Está en la página 1de 32

como Estrategia Nacional

M—dulo 4:
Ciberseguridad como Estrategia Nacional
Índice Pág.

Unidad 1: Nueva Generación de Estrategias Nacionales de


Ciberseguridad y Mejores Prácticas. 3

Unidad 2: Bases para la elaboración de la estrategia nacional de


ciberseguridad. 8

Unidad 3: Principios Rectores y Líneas de Acción. 18

Unidad 4: Nueva Política Nacional de Seguridad Digital: Caso


Colombia. 27

Referencias. 32

MÓDULO 4
Unidad 1: Nueva Generación de Estrategias Nacionales de Ciberseguridad y Me-
jores Prácticas.

En el año 2012, la Organización para la Cooperación y el Desarrollo Económicos (OCDE), publicó un


análisis comparativo sobre la nueva generación de estrategias nacionales en materia de ciberseguri-
dad, el cual reveló que en muchos países la formulación de estrategias nacionales de ciberseguridad
se ha convertido en un tema prioritario de la política nacional y del cual se están ocupando las más
altas instancias de gobierno.

El estudio también concluyó que las nuevas estrategias nacionales son integrales y exhaustivas; tie-
nen un enfoque holístico; abarcan aspectos sociales, económicos, educacionales, legales, cumpli-
miento de la ley, técnicos, diplomáticos, militares y de inteligencia; y los asuntos de soberanía están
recobrando importancia. En ese estudio participaron estados miembros de la OCDE, tales como Aus-
tralia, Canadá, Francia, Alemania, Japón, Países Bajos, Reino Unido, Estados Unidos, Finlandia y Espa-
ña, que habían adoptado estrategias nacionales de ciberseguridad entre 2009 y 2013 (primer ciclo).
Esa nueva generación de estrategias tiene como propósito la prosperidad económica y social, y pro-
teger las sociedades dependientes del ciberespacio de las amenazas y ataques cibernéticos.
Hoy día la formulación de políticas públicas presenta un gran desafío, que es cumplir esos dos obje-
tivos, así como preservar la apertura de Internet como una plataforma para la innovación y nuevas
fuentes de crecimiento. Dicho de otra forma, las nuevas estrategias nacionales de ciberseguridad
pretenden proteger la sociedad de las amenazas cibernéticas y fomentar la seguridad cibernética
como un elemento esencial para lograr el desarrollo de la economía del Internet.
Las estrategias nacionales de ciberseguridad reconocen que la economía, sociedad y los gobiernos
ahora confían más en el Internet para una gran variedad de funciones esenciales y que las amenazas
cibernéticas han evolucionado y se están incrementando rápidamente. El Internet y las TIC son esen-
ciales para el desarrollo económico y social, y constituye una infraestructura vital.
La mayoría de las estrategias nacionales tienen como propósito mejorar la coordinación guberna-
mental tanto a nivel operacional como a nivel de políticas públicas, así como establecer las funciones
y responsabilidades de los actores. También pretenden reforzar la colaboración público-privada, la
necesidad de respetar los derechos humanos, y mejorar los canales de cooperación internacional.
Algunas estrategias han creado condiciones para un diálogo abierto y transparente de las partes in-
teresadas en el proceso de formulación e implementación de las políticas públicas.
Dentro de los planes de acción se fortalecen áreas claves, como la investigación y desarrollo, y el mo-
nitoreo en tiempo real de las infraestructuras de gobierno. También buscan desarrollar una industria
de ciberseguridad más robusta y tomar ventaja de los motores económicos y de los incentivos de la
ciberseguridad.
Asimismo, se identifican actores empresariales o sectores de la economía que son sensibles, como
los propietarios y/o operadores de infraestructuras críticas, y además se crean alianzas con provee-
dores del servicio de internet y se promueven ejercicios o simulacros de ciberseguridad para mejorar
las capacidades de prevención y respuesta ante un ataque cibernético. También se desarrollan mar-
cos de identidad digital y políticas específicas para la protección infantil en línea y de datos personal.
También se abordan medidas para la protección de la infraestructura crítica de la información y la
lucha contra el crimen cibernético, lo cual incluye iniciativas para desarrollar capacidades de las agen-
cias del cumplimiento de la ley, mejoramiento del marco jurídico y fomento de la cooperación inter-
nacional sobre la base de la Convención de Budapest.

3
Otra área que se fortalece es el papel de los Equipos de Respuesta ante Incidentes Cibernéticos
(CSIRT), y la creación de un CSIRT nacional o fortalecer los CSIRT existentes. Finalmente, el fortaleci-
miento de la fuerza laboral en el área de ciberseguridad es esencial, ya que el desarrollo de capacida-
des en este ámbito ha sido identificado como una prioridad en muchos de los países.
En términos generales, se han identificado los siguientes elementos comunes en la nueva generación
de estrategias nacionales de ciberseguridad:
• La adopción de un enfoque estratégico.

• Liderazgo.

• Un enfoque holístico, que incluye mecanismos eficientes de coordinación adaptados a la cul-


tura de cada país y al estilo de gobierno.
• La participación de actores no estatales.

• Fomento de políticas flexibles.

• Fomento de la auto-regulación y alianzas público-privadas.

• Respeto a los valores fundamentales con apropiadas salvaguardas y medidas de control com-
partidas.
• Fomento de la cooperación internacional, como la adopción de normas comunes de compor-
tamiento en el ciberespacio.
• Adopción de medidas políticas que promuevan la producción de información robusta y com-
parable a nivel internacional. Esto podría permitir la formulación de políticas públicas y la
valoración del riesgo de una manera más informada a nivel macro, lo cual permite mejorar la
efectividad de las políticas de gobierno.

A nivel operacional:
• Implementación de mejores prácticas de seguridad en los sistemas y redes.

• Creación o fortalecimiento de las capacidades de un CSIRT nacional.


• Fortalecimiento de la lucha contra el crimen organizado.

• Implementación de las recomendaciones de la OCDE en cuanto a la protección de la infraes-


tructura crítica de la información.
• Sensibilización de todos los participantes o partes interesadas.

• Promover incentivos que estimulen la industria y la fuerza laboral en el sector de la ciberse-


guridad.
• Incentivar la investigación y desarrollo.

• Establecer un solo punto de contacto para la cooperación internacional.

• Incentivar la organización de ejercicio o simulacros.

4
Por otro lado, las partes interesadas no gubernamentales sostienen que:

1. La colaboración y la cooperación de las partes interesadas son la mejor forma de desarrollar


políticas públicas efectivas y que respeten fundamentalmente la naturaleza global, abierta e inte-
roperable del Internet.
2. Las políticas deben ser lo suficientemente flexibles para acomodar la naturaleza dinámica del
Internet y la tecnología.

3. Se requiere una formulación de políticas públicas más robusta, basada en resultados, una área
que generalmente no está contemplada en las estrategias nacionales.

