América Latina puede no estar preparada para manejar los ataques cibernéticos

Kaufman Rossin | Diario Las Americas | September 2, 2016

El Banco Interamericano de Desarrollo (BID) y la Organización de los Estados Americanos (OEA), con el apoyo de la Universidad de Oxford, realizaron un estudio en la región para analizar el estado de preparación frente a ciberataques. El reporte “Ciberseguridad, ¿estamos preparados en América Latina y el Caribe?” muestra un aumento en la conciencia con respecto a ciberseguridad en la región, sin embargo, resulta aún insuficiente ya que como indica el reporte, “muchos países del área son vulnerables a ataques cibernéticos potencialmente devastadores”.

El reporte fue elaborado utilizando información suministrada por los 32 países pertenecientes a la OEA, basado en 49 indicadores que describen el estado de madurez en 5 dimensiones: políticas y estrategia (6 indicadores), cultura y sociedad (9 indicadores), educación (5 indicadores), marco jurídico (8 indicadores), y tecnologías (21 indicadores). El reporte se basa en el “Modelo de Madurez de Capacidad de Seguridad Cibernética” (CMM por sus siglas en inglés) y contiene cinco etapas de madurez: inicial (1), formativo (2), establecido (3), estratégico (4), y dinámico (5).

Basado en estos resultados se puede concluir que el nivel de maduración en América Latina y el Caribe (ALC) para ciberataques se encuentra en promedio en un nivel “inicial” en la dimensión de política y estrategia, “formativa” en la dimensión de marcos legales (dimensión más avanzado en promedio en la región), y entre “inicial” y “formativa” en las otras tres dimensiones (cultura y sociedad, educación y tecnología). El reporte define “inicial” como “en este nivel, o nada existe, o es de naturaleza muy embrionaria. También incluye un pensamiento o una observación acerca de un problema, pero no una acción” y “formativa” como “algunas características del sub-factor han comenzado a crecer y ser formuladas, pero pueden ser casuales, desorganizadas, mal definidas o simplemente “nuevas.””

En 26 países (81%) la capacitación de empleados en seguridad cibernética se encuentra en un nivel de maduración formativo, lo cual significa poca transferencia de conocimientos y uso informal de herramientas. En 25 países (78%) la mentalidad de la seguridad cibernética en la sociedad se encuentra en un nivel de maduración inicial lo cual significa que “la sociedad desconoce las amenazas cibernéticas y no puede tomar medidas concretas de seguridad cibernética o la sociedad es consciente de las amenazas cibernéticas, pero no toma medidas proactivas para mejorar su seguridad cibernética”.

Sin embargo, en el reporte también se menciona que existen países con indicadores con un nivel de maduración “dinámico” como por ejemplo, Uruguay, en las dimensiones de cultura y sociedad, educación y tecnologías; y República Dominicana en la dimensión de marcos legales.

El reporte define “dinámico” como que “existen mecanismos claros para alterar la estrategia en función de las circunstancias imperantes (la toma de decisiones rápida, la reasignación de los recursos y la atención constante a los cambios del entorno son las características de este nivel)”. También hay países como Argentina, Brasil, México, Chile, y Trinidad y Tobago con indicadores con un nivel de maduración “estratégico” (según el reporte estratégico no significa importante; más bien, se trata de una selección. Al nivel nacional se han elegido las partes del sub-factor que son clave, así como aquellas que son menos importantes para la organización/país en particular. Estas elecciones toman en consideración un resultado esperado, una vez implementado, que contiene circunstancias particulares y otros objetivos nacionales existentes).

Se puede concluir del reporte qué tres áreas necesitan ser desarrolladas en ALC para alcanzar un nivel de maduración más elevado. Primero, promover el intercambio de información entre países y entre el sector público y el privado. Segundo, mejorar la capacidad de la mayoría de los países para responder ante amenazas y ataques cibernéticos. Finalmente, desarrollar mejoras en el marco legal para enjuiciar los delitos cibernéticos.