Documentos de Académico
Documentos de Profesional
Documentos de Cultura
en polticas y prcticas
de ciberseguridad
Panorama general de Estonia, Israel,
Repblica de Corea y Estados Unidos
Autor:
James Andrew Lewis
Instituciones para el
Desarrollo
Divisin de Capacidad
Institucional del Estado
DOCUMENTO PARA
DISCUSIN N
IDB-DP-457
Editores:
Miguel Angel Porra
Ana Catalina Garca de Alba Daz
Julio de 2016
Experiencias
Experienciasavanzadas
avanzadas
Experiencias
Experienciasavanzadas
avanzadas
en
en
polticas
polticas
y
y
prcticas
prcticas
en
enpolticas
polticasyyprcticas
prcticas
de
deciberseguridad
ciberseguridad
de
deciberseguridad
ciberseguridad
Panorama
Panoramageneral
generalde
deEstonia,
Estonia,Israel,
Israel,
Panorama
general
de
Estonia,
Israel,
Panorama
general
de
Estonia,
Israel,
Panorama
general
de
Estonia,
Israel,
Repblica
Repblica
de
de
Corea
Corea
y
y
Estados
Estados
Unidos
Unidos
Repblica
de
Corea
y
Estados
Unidos
Repblica
Repblica de
de Corea
Corea y
y Estados
Estados Unidos
Unidos
Autor:
Autor:
Autor:
Autor:
Autor:
James
JamesAndrew
AndrewLewis
Lewis
James
Andrew
Lewis
James
Andrew
James Andrew Lewis
Lewis
Editores:
Editores:
Editores:
Editores:
Editores:
Miguel
MiguelAngel
AngelPorra
Porra
Miguel
Angel
Porra
Miguel
Angel
Porra
Miguel
AngelGarca
Porra
Ana
AnaCatalina
Catalina
Garca
de
deAlba
AlbaDaz
Daz
Ana
Catalina
Garca
de
Alba
Daz
Ana
Catalina
Garca
de
Alba
Ana Catalina Garca de Alba Daz
Daz
Julio
Juliode
de2016
2016
Julio
de
2016
Julio
Julio de
de 2016
2016
http://www.iadb.org
Copyright 2016 Banco Interamericano de Desarrollo. Esta obra se encuentra sujeta a una licencia Creative
Commons IGO 3.0 Reconocimiento-NoComercial-SinObrasDerivadas (CC-IGO 3.0 BY-NC-ND) (http://
creativecommons.org/licenses/by-nc-nd/3.0/igo/legalcode) y puede ser reproducida para cualquier uso nocomercial otorgando el reconocimiento respectivo al BID. No se permiten obras derivadas.
Cualquier disputa relacionada con el uso de las obras del BID que no pueda resolverse amistosamente se someter a
arbitraje de conformidad con las reglas de la CNUDMI (UNCITRAL). El uso del nombre del BID para cualquier fin
distinto al reconocimiento respectivo y el uso del logotipo del BID, no estn autorizados por esta licencia CC-IGO y
requieren de un acuerdo de licencia adicional.
Note que el enlace URL incluye trminos y condiciones adicionales de esta licencia.
Las opiniones expresadas en esta publicacin son de los autores y no necesariamente reflejan el punto de vista del
Banco Interamericano de Desarrollo, de su Directorio Ejecutivo ni de los pases que representa.
OBSERVATORIO DE LA
CIBERSEGURIDAD
Experiencias avanzadas
en polticas y prcticas
de ciberseguridad
Panorama general de Estonia, Israel,
Repblica de Corea y Estados Unidos
Resumen
El acceso a Internet provoca un aumento de la productividad, del ingreso nacional y del empleo,
y el acceso a la informacin cataliza el crecimiento. Sin embargo, estas oportunidades tambin
conllevan ciertos riesgos. Las tecnologas digitales no estn maduras y delincuentes y adversarios
pueden aprovecharse de ellas fcilmente. Este documento de debate analiza la experiencia de cuatro
de los pases ms avanzados en seguridad ciberntica Estonia, Israel, Repblica de Corea y
Estados Unidos, y permitir conocer la forma en que han abordado el problema y las lecciones
que pueden extraerse de su experiencia. A fin de ofrecer una evaluacin estructurada, el Centro de
Estudios Estratgicos e Internacionales (CSIS) bajo la direccin de James A. Lewis ha basado la
presente revisin en el Modelo de Madurez de Capacidad de Seguridad Ciberntica (CMM), aplicado
originalmente en el Informe Ciberseguridad 2016: Estamos preparados en Amrica Latina y el
Caribe? El CMM toma en cuenta las consideraciones de seguridad ciberntica a travs de cinco
dimensiones de capacidad y las evala atendiendo a cinco etapas de madurez para cada uno de sus
49 indicadores. Este documento complementar el Informe Ciberseguridad 2016, proporcionando
una visin general de las experiencias de estos destacados pases, y describir cmo han abordado
la cuestin de la seguridad ciberntica y cmo han evolucionado sus polticas. Por otro lado, servir
de gua para otros pases a medida que vayan desarrollando sus propias estrategias nacionales de
ciberseguridad.
Cdigos JEL: F52, O33, O38F52 O33 O38
Palabras clave: ciberseguridad, estrategia ciberntica, infraestructura crtica nacional, defensa
ciberntica, confianza en el uso de Internet, marcos jurdicos, respuesta a incidentes, redundancia
digital, resiliencia, delincuencia ciberntica
Tabla de contenidos
Resumen ejecutivo........................................................................................................... 5
Introduccin...................................................................................................................... 8
Repblica de Estonia..................................................................................................... 10
Principales desafos de ciberseguridad........................................................................................10
Poltica y estrategia de ciberseguridad........................................................................................12
Cultura ciberntica y sociedad.....................................................................................................13
Educacin, formacin y competencias en seguridad ciberntica.................................................15
Marco jurdico y reglamentario.....................................................................................................17
Normas, organizaciones y tecnologas........................................................................................18
Estado de Israel.............................................................................................................. 22
Principales desafos de ciberseguridad........................................................................................22
Poltica y estrategia de ciberseguridad........................................................................................24
Cultura ciberntica y sociedad.....................................................................................................26
Educacin, formacin y competencias en seguridad ciberntica.................................................27
Marco jurdico y reglamentario.....................................................................................................29
Normas, organizaciones y tecnologas........................................................................................30
Repblica de Corea........................................................................................................ 36
Principales desafos de ciberseguridad .......................................................................................36
Poltica y estrategia de ciberseguridad........................................................................................38
Cultura ciberntica y sociedad.....................................................................................................39
Educacin, formacin y competencias en seguridad ciberntica.................................................40
Marco jurdico y reglamentario.....................................................................................................41
Normas, organizaciones y tecnologas........................................................................................43
OBSERVATORY
CYBERSECURITY
Estados Unidos.............................................................................................................. 46
Principales desafos de ciberseguridad........................................................................................46
Poltica y estrategia de ciberseguridad........................................................................................48
Cultura ciberntica y sociedad.....................................................................................................49
Educacin, formacin y competencias en seguridad ciberntica.................................................50
Marco jurdico y reglamentario.....................................................................................................52
Normas, organizaciones y tecnologas........................................................................................55
Conclusiones.................................................................................................................. 59
El set de datos puede ser descargado en formato abierto en: https://mydata.iadb.org/idb/
dataset/a9yc-jpsa.
Resumen ejecutivo
El acceso a Internet y a la banda ancha provoca un aumento de la productividad, del ingreso nacional
y del empleo, y el acceso a la informacin cataliza el crecimiento. Sin embargo, estas oportunidades
tambin conllevan ciertos riesgos. Las tecnologas digitales no estn maduras y delincuentes y
adversarios pueden aprovecharse de ellas fcilmente. As, las polticas pblicas deben lograr que
los pases gestionen el riesgo sin sacrificar la oportunidad. Este estudio se centra en la experiencia de
cuatro de los pases ms avanzados en seguridad ciberntica Estonia, Israel, Repblica de Corea
y Estados Unidos para conocer de qu forma han abordado esta cuestin. Todos ellos han logrado
avances significativos en ciberseguridad y su experiencia puede ofrecer lecciones tiles.
Pese a las grandes diferencias de tamao y riqueza, estos pases presentan puntos en comn. Sus
polticas de ciberseguridad son avanzadas porque no tardaron en aprovechar las oportunidades
econmicas derivadas de Internet y de la banda ancha. A su vez, todos se enfrentan a riesgos
significativos. Esta combinacin hace que la ciberseguridad sea esencial para ellos. La mayora de
los pases no se enfrenta a amenazas similares, pero a medida que los servicios de Internet y de
banda ancha se han ido convirtiendo en algo esencial para las economas nacionales, la necesidad
de mejorar la ciberseguridad se ha vuelto algo no menos esencial.
Con el objetivo de ofrecer una evaluacin estructurada, hemos basado nuestro anlisis en el Modelo
de Madurez de Capacidad de Seguridad Ciberntica (CMM), desarrollado conjuntamente por la
Organizacin de los Estados Americanos, el Banco Interamericano de Desarrollo y la Universidad de
Oxford. Los modelos de madurez de la capacidad tienen muchas aplicaciones en el mundo empresarial
y en la investigacin. Lo que hacen es evaluar las capacidades en una escala de complejidad,
exhaustividad y sofisticacin de los esfuerzos nacionales. Estas dimensiones cubren desde los
esfuerzos iniciales, que tienden a ser reactivos y ad hoc, hasta los esfuerzos estratgicos y dinmicos,
cuando los gobiernos ya han tomado decisiones en relacin con polticas y asignacin de recursos.
Este CMM utiliza cinco niveles de madurez: inicial, formativo, establecido, estratgico y dinmico.1
Cada nivel indica un mayor grado de sofisticacin y capacidad. De esta forma, el modelo proporciona
un amplio conjunto de factores para medir la madurez de los esfuerzos en materia de ciberseguridad.
Para mejorar la ciberseguridad es necesario crear estrategias, reglas e instituciones a fin de lograr que
el ciberespacio sea un lugar ms estable y seguro, de manera que permita el crecimiento econmico y la
maximizacin de los beneficios de las tecnologas de la informacin. El modelo de madurez se fija en cinco
categoras de actividad: (i) Polticas y estrategia nacional de seguridad ciberntica; (ii) Cultura ciberntica
y sociedad; (iii) Educacin, formacin y competencias en seguridad ciberntica; (iv) Marco jurdico y
reglamentario, y (v) Normas, organizaciones y tecnologas. Aunque todas son importantes, los gobiernos
tendrn que establecer prioridades. Algunas mejores prcticas recomendadas pueden alcanzarse a
corto plazo, mientras que para otras se necesitaran aos. Los cuatro pases fueron capaces de crear
una estrategia de ciberseguridad en cuestin de meses; sin embargo, pese a aos de esfuerzo, siguen
haciendo frente a dificultades relacionadas con la mano de obra, la cultura y las normas cibernticas.