ISLANDIA

IRLANDA FRANCIA
02/07/15 19/10/15
ESTRATEGêA
NACIONAL DE
SEGURIDAD DIGITAL

... 2000 ... 2006 2007 2008 2009 2010 2011 2012 2013 2014 ... 2015
COLOMBIA

REPòBLIC A
CHECA MALTA
16/02/15
RECOMENDACIONES
OCDE
PORTUGAL SOBRE LA
28/05/15 GESTIîN DE RIESGOS
DE SEGURIDAD DIGITAL
17/09/15

Nuevo enfoque

Estrategias enmarcadas en un conjunto de principios generales.


Basadas en la gesti—n de riesgos.
Distinci—n entre objetivos de prosperidad econ—mica y social, defensa nacional, lucha contra el crimen y la
delicuencia digital.

Después de ese informe, varios países impulsaron el desarrollo de estrategias nacionales de ciber-
seguridad bajo ese nuevo modelo, entre ellos, varios países miembros de la OCDE, como Austria
(2013), Bélgica (2013), Hungría (2013), Italia (2013), Noruega (2012), Suiza (2012) y Turquía (2013).
Asimismo, Japón (2013), Países Bajos (2013), Estonia (2014), Francia (2015) y Australia (2016) han ac-
tualizado sus estrategias nacionales, y otros países no pertenecientes a la OCDE, como India (2013),
Kenia (2013), Letonia (2014), Qatar (2014), Rusia (2013), Singapur (2013), Suráfrica (2013), Trinidad y
Tobago (2012), Uganda (2013), y recientemente Colombia (2016, 2da. ronda), Chile (2017), Paraguay
(2017), Costa Rica (2017), Republica dominicana (2018) y Guatemala (2019), para citar los más recien-
tes casos de LAC, han adoptado o actualizado sus estrategias nacionales de ciberseguridad sobre los
lineamientos y recomendaciones de la OCDE.
En comparación con los modelos anteriores, de inicios de los años 2000, la nueva tendencia está sus-
tentada en un fuerte liderazgo, una mejor visibilidad dentro de los gobiernos, mejor coordinación y
un amplio involucramiento de las partes interesadas. Asimismo, las consideraciones de soberanía en
la formulación de políticas de seguridad cibernética son cada vez más relevantes y se puede notar
una mayor participación de militares y agentes de inteligencia.

5
Sin embargo, cuando las estrategias de seguridad cibernética se centran exclusivamente en asuntos
militares y de inteligencia, es posible que no alcancen un equilibrio entre la seguridad nacional y los
derechos humanos.
En lo que respecta a las mejores prácticas internacionales, esa nueva filosofía de formulación de
las estrategias nacionales de seguridad cibernética, está en total concordancia con los planteamien-
tos, recomendaciones y lineamientos expuestos por organizaciones multilaterales, como la OTAN, la
OCDE, la UIT y la OEA, las cuales sugieren, en términos generales, que los gobiernos deben adoptar
un enfoque de política que se adapte a los cambios y permita que las organizaciones y los ciudadanos
entiendan, evalúen y tomen medidas apropiadas para manejar las incertidumbres y los riesgos en el
entorno digital.
Dicho enfoque se denomina “gestión de riesgos”, y donde la OCDE ha sostenido que la gestión de
riesgos es estratégica para la toma de decisiones socio-económicas, y que las políticas que se toman
bajo ese nuevo enfoque sustentarán los objetivos de las actividades socio-económicas.
Por otro lado, la UIT señala que las medidas
para gestionar los riesgos en el entorno digital
deben tener en cuenta la salvaguarda de los de-
rechos humanos y de los valores nacionales, lo
cual quiere decir que, el respeto a los derechos
humanos se extiende al entorno digital y se de-
ben considerar las consecuencias (positivas o
negativas) sobre estos a la hora de definir las
medidas o políticas de seguridad digital.
Con respecto a los involucrados en la política
pública, como agentes creadores de un entorno
digital seguro, se coincide que, si cada actor de-
pende del entorno digital para desarrollar algu-
na o todas sus actividades económicas, debe participar y tener un papel particular en la formulación
de las políticas públicas de seguridad digital.
Este modelo se le denomina “múltiples partes interesadas”, en el que además se debería de promo-
ver una responsabilidad compartida entre todas las partes interesadas, lo cual implica que esto no
es un tema que atañe únicamente a los gobiernos. Para lograr ese cometido, éstos deben de orientar
sus estrategias a la gestión de riesgos, pero también a la concientización, sensibilización y educación,
con lo cual se pretende que los ciudadanos conozcan cómo afrontar las amenazas y así reducir los
riesgos.
Una tendencia destacable es la cooperación internacional. Cada vez se incrementa la intervención de
las organizaciones internacionales y regionales en la formulación, ejecución y evaluación de las estra-
tegias nacionales de ciberseguridad. En Europa, la Estrategia de Ciberseguridad de la Unión Europea
(2013) se ha acompañado de una propuesta legislativa que pretendía obligar a los Estados miembros
a dotarse de una estrategia nacional de ciberseguridad. Al 2015, 18 de los 28 países miembros de la
Unión Europea contaban con una estrategia nacional de ciberseguridad.
En el caso de América Latina y el Caribe, la OEA ha asistido a Colombia, Panamá, Trinidad y Tobago,
Jamaica, Costa Rica, Chile, Paraguay y México en la redacción y adopción de sus estrategias nacio-
nales de ciberseguridad, y está colaborando con Argentina, Dominica, Perú, Honduras, Belize, Bar-
bados, República Dominicana, Guatemala, y Suriname en la formulación y redacción de la estrategia
nacional, y se espera que otros países de la región comiencen el proceso de elaboración de sus estra-
tegias en los próximos meses.

6
En el caso de África, la Convención de la Unión Africana sobre Ciberseguridad y Protección de Datos
de Carácter Personal (2014) instó a sus Estados miembros a desarrollar estrategias nacionales de
ciberseguridad, poniendo énfasis en la reforma y los desarrollos legislativos, el fortalecimiento de
capacidades, la colaboración público-privada y la cooperación internacional, definición de estructu-
ras organizativas, entre otras.

Estrategias Nacionales Adoptadas

Trinidad
Colombia Panamá
y Tobago
2011 & 2016 2013
2013

Chile
Jamaica Paraguay
2017
2013 2017

Costa Rica México Perú


2013 2017 2017

Guatemala Argentina
2018 2019

Estrategias Nacionales en Desarrollo

República
Honduras Belice
Dominicana

Barbados

7
Unidad 2: Bases para la elaboración de la Estrategia Nacional de Ciberseguridad.
El uso del Internet y de las TIC se han incorporado a nuestra vida cotidiana, lo cual ha propiciado un
desarrollo económico y social sin precedentes, pero al mismo tiempo conlleva el surgimiento de ries-
gos y amenazas, que pueden afectar la seguridad nacional de un país. Asegurar el ciberespacio se ha
convertido en uno de los grandes retos de la actualidad y es considerado un tema de interés nacional,
a nivel estratégico, pues afecta a todos los niveles de la sociedad.
La importancia estratégica de disponer de un ciberespacio seguro conlleva a la creación de una es-
trategia nacional de ciberseguridad, es decir, un conjunto de órganos, políticas y procedimientos que
permitan la dirección, control y gestión de la seguridad en el ciberespacio. No obstante, todas las
partes involucradas en el ciberespacio, ya sea un usuario individual de Internet, un pequeño negocio,
una organización pública o privada, entre otros. deben decidir su propia política para mantener la
seguridad en el ciberespacio y estas deben estar directamente correlacionadas entre sí y responder a
una estrategia nacional de ciberseguridad de nivel superior con una misión y un propósito como país.
El desarrollo de una política o estrategia integral de ciberseguridad puede plantear muchos retos y
desafíos, ya que es necesario lograr consenso y cooperación entre las partes interesadas para lograr
un curso de acción común, y esa tarea no es fácil.
En el ciclo de vida de una estrategia nacional de ciberseguridad hay dos etapas importantes:
• Desarrollo e implementación de la estrategia.

