Estados Unidos, Reino Unido y Estonia son los países más ciberseguros del orbe, según el Índice Global de Ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones (UIT). ¿Qué podemos aprender de ellos?
El hackeo a la Secretaría de la Defensa Nacional (Sedena) por los ciberactivistas Guacamaya es demasiado grave como para limitar el debate en descalificaciones al gobierno de la 4T y las instituciones por no darle importancia a un tema que lo amerita por sí mismo.
México se ubica en la posición 52 del índice de la UIT y tiene un caos normativo, institucional y de coordinación en la materia que busca ser resuelto a través de una Ley Federal de Ciberseguridad. Antes de ello, México no ha definido cómo abordar su enfoque en ciberseguridad, por lo que debería abrir el debate a todas las partes interesadas antes de imponer una legislación.
El hackeo a la Sedena debe servir y ser una lección para fortalecer la ciberseguridad en el país.
El rápido desarrollo de las tecnologías digitales ha contribuido al avance de la economía, la competitividad, el bienestar de la población y la mejora de los servicios públicos. Pero a mayor conectividad y dependencia de Internet, surgen nuevos desafíos, uno de ellos la ciberseguridad.
Estados Unidos aborda la ciberseguridad a través de estatutos, regulaciones y, sobre todo, requisitos a la industria privada. La Ley de Intercambio de Información sobre Ciberseguridad (CISA) permite el intercambio de información de tráfico de Internet entre el gobierno federal y las empresas de tecnología.
A nivel federal, numerosas agencias imponen estándares de ciberseguridad. El objetivo es que las organizaciones de atención médica, las instituciones financieras y las dependencias federales protejan sus sistemas e información.
Un aspecto interesante de EE.UU. son sus leyes locales. Los gobiernos estatales han tomado medidas para mejorar la seguridad cibernética después de diversos incidentes, mediante el intercambio de información público-privada.
En California, las empresas que procesan datos personales de ciudadanos que sufran una violación a su privacidad, deben notificar el ataque y revelar los detalles del evento. La regulación local castiga a las empresas por fallos de seguridad cibernética. Las compañías invierten proactivamente en ciberseguridad para evitar la pérdida de reputación y económica.
Reino Unido no tiene una sino numerosas leyes sobre aspectos cibernéticos basadas en estatutos y respaldadas por acciones civiles en el derecho consuetudinario (costumbres, prácticas y creencias aceptadas como normas obligatorias de la comunidad).
Destacan la Ley de Protección de Datos y el Reglamento de Privacidad y Comunicaciones Electrónicas para los proveedores de servicios de telecomunicaciones. Existen sanciones relevantes tanto para los directivos negligentes, el incumplimiento y la falta de medidas de seguridad adecuadas para proteger los datos personales.
Las normativas de ciberseguridad obligan a todas las empresas y organizaciones que procesan datos de los habitantes. La legislación adopta un enfoque basado en el riesgo y la cooperación entre la autoridad y el sector privado.
El gobierno aborda dicho riesgo mediante un Centro Nacional de Seguridad Cibernética (NCSC) que debe proteger los servicios críticos, gestionar incidentes importantes y mejorar la seguridad con tecnología y asesoramiento.
El NCSC diseña una Estrategia Nacional de Seguridad Cibernética de cinco años para educar, desarrollar habilidades digitales, crear conciencia, ayudar a las pequeñas empresas y organizaciones, mejorar las salvaguardas de ciberseguridad, defenderse, disuadir, mitigar los riesgos y efectos de los ataques y desarrollar la defensa cibernética.
La Estrategia Nacional de Seguridad Cibernética 2017-2021 contó con un presupuesto de 1,900 millones de libras esterlinas, más del doble que la primera estrategia (2011-2016). El NCSC recién publicó la tercera generación de la Estrategia Nacional de Seguridad Cibernética.
Estonia aborda la ciberseguridad como parte de una seguridad integral, en el contexto de la Organización del Tratado del Atlántico Norte (OTAN) y la seguridad nacional. El Centro de Excelencia Cooperativa de Defensa Cibernética de la OTAN se ubica en Tallin, capital de Estonia.
Estonia adoptó la tecnología, Internet y la innovación como parte de su proyecto de nación. Cuenta con una identificación e identidad digital para cada ciudadano que permite el acceso a los servicios públicos en línea. Por lo tanto, invierte dinero y recursos para garantizar la resistencia de sus redes.
Comprende la naturaleza global de las amenazas en el ciberespacio y la necesidad de una acción internacional y multilateral coordinada. Estonia es un modelo a seguir internacionalmente y su estrategia consiste en construir normas internacionales de ciberseguridad, reglas de comportamiento en el ciberespacio, promueve la cooperación internacional en ciberseguridad con aliados y socios tecnológicos, legislativos y diplomáticos. Busca aplicar el derecho internacional a los conflictos y la guerra cibernética.
Estonia tiene tanto una Estrategia Nacional de Seguridad Cibernética como una Ley de Ciberseguridad, además de un Departamento de Diplomacia Cibernética ubicado en el Ministerio de Relaciones Exteriores.
El enfoque de Estonia es diplomacia cibernética, cooperación internacional, intercambio, inversión, emprendimiento legal e innovación.
Estos tres países han asumido la ciberseguridad como un asunto serio, estratégico y de seguridad nacional. Hoy son líderes en ciberseguridad porque en su momento supieron reaccionar después de ciberataques graves a sus instituciones e infraestructuras. Cada uno tiene enfoques diferentes, por lo que México debe realizar un diagnóstico certero sobre qué quiere proteger en el ciberespacio y cuál es su enfoque en ciberseguridad.