OBSERVATORIO DE LA
CIBERSEGURIDAD
Tres de los pases (Estados Unidos, Israel y Repblica de Corea) tienen sectores muy dinmicos y
competitivos en tecnologa de la informacin (TI) que producen bienes y servicios para el mercado
mundial. Esto resulta til pero no esencial para contar con una mejor ciberseguridad nacional. Los
productos y servicios de ciberseguridad estn ampliamente disponibles en el mercado mundial; los
pases pueden comprar lo que necesitan. En cuanto a la tecnologa, el nfasis debe estar en lograr
comprender lo que la tecnologa de punta supone para la ciberseguridad y en poner en marcha los
procesos para alcanzarla. Estonia ha demostrado que es posible alcanzar un nivel excelente de
ciberseguridad sin contar con una destacada industria nacional de TI. Es importante destacar que las
empresas en Israel y Estados Unidos no son empresas de vanguardia directamente subvencionadas por
el gobierno, lo cual introduce aspectos emprendedores e innovadores en el comportamiento empresarial.
Las empresas se mueven en la direccin del mercado, apoyadas por el gobierno, no al revs. Los
pases pueden verse tentados a adoptar polticas para crear su propia industria de ciberseguridad,
pero eso puede resultar contraproducente si el resultado es depender de productos nacionales que no
sean competitivos a nivel mundial y, por tanto, que tengan menor capacidad de proteccin.
La estrategia, las normas y la organizacin son necesidades urgentes, y se pueden lograr resultados
inmediatos. Otras cuestiones por ejemplo, mano de obra, educacin y cultura son igualmente
importantes, pero se requerirn esfuerzos largos y sostenidos para avanzar. Todos los pases
estudiados tienen dificultades en relacin con la mano de obra: los expertos en ciberseguridad
escasean a nivel mundial. Los cuatro pases tienen programas para ampliar su mano de obra en el
mbito ciberntico, generalmente en colaboracin con las universidades y el sector privado.
Todos los pases han hecho hincapi en el desarrollo de una cultura de ciberseguridad. Los mejores
utilizan programas ya desde la escuela primaria y secundaria para inculcar buenos hbitos cibernticos.
Otros recurren a campaas de concienciacin, aunque estas parecen obtener resultados desiguales.
Los cuatro pases han recurrido a la cooperacin internacional para fomentar la confianza, compartir
las mejores prcticas e informacin y facilitar las iniciativas internacionales para construir un entorno
ciberntico estable. La cooperacin incluye desde actividades entre Equipos de Respuesta a
Emergencias Informticas (CERT) hasta actividades diplomticas de alto nivel; sin embargo, es
esencial y permite el acceso de los pases a recursos externos tcnicos y de informacin. Los cuatro
pases se han apoyado en alianzas para reforzar sus defensas cibernticas, y Estonia, el ms pequeo
de ellos, ha sido el ms activo a nivel internacional.
La ciberseguridad sigue siendo un mbito en constante evolucin tanto en trminos de las polticas
como de la prctica. Todos los pases estn en el segundo o tercer ciclo de su enfoque nacional. Las
mejores prcticas siguen evolucionando, guiadas por la experiencia, los nuevos retos y una mayor
comprensin entre los responsables de formular las polticas.
Si se tiene en cuenta lo anterior, las experiencias de estos pases suponen una gua til para otros pases
que irn desarrollando sus propios enfoques nacionales sobre ciberseguridad. Estas breves evaluaciones
describen de qu manera los principales pases han abordado el problema de la ciberseguridad y cmo
han evolucionado sus enfoques. Todos comparten el objetivo de gestionar el riesgo ciberntico a fin de
maximizar los beneficios del ciberespacio para sus ciudadanos y sus empresas.
Notas
1.
OBSERVATORY
CYBERSECURITY
Introduccin
Los modelos de madurez evalan las capacidades en una escala de complejidad, exhaustividad y
sofisticacin de los esfuerzos nacionales. Estos cubren desde los esfuerzos iniciales, que tienden a
ser reactivos y ad hoc, hasta los esfuerzos estratgicos y dinmicos, cuando los gobiernos ya han
tomado decisiones en relacin con polticas y asignacin de recursos. Estas decisiones pueden
modificarse si las circunstancias cambian. El CMM utiliza cinco niveles de madurez: inicial, formativo,
establecido, estratgico y dinmico.1 Cada nivel indica un grado de sofisticacin y capacidad. El nivel
ms bajo implica un nivel de capacidad ad hoc, mientras que el ms alto indica un enfoque dinmico,
capaz de responder rpidamente a nuevas exigencias.
Para decidir en qu nivel se encuadra un pas hay que identificar las acciones concretas que haya
adoptado y los atributos de los que goza. En el caso del desarrollo del mercado de la ciberseguridad,
por ejemplo, el CMM indica el nivel de madurez mediante una escala progresiva de indicadores,
que oscila entre tener acceso escaso o nulo a la tecnologa y producir tecnologa de la informacin
para el mercado mundial. Cada categora tiene indicadores especficos que se pueden utilizar para
evaluar la madurez.2
En los cuatro pases de referencia, el desarrollo de los esfuerzos nacionales en trminos de
ciberseguridad se dio de manera progresiva, y empez a partir de legislacin e instituciones existentes
y fue modificndose o amplindose con el tiempo segn las necesidades mediante la creacin
de nuevas polticas, reglamentos, leyes e instituciones. Cabe destacar que los pases continan
modificando y ajustando el enfoque nacional sobre ciberseguridad en funcin de la experiencia.
Una evaluacin de los cuatro pases analizados sugiere que todos se encuentran en algn punto
entre el nivel estratgico y el dinmico en cuanto a sus capacidades de seguridad ciberntica.
Ninguno es completamente dinmico. En muchos aspectos lo anterior refleja la lentitud de los procesos
democrticos para modificar leyes o crear nuevas organizaciones; sin embargo, todos han tenido en
cuenta los requisitos en materia de ciberseguridad nacional y han tomado decisiones. En cambio, la
mayora de los pases de Amrica Latina y el Caribe estn en el nivel formativo. Por lo tanto, este
estudio se ofrece con la intencin de orientar los esfuerzos nacionales para mejorar la capacidad en
trminos de ciberseguridad.
Hay que recalcar que los cuatro pases examinados se enfrentan a serios adversarios militares en
el ciberespacio. Las amenazas a la seguridad nacional y pblica son un gran incentivo y explican
buena parte de la atencin que los cuatro pases dedican a la ciberseguridad. Afortunadamente, el
contexto de las amenazas es muy diferente en los pases de la regin, lo cual no significa que no
haya que actuar. Los gobiernos se arriesgan al ignorar la ciberseguridad; la falta de atencin daar
inevitablemente las perspectivas de desarrollo y crecimiento.
Notas
1.
2.
OBSERVATORIO DE LA
CIBERSEGURIDAD
.ee
Repblica de Estonia
Poltica y estrategia
Cultura y sociedad
Tras recuperar la independencia de la Unin Sovitica en 1991, Estonia tena recursos limitados para
satisfacer las altas expectativas en relacin con infraestructuras modernizadas y mejores servicios
pblicos. El vaco institucional que sigui a la independencia supuso una oportunidad nica para crear
tecnologas y prcticas innovadoras. Con la libertad de disear su propio gobierno, Estonia facilit la
pronta adopcin de tecnologas de la informacin y la comunicacin (TIC), y el gobierno adopt de
buena gana la prestacin de servicios por va electrnica. De los cuatro pases analizados en esta
publicacin, Estonia es el que ms se acerca a un enfoque dinmico respecto de la ciberseguridad.
Sus lderes polticos han hecho de la ciberseguridad un sello distintivo de la poltica exterior del pas.
Educacin
Marcos legales
Tecnologa
Hoy en da, 24 aos despus de la independencia, la proximidad geogrfica de Estonia a Rusia sigue
dominando sus consideraciones de seguridad tambin en el ciberespacio. Adoptada en 2008, la
primera estrategia de ciberseguridad de Estonia naci como respuesta a los ciberataques lanzados
en 2007,1 despus de que se desplazara del centro de Tallin a un suburbio lejano una gran estatua
de la era sovitica que representaba a un soldado ruso. Desde entonces, la fuerte economa digital
estonia y su proximidad a los centros de la ciberdelincuencia de Europa del Este la convirtieron en
blanco de robos y fraudes cibernticos. Estonia tambin utiliza las TIC para generar crecimiento
econmico, ya que incentiva a las empresas extranjeras a establecer una presencia digital en Estonia,
ofrecindoles el procesamiento en lnea de servicios administrativos gubernamentales, incluidas las
declaraciones de impuestos. La economa estonia en el mbito de Internet implica flujos de datos
transfronterizos, a menudo apoyndose en una infraestructura de TIC con sede fuera del pas. El
gobierno de Estonia hace un seguimiento de esas interdependencias de TIC para preparar sistemas
de copias de seguridad y redundancias en caso de una potencial interrupcin derivada de un ataque
ciberntico o un desastre natural.
1.314.545
2.062.864
Penetracin de Internet
84%
1.106.846
Fuente: Indicadores de Desarrollo del Banco Mundial (2014). Disponible en: http://databank.worldbank.org/data/reports.
aspx?source=2&country=USA&series=&period=.
10
Poltica y estrategia
Marcos legales
Desarrollo de la estrategia
Organizacin
Contenido
Defensa ciberntica
Estrategia
Investigacin jurdica
Organizacin
Cumplimiento de la ley
Coordinacin
La fiscala
Tribunales
Divulgacin responsable de la informacin
Cultura y sociedad
Tecnologas
Adhesin a las normas
Aplicacin de las normas y prcticas mnimas aceptables
Adquisiciones
Desarrollo de software
Organizaciones de coordinacin de seguridad ciberntica
Centro de mando y control
Capacidad de respuesta a incidentes
Respuesta a incidentes
Identificacin y designacin
Organizacin
Coordinacin
Resiliencia de la infraestructura nacional
Educacin
Disponibilidad nacional de la educacin
y formacin cibernticas
Educacin
Formacin
Desarrollo nacional de la educacin de seguridad ciberntica
Desarrollo nacional de la educacin de seguridad ciberntica
Formacin e iniciativas educativas pblicas y privadas
Capacitacin de empleados en seguridad ciberntica
Gobernanza corporativa, conocimiento y normas
Comprensin de la seguridad ciberntica
por parte de empresas privadas y estatales
Infraestructura tecnolgica
Resiliencia nacional
Proteccin de la Infraestructura Crtica Nacional (ICN)
Identificacin
Organizacin
Planeacin de respuesta
Coordinacin
Gestin de riesgos
Gestin de crisis
Planeacin
Evaluacin
Redundancia digital
Planeacin
Organizacin
Mercado de la ciberseguridad
Tecnologas de seguridad ciberntica
Seguros de delincuencia ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD
11
Repblica de Estonia
Estonia fue uno de los primeros pases en elaborar una estrategia nacional de ciberseguridad. El
gobierno actualiz en 2014 su estrategia de 2008, con una versin revisada que cubre el perodo
201417. La estrategia es el documento bsico de planificacin de la ciberseguridad y un elemento
de una estrategia ms amplia de seguridad nacional. La nueva estrategia se basa en su predecesora,
pero vuelve a evaluar su enfoque a la luz de los cambios en el entorno de las amenazas. La estrategia
estonia de ciberseguridad 201417 tiene varios objetivos, entre ellos:
12
Repblica de Estonia
http://www.eata.ee/wp-content/uploads/2009/11/
Estonian_Cyber_Security_Strategy.pdf
https://www.mkm.ee/sites/default/files/cyber_
security_strategy_2014-2017_public_version.pdf
https://ccdcoe.org/multimedia/cyber-defenceunit-estonian-defence-league-legal-policy-andorganisational-analysis-0.html
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
13
Repblica de Estonia
de la identidad almacenados en la tarjeta dan acceso a los ciudadanos a sistemas de voto por Internet,
declaraciones de impuestos en lnea, recetas electrnicas e historiales mdicos en lnea.6 La tarjeta
de identificacin sirve tambin como soporte para los billetes electrnicos del transporte pblico. Con
la implementacin del programa de residencia electrnica de Estonia ahora cualquier persona del
mundo puede firmar documentos en lnea, crear una empresa en Estonia por Internet, administrarla
a distancia y hacer la declaracin de la renta por Internet.7
Estonia fue uno de los primeros pases que implant el voto por Internet, en las elecciones
parlamentarias de 2007. Las tasas de participacin no han dejado de crecer en los ltimos aos,
alcanzando el mximo histrico de 30,5% de personas que votaron en lnea en 2015.8 La votacin
por Internet se ha convertido en una medida que muestra el grado de confianza que los ciudadanos
depositan en la ciberseguridad.9
Estonia cuenta con iniciativas del sector privado apoyadas por el gobierno para avanzar en sus
proyectos de ciberseguridad. Las campaas de concienciacin y los cursos de formacin organizados
por la Fundacin Look@theWorld una red de apoyo creada por proveedores de servicios estonios
y de otros pases han sido un factor clave en la promocin del uso seguro de los dispositivos de
TIC. Como parte de su proyecto de seguridad informtica de 2009, 400.000 personas10 recibieron
capacitacin sobre cmo protegerse contra los robos de identidad.11 En 2014 se puso en marcha una
iniciativa de seguimiento con objetivos de formacin similares para los usuarios de dispositivos mviles
inteligentes y firmas digitales.12 El objetivo es llegar a 300.000 personas en 2017, lo que representa
aproximadamente 70% de usuarios de dispositivos mviles inteligentes del pas. Segn la encuesta
sobre ciberseguridad de 2015 que realiza la Comisin Europea, 47% de los encuestados estonios
dijeron que se sentan bien informados acerca de los riesgos de la ciberdelincuencia.13
Junto con otros 26 pases, Estonia forma parte de la Coalicin para la Libertad de Expresin en Internet
(Freedom Online Coalition), que aboga por la libertad de expresin, de asociacin, de reunin y la
privacidad en lnea. Esta coalicin coordina posiciones nacionales y declaraciones conjuntas.14 El
ejercicio sin restricciones de estas libertades ha servido de inspiracin para muchos de los servicios
electrnicos que proporciona el gobierno de Estonia.