• Evaluación y actualización de la estrategia.

Lo anterior sigue el modelo de Deming “Plan-Do-Check-Act”, el cual es usado para revisar y mejorar
continuamente estrategias, políticas, procesos y productos. Se podrían aplicar tres enfoques para
gestionar una estrategia nacional:

1. Enfoque Lineal: La estrategia nacional será desarrollada, implementada, evaluada y even-


tualmente cumplida o reemplazada.
2. Enfoque de Ciclo de Vida: El resultado de la fase de evaluación será usado para mantener
y ajustar la misma estrategia.
3. Enfoque Híbrido: Podrían presentarse varios ciclos de mejoramiento en diferentes niveles.

La Agencia Europea de Seguridad de la Información y Redes (ENISA por sus siglas en inglés) llegó a
la conclusión de que el enfoque de ciclo de vida es el modelo que mejor se ajusta a sus necesidades
y la naturaleza de los requerimientos de una estrategia nacional de ciberseguridad. Normalmente
las estrategias deberían responder y/o adaptar sus acciones rápidamente a los fines de encarar las
amenazas y riesgos cibernéticos emergentes. En América Latina y el Caribe pocos países tienen es-
trategia nacional en operación y únicamente Colombia va por el segundo ciclo de su estrategia, pero
es importante tener presente lo anterior a los efectos de evaluar continuamente los objetivos estra-
tégicos y actualizar las políticas y objetivos según la realidad y las necesidades de cada país.

¿Por qué desarrollar una Estrategia Nacional de Seguridad Cibernética?

• La creciente dependencia de los gobiernos del uso del Internet y de las TIC, genera una cre-
ciente exposición a amenazas cibernéticos, las cuales también afectan a las empresas y a los
ciudadanos, por lo que es función de los gobiernos velar por la seguridad y estabilidad en el
ciberespacio, y fomentar la prosperidad de los ciudadanos y el bienestar económico.

8
• La estrategia nacional de seguridad cibernética viene a ser la hoja de ruta de las políticas
públicas por lo que también debe armonizar con otras estrategias nacionales, económicas,
sociales, defensa, penetración de Banda Ancha, entre otros.
• Sin una respuesta estratégica clara y definida, los esfuerzos nacionales en materia de seguri-
dad cibernética serán insostenibles, aislados, duplicados e ineficiente.

¿Cuáles son los beneficios de la implementación de una estrategia nacional de ciberseguridad?

• Proteger los intereses nacionales.


• Garantizar la estabilidad económica y social del país, así como la continuidad de los servicios
públicos esenciales.
• Garantizar que la infraestructura crítica, y que los datos personales y sensibles estén protegi-
dos y seguros.
• Salvaguardar los activos digitales.
• Garantizar la seguridad ciudadana.
• Fomentar la innovación empresarial y capitalizar las ganancias económicas de los avances eco-
nómicos.
• Prevenir y/o responder oportunamente ante amenazas cibernéticas.

Aspectos claves para desarrollar una estrategia nacional exitosa:

• Compromiso y voluntad política, quizá uno de los principales ingredientes para avanzar y lo-
grar el éxito.
• En primera instancia, se deben identificar los riesgos y amenazas para poder elaborar una es-
trategia acorde a las necesidades actuales del país y en armonía con otras políticas públicas.
• Identificar e involucrar a actores claves.
• Identificar los pasos y los hitos: planificación y coordinación de la hoja de ruta.
• Trazar objetivos claros, medibles y alcanzables, sujetos a revisión y ajuste.

¿Qué no hacer mientras se elabora una estrategia nacional de seguridad cibernética?

• Evitar copiar estrategias o políticas públicas de otros países. La realidad de cada país es dife-
rente, al igual que las necesidades, enfoques y amenazas. Ejemplo, la estrategia nacional de
Panamá está enfocada principalmente en la protección de la infraestructura crítica, por la im-
portancia que tiene el Canal y el sector financiero para la economía del país. Algunas estrate-
gias pueden haber sido desarrolladas de acuerdo con las organizaciones y planes existentes,
o bien estructuradas con base en estrategias anteriores como Australia, Francia, Estonia y Co-
lombia que van por el segundo ciclo, o elaboradas desde cero, un ejemplo Trinidad y Tobago,
Costa Rica, Chile, México, entre otros.
• No excluir a sectores o partes interesadas y sus iniciativas, pues una de las bases para la ela-
boración e implementación de una estrategia nacional, es la cooperación público-privada, y la
participación y compromiso de las partes interesadas.

9
Antes de comenzar a elaborar un borrador de la estrategia nacional, las partes interesadas
deben realizarse las siguientes tres preguntas:

• ¿Qué preocupa? (Riesgos y Amenazas)


Los riesgos y amenazas evolucionan y pueden variar de un país a otro, así que es necesario analizar la
realidad de cada país y su entorno para poder identificar los riesgos y amenazas, y así poder desarrollar
las políticas y estrategias para mejorar las capacidades y defensas cibernéticas.
• ¿Quién se preocupa? (Responsables)
La seguridad del ciberespacio es responsabilidad del Estado. El gobierno, desde un ministerio o
desde la misma Presidencia, debe asumir el liderazgo en el proceso de elaboración, implementación
y seguimiento de la estrategia nacional. Los gobiernos deben propiciar la participación no solo de
los actores gubernamentales, sino también de los actores privados, academia, expertos nacionales y
representantes de la sociedad civil.
• ¿Cómo se responde a esa preocupación? (Políticas Públicas)
Mediante la elaboración e implementación de políticas y estrategias, que tengan prioridades y
objetivos claros, para hacerle frente a los riesgos y amenazas cibernéticas debidamente identificados,
y que además estén en armonía con otras estrategias del país. En términos generales, las principales
políticas deben ir encaminadas a fomentar:Resiliencia en el ciberespacio.
Ǥ Estructura organizativa.

Ǥ Marco legal.

Ǥ Colaboración público-privada.

Ǥ Educación y sensibilización.

Ǥ Innovación, desarrollo e investigación.

Ǥ Cooperación internacional.

¿Quiénes deben involucrarse en el proceso de elaboración de la estrategia nacional?

