrollo, y la creación de un plan para el desarrollo de la estrategia.
  • La segunda fase (fase 2), inventario y análisis, incluye una evaluación de la postura del país con respecto a la seguridad cibernética, la identificación de las amenazas a la seguridad cibernética y la evaluación de los riesgos actuales y futuros para la seguridad cibernética.
  • La tercera fase (fase 3) es la elaboración de la estrategia de seguridad cibernética. Esta fase implica la redacción de la estrategia, la obtención de retroalimentación de las partes interesadas pertinentes, la finalización de la estrategia basada en la retroalimentación y la publicación de esta.
  • La cuarta fase (fase 4), ejecución, consiste en la elaboración de un plan de acción, la determinación de las iniciativas basadas en los objetivos de la estrategia que se aplicarán, la identificación de los recursos necesarios para aplicar esas iniciativas, la determinación de las medidas concretas que se adoptarán y los plazos para completar esas medidas. En esta fase también se especifican las métricas y los indicadores clave de rendimiento para determinar la eficiencia (es decir, la oportunidad) y la eficacia (es decir, los buenos resultados) de las iniciativas.
  • En general, los planes de acción incluyen las soluciones (o medidas) que se pueden ejecutar para alcanzar los objetivos, las partes interesadas responsables de las tareas, las métricas que se utilizarán para determinar el plazo para completar la tarea y si se logró el resultado deseado. Los planes de acción se han ejecutado a nivel nacional (p. ej., la Autoridad de Seguridad Nacional, Plan de Acción para la Implementación del Concepto de Seguridad Cibernética de la República Eslovaca para 2015-2020) y a nivel regional (p. j., el Plan de Acción sobre Seguridad Cibernética y Delito Cibernético de CARICOM). 
  • La quinta fase (fase 5), supervisión y evaluación, busca determinar si el plan de acción está acorde con los objetivos de la estrategia de seguridad cibernética y evalúa la estrategia y el plan de acción para determinar si están actualizados, si cumplen con las necesidades de seguridad cibernética del país y si pueden lidiar con la evolución de los riesgos de seguridad cibernética. Si el plan de acción no cumple con los objetivos de la estrategia de seguridad cibernética, se harán cambios al plan. También se harán cambios en la estrategia en caso de que sea obsoleta o no se pueda aplicar a las amenazas de seguridad cibernéticas nuevas o emergentes.

¿Sabían que...?

Las nuevas tecnologías (p. ej., cadena de bloques, inteligencia artificial, computación cuántica) se mencionan en algunas estrategias cibernéticas nacionales (consulte, p. ej., la Estrategia Cibernética Nacional de los Estados Unidos y la Estrategia Cibernética Nacional del Reino Unido 2016-2021).

Imagen 2: Ciclo de vida de una estrategia nacional de ciberseguridad

 

Fuente: ITU. (2018). A Guide to Developing a National Cybersecurity Strategy , p. 17.

La Guía de buenas prácticas de la estrategia nacional de seguridad cibernética (2016) de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) incluye ejemplos de objetivos estratégicos y tareas que deben cumplirse para lograr estos objetivos y proporcionar orientación sobre cómo desarrollar una estrategia nacional de seguridad cibernética (págs. 14-21). La ENISA (2014) también enfatizó la necesidad de crear estrategias nacionales de seguridad cibernética basadas en evidencias mediante la realización de evaluaciones puntuales y periódicas de dichas estrategias (es decir, examinando los resultados basados en métricas de evaluación predefinidas) y utilizando los resultados de estas evaluaciones para modificar las estrategias y los planes de acción para la ejecución de las estrategias (págs. 9-10).  

Las estrategias nacionales de seguridad cibernética pueden incluirse en un solo documento o se pueden distribuir partes de la estrategia en diferentes instrumentos que cubran alguna faceta de la seguridad cibernética (UIT, s. f.). La Unión Internacional de Telecomunicaciones (UIT) tiene un repositorio de estrategias nacionales de seguridad cibernética que incluye políticas, planes y otros documentos nacionales relacionados con la seguridad cibernética (es decir, el Repositorio de Estrategias Nacionales de Seguridad Cibernética). Además, el Centro de Excelencia de Defensa Cibernética Cooperativa de la Organización del Tratado del Atlántico Norte (OTAN) alberga en su sitio web las estrategias de seguridad cibernética de los Estados Miembro y de los Estados no Miembro de la OTAN y documentos relacionados. Asimismo, la ENISA ha elaborado un mapa interactivo que incluye las estrategias nacionales de seguridad cibernética de los Estados Miembro de la Unión Europea y los objetivos de sus estrategias (p. ej., abordar el delito cibernético, establecer una capacidad de respuesta a los incidentes, participar en la cooperación internacional, establecer requisitos básicos de seguridad y establecer asociaciones entre el sector público y privado, entre otras).

 
Siguiente:  Cooperación internacional en asuntos de seguridad cibernética
Volver al inicio