14
http://www.vaatamaailma.ee/en
http://www.vaatamaailma.ee/en/nutikaitse
Repblica de Estonia
https://www.ria.ee/public/x_tee/xRoadOverview.pdf
http://www.legaltext.ee/et/andmebaas/tekst.asp?
loc=text&dok=XXXX041K1&keel=en&pg=
1&ptyyp=RT&tyyp=X&query=isikuandmete+kaitse+
seadus
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
15
Repblica de Estonia
de Gobernanza Electrnica (EGA),18 que trabaja para compartir la experiencia de este pas en el
desarrollo del gobierno electrnico, la democracia electrnica y los sistemas educativos para las TIC.
Pese a estas iniciativas, a Estonia le falta mano de obra en el mbito ciberntico. Un estudio encargado
por la Comisin Europea sobre las condiciones del mercado laboral de las TIC estima que la fuerza
de trabajo del pas en el sector de las TIC ascender a 24.000 personas en 2015 (frente a las 23.000
de 2012).19 A pesar del crecimiento constante de las cifras desde 2001, la escasez general de los
profesionales de TIC en relacin con la demanda ha dado lugar a un considerable aumento de los
salarios. Muchos estudiantes dejan sus estudios para aceptar empleos bien remunerados en el
sector privado.
http://www.hitsa.ee/it-education/
educational-programmes
http://ec.europa.eu/DocsRoom/documents/4568/
attachments/1/translations/en/renditions/native
http://www.hitsa.ee/about-us/news/article-2
http://www.ega.ee/
16
Repblica de Estonia
INICIAL
DINMICO
FORMATIVO
ESTABLECIDO
ESTABLECIDO
Despus de 2007, las autoridades de Estonia decidieron que las disposiciones sobre delitos
informticos del Cdigo Penal nacional eran insuficientes para hacer frente a las acciones cibernticas
coordinadas que no buscan claramente un beneficio econmico. Desde entonces una serie de
enmiendas al Cdigo Penal estonio han ampliado el espectro de hechos punibles.
En concreto, el Parlamento de Estonia ha ampliado la cobertura a la alteracin, eliminacin, dao o
bloqueo de datos ejecutados de manera ilegal; a la interferencia u obstaculizacin del funcionamiento
de los sistemas informticos; a la difusin de herramientas maliciosas; a la preparacin de delitos
informticos y al uso ilegal de los sistemas informticos, estableciendo en el cdigo penas mximas
significativamente mayores para las operaciones dirigidas contra servicios o infraestructuras vitales.25
Adems, otros cambios en el cdigo penal han ampliado el alcance de los actos de terrorismo, que
incluyen interferir con datos informticos o impedir el funcionamiento de los sistemas informticos,
as como amenazar con realizar tales actos, si se cometen con el propsito de obligar al Estado o
una organizacin internacional a una accin u omisin, o interferir de manera grave en la estructura
poltica, constitucional, econmica o social del Estado o destruirla, o interferir de manera grave
en el funcionamiento de una organizacin internacional o destruirla, o aterrorizar gravemente a la
poblacin.26
OBSERVATORIO DE LA
CIBERSEGURIDAD
17
Repblica de Estonia
https://www.ria.ee/public/KIIK/Security_measures_
for_information_systems_of_vital_services_and_
related_information_assets.pdf.
https://www.riigiteataja.ee/en/eli/522012015002/
consolide
http://www.prokuratuur.ee/en
https://www.ria.ee/en/
18
Repblica de Estonia
https://www.ria.ee/public/ISKE/ISKE_english_2012.
pdf
https://www.mkm.ee/sites/default/files/cyber_
security_strategy_2014-2017_public_version.pdf
D53Respuesta a incidentes
El Equipo de Respuesta ante Emergencias
Cibernticas d
e Estonia (CERT-EE), que opera bajo
la direccin de la RIA, gestiona la respuesta a los
incidentes cibernticos. La RIA vigila directamente
los sistemas de informacin que subyacen a los
servicios vitales y las infraestructuras crticas.
https://www.ria.ee/cert-estonia/
OBSERVATORIO DE LA
CIBERSEGURIDAD
19
Repblica de Estonia
https://www.mkm.ee/sites/default/files/cyber_
security_strategy_2014-2017_public_version.pdf
https://www.ria.ee/cert-estonia/.
https://www.mkm.ee/sites/default/files/
implementation_of_the_virtual_data_embassy_
solution_summary_report.pdf
https://e-estonia.com/e-residents/about/
http://euskillspanorama.cedefop.europa.eu/
App_Controls/Documents/ShowDocument.
aspx?documentid=127&
Notas
1.
20
2.
3.
4.
5.
6.
7.
8.
9.
19.
20.
21.
22.
23.
24.
10.
11.
12.
25.
13.
26.
27.
28.
29.
30.
31.
14.
15.
16.
17.
Repblica de Estonia
ccdcoe.org/multimedia/cyber-defence-unit-estonian-defenceleague-legal-policy-and-organisational-analysis-0.html).
OBSERVATORIO DE LA
CIBERSEGURIDAD
21
.il
Poltica y estrategia
Cultura y sociedad
Educacin
Estado de Israel
Principales desafos de ciberseguridad
El aparato de defensa ciberntica de Israel es uno de los mejores del mundo. Un estudio comparativo
de 23 pases desarrollados situ a Israel como el mejor en defensa ciberntica, junto con Suecia y
Finlandia.1 Pese a ello, tanto las estrategias como la organizacin siguen evolucionando en el pas.
Cada da, grupos hostiles a nivel estatal y no estatal ponen a prueba las defensas cibernticas. Los
rganos gubernamentales y las infraestructuras crticas en particular el sector elctrico reciben
ataques con regularidad.
Las polticas de ciberseguridad de Israel han ido cambiando en respuesta a una mayor dependencia
del ciberespacio para actividades polticas, militares y econmicas, lo que significa que, sin una
ciberseguridad adecuada, un adversario determinado podra frustrar objetivos estratgicos clave sin
enfrentarse a Israel con un ejrcito convencional. Israel resolvi que las estructuras organizativas
civiles y militares, las responsabilidades y la normativa para proteger los sistemas informatizados
que estaban muy compartimentadas eran insuficientes para permitir una defensa integral en el
ciberespacio.2
Marcos legales
Tecnologa
8.215.700
9.982.075
Penetracin de Internet
71%
5.874.225
Fuente: Indicadores de Desarrollo del Banco Mundial (2014). Disponible en: http://databank.worldbank.org/data/reports.
aspx?source=2&country=USA&series=&period=.
22
Poltica y estrategia
Marcos legales
Desarrollo de la estrategia
Organizacin
Contenido
Defensa ciberntica
Estrategia
Investigacin jurdica
Organizacin
Cumplimiento de la ley
Coordinacin
La fiscala
Tribunales
Divulgacin responsable de la informacin
Cultura y sociedad
Tecnologas
Adhesin a las normas
Aplicacin de las normas y prcticas mnimas aceptables
Adquisiciones
Desarrollo de software
Organizaciones de coordinacin de seguridad ciberntica
Centro de mando y control
Capacidad de respuesta a incidentes
Respuesta a incidentes
Identificacin y designacin
Organizacin
Coordinacin
Resiliencia de la infraestructura nacional
Educacin
Disponibilidad nacional de la educacin
y formacin cibernticas
Educacin
Formacin
Desarrollo nacional de la educacin de seguridad ciberntica
Desarrollo nacional de la educacin de seguridad ciberntica
Formacin e iniciativas educativas pblicas y privadas
Capacitacin de empleados en seguridad ciberntica
Gobernanza corporativa, conocimiento y normas
Comprensin de la seguridad ciberntica
por parte de empresas privadas y estatales
Infraestructura tecnolgica
Resiliencia nacional
Proteccin de la Infraestructura Crtica Nacional (ICN)
Identificacin
Organizacin
Planeacin de respuesta
Coordinacin
Gestin de riesgos
Gestin de crisis
Planeacin
Evaluacin
Redundancia digital
Planeacin
Organizacin
Mercado de la ciberseguridad
Tecnologas de seguridad ciberntica
Seguros de delincuencia ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD
23
Estado de Israel
Israel fue uno de los primeros pases del mundo que reconoci la importancia de la defensa de sus
sistemas informticos crticos. En 1997, se puso en marcha el proyecto de gobierno electrnico
israel, denominado Tehila, con el objetivo de proteger la conexin de las oficinas gubernamentales
a Internet y ofrecer un alojamiento seguro para los sitios web del gobierno. Tehila tiene como objetivo
mejorar la interaccin en lnea entre el gobierno y los ciudadanos. Tiene la doble funcin de servir
como proveedor de servicios de Internet (ISP) para los ministerios y de alojar sitios web y servicios del
gobierno. La infraestructura de Tehila ha resistido ataques de DDoS, algunos de mayor envergadura
que el de 2007 contra Estonia.3
En 2002, se aprob la Resolucin 84/B del Comit Ministerial de Seguridad Nacional sobre la
responsabilidad de proteger los sistemas informticos en el Estado de Israel. La resolucin se convirti
en la poltica nacional de defensa ciberntica civil de facto, proporcionando el marco inicial para los
sistemas informticos crticos (CCS) a escala nacional.4 El marco tambin identific las reas de
responsabilidad para definir la infraestructura informtica crtica y crear la Autoridad Nacional de
Seguridad de la Informacin (NISA), que regula y asesora respecto de las infraestructuras crticas
en el campo de la seguridad de la informacin.