Se recomienda que los gobiernos deben involucrar tantos actores o partes interesadas como sea
posible en el proceso de elaboración de la estrategia nacional de ciberseguridad. Esto con motivo de
que en el ciberespacio fluyen todo tipo de actividades sociales, económicas y de seguridad nacional,
así que involucrar a todo el espectro de actores es importante por las siguientes razones:

• Crea en las partes interesadas un sentido de apropiación por la estrategia que ellos ayudaron
a construir. La cooperación es un factor elemental en la etapa de elaboración e implementa-
ción.
• Los gobiernos podrían no estar en posición de dictar una estrategia en donde algunas partes
interesadas son los propietarios y/o administradores de la infraestructura crítica. Otras par-
tes interesadas normalmente poseen capacidades fuera de las competencias medulares de la
mayoría de los gobiernos y sus aportes vienen a enriquecer la discusión y proceso de formu-
lación de las políticas públicas.

10
Las partes interesadas podrían variar según cada país, pero al menos podemos contemplar las
siguientes:

• Poder Ejecutivo: Los gobiernos tienen la obligación de asegurar la prosperidad y seguridad


de las naciones, por lo tanto, el Poder Ejecutivo es responsable de establecer la agenda para
asegurar todos los dominios, incluyendo el ciberespacio.

• Poder Legislativo: Su rol es importante, ya que le da las herramientas necesarias al Poder


Ejecutivo para garantizar que el ciberespacio sea un dominio seguro.

• Poder Judicial: También juega un papel importante, especialmente como socio global para
cerrar las brechas en la legislación doméstica, que puedan propiciar un terreno fértil para los
ciberdelincuente. También tiene un rol importante en la lucha y juzgamiento de ciberdelitos y
puede ayudar a fomentar la cooperación internacional en el juzgamiento de aquellos delitos
que trascienden las fronteras.

• Propietarios y/o operadores de la infraestructura crítica: Suena lógico, pero este tipo de
organizaciones deben involucrarse por la sencilla razón de que tienen un interés económico
en el éxito de los programas de la estrategia nacional de ciberseguridad. Los Estados podrían
implementar medidas legales y regulatorias para obligar a estas organizaciones a cumplir
ciertos estándares y buenas prácticas.

• Agencias de Cumplimiento de la Ley: Son los encargados de hacer cumplir la legislación


doméstica, especialmente las leyes penales. Así que su retroalimentación es esencial para
darle las herramientas adecuadas y puedan crear alianzas con otras agencias internacionales,
como la Interpol, Europol, entre otros.

• Agencias de Inteligencia: Las agencias encargadas de los asuntos de seguridad y defensa


nacional podrían jugar un papel importante en esta etapa, ya que tienen experiencia en
monitorear las redes de telecomunicaciones, criptografía y criptoanálisis, por lo que su
retroalimentación y aportes en asuntos técnicos son de gran valor.

• Proveedores: Su participación se justifica por cuanto estos actores diseñan las medidas
técnicas requeridas para prevenir, detectar y responder a los ataques cibernéticos. Los
proveedores son la fuente o la solución a las vulnerabilidades y amenazas cibernéticas, por lo
que no se podrían dejar fuera del proceso.

• Comunidad Académica: Las instituciones académicas educan a los expertos en diferentes


frentes de la seguridad de la información y administración, requeridos para trazar y ejecutar las
estrategias de ciberseguridad. Asimismo, el sector académico generalmente alberga centros
de respuesta ante emergencias informáticas, y además lidera proyectos de investigación y
desarrollo de soluciones seguras.

• Socios Internacionales: Se recomienda involucrar a los aliados y socios internacionales para


que contribuyan con la estrategia. Las vulnerabilidades de un país podrían afectar otros
países en razón de los lazos económicos y de seguridad nacional. Los Estados pueden suscribir
memorándums de entendimiento para colaborar en áreas específicas, tales como respuesta a
incidentes, capacitación, marco legal e investigación y desarrollo.

11
• Ciudadanos: El último, pero no el menos importante. La estrategia nacional debe contemplar
la voz de sus ciudadanos. Estos tienen un sitio en el ciberespacio, el cual debe ser libre de
fraudes, pornografía infantil entre otras amenazas y riesgos. Los ciudadanos no apoyarán una
estrategia nacional donde la seguridad nacional prevalece sobre los derechos humanos. No es
fácil obtener la retroalimentación de todos los ciudadanos, así que es importante involucrar
grupos o asociaciones que defiendan los derechos de la sociedad civil.

Metodología y proceso de elaboración de las políticas públicas:

Este proceso depende mucho de las necesidades, tiempos y nivel de involucramiento de las partes
interesadas en cada país, pues este proceso podría demorar meses o incluso años.
A continuación, vamos estudiar las etapas del proceso de elaboración de las políticas de seguridad
cibernética, partiendo de la experiencia reciente de Chile y Colombia.

1. Conformación de la Comisión Intersectorial: Se formará por las partes interesadas del sec-
tor gubernamental, que van a definir o estructurar el plan de trabajo y la metodología. En
un primer momento se debería de involucrar las entidades o ministerios relacionados con
organismos de Inteligencia defensa, relaciones exteriores, justicia, presidencia, telecomuni-
caciones, economía, y hacienda. Lo ideal es que todos los ministerios se involucren y aporten
en el diseño y elaboración de políticas. En el caso de Chile este comité realizó varias sesiones
durante casi un año y propuso los 6 ejes específicos que luego originaron los 5 objetivos es-
tratégicos.
2. Convocatoria a mesas de trabajo: Contar con la participación de expertos nacionales (aca-
démicos, sector privado, comunidad técnica, sociedad civil) e internacionales (en el caso de
Colombia participaron expertos de la OEA, UIT, ONU, OCDE, INTERPOL) para hacer un diag-
nóstico del estado de la seguridad cibernética en el país, y así generar conclusiones y reco-
mendaciones partiendo de una visión integral con el fin de trazar objetivos estratégicos que
involucren tanto la defensa del país (militar, inteligencia, entre otros), como la lucha contra
el cibercrimen y la prosperidad económica y social; en el caso de Colombia, estas mesas de
trabajo tomaron lugar entre el 2014 y 2015.
3. Redacción de borrador: Con los insumos generados durante las mesas de trabajo, se redacta
un documento base para ir definiendo las propuestas de ejes estratégicos y líneas de acción.
4. Audiencias pública: Convocatoria a sesiones donde participan personas de diferentes secto-
res. En el caso de Chile, se realizaron más de 50 sesiones, y posteriormente se tuvo el borra-
dor del documento para consulta pública, por más de dos meses. En ese proceso participaron
desde IBM y Microsoft hasta académicos y ciudadanos, todas las propuestas e iniciativas fue-
ron valoradas y tomadas en consideración.
5. Misión de Asistencia Técnica Internacional (OEA): Con los insumos generados durante las
mesas de trabajo y las audiencias públicas, una misión técnica de la OEA visita al país para
filtrar insumos, hacer nuevas recomendaciones y generar un documento, tomando en cuen-
ta las mejores prácticas internacionales. En la mayoría de los países, se ha requerido más de
una visita técnica para ir dándole forma a la estrategia. En el caso de Colombia, el borrador
de la estrategia se le remitió nuevamente a los expertos nacionales e internacionales, para
que hicieran nuevas recomendaciones, e incluso se convocaron más mesas de discusión para
depurar el documento de las políticas de seguridad digital
6. Validación de documentos: Se realiza una validación del documento base con las recomen-
daciones estratégicas.