En 2010, debido al aumento de las amenazas en el mbito ciberntico, el Primer Ministro dirigi la
creacin de la Iniciativa Ciberntica Nacional, un grupo de trabajo para formular planes nacionales
con el objetivo de situar a Israel entre los cinco pases ms avanzados en el campo ciberntico.5 La
iniciativa, encabezada por el presidente del Consejo Nacional de Investigacin y Desarrollo, elabor
una estrategia de preparacin para el ciberespacio y de cooperacin entre sus componentes de
seguridad econmica, acadmica y nacional.
La Oficina Ciberntica Nacional de Israel (INCB), establecida en 2010, coordina los ejercicios
nacionales e internacionales. Tambin debe trazar un panorama general de todos los rganos de
inteligencia y definir el estado de la situacin nacional en materia de ciberseguridad. La INCB es
el resultado de los objetivos establecidos en la Iniciativa Ciberntica Nacional de 2010. Las siete
recomendaciones clave de esta iniciativa fueron:
24
1.
2.
3.
Crear un escudo protector en todo el Estado a partir de los productos de I+D nacional, y hacer
frente a los problemas de privacidad.
4.
5.
Implantar tecnologas nicas, desarrolladas a nivel nacional, y fomentar las adquisiciones locales.
7.
Estado de Israel
6.
2.
3.
Fomentar la cooperacin entre el mundo acadmico, la industria, el sector privado, los organismos
gubernamentales y el sector de la seguridad.
La INCB, que depende directamente del Primer Ministro, aport un nuevo nfasis interdisciplinario
a la direccin y al carcter de los debates y las capacidades de la poltica de ciberseguridad. Fue la
encargada de asesorar al Primer Ministro, al gobierno y a sus comits (con excepcin de los militares y
las relaciones exteriores) para consolidar, guiar y enriquecer las iniciativas y los esfuerzos del gobierno
en la elaboracin de la poltica ciberntica nacional. La INCB tambin proporciona estimaciones de
las amenazas cibernticas a nivel nacional, promueve esfuerzos de I+D y de la industria, aumenta
la conciencia pblica sobre las cuestiones de ciberseguridad y facilita la cooperacin nacional e
internacional en temas cibernticos.
La accin ms reciente fue la creacin de una Autoridad Nacional de Defensa Ciberntica en febrero
de 2015 en la Oficina del Primer Ministro, tras un ao de luchas burocrticas sobre quin habra de
ser el responsable del nuevo organismo. Finalmente, el Primer Ministro decidi no encargar esa
responsabilidad al servicio de seguridad nacional israel, el Shin Ben.6 Este ha sido tradicionalmente
el encargado de proteger frente a ataques cibernticos e intrusiones a los organismos estatales y
las infraestructuras crticas, tales como las instituciones financieras y las encargadas del agua y la
electricidad. Algunos consideraron que esta decisin supuso darle prioridad a la privacidad sobre los
intereses de seguridad.
La Autoridad Nacional de Defensa Ciberntica ser la responsable general de la defensa ciberntica.
Sus oficinas estn en Tel Aviv y Beerseba. Trabajar en colaboracin con la INCB, la cual seguir
definiendo la poltica nacional. La nueva autoridad y la oficina formarn una nica direccin nacional
ciberntica. A la INCB se le asign un presupuesto de ILS2.500 millones para los prximos cinco aos,
unos ILS500 millones anuales (US$130 millones).7 La Autoridad de Defensa Ciberntica desarrollar
una respuesta integral frente a los ataques cibernticos, incluidos la respuesta a las amenazas y los
incidentes en tiempo real. Sus responsabilidades van ms all de las redes de infraestructuras crticas
y gubernamentales y se extienden a grandes redes comerciales que hasta ahora no se consideraban
infraestructuras crticas, tales como las compaas areas y las compaas de procesamiento de
alimentos. Tambin contar con un centro de asistencia un Equipo de Preparacin para Incidentes
Cibernticos (CERT) a fin de fortalecer la resistencia de las organizaciones y los sectores de la
economa.
Las Fuerzas de Defensa de Israel (FDI) actuarn en conjunto con la nueva Autoridad de Defensa
Ciberntica, pero sern responsables de los aspectos militares de la defensa ciberntica. En junio de
2015, el portavoz de las FDI anunci que, en vista de los importantes desafos que enfrentan las FDI
en el ciberespacio, el jefe de gabinete haba decidido establecer un comando ciberntico para dirigir
OBSERVATORIO DE LA
CIBERSEGURIDAD
25
Estado de Israel
las actividades operativas de las fuerzas armadas. Las FDI prevn poner en marcha este comando
en un plazo de dos aos. El nuevo comando examinar los medios para mejorar la eficacia operativa
militar en el ciberespacio, con una mejor utilizacin de las ventajas tecnolgicas y humanas con las
que ya cuenta Israel.8
http://sectech.tau.ac.il/cyberconference/index.
php/israeli-national-cyber-bureau
http://mfa.gov.il/MFA/PressRoom/2015/Pages/
Cabinet-approves-establishment-of-NationalCyber-Authority-15-Feb-2015.aspx
Las necesidades de defensa de Israel y la limitacin de sus recursos han contribuido al nfasis del
pas en la tecnologa.9 Su dinmica democracia y su pequeo tamao han fomentado una intensa
cultura digital. Segn las estadsticas de 2013 de la UIT, el 70,8% de la poblacin israel usa Internet.10
Un estudio realizado por la Universidad Hebrea en mayo de 2014 indica que el 81% de los israeles
mayores de 12 aos navega por Internet y dos tercios se conectan varias veces al da.11
La alta penetracin de Internet se refleja en el sector empresarial privado israel dedicado a la
ciberseguridad, uno de los de mayor crecimiento del mundo. En los ltimos cinco aos, el nmero de
este tipo de empresas se ha duplicado, llegando a las 300,12 lo que se puede atribuir en buena parte a
la abundancia de ingenieros, que provienen principalmente de dos lugares: muchos son exempleados
de los 280 centros de desarrollo de alta tecnologa que son propiedad de multinacionales extranjeras
en Israel; y, por otro lado, se trata de miles de ingenieros que salen de las FDI cada ao y aportan las
habilidades necesarias para la floreciente industria de la ciberseguridad en el pas.
La INCB informa que Israel exporta ms productos y servicios cibernticos que el resto de los pases
juntos, si se excluye a Estados Unidos.13 En 2014, las startups israeles del sector de la ciberseguridad
exportaron US$3.000 millones en bienes cibernticos, lo que supone 5% del mercado mundial, solo
por detrs de Estados Unidos. Al menos un tercio de las exportaciones israeles estn relacionadas
con las TIC, mientras que solo 7% del capital humano del pas trabaja en el sector de las TIC.14 En
2013, las startups israeles recibieron una inversin de US$165 millones para su financiacin, lo que
representa 11% del capital global invertido en ciberseguridad. Por otra parte, casi 15% de todas las
empresas del mundo que atraen inversin relacionada con productos o servicios cibernticos son
de propiedad israel.15
26
Estado de Israel
http://sectech.tau.ac.il/cyberconference/index.
php/israeli-national-cyber-bureau
http://www.pmo.gov.il/English/
PrimeMinistersOffice/DivisionsAndAuthorities/
cyber/Pages/Background.aspx
http://www.loc.gov/law/help/online-privacy-law/
israel.php
INICIAL
Dinmico
FORMATIVO
Un objetivo central de la Iniciativa Ciberntica Nacional de 2010 fue idear planes nacionales de
educacin dirigidos a aumentar la conciencia pblica sobre las amenazas informticas. Israel
est acelerando rpidamente sus esfuerzos para formar y contratar a los expertos cibernticos
necesarios para llevar ventaja sobre las numerosas amenazas que aumentan a escala global. Israel
invierte considerablemente en la educacin de las habilidades tcnicas necesarias en trminos de
ciberseguridad.
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
27
Estado de Israel
Como parte de una importante iniciativa nacional para desarrollar el sur de Israel, el pas est
intentando convertir Beerseba en un centro ciberntico lder en I+D. El pas cuenta tambin con
centros de investigacin y desarrollo de muchas de las principales multinacionales de alta tecnologa,18
con lderes de la industria ciberntica tales como EMC, Lockheed Martin, Deutsche Telekom, IBM
y JVP. Tambin cuenta con destacados investigadores acadmicos industriales en la Universidad
Ben-Gurin (BGU) e importantes organismos gubernamentales, como la INCB y el CERT nacional
(IL-CERT).19
La estrategia israel para formar a la prxima generacin de talentos cibernticos es integrar el
mundo acadmico, la industria de alta tecnologa y el Ejrcito. El servicio militar obligatorio para
los adultos jvenes crea un flujo constante de personas con experiencia ciberntica. La Unidad
8200 de las FDI es una incubadora de tecnologa con nfasis particular en la ciberseguridad, y
encuentra a sus mayores talentos visitando escuelas secundarias de todo el pas para identificar
candidatos de alto potencial a una edad temprana. Buscan estudiantes con altas capacidades
analticas que puedan tomar decisiones rpidas y trabajar bien en equipo. Los tcnicos de la Unidad
8200 trabajan directamente con sus clientes para desarrollar productos innovadores y aprender
habilidades fundamentales para las startups. La asociacin de alumnos de la unidad ha fundado
muchas empresas lderes israeles.
El programa extracurricular Magshimim (Estudiantes destacados) es fruto de un esfuerzo cooperativo
entre las FDI, el Ministerio de Educacin y varias ONG, y se centra en la formacin y el desarrollo de
habilidades cibernticas en la escuela secundaria. El programa Gvahim (Alturas) tiene como objetivo
ensearle a los estudiantes de secundaria los fundamentos de la defensa ciberntica, elevar el nivel
de la educacin ciberntica en Israel y preparar estudiantes para un examen de matriculacin en
ciberseguridad.20 Los 400 estudiantes que participan en el Programa Gvahim se enfrentan a una
considerable carga de trabajo de 900 horas. Todos los das aprenden lenguajes de programacin,
infraestructuras de red y cmo hacer frente a las amenazas informticas.21
La institucin israel ms emblemtica para la cooperacin pblico-privada en materia de formacin
en ciberseguridad es la Universidad Ben Gurin (BGU), situada en Beerseba, al sur del pas.
Alrededor de 1.000 de los 20.000 estudiantes que asisten a la BGU se especializan en informtica
o carreras relacionadas con las TI. La BGU fue la primera universidad israel que ofreci un programa
universitario de ciberseguridad, hace ya varios aos. 22 Israel cuenta con numerosas iniciativas
para reforzar la formacin y la educacin de los trabajadores y los ciudadanos en cuestiones de
ciberseguridad. Adems de los programas de formacin de las FDI, la inversin privada no deja de
aumentar.23
En marzo de 2015, el Ministerio de Educacin israel anunci una asociacin con Lockheed Martin
para crear un plan de estudios nacional de ciberseguridad para los estudiantes de secundaria de
Israel.24 La iniciativa compartir las mejores prcticas y colaborar con otras iniciativas para poner en
marcha talleres y concursos. En 2014, en Beerseba, durante la conferencia CyberTech, IBM estableci
su Centro de Excelencia de Ciberseguridad (CCoE) en el campus de la Universidad Ben Gurin.
El CCoE observa las tendencias tecnolgicas y de mercado incluidas la nube, los dispositivos
mviles, la web, las redes sociales y las TI e investiga los riesgos de seguridad que estas crean y
cmo disminuirlos.25
28
Estado de Israel
https://www.idfblog.com/blog/2014/06/08/
educating-future-cyber-warfare-next-generationsoldier/
http://www.c4isrnet.com/story/military-tech/
cyber/2014/12/12/lockheed-forms-israeli-cyberresearch-group/20299707/
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
29
Estado de Israel
En noviembre de 2012, la polica israel anunci la creacin de una unidad de 60 personas para
luchar contra los delitos informticos, situada en el Ministerio de Seguridad Pblica.29 En el mbito
civil, la legislacin y las polticas gubernamentales se han centrado histricamente en la seguridad
de la informacin: proteccin de datos y sistemas informticos.
En el ltimo tiempo, los reguladores financieros de Israel han estado muy activos en el desarrollo de
nuevas normas. En 2014, el Banco Central public directrices sobre la gestin de los riesgos en la
nube. En 2015, el Supervisor Bancario emiti una circular que ordenaba a los bancos hacer hincapi en
la gestin de los riesgos relacionados con la ciberntica y adoptar medidas para reducir tales riesgos.30
http://www.loc.gov/lawweb/servlet/
lloc_news?disp3_l205403293_text
http://www.jpost.com/National-News/
Israel-Police-to-tackle-cyber-crime-with-new-unit
INICIAL
FORMATIVO
Estratgico
ESTABLECIDO
Los intentos de Israel de regular la ciberseguridad para el sector privado se limitan principalmente al
establecimiento de normas tecnolgicas y a la cooperacin entre gobierno e industria. En la actualidad,
destacan dos iniciativas: las normas ISO 27001 e ISO 27002 de la Organizacin Internacional de
Normalizacin (ISO). Ambas son normas de ciberseguridad que ofrecen certificaciones voluntarias
ISO/IEC para empresas. Tambin es digna de mencin la Norma de Buenas Prcticas para la
Seguridad del Foro de Seguridad de la Informacin (ISF), que cubre una amplia gama de marcos
ESTABLECIDO
DINMICO
30
http://sectech.tau.ac.il/cyberconference/index.
php/israeli-national-cyber-bureau
Estado de Israel
de seguridad de la informacin para reducir los riesgos de las empresas asociadas a sistemas de
informacin.31
La recomendacin central de la Iniciativa Ciberntica Nacional fue
establecer una oficina ciberntica
nacional con estatus de rgano consultivo al servicio del gobierno y del jefe del gobierno. Las
principales actividades de la oficina se relacionaran con polticas y acciones gubernamentales en
el mbito ciberntico, incorporando aspectos tanto civiles como militares. El 7 de agosto de 2011, el
Gobierno de Israel aprob la creacin de la Oficina Ciberntica Nacional y determin que tendra la
funcin de propagador de polticas cibernticas y rgano de coordinacin, que mejorara la proteccin
de la infraestructura nacional frente a ataques cibernticos y que hara avanzar la investigacin
ciberntica en la esfera industrial.
En febrero de 2015, Israel anunci la creacin de una nueva autoridad nacional de defensa ciberntica.
Sus principales funciones seran las siguientes:32
1.
Gestionar, controlar y llevar a cabo esfuerzos operativos a nivel nacional para proteger el
ciberespacio, gracias a un enfoque sistmico que ofrezca soluciones defensivas completas y
constantes frente a los ataques cibernticos.
2.
3.
4.
5.
Realizar las tareas que el Primer Ministro pudiera determinar, en consonancia con la misin
designada por la Autoridad.
Segn la decisin programada, una Direccin Ciberntica Nacional incluira las sedes cibernticas
nacionales, como unidades independientes en la Oficina del Primer Ministro. La autoridad tendr la
responsabilidad de lograr sus objetivos y llevar a cabo su misin, mientras que las sedes cibernticas
nacionales dirigirn los mbitos de la poltica y la estrategia nacional sobre competencia ciberntica y
reforzarn el papel de Israel en cuanto pas a la vanguardia mundial en el campo de la ciberseguridad.33
El IL-CERT (Equipo de Respuesta a Emergencias Informticas de Israel) es el centro civil nacional para
hacer frente a incidentes cibernticos y de seguridad de la informacin. Se trata de una organizacin
profesional independiente que proporciona una direccin para que personas y organizaciones de Israel
y de todo el mundo puedan informar sobre incidentes relacionados con Internet en Israel. El IL-CERT
es responsable de coordinar de manera proactiva las actividades que abordan incidentes de seguridad,
compartiendo informacin y sensibilizando al pblico sobre cuestiones de seguridad de la informacin
y la privacidad.34 Realiza la gestin de crisis en Israel en caso de problemas cibernticos, bajo la gida
de la INCB. Tambin investiga incidentes de seguridad de la informacin y publica informacin sobre
el abordaje de incidentes futuros y sobre herramientas de defensa; a su vez, ofrece evaluaciones y
recomendaciones de calidad para el pblico en general.35
El trabajo de fortalecimiento de la resiliencia de la infraestructura nacional es responsabilidad de
la nueva autoridad nacional de ciberseguridad (NCSA), creada por el Primer Ministro en 2015.
OBSERVATORIO DE LA
CIBERSEGURIDAD
31
Estado de Israel
http://www.27000.org/iso-27001.htm
32
https://www.idfblog.com/about-the-idf/idf-units/
c4i-computers-and-communications/.
Estado de Israel
https://il-cert.org.il/
http://www.pmo.gov.il/English/PrimeMinistersOffice/
DivisionsAndAuthorities/cyber/Pages/default.aspx
http://sectech.tau.ac.il/sites/default/files/
publications/article_3_12_-_chaire_cyberdefense.
pdf
https://il-cert.org.il/
OBSERVATORIO DE LA
CIBERSEGURIDAD
33
Estado de Israel
Notas
1.
Informe de la Agenda de Seguridad y Defensa (SDA), CyberSecurity: The Vexed Question of Global Rules (30 de enero de
2012): 6667.
16.
2.
17.
3.
18.
4.
19.
5.
http://www.pmo.gov.il/English/PrimeMinistersOffice/
DivisionsAndAuthorities/cyber/Pages/Background.aspx.
20.
21.
6.
7.
22.
23.
8.
24.
25.
26.
27.
28.
29.
30.
9.
10.
https://www.itu.int/en/ITU-D/Cybersecurity/Documents/Country_
Profiles/Israel.pdf.
11.
12.
34
13.
http://sectech.tau.ac.il/cyberconference/index.php/
israeli-national-cyber-bureau.
14.
15.
32.
35.
Ibid.
36.
37.
http://www.shabak.gov.il/about/units/reem/Pages/default.aspx.
38.
Cyber-Boom or Cyber-Bubble?
39.
33.
34.
Estado de Israel
31.
OBSERVATORIO DE LA
CIBERSEGURIDAD
35
.kr
Poltica y estrategia
Cultura y sociedad
Educacin
Marcos legales
Repblica de Corea
Principales desafos de ciberseguridad
La postura de ciberseguridad de la Repblica de Corea refleja el desafo que plantea Corea del Norte.
El ciberespacio se ha convertido en un nuevo escenario de conflicto en la pennsula coreana. La
creciente capacidad ciberntica de Corea del Norte hace que la Repblica de Corea se esfuerce por
mejorar su seguridad ciberntica.
El Libro Blanco de la Defensa de la Repblica de Corea de 2014 subraya que Corea del Norte cuenta
en la actualidad con unos 6.000 soldados de guerra ciberntica y lleva a cabo una guerra ciberntica,
que incluye la perturbacin de operaciones militares y ataques contra las grandes infraestructuras
nacionales con el fin de causar una parlisis psicolgica y fsica en el Sur.1 Segn un informe de
2015, los ataques cibernticos procedentes de Corea del Norte han acarreado daos econmicos
para el vecino del sur que ascienden a 800.000 millones de won (US$706 millones).2 Son ejemplos
de acciones cibernticas de Corea del Norte los ataques de 2013 que interrumpieron el servicio de
varias cadenas de televisin y dos bancos surcoreanos.3 Las investigaciones de la Repblica de
Corea sobre una falla en el sistema de informacin de un operador de una planta nuclear en diciembre
de 2014 apuntan a una intrusin norcoreana.4 Los atacantes no pusieron en peligro ningn sistema
crtico para la gestin de la operacin de los reactores, pero obtuvieron proyectos y datos de pruebas
que podran ser tiles para planificar futuros ataques. Estados Unidos y los organismos de defensa
surcoreanos suponen que, en caso de un conflicto de envergadura, Corea del Norte lanzar ataques
cibernticos contra infraestructuras crticas de la Repblica de Corea y sus redes de comando y control.
Tecnologa
50.423.955
58.340.515
Penetracin de Internet
84%
42.507.394
Fuente: Indicadores de Desarrollo del Banco Mundial (2014). Disponible en: http://databank.worldbank.org/data/reports.
aspx?source=2&country=USA&series=&period=.
36
Poltica y estrategia
Marcos legales
Desarrollo de la estrategia
Organizacin
Contenido
Defensa ciberntica
Estrategia
Investigacin jurdica
Organizacin
Cumplimiento de la ley
Coordinacin
La fiscala
Tribunales
Divulgacin responsable de la informacin
Cultura y sociedad
Tecnologas
Adhesin a las normas
Aplicacin de las normas y prcticas mnimas aceptables
Adquisiciones
Desarrollo de software
Organizaciones de coordinacin de seguridad ciberntica
Centro de mando y control
Capacidad de respuesta a incidentes
Respuesta a incidentes
Identificacin y designacin
Organizacin
Coordinacin
Resiliencia de la infraestructura nacional
Educacin
Disponibilidad nacional de la educacin
y formacin cibernticas
Educacin
Formacin
Desarrollo nacional de la educacin de seguridad ciberntica
Desarrollo nacional de la educacin de seguridad ciberntica
Formacin e iniciativas educativas pblicas y privadas
Capacitacin de empleados en seguridad ciberntica
Gobernanza corporativa, conocimiento y normas
Comprensin de la seguridad ciberntica
por parte de empresas privadas y estatales
Infraestructura tecnolgica
Resiliencia nacional
Proteccin de la Infraestructura Crtica Nacional (ICN)
Identificacin
Organizacin
Planeacin de respuesta
Coordinacin
Gestin de riesgos
Gestin de crisis
Planeacin
Evaluacin
Redundancia digital
Planeacin
Organizacin
Mercado de la ciberseguridad
Tecnologas de seguridad ciberntica
Seguros de delincuencia ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD
37
Repblica de Corea
7.
8.