12
7. Aprobación de la Política o Estrategia Nacional de Ciberseguridad: Se somete a aproba-
ción por parte de la Presidencia, Consejo de Gobierno o autoridad competente. En el caso
de Colombia, las políticas nacionales de seguridad digital fueron aprobadas por el Consejo
Nacional de Políticas Económicas y Sociales (Conpes). Una vez aprobada y publicada, los obje-
tivos estratégicos y líneas de acciones tienen el banderazo de salida para su implementación.

Según la UIT, una estrategia nacional de ciberseguridad debe contener los siguientes elementos:

• Compromiso/responsabilidad Política: Los líderes políticos serán responsables de planear y


actualizar una estrategia nacional de ciberseguridad y fomentar la cooperación local, nacional
e internacional.
• Coordinador Nacional de Ciberseguridad: Una agencia o funcionario encargado de velar
por el cumplimiento de los objetivos y actividades de la estrategia nacional, debe proteger al
Estado de todo tipo de riesgos y amenazas cibernéticas.
• Marco Legal: Cada Estado debe revisar su marco jurídico y promulgar leyes y reglamentos
con el fin de mejorar su legislación, especialmente leyes en el ámbito penal que permitan la
sanción y enjuiciamiento de las conductas delictivas en el ciberespacio o ciberdelitos.
• Marco de Referencia Nacional de Ciberseguridad: Cada Estado debe adoptar un marco de
referencia, en donde se definan un mínimo de medidas de seguridad, pero de acatamiento
obligatorio sobre gestión y cumplimiento de riesgo.
• Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT): Es una agencia nacional
encargada de gestionar las capacidades y riesgos cibernéticos, entre ellas el análisis de las
tendencias y amenazas cibernéticas actuales, coordinar respuestas a ataques cibernéticos y
mantiene informados a todos los interesados.
• Programa de Concientización y Educación: Dentro de toda estrategia nacional, debe existir
un programa de concientización, sensibilización y educación sobre los riesgos y amenazas
cibernéticas.
• Cooperación y Alianzas Público-Privadas: Los gobiernos deben gestionar alianzas con el
sector privado para fortalecer las capacidades y defensas de seguridad cibernética y lograr
que la estrategia nacional sea exitosa.
• Programa de Mejoramiento de Capacidades y Entrenamiento: Todo gobierno debe ayudar
a mejorar las capacidades de sus profesionales en el área de la seguridad cibernética, mediante
carreras universitarias, maestrías, certificaciones, entre otros.
• Cooperación Internacional: La cooperación internacional es vital debido a la naturaleza
transfronteriza de las amenazas y delitos cibernéticos.

Estructura básica de una Estrategia o Política Nacional de Ciberseguridad:

• Declaración de Propósitos o Motivos:


Establecer una visión integral de las necesidades y políticas públicas en materia de seguridad
cibernética, y que estén en armonía con otras estrategias nacionales: seguridad nacional, economía,
entre otros.

13
Por ejemplo:
Ǥ Australia: El objetivo de la política de seguridad cibernética del gobierno australiano es
el mantenimiento de un entorno operativo electrónico seguro, resistente y confiable que
apoye la seguridad nacional y maximice los beneficios de la economía digital.
Ǥ Colombia: Fortalecer las capacidades de las múltiples partes interesadas para identificar,
gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socio-
económicas en el entorno digital, en un marco de cooperación, colaboración y asistencia.
Lo anterior, con el propósito de contribuir al crecimiento de la economía digital nacional, lo
que a su vez impulsará una mayor prosperidad económica y social en el país.
Ǥ España: El propósito de su estrategia es fijar las directrices generales del uso seguro del
ciberespacio, impulsando una visión integradora cuya aplicación ayude a garantizar a la
nación su seguridad y progreso, a través de la adecuada coordinación y cooperación de la
Administración Pública con el sector privado y con los ciudadanos. Todo ello dentro del
máximo respeto a los principios recogidos en la Constitución, en las disposiciones de la
Carta de Naciones Unidas, relativas al mantenimiento de la paz y seguridad internacional,
en coherencia con la Estrategia de Seguridad Nacional y con iniciativas desarrolladas en el
marco europeo, internacional y regional.
Ǥ Chile: El Plan Nacional de Ciberseguridad sugiere los siguientes motivos:
(a) Resguardar la seguridad de las personas en el ciberespacio.
(b) Proteger la seguridad del país.
(c) Promover la colaboración y coordinación entre las instituciones, y
(d) Gestionar los riesgos del ciberespacio.

• Introducción:

Proporcionar un contexto general, definir el panorama actual de las amenazas nacionales, regionales
y globales, estadísticas sobre los ataques cibernéticos y la penetración de Internet, y una perspectiva
general sobre ciberseguridad y la necesidad de una estrategia.

• Diagnóstico:

Donde se hace una evaluación del nivel de madurez de la política y estrategia, cultura y sociedad,
educación, marcos legales y tecnología. Ese diagnóstico debe involucrar a todas las partes interesadas
para contemplar las vulnerabilidades y riesgos en todos sus niveles y dar respuesta a las mismas.

Se podrían hacer diagnósticos o auditorías de forma anual para medir los avances y deficiencia en
el proceso de implementación, así como evaluar nuevamente el entorno y replantear en caso de ser
necesario, pues en este ámbito las circunstancias pueden cambiar en cuestión de semanas o meses.

• Principios Rectores:

Estos principios serán los valores fundamentales durante la implementación de la estrategia. Más
adelante trataremos con mayor propiedad este aspecto.

14
• Objetivos Generales:

Estos representan temas amplios o generales que permiten desarrollar los objetivos de la hoja
de ruta. Estos objetivos generales no deben ser objetivos de un gobierno en particular, sino una
estrategia país que se le debe dar continuidad, independientemente quién o qué partido político
está en el gobierno.

Ǥ Compromiso y cooperación gubernamental.


Ǥ Respuesta a incidentes (disuasión, detección y prevención).
Ǥ Marco legal.
Ǥ Cooperación internacional.
Ǥ Colaboración público-privada.
Ǥ Creación de capacidades y sensibilización.

• Hoja de Ruta:

La hoja de ruta es elaborada en función del diagnóstico y de los objetivos generales, y por lo general,
tiene objetivos estratégicos con plazos de cumplimiento determinados y sujetos a un presupuesto
limitado. Por ejemplo:

Chile: El Plan Nacional de Ciberseguridad se plantean los siguientes objetivos estratégicos:


1. Contar con una infraestructura de la información pública y privada resiliente, preparada para
resistir y recuperarse de incidentes de ciberseguridad.
Ǥ Identificación y gestión de riesgos.
Ǥ Protección de la infraestructura crítica de la información.
Ǥ Identificación y jerarquización de las infraestructuras críticas de la información.