9.
http://english1.president.go.kr/government/officeof-national-security.php
38
http://m.mnd.go.kr/cop/pblictn/selectPublication
User.do?siteId=mnd_eng&componentId=51&
categoryId=0&publicationSeq=689&
pageIndex=1&id=mnd_eng_021400000000
Repblica de Corea
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
Como parte de este esfuerzo pblico, la KISA dirige un programa de vacunacin ciberntica, en
colaboracin con los proveedores de servicios de Internet, a fin de identificar y contactar a los usuarios
cuyos equipos hayan sido secuestrados por una botnet. Tambin se ofrecen herramientas gratuitas
en lnea para eliminar el malware que agrega computadoras a los ataques en red. A medida que los
usuarios van usando cada vez ms los dispositivos mviles inteligentes, las soluciones de seguridad
gubernamentales han ampliado la cobertura del espectro. La aplicacin Phone Keeper analiza los
telfonos en busca de malware e impide que un usuario abra accidentalmente enlaces de texto de
phishing que conduzcan a sitios web infectados.9
http://isis.kisa.or.kr/eng/ebook/EngWhitePaper2014.
pdf
OBSERVATORIO DE LA
CIBERSEGURIDAD
39
Repblica de Corea
40
Repblica de Corea
las universidades de investigacin. En 2013, participaban 406 instituciones, 308 de las cuales han
establecido centros de control locales. El CECA intercambia informacin y coordina la respuesta a
incidentes con el KrCERT y el Centro Nacional de Ciberseguridad.14
https://www.kisa.or.kr/eng/main.jsp
http://www.klink.or.kr/pages/program/program.jsp
http://itlaw.wikia.com/wiki/
National_Information_Security_Alliance
http://likms.assembly.go.kr/bill/jsp/BillDetail.jsp?bill_
id=PRC_K1V4V0O2U2M7N0L0Z3B1T3J8X6Z0E9
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
41
Repblica de Corea
La primera ley de la Repblica de Corea que se dedic a la ciberseguridad data de 1995, cuando
la Ley Marco de Promocin de la Informatizacin15 convirti la seguridad de la informacin en una
responsabilidad gubernamental.16 La ley describe las responsabilidades de la KISA, as como los
requisitos de informacin para los proveedores de servicios de informacin y comunicacin. Luego
le siguieron la Ley de Proteccin de la Infraestructura de Informacin y Comunicacin (2002) y la
Ley de Promocin del Uso de la Informacin y las Redes de Comunicacin y de la Proteccin de
la Informacin (2003), que constituyen la base legislativa para la aplicacin de la legislacin sobre
delitos cibernticos en la Repblica de Corea.17
La Ley de Prevencin de la Divulgacin y de Proteccin de la Tecnologa Industrial 18 dispuso la
suspensin y prohibicin total de la exportacin de tecnologas cuando se considere que socava la
seguridad nacional de la Repblica de Corea. La Ley de Promocin de la Industria de la Tecnologa de
la Informacin y de las Comunicaciones de 2009, que busca crear un entorno nacional propicio para
el sector de las TIC, incluye una seccin sobre el fortalecimiento de la seguridad de la informacin.
La Ley de la Firma Digital regula la distribucin de certificados pblicos.
La Ley de Gobierno Electrnico19 esboza los procedimientos de autenticacin y los certificados
aceptados para garantizar la seguridad en la provisin digital de servicios gubernamentales. Los
problemas de privacidad no tratados por esta ley se abordan en la Ley de Proteccin de Datos
Personales Almacenados y Mantenidos por Organismos Pblicos.
La Ley sobre el Desarrollo de la Computacin en la Nube y la Proteccin de los Usuarios en vigor
desde septiembre de 2015 es la primera de este tipo. Los proveedores de servicios en la nube
estn obligados a informar a los usuarios afectados de cualquier fuga de datos que se produzca.
Adems, la ley prohbe explcitamente compartir informacin personal con proveedores de servicios
y obliga a destruir tales registros de informacin tras la interrupcin del servicio. Tambin hace
responsables a los proveedores de servicios de los daos causados a los usuarios en caso de
intrusiones en la red.20
http://www.worldlii.org/int/other/PrivLRes/2005/2.
html
42
www.netan.go.kr/eng/index.jsp
Repblica de Corea
http://likms.assembly.go.kr/bill/jsp/BillDetail.jsp?bill_
id=PRC_K1V4V0O2U2M7N0L0Z3B1T3J8X6Z0E9
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
OBSERVATORIO DE LA
CIBERSEGURIDAD
43
Repblica de Corea
https://www.commoncriteriaportal.org/ccra/
members/
http://www.ipa.go.jp/event/iccc2005/pdf/B1-09B.pdf
http://english1.president.go.kr/government/officeof-national-security.php
http://eng.krcert.or.kr/main/main.jsp
https://www.enisa.europa.eu/activities/
Resilience-and-CIIP/cyber-crisis-cooperation/
conference/2nd-enisa-conference/presentations/
dr-so-jeong-kim-national-security-researchinstitute-s-korea-cyber-security-in-the-republic-ofsouth-korea
44
http://service1.nis.go.kr
Repblica de Corea
Notas
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
12.
13.
Ibid., 267.
14.
15.
16.
17.
18.
19.
20.
21.
22.
OBSERVATORIO DE LA
CIBERSEGURIDAD
45
.us
Poltica y estrategia
Cultura y sociedad
Educacin
Estados Unidos
Principales desafos de ciberseguridad
Estados Unidos tiene un complejo conjunto de normas, instituciones y polticas para administrar
el desafo de la ciberseguridad. Las iniciativas comenzaron hace casi 20 aos, en la dcada del
noventa, pero en los ltimos seis aos ha surgido un enfoque compacto e integrado. Las autoridades
estadounidenses consideran a las amenazas cibernticas como la principal amenaza estratgica a
la que se enfrenta el pas.1 Estados Unidos ha experimentado una campaa continua de espionaje
econmico y delitos financieros a travs de Internet y se enfrenta a un riesgo de ataques a sus
infraestructuras y servicios crticos. Las prdidas para la economa estadounidense se elevan a miles
de millones de dlares cada ao. El ltimo ao ha sido particularmente difcil, con ataques coercitivos
dirigidos contra Sony Pictures, el Casino Sands y Github, un servicio de alojamiento. Estados Unidos ha
detectado que diversos pases han examinado su infraestructura crtica en busca de vulnerabilidades
con vistas a un ataque ciberntico.
Marcos legales
Tecnologa
318.857.056
351.380.475
Penetracin de Internet
87%
278.681.066
Fuente: Indicadores de Desarrollo del Banco Mundial (2014). Disponible en: http://databank.worldbank.org/data/reports.
aspx?source=2&country=USA&series=&period=.
46
Poltica y estrategia
Marcos legales
Desarrollo de la estrategia
Organizacin
Contenido
Defensa ciberntica
Estrategia
Investigacin jurdica
Organizacin
Cumplimiento de la ley
Coordinacin
La fiscala
Tribunales
Divulgacin responsable de la informacin
Cultura y sociedad
Tecnologas
Adhesin a las normas
Aplicacin de las normas y prcticas mnimas aceptables
Adquisiciones
Desarrollo de software
Organizaciones de coordinacin de seguridad ciberntica
Centro de mando y control
Capacidad de respuesta a incidentes
Respuesta a incidentes
Identificacin y designacin
Organizacin
Coordinacin
Resiliencia de la infraestructura nacional
Educacin
Disponibilidad nacional de la educacin
y formacin cibernticas
Educacin
Formacin
Desarrollo nacional de la educacin de seguridad ciberntica
Desarrollo nacional de la educacin de seguridad ciberntica
Formacin e iniciativas educativas pblicas y privadas
Capacitacin de empleados en seguridad ciberntica
Gobernanza corporativa, conocimiento y normas
Comprensin de la seguridad ciberntica
por parte de empresas privadas y estatales
Infraestructura tecnolgica
Resiliencia nacional
Proteccin de la Infraestructura Crtica Nacional (ICN)
Identificacin
Organizacin
Planeacin de respuesta
Coordinacin
Gestin de riesgos
Gestin de crisis
Planeacin
Evaluacin
Redundancia digital
Planeacin
Organizacin
Mercado de la ciberseguridad
Tecnologas de seguridad ciberntica
Seguros de delincuencia ciberntica
OBSERVATORIO DE LA
CIBERSEGURIDAD
47
Estados Unidos
La Comisin de la Casa Blanca sobre la Proteccin de las Infraestructuras Crticas de 1998 predijo que el
hecho de depender cada vez ms de sistemas de informacin cibernticos creara una nueva dimensin
de vulnerabilidad.2 El informe determin que los ataques cibernticos a infraestructuras y sistemas de
informacin podran perjudicar seriamente a la economa y a la seguridad de Estados Unidos.
En respuesta, la Casa Blanca cre la Directiva de Decisin Presidencial 63 (PDD-63), que recomienda
a los organismos que tomen todas las medidas necesarias para garantizar la continuidad y la viabilidad
de las infraestructuras crticas. La PDD-63 cre la figura de un Coordinador Nacional para la Seguridad,
la Proteccin de las Infraestructuras y el Contraterrorismo (un alto funcionario de la Casa Blanca). La
decisin tambin cre alianzas pblico-privadas. El presidente design a organismos del gobierno
federal que encabezaran la accin respecto a determinadas infraestructuras crticas. Aunque la
PDD-63 solicit la creacin de un Centro de Anlisis e Intercambio de Informacin nico, diversos
sectores de infraestructuras crticas crearon sus propios centros especficos del sector. La eficacia
vara segn los sectores, pero algunos, como el de Servicios Financieros, se destacaron por sus
xitos. El Centro Pluriestatal de Anlisis e Intercambio de Informacin proporciona informacin a los
gobiernos locales y estatales en los 50 estados y en territorios y distritos de los EE.UU.3 Sin embargo,
las medidas resultaron ser insuficientes, lo que llev a la Casa Blanca a crear en 2008 la Iniciativa
Integral de Ciberseguridad Nacional (CNCI).4 Entre sus atribuciones se encuentran:5
La gestin de las redes del gobierno de manera unificada mediante el programa Trusted Internet
Connections.
La definicin del papel del Gobierno federal en materia de ciberseguridad de las infraestructuras
crticas.
Solo unas pocas de estas iniciativas tuvieron xito. Poco despus de asumir el cargo en 2009, el
Presidente Obama orden una revisin de las iniciativas federales, como la CNCI, y pidi al Consejo
de Seguridad Nacional que desarrollara un enfoque global sobre ciberseguridad. La Revisin de la
Poltica Ciberntica resultante recomend la adopcin de varias medidas:6
48
Trabajar con las administraciones estatales y locales y con el sector privado para ofrecer una
respuesta unificada a futuros incidentes cibernticos.
Estados Unidos
En 2011, el gobierno del Presidente Obama elabor tambin una Estrategia Internacional para el
Ciberespacio, haciendo hincapi en la estabilidad a travs de normas, y cre el cargo de Coordinador
de Ciberseguridad del Departamento de Estado.7
https://www.whitehouse.gov/node/233086
https://www.whitehouse.gov/assets/documents/
Cyberspace_Policy_Review_final.pdf
http://www.defense.gov/Portals/1/
features/2015/0415_cyber-strategy/Final_2015_
DoD_CYBER_STRATEGY_for_web.pdf
INICIAL
FORMATIVO
ESTABLECIDO
ESTABLECIDO
DINMICO
El Mes de Concienciacin sobre la Ciberseguridad Nacional creado en 2004 por la Alianza Nacional
de Ciberseguridad, un grupo del sector privado y el Departamento de Seguridad Nacional (DHS)
tiene lugar todos los aos con el objetivo de promover una cultura de ciberseguridad en el trabajo y
el uso seguro de dispositivos conectados a Internet, y de servir de inspiracin a los estudiantes para
que opten por una carrera en el mbito de la ciberseguridad.11 A su vez, puso en marcha la campaa
Stop. Think. Connect12 a fin de explicar los requisitos de ciberseguridad necesarios.