2. Velará por los derechos de las personas en el ciberespacio.


Ǥ Prevención de ilícitos y generación de confianza en el ciberespacio.
Ǥ Establecimiento de prioridades en la implementación de medidas sancionatorias.
Ǥ Prevención multisectorial.
Ǥ Protección y promoción de derechos fundamentales.

3. Desarrollar una cultura de la ciberseguridad en torno a la educación, buenas prácticas y res-


ponsabilidad en el manejo de tecnologías digitales.
Ǥ Una cultura de la ciberseguridad.
Ǥ Sensibilización e información a la comunidad.
Ǥ Formación para la ciberseguridad.

4. Establecer relaciones de cooperación en ciberseguridad con otros actores y participar activa-


mente en foros y discusiones internacionales.
Ǥ Principios de la política exterior chilena.
Ǥ Cooperación y asistencia.

15
Ǥ Reforzar la participación en instancias multilaterales y en instancias de múltiples partes
interesadas.
Ǥ Reforzar normas internacionales que promuevan la seguridad en el ciberespacio.

5. Promover el desarrollo de una industria de la ciberseguridad, que sirva a sus objetivos estra-
tégicos.
Ǥ Importancia de la innovación y desarrollo en materia de ciberseguridad.
Ǥ Ciberseguridad como medio para contribuir al desarrollo digital.
Ǥ Desarrollo de la industria de ciberseguridad.
Ǥ Contribuir a la generación de oferta por parte de la industria local.
Ǥ Orientación de demanda de parte del sector público a la generación de los intereses
estratégicos del Estado.

• Institucionalidad:

Para cumplir con los objetivos estratégicos se requiere colaboración público-privada, pero
principalmente una estructura organizacional que dirija el proceso de implementación de las políticas
nacionales, y que se le asigne funciones y responsabilidades y recursos financieros suficientes para
el cumplimiento de los objetivos. Esta institucionalidad tendrá, al menos, las siguientes funciones:

Ǥ Gestión de incidentes a nivel nacional.


Ǥ Coordinación interinstitucional.
Ǥ Normas reglamentarias y técnicas.
Ǥ Seguimiento y evaluación.

¿Quién va a coordinar e implementar la estrategia nacional?

1 En todo buen plan debe


involucrarse a los actores
relevantes.
2 Identificar una entidad
responsable de cada actividad y
asignarle un presupuesto.

Desarrollar un mecanismo de seguimiento: esto podría ser realizado por un organismo

3
público, interinstitucional o un grupo de trabajo interministerial, definido como el
coordinador de la estrategia.

Esta sería la entidad que tiene la responsabilidad general del ciclo de vida y la documentación
de la estrategia.

4 La estructura de la entidad coordinadora, sus responsabilidades exactas y su relación con los


otros actores interesados deben estar claramente definidos (ENISA 2012).

16
Coordinador de la Estrategia Nacional de Ciberseguridad.

La estrategia nacional debe identificar un Punto de Contacto para todos los asuntos nacionales de
ciberseguridad y coordinación. Por ejemplo:

1. Australia:
El desarrollo de las políticas es orquestado por el Coordinador de Políticas Cibernéticas / Jefe de
Información Nacional, el cual está adscrito al Departamento del Primer Ministro y Operaciones en el
Centro de Operaciones de Seguridad Cibernética.
2. Alemania:
El Centro Nacional de Respuestas Cibernéticas y el Consejo Nacional de Seguridad Cibernética.
3. Reino Unido:
La Oficina de Seguridad Cibernética y Aseguramiento de la Información (OCSIA) en la oficina del
gabinete.
• Medidas Inmediatas:

Son aquellas medidas complementarias de la agenda, bien sea para resolver problemas urgentes y
preparar o nivelar ciertas áreas que presentan diferencias o rezagos.

Todo con la finalidad de lograr un mayor alcance o rendimiento en el proceso de implementación de


los objetivos estratégicos. Dichas medidas deberán ser cumplidas a corto plazo. Cada medida sirve de
base a uno o más objetivos estratégicos.

17
Unidad 3: Principios Rectores y Líneas de Acción.

Toda estrategia nacional de ciberseguridad está fundada en una serie de principios rectores que son
la base de las políticas públicas, estructuras organizativas, líneas de acción, entre otras. y que en
términos generales enmarcan y definen la orientación y los objetivos específicos de cada estrategia
nacional de ciberseguridad.

En el caso de España, la Estrategia de Ciberseguridad Nacional (2013) se inspira en los siguientes


principios rectores:
• Liderazgo nacional y coordinación de esfuerzos:
El ámbito y la complejidad de los desafíos del cibe-
respacio requieren, además de un liderazgo nacio-
nal decidido, la adecuada coordinación de las ca-
pacidades, recursos y competencias involucradas.
Ambas exigencias son asumidas por el Presidente
del Gobierno que dirigirá y supervisará la Política de
Ciberseguridad Nacional en el marco del Consejo de
Seguridad Nacional.
• Responsabilidad compartida: Todos los agentes
públicos y privados con responsabilidad en esta ma-
teria, incluyendo también a los propios ciudadanos,
que han de sentirse implicados con la ciberseguri-
dad. Para ello, se hace precisa una intensa coordi-
nación de los diferentes organismos de las Admi-
nistraciones Públicas y una adecuada cooperación
público-privada capaz de compatibilizar iniciativas y propiciar el intercambio de información.
• Proporcionalidad, racionalidad y eficiencia: Es necesario gestionar los riesgos derivados
del uso de la tecnología de forma dinámica, equilibrando oportunidades y amenazas, asegu-
rando la proporcionalidad en la medida de la protección adoptada, que habrán de ser elemen-
tos habilitantes de la confianza y no trabas al desarrollo de nuevos servicios.
• Cooperación Internacional: El carácter transfronterizo de las amenazas hace que sea esen-
cial promover la cooperación global, ya que muchas de las posibles medidas sólo resultarán
eficaces si se adoptan internacionalmente con la adecuada cooperación y coordinación entre
los distintos países.
El Consejo de Seguridad Nacional de España ha hecho pública la Estrategia Nacional de Cibersegu-
ridad 2019, que supone una actualización de las amenazas y desafíos tras la experiencia adquirida
desde la Estrategia de Ciberseguridad Nacional de 2013.

Para adecuarse a este nuevo escenario cambiante, la nueva Estrategia propone un conjunto de Lí-
neas de Acción y medidas más dinámicas que permiten una rápida adaptación del ecosistema de
ciberseguridad nacional. La estrategia clasifica las amenazas en dos categorías:

1. Las que amenazan a activos que forman parte del ciberespacio.


2. Aquellas que usan el ciberespacio como medio para realizar actividades maliciosas e ilícitas de
todo tipo. Ejemplos: hacktivismo, ciberdelitos y ciberterrorismo.

18
Dicha estrategia se rige de 4 principios, y establece un objetivo general y 5 objetivos específicos que
son transversales en todos los ámbitos.