OBSERVATORIO DE LA
CIBERSEGURIDAD
49
Estados Unidos
https://www.us-cert.gov/ncas
https://www.ftc.gov/system/files/documents/
reports/privacy-data-security-update-2014/
privacydatasecurityupdate_2014.pdf
50
Estados Unidos ofrece slidos programas universitarios sobre ciberseguridad, tanto en su vertiente
tcnica como de polticas. El Departamento de Educacin y la Fundacin Nacional de Ciencias (NSF)
colaboran en la formacin de la prxima generacin de profesionales del mbito de la ciberseguridad. El
componente de ciberseguridad de los programas de Educacin Tecnolgica Avanzada (ATE)13 ofrecido
por la NSF forma tcnicos. Los centros de educacin tecnolgica avanzada comparten su experiencia
y recursos para facilitar los programas de seguridad informtica en los centros universitarios.14
La Agencia Nacional de Seguridad (NSA) y el DHS han construido una red de Centros Nacionales
de Excelencia Acadmica en las reas de defensa ciberntica15 y de operaciones cibernticas,16 con
universidades de todo el pas. Bajo los auspicios de la Iniciativa Nacional para la Educacin sobre
Estados Unidos
Ciberseguridad (NICE), estos programas buscan solventar la escasez de personal con conocimientos
de ciberseguridad ampliando el alcance y mejorando el nivel de las iniciativas de formacin y
proporcionar asistencia temprana en el desarrollo de la carrera para atraer a una cantidad mayor de
talentos a esta disciplina.17 Uno de los objetivos de la iniciativa es elevar la proporcin de personas
de poblaciones insuficientemente representadas con el fin de aumentar la diversidad. Asimismo se
han creado diversas becas en materia de ciberseguridad.18
La iniciativa NICE proporciona herramientas analticas que ayudan a empresas y organismos a
planificar su plantilla19 mediante la evaluacin de sus necesidades de capital humano teniendo en
cuenta la capacidad, la madurez y el dficit de conocimiento especializado de la institucin.20 El
catlogo de la educacin y formacin de la Iniciativa Nacional de Carreras y Estudios en Ciberseguridad
(NICCS) ayuda a los empleados en su desarrollo profesional y actualmente ofrece ms de 1.300
de Control Industrial
cursos.21 El Equipo de Respuesta ante Emergencias Cibernticas en los Sistemas
(ICS-CERT) ofrece oportunidades de formacin regulares en su portal virtual de aprendizaje, que est
especficamente dirigido al personal de seguridad del ICS.22
La mayora de las decisiones sobre el contenido y la estructura de los planes de estudio en Estados
Unidos las toman instituciones educativas privadas o se definen a nivel estatal. Por tanto, la poltica
federal tiene un efecto limitado; la estrategia federal para mejorar la posicin de la ciberseguridad
dentro de los programas educativos ha sido entonces proporcionar un marco informal a travs
de concursos cibernticos nacionales23 y material de formacin gratuito. La rama de Educacin y
Concienciacin sobre la Ciberseguridad del DHS ha desarrollado programas de estudio orientados
a las disciplinas de ciencia, tecnologa, ingeniera y matemticas para los profesores de enseanzas
medias, que incluyen aspectos de ciberseguridad24 y cuentan con el apoyo del Programa de Asistencia
para la Educacin y la Formacin en Ciberseguridad.25
http://csrc.nist.gov/nice/documents/nicestratplan/
nice-strategic-plan_sep2012.pdf
http://csrc.nist.gov/nice/documents/nicestratplan/
nice-strategic-plan_sep2012.pdf
OBSERVATORIO DE LA
CIBERSEGURIDAD
51
Estados Unidos
https://niccs.us-cert.gov/education/
scholarship-opportunities
http://www.ponemon.org/
library/2014-a-year-of-mega-breaches
52
Estados Unidos no tiene una ley global de ciberseguridad, sino una variedad de regmenes regulatorios
y marcos jurdicos, en su mayora especficos de un sector. La industria financiera ha sido uno de
los sectores ms activos en esta rea, y las directrices elaboradas en los ltimos aos han estado
en manos de la Oficina de Control de la Moneda, la Comisin de Bolsa y Valores (SEC), el Consejo
Federal de Vigilancia de las Instituciones Financieras, la Reserva Federal y la Autoridad de Regulacin
Financiera.26 En 2006, la Reserva Federal public la Circular operativa No. 5: Acceso electrnico,
que describe los requisitos de ciberseguridad para las empresas que se conectan a los sistemas de
pago de la Reserva Federal.27
De las normas de cumplimiento obligado, la Ley de Secreto Bancario de 1970 exige que las empresas
pongan en marcha sistemas de gestin de TI para evitar transacciones ilcitas y notificar a la Red de
Control de Delitos Financieros sobre cualquier actividad sospechosa que se conozca o se sospeche.28
Estados Unidos
La Ley Gramm-Leach-Bliley de 1999 (GLBA) cre requisitos de seguridad de datos personales para
el sector financiero. Dicha ley prev una regla de salvaguardias, por la que las empresas financieras
debern elaborar un plan de seguridad de la informacin para proteger y evitar la divulgacin no
autorizada de los datos personales de los consumidores.29 En 2003, el Congreso aprob la Ley de
Operaciones de Crdito Justas y Exactas (FACTA), que se centr en normas de seguridad de la
informacin a fin de prevenir robos de identidad mediante el requisito de eliminacin de datos en
informes y registros de los consumidores a partir de junio de 2005.30
La Ley de Poltica Energtica de 2005 facult a la Comisin Federal Reguladora de la Energa
(FERC) para que supervise la fiabilidad de la red de transporte de energa elctrica 31 y para que
apruebe normas fiables obligatorias sobre ciberseguridad. La Corporacin para la Fiabilidad de la
Red Elctrica Norteamericana (NERC), certificada por la FERC como organizacin que se ocupa de
la fiabilidad de la red elctrica del pas, desarroll normas de proteccin de infraestructuras crticas,
aprobadas en enero de 2008.32 Al desarrollar una tecnologa de redes inteligentes en Estados Unidos,
la Ley de Independencia Energtica y Seguridad de 2007 (EISA) les otorg a la FERC y al NIST
responsabilidades para coordinar la elaboracin de directrices y normas.33
Las competencias de la FTC incluyen vigilar las prcticas anticompetitivas relacionadas con
la seguridad de los datos y la privacidad; a su vez, la FTC ha iniciado acciones legales contra
organizaciones que han violado los derechos de privacidad de los consumidores o no han protegido
la informacin sensible de los consumidores. En muchos de estos casos, la FTC ha acusado a los
demandados de violar la Seccin 5 de la Ley de la FTC, que prohbe los actos y prcticas desleales
y engaosas en el comercio. Adems, vela por el cumplimiento de otras leyes federales relativas a
la privacidad y la seguridad de los consumidores.34
La Ley de Portabilidad y Responsabilidad del Seguro Sanitario de 1996 (HIPAA) obliga a que se
establezcan normas nacionales para las transacciones electrnicas relacionadas con la atencin
mdica, as como identificadores nacionales para los proveedores, los planes de seguro de salud y
los empleadores. La HIPAA define polticas, procedimientos y directrices para mantener la privacidad
y la seguridad de la informacin de identificacin personal de salud, y describe numerosos delitos
relacionados con la atencin de la salud, adems de establecer sanciones civiles y penales en caso
de que no se cumplan tales principios.35
La principal ley federal contra la piratera es la Ley de Fraude y Abuso Informticos (CFAA) de 1986,
que define como delito acceder intencionadamente a una computadora sin autorizacin o ms all
de lo que se ha autorizado.36 La Ley de Espionaje Econmico de 1996 considera como delito el robo
o apropiacin indebida de un secreto comercial. Hay numerosas otras leyes federales sobre delitos
informticos relacionadas con el fraude en Internet, incluidos el fraude electrnico y el fraude por correo
electrnico, el fraude con tarjetas de crdito y el lavado de dinero; la pornografa infantil en lnea; la
venta por Internet de medicamentos u otras sustancias controladas, armas de fuego, alcohol y juegos
de azar; as como la piratera de software y el robo de la propiedad intelectual. Estas leyes han sido
reforzadas por rdenes ejecutivas para la proteccin de infraestructuras crticas, el intercambio de
informacin37 y las sanciones cibernticas.38 En febrero de 2013, el Presidente Obama firm la Orden
Ejecutiva 13636, con miras a mejorar la ciberseguridad de las infraestructuras crticas, y elevar el nivel
de las capacidades bsicas para la gestin del riesgo ciberntico en el sector de las infraestructuras
crticas. La orden se centr en el intercambio de informacin, la privacidad y la adopcin de prcticas
de ciberseguridad.39 Tambin encarg al NIST que trabajara con el sector privado para identificar las
normas de consenso voluntarias existentes y las mejores prcticas de la industria y las incorporara
en un marco de ciberseguridad, que se puso en marcha en febrero de 2014.40
OBSERVATORIO DE LA
CIBERSEGURIDAD
53
Estados Unidos
Cuarenta y siete estados, el Distrito de Columbia, Guam, Puerto Rico y las Islas Vrgenes han aprobado
leyes que obligan a las entidades privadas o gubernamentales a informar a las personas sobre
violaciones a la seguridad de la informacin personal. La mayora de los estados han promulgado
leyes de este tipo desde 2002 en respuesta a un creciente nmero de violaciones a las bases de
datos de consumidores que contenan datos personales. La primera ley de ese tipo la Ley de
Notificacin de las Violaciones de la Seguridad de los Datos de California se promulg en 2002.41
En general, la mayora de las leyes estatales siguen los principios bsicos de la ley californiana
original: las empresas deben informar inmediatamente a los clientes si se produjera una filtracin de
informacin, por lo general por escrito. Desde entonces, California ha ampliado su legislacin y ha
incluido la informacin mdica y de seguros de salud.42
En octubre de 2011, la SEC public una gua sobre las obligaciones de informacin relativas a los
riesgos de ciberseguridad y a los incidentes cibernticos. La gua seala que, aunque no hay reglas
que aborden explcitamente este tema, los incidentes cibernticos y el riesgo de incidentes de este
tipo pueden, sin embargo, engendrar obligaciones de informacin en virtud de las normas actuales
de la SEC, en particular la obligacin de revelar informacin que un inversor razonable considerara
importante para una decisin de inversin, que est comprendida en la Ley de Valores de 1933 y en
la Ley sobre el Mercado de Valores de 1934.43
https://www.fas.org/sgp/crs/natsec/R42114.pdf
http://www.justice.gov/usao/priority-areas/
cyber-crime
54
http://csis.org/publication/evolution-cybersecurityrequirements-us-financial-industry
Estados Unidos
INICIAL
FORMATIVO
ESTABLECIDO
ESTRATGICO
DINMICO
El FBI es el organismo lder en la investigacin de los delitos informticos (el Servicio Secreto,
vinculado al DHS, investiga tambin los delitos informticos financieros). Tanto el FBI como la Agencia
Nacional de Seguridad (que forma parte del Departamento de Defensa) apoyan al DHS en su misin de
cuidar de la ciberseguridad nacional. En los ltimos aos, los Departamentos del Tesoro, Comercio y
Energa tambin han desempeado un papel activo. La FTC y la Comisin Federal de Comunicaciones,
dos organismos independientes, desempean un papel importante en la formulacin de polticas. El
Coordinador de Ciberseguridad de la Casa Blanca un puesto creado tras la Revisin de la Poltica
Ciberntica de 2009 dirige el desarrollo interinstitucional de la estrategia y la poltica nacional
de ciberseguridad, y supervisa a los organismos en la aplicacin de dichas polticas.45 La novedad
ms importante es la creacin del Marco de Ciberseguridad del NIST, que se cre tras un largo
proceso de consulta con el sector privado y rene las mejores prcticas para la seguridad de la red.
El presidente les encarg a los organismos reguladores sectoriales que velaran por la aplicacin
en sus reglamentaciones de los objetivos de ciberseguridad del Marco del NIST. Por ejemplo, el
Departamento de Energa puso en marcha un programa de Modelo de Madurez de Capacidad de
Seguridad Ciberntica. Hay servicios relacionados con los modelos de madurez de la capacidad de
ciberseguridad para organizaciones de todos los tamaos, a fin de que puedan evaluar cmo estn
aplicando el Marco del NIST.46 El sector financiero ha adoptado elementos clave de los marcos de
normalizacin, en particular los del NIST en el Marco de Ciberseguridad de 2013, as como las normas
ISO y de la Asociacin de Auditora y Control de los Sistemas de Informacin (ISACA).
Estados Unidos es un pas lder en tecnologa y ciberseguridad de la informacin. La ciberseguridad
se ha convertido en una prioridad de inversin tanto para el gobierno como para el sector privado.
El pasado ao, empresas de capital de riesgo invirtieron ms de US$1.000 millones en startups
de ciberseguridad. Diecisiete empresas de capital de riesgo de Silicon Valley se centran en el
desarrollo de tecnologas innovadoras de ciberseguridad, y el ao pasado invirtieron en ms de 230
startups de ciberseguridad. La Agencia de Proyectos de Investigacin Avanzados de Defensa y la
Fundacin Nacional de Ciencias realizaron tambin importantes inversiones en I+D en el campo de
la ciberseguridad.
OBSERVATORIO DE LA
CIBERSEGURIDAD
55
Estados Unidos
http://www.nist.gov/cyberframework/
http://www.dhs.gov/national-cybersecuritycommunications-integration-center
https://www.whitehouse.gov/blog/author/
michael-daniel
https://www.us-cert.gov/
https://www.us-cert.gov/sites/default/files/c3vp/
crr-fact-sheet.pdf
http://www.dhs.gov/critical-infrastructuresecurity-resilience-month
http://www.dhs.gov/national-infrastructureprotection-plan
56
https://www.us-cert.gov/
Estados Unidos
https://www.us-cert.gov/
Notas
1.
2.
http://fas.org/irp/offdocs/pdd/pdd-63.htm
3.
12.
13.
14.
15.
4.
5.
Ibid.
6.
16.
17.
18.
19.
7.
8.
9.
10.
11.
OBSERVATORIO DE LA
CIBERSEGURIDAD
57
Estados Unidos
20.
34.
21.
35.
36.
22.
23.
37.
38.
39.
40.
Ibid.10,16]]}}}],schema:https://github.com/citation-stylelanguage/schema/raw/master/csl-citation.json}
41.
42.
43.
44.
45.
46.
24.
25.
26.
27.
28.
29.
30.
58
31.
32.
33.
Conclusiones
Conclusiones
La experiencia de los pases analizados nos permite sacar algunas conclusiones generales sobre cmo
debera ser una respuesta nacional adecuada a los retos de la ciberseguridad y qu mejores prcticas
podran adoptarse. La ciberseguridad requiere la creacin de estrategias, reglas e instituciones que
hagan del ciberespacio un lugar ms estable y seguro, lo que permitir aunar crecimiento econmico
y maximizacin de los beneficios de las tecnologas de la informacin.
La primera y fundamental mejor prctica en trminos de ciberseguridad es desarrollar una estrategia
nacional, ya que tales estrategias proporcionan un marco normativo bajo el cual los pases pueden
organizar sus iniciativas de ciberseguridad. Su desarrollo tambin puede proporcionar un mecanismo
que permita una amplia coordinacin gubernamental transversal. En tres casos, los pases ya se
encuentran en un segundo ciclo de tales documentos de estrategia u orientacin. Para cada uno de
los pases examinados, las estrategias abordan las medidas necesarias para hacer del ciberespacio
una plataforma estable y segura para la actividad econmica y reducir los riesgos en cuanto a la
seguridad pblica y nacional. Al igual que con otras reas de la ciberseguridad, un objetivo inmediato
de una estrategia es elevar desde el nivel tcnico al poltico el debate y la toma de decisiones. El
proceso de desarrollo de una estrategia nacional puede ser una contribucin til para ese fin.
La segunda mejor prctica es la creacin de una estructura organizativa explcita que asigne
responsabilidades entre los ministerios y las oficinas para los diversos aspectos de la ciberseguridad.
Las medidas organizativas ms bsicas, tales como la mejora de la capacidad para aplicar leyes o la
creacin de un equipo de respuesta ante emergencias cibernticas (CERT) son un buen comienzo, pero
de ninguna manera son suficientes. Los pases que cuentan con programas de ciberseguridad ms
avanzados han creado nuevas organizaciones para asumir esa responsabilidad. En los cuatro pases
examinados se observan distintos grados de redundancia y la superposicin de responsabilidades,
algo inevitable y que quiz sea preferible a una estructura institucional inadecuada.
Un aspecto importante de esta mejor prctica organizativa es la creacin de algn tipo de autoridad
central de coordinacin. La ciberseguridad es responsabilidad de muchos organismos y a veces puede
darse un solapamiento de atribuciones. Todos los pases estudiados crearon nuevas entidades de alto
nivel adjuntas a las oficinas del presidente o del primer ministro para supervisar la ciberseguridad. A
medida que los esfuerzos de ciberseguridad fueron madurando y ampliando su alcance, los cuatro
pases crearon un rgano central de coordinacin. En todos los casos analizados los rganos de
coordinacin estn vinculados al aparato de toma de decisiones en materia de seguridad nacional, y
no a los organismos econmicos o de seguridad; aunque ninguno est a nivel ministerial, su conexin
con el jefe del Ejecutivo les confiere alto rango e influencia.
Otra buena prctica es el desarrollo de un marco jurdico adecuado, basado en precedentes tomados
de acuerdos internacionales y de la legislacin de otros pases. Contar con leyes adecuadas para
los delitos informticos, las infraestructuras crticas y la proteccin de datos resulta crucial para la
ciberseguridad.
OBSERVATORIO DE LA
CIBERSEGURIDAD
59
Si bien cada pas tiene un enfoque diferente al trabajar con el sector privado, algo que refleja las
diferentes legislaciones y culturas polticas nacionales, los esfuerzos nacionales de colaboracin para
aumentar la concienciacin en la comunidad financiera y empresarial son un elemento central de las
prcticas de los cuatro pases, al igual que los esfuerzos para aumentar la concienciacin pblica
sobre la forma de gestionar los riesgos de ciberseguridad.
La mayor divergencia entre los pases se observa en los marcos jurdicos y reglamentarios. La mayora
aborda la ciberseguridad desde un mosaico de leyes existentes y nuevas autoridades. Teniendo en
cuenta las diversas aplicaciones de la ciberseguridad en los distintos mbitos de la economa, con
requisitos y funciones diferentes, este enfoque fragmentado podra resultar conveniente, en lugar
de tratar de elaborar una nica ley general. Una de las reas de coincidencia es que la mayora de
los pases vieron la necesidad de ampliar la autoridad legal para hacer frente a la ciberdelincuencia.
Cada pas ha prestado especial atencin a unos pocos sectores de infraestructuras crticas, por lo
general las finanzas, la energa elctrica y los servicios pblicos. Esta eleccin no fue el resultado
de un proceso explcito de priorizacin, sino que, ms bien, las infraestructuras clave requieren una
buena ciberseguridad.
Todos los pases examinados hacen esfuerzos en relacin con los problemas de personal. Hay
escasez mundial de mano de obra con conocimiento especializado en ciberseguridad, y los cuatro
pases analizados tienen programas para ampliar su mano de obra en el mbito ciberntico, por
lo general en colaboracin con las universidades y el sector privado. El ejrcito y el servicio militar
israeles que tienen un gran nivel tecnolgico supusieron una ventaja en el desarrollo de esa
mano de obra. Todos los pases consideraron necesario crear planes de estudio y programas de
ciberseguridad especiales, y no limitarse a los cursos tradicionales de informtica.
Tres de los pases Repblica de Corea, Estados Unidos e Israel tienen sectores de TI dinmicos
y competitivos que producen bienes y servicios para el mercado mundial. Eso se debe a decisiones
deliberadas (tomadas hace dcadas en el caso de Estados Unidos) para apoyar al sector de TI con
inversiones e incentivos. Es importante destacar que las empresas israeles y estadounidenses no son
empresas nacionales de vanguardia directamente subvencionadas por el gobierno, lo que introduce
aspectos emprendedores e innovadores en el comportamiento empresarial. Las empresas se mueven
en la direccin del mercado, apoyadas por el gobierno, no al revs.
La cooperacin internacional, el fomento de la confianza, el intercambio de mejores prcticas e
informacin y el establecimiento de las bases para un entorno ciberntico estable son tambin
elementos comunes en las prcticas de los cuatro pases. La cooperacin puede abarcar desde
actividades entre CERT hasta actividades diplomticas de alto nivel, pero en todo caso es esencial
y otorga a los pases acceso a recursos externos tcnicos y de informacin. Cada uno de los cuatro
pases recurri a alianzas para fortalecer sus defensas cibernticas, y Estonia, el ms pequeo, fue
el ms activo a nivel internacional.
Estas breves evaluaciones son una descripcin de cmo algunos pases lderes en la materia han
abordado el problema de la ciberseguridad y de qu forma han evolucionado sus enfoques. Todos
comparten el objetivo de la gestin del riesgo ciberntico con el propsito de lograr que el ciberespacio
no sea ms arriesgado que cualquier otra actividad. La manera en que cada pas afronte este desafo
estar determinada por su historia, su cultura y sus instituciones. En los cuatro pases estudiados,
60
la ciberseguridad es un mbito donde las polticas y la prctica estn en constante evolucin. Todos
se encuentran en el segundo o tercer ciclo de un enfoque nacional. A medida que los pases del
mundo experimenten distintas polticas, leyes y estructuras organizativas, la ciberseguridad seguir
siendo un mbito de polticas dinmico, donde las mejores prcticas seguirn evolucionando, guiadas
por la experiencia, los nuevos retos y el desarrollo de una concepcin ms sofisticada por parte de
los responsables polticos. Las experiencias de estos pases proporcionan una gua til para las
mejores prcticas de otros pases que estn desarrollando sus propias estrategias nacionales de
ciberseguridad.
Este documento junto con el Informe Ciberseguridad 2016, Ciberseguridad: Estamos preparados en
Amrica Latina y el Caribe? elaborado por el Banco Interamericano de Desarrollo y la Organizacin
de los Estados Americanos constituyen la base para un estudio separado que identifique las
diferencias entre la regin de Amrica Latina y el Caribe y los cuatro casos reconocidos en el mbito
de la ciberseguridad que se expusieron en este estudio. La investigacin puede consultarse en: https://
publications.iadb.org/handle/11319/7449?locale-attribute=es&.
OBSERVATORIO DE LA
CIBERSEGURIDAD
61