Principios:

1. Unidad de acción: Toda respuesta ante un incidente en el ámbito de la ciberseguridad que


pueda implicar a distintos agentes del Estado se verá reforzada si es coherente, coordinada y se
resuelve de manera rápida y eficaz, cualidades alcanzables a través de la adecuada preparación y
articulación de la unidad de acción del Estado.

2. Anticipación: Priman las actuaciones preventivas sobre las reactivas. Disponer de sistemas efi-
caces, con información compartida lo más próximo al tiempo real, permite alcanzar un adecuado
conocimiento de la situación. Dicho factor resulta imprescindible para minimizar el tiempo de res-
puesta, lo que puede resultar crítico para reducir los efectos de las amenazas.

3. Eficiencia: La ciberseguridad precisa del empleo de sistemas multipropósito de gran valor y


elevado nivel tecnológico, que llevan asociadas unas necesidades muy exigentes y un alto coste
derivado de su desarrollo, adquisición y operación. A lo anterior se suma la necesidad de una pla-
nificación anticipada y una elevada complejidad en su sostenimiento.

4. Resiliencia: La resiliencia es una característica fundamental que deben poseer los sistemas e
infraestructuras críticas. El Estado está obligado a asegurar la disponibilidad de los elementos que
se consideren esenciales para la nación, mejorando su protección contra las ciberamenazas.

Objetivos:

Objetivo General: Garantizar en España, el uso seguro y fiable del ciberespacio, protegiendo los
derechos y las libertades de los ciudadanos y promoviendo el progreso socio económico.

Objetivos específicos:

1. Seguridad y resiliencia de las redes y los sistemas de información y comunicaciones del sector
público y de los servicios esenciales a fin de crear servicios más eficientes y seguros. Para ello
es necesario aplicar medidas de seguridad que mejoren la capacidad de prevención, detección y
respuesta ante un ciberataque, mediante un refuerzo de la coordinación y adaptación de la legis-
lación.

2. Uso seguro y fiable del ciberespacio frente a su uso ilícito o malicioso. Para ello, es importante
reforzar la cooperación judicial y policial, nacional e internacional, y proporcionar formación y sufi-
cientes recursos a los organismos competentes para investigar el cibercrimen. También es esencial
la colaboración ciudadana en este ámbito.

3. Protección del ecosistema empresarial y social y de los ciudadanos para garantizar el derecho
que tienen todas las organizaciones y ciudadanos a usar el ciberespacio de forma segura. Más allá
de las medidas de seguridad que implanten los profesionales y empresas para garantizar la pro-
tección de la información que manejan, es necesario que el Estado establezca unas medidas gene-
rales de ciberseguridad que serán de obligado cumplimiento. Por su parte, los ciudadanos deben
también hacer un uso responsable de la red.

19
4. Cultura y compromiso con la ciberseguridad y potenciación de las capacidades humanas y tecno-
lógicas. Para ello, debe fomentarse una cultura de la ciberseguridad mediante acciones de comu-
nicación en los medios y de formación e información a ciudadanos y empresas. Es importante que
exista una adecuada oferta formativa para profesionales en ciberseguridad ya que es uno de los
perfiles más demandados actualmente por las empresas.

5. Seguridad del ciberespacio en el ámbito internacional. Se pretende crear un marco para la coo-
peración y la prevención internacional de ciberdelitos con el que se creará un ciberespacio más
seguro, plural y fiable. A través de la colaboración internacional se aumentará la confianza en In-
ternet, en el desarrollo de nuevas tecnologías y en la transformación digital. Con ello se pretende
llegar al mercado único digital.

La estrategia también define la arquitectura orgánica de la ciberseguridad, integrándola en el actual


Sistema de Seguridad Nacional con los siguientes componentes:

20
La estrategia nacional de ciberseguridad de Jamaica se sustenta en los siguientes principios rectores:

• Liderazgo: Con el reconocimiento de que el Gobierno es responsa-


ble de la formulación de políticas con respecto al sector de las TIC y
es uno de los mayores consumidores de servicios de tecnología de la
información, se compromete a dirigir los objetivos de esta estrategia
mediante la adopción de las mejores prácticas en sus operaciones.
• Responsabilidad Compartida: Todos los usuarios, en el disfrute
de los beneficios de las TIC, deben tomar medidas razonables para
asegurar sus propios sistemas de Tecnología de la Información (TI),
tener cuidado con la comunicación y el almacenamiento de los da-
tos personales y sensibles, y respetar los datos y los sistemas de TI de otros usuarios. Esta
estrategia, a través de su desarrollo e implementación, apoya un enfoque de múltiples partes
interesadas con responsabilidad compartida para lograr un marco cibernético seguro.
• Protección de la libertad y los derechos fundamentales: Esta estrategia no perjudicará los
derechos de los ciudadanos en virtud del Capítulo 3 de la Constitución.
• La gestión de riesgos: En un mundo globalizado donde todos los sistemas conectados a In-
ternet son potencialmente vulnerables y donde los ataques cibernéticos son difíciles de de-
tectar, la seguridad cibernética absoluta es difícil de alcanzar. Se aplicará un enfoque basado
en el riesgo para evaluar, priorizar, mitigar y dotar las actividades de seguridad cibernética.
• Innovación y Desarrollo Empresarial: Con el reconocimiento de la importancia de la inno-
vación y el desarrollo empresarial de nuestra economía nacional, se fomentará un ambiente
cibernético seguro y propicio para tal desarrollo.
• Recursos sostenibles: Se fomentará un marco sostenible para asegurar la disponibilidad de
capital humano para satisfacer las crecientes y cambiantes necesidades en el área de la infor-
mación y la seguridad cibernética.

La estrategia nacional de ciberseguridad de Panamá (2013) está más enfocada en la protección de


infraestructuras críticas y se inspira en las siguientes premisas y pilares:

Premisas:

• Participación amplia de toda la sociedad y corresponsabilidad en el


desarrollo de la estrategia y las acciones que deriven de ella.
• Garantizar la libertad y protección de la privacidad de las personas
en el ciberespacio.
• Protección de los menores en el ciberespacio.

• Favorecer el desarrollo y crecimiento empresarial en el país y la


adopción de las TIC por parte de las empresas en un entorno confiable.
• Establecer mecanismos de colaboración público-privados para el desarrollo de las acciones.

• Incorporar a organismos internacionales relevantes para el asesoramiento en el desarrollo.

21
Pilares:

• Proteger la privacidad y los derechos fundamentales de los ciudadanos en el ciberespacio.

• Prevenir y detener las conductas delictivas en el ciberespacio o el uso de éste para cualquier
tipo de delito o actos ilícitos.
• Fortalecer la seguridad cibernética de las infraestructuras críticas nacionales.

• Fomentar el desarrollo de un tejido empresarial nacional fuerte en seguridad cibernética,


como referencia para la región.
• Desarrollar una cultura de seguridad cibernética a través de la formación, innovación y la
adopción de estándares.
• Mejorar las seguridad cibernética y capacidad de respuesta ante incidentes de los organismos
públicos.

La nueva estrategia nacional de Colombia está centrada en los siguientes cuatro principios y cinco
dimensiones estratégicas:

Principios:

• Salvaguardar los derechos humanos y los valores fundamentales de


los ciudadanos, incluyendo la libertad de expresión, libre flujo de
información, la confidencialidad de la información y las comunica-
ciones, la protección a la intimidad, y los datos personales y la pri-
vacidad, así como los principios fundamentales consagrados en la
Constitución Política de Colombia.
En caso de limitación a estos derechos, debe ser bajo medidas ex-
cepcionales y estar conforme con la Constitución Política y los están-
dares internacionales aplicables. Estas medidas, deben ser proporcionales, necesarias y estar
enmarcadas en la legalidad.
• Adoptar un enfoque incluyente y colaborativo que involucre activamente las múltiples partes
interesadas, y que permita establecer condiciones para el desarrollo eficiente de alianzas,
con el fin de promover la seguridad digital del país y sus habitantes, y aumentar la capacidad
de resiliencia nacional frente a eventos no deseados en el entorno digital.
• Asegurar una responsabilidad compartida entre las múltiples partes interesadas promovien-
do la máxima colaboración y cooperación. Lo anterior, teniendo en cuenta el rol y el grado de
responsabilidad de cada parte para gestionar los riesgos de seguridad digital y para proteger
el entorno digital.
• Adoptar un enfoque basado en la gestión de riesgos, que permita a los individuos el libre,
seguro y confiable desarrollo de sus actividades en el entorno digital. Lo anterior, fomentará
la prosperidad económica y social, buscando la generación de riqueza, innovación, productivi-
dad, competitividad, y empleo en todos los sectores de la economía.

22
Dimensiones Estratégicas:

• Gobernanza de la seguridad digital: Articulación y armonización de las múltiples partes in-


teresadas, bajo un marco institucional adecuado, con el fin de gestionar la seguridad digital,
bajo el liderazgo del Gobierno nacional.
• Marco legal y regulatorio de la seguridad digital: Marco legal y regulatorio que soporta
todos los aspectos necesarios para adelantar la política.
• Gestión sistemática y cíclica del riesgo de seguridad digital: Conjunto de iniciativas, proce-
dimientos o metodologías coordinadas con el fin de abordar, de manera cíclica y holística, los
riesgos de seguridad digital en el país.
• Cultura ciudadana para la seguridad digital: Sensibilización de las múltiples partes interesa-
das, para crear y fomentar una cultura ciudadana responsable en la seguridad digital.
• Capacidades para la gestión del riesgo de seguridad digital: Fortalecimiento y construc-
ción de capacidades humanas, técnicas, tecnológicas, operacionales y administrativas en las
múltiples partes interesadas, para adelantar la gestión de riesgos de la seguridad digital.
• Establecer un marco institucional para la seguridad digital consistente con un enfoque de
gestión de riesgos, para ello se crearán las máximas instancias de coordinación y orientación
superior en el gobierno y se establecerán figuras de enlace sectorial en todas las entidades
de la rama ejecutiva a nivel nacional.
• Crear las condiciones para que las múltiples partes interesadas gestionen el riesgo de segu-
ridad digital en sus actividades socio-económicas y se genere confianza en el uso del entorno
digital, mediante mecanismos de participación activa y permanente, la adecuación del marco
legal y regulatorio de la materia y la capacitación para comportamientos responsables en el
entorno digital.
• Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel nacional y
transnacional, con un enfoque de gestión de riesgos.
• Generar mecanismos permanentes y estratégicos para impulsar la cooperación, colaboración
y asistencia en materia de seguridad digital, a nivel nacional e internacional.

Para alcanzar los propósitos y objetivos generales y específicos planteados en la estrategia nacional
de ciberseguridad, será necesario ejecutar una serie de acciones concretas que deberán ser imple-
mentadas en un periodo determinado y con recursos limitados, así como asignar responsables a cada
acción. A continuación, vamos a sugerir algunas acciones u objetivos específicos de las estrategias
nacionales, pero su definición dependerá más de la creatividad, necesidades, presupuesto y objeti-
vos trazados por cada Estado en su estrategia nacional para mejorar las capacidades y defensas de
seguridad cibernética.

ACCIÓN 1: Aprobación de la Estrategia Nacional de Ciberseguridad. Esto sería la hoja de ruta


a seguir por parte de los sectores interesadas.

Estructura Organizativa.

ACCIÓN 2: Designar o crear el coordinador nacional: Órgano encargado de coordinar y ejecu-


tar la estrategia nacional y su plan de acción.

23
ACCIÓN 3: Designar o crear el CERT nacional: Se deberá crear o designar el CERT nacional,
el cual tendrá como misión recopilar la información operacional relativa al estado del ciberespacio
nacional generada por medios propios y del resto de CERT nacionales existentes, o que surjan con
el paso del tiempo y los CERT regionales o internacionales con los cuales se haya suscrito convenios
de colaboración. Asimismo, pueden operar como grupos de trabajo para compartir información de
determinados sectores o actores.

Estructura Operacional.

ACCIÓN 4: Asignación de recursos humanos necesarios para la dirección control y gestión de


la ciberseguridad nacional: Será necesario dotar a todos los organismos de profesionales capacitados
en el campo de la ciberseguridad.

ACCIÓN 5: Mejorar y ampliar las capacidades tecnológicas que permitan la detección, preven-
ción, contención y respuesta ante ciberataques, y los canales de alerta: Para ello se requiere mejorar
y ampliar la red de sensores de alerta temprana, capacidades de monitorización, las capacidades de
análisis de vulnerabilidades y resolución de incidencias cibernéticas, así como mejorar los canales de
comunicación que permitan comunicar oportunamente a los diferentes sectores y actores las contin-
gencias cibernéticas significan una amenaza para la seguridad nacional o cualquier sector.

Cooperación Internacional.

ACCIÓN 6: Acuerdos bilaterales o multilaterales con otras naciones en materia de seguridad


cibernética: El carácter global del ciberespacio, hace necesario suscribir tratados con otras naciones
con el propósito de mejorar la seguridad del ciberespacio. Esos acuerdos pueden ayudar a mejo-
rar los canales de comunicación, detección y/o respuesta coordinada a incidentes, entre otros. pero
aquellos que tienen como finalidad la lucha contra el cibercrimen en cualquier de sus formas son de
especial relevancia. En este último apartado podemos mencionar la Convención de Budapest.

ACCIÓN 7: Participación en foros multilaterales e internacionales relacionados con la ciber-


seguridad: Es importante que los países participen de manera activa en foros como los relacionados
por OEA, OCDE, Interpol, entre otros para intercambiar opiniones y criterios y conocer las nuevas
tendencias en este dominio tan cambiante.

ACCIÓN 8: Trabajar de manera coordinada con socios regionales para implementar las Políti-
cas y Mejores Prácticas sugeridas de la OEA: La OEA ha tenido un rol importante, en el desarrollo y
mejoramiento de las capacidades de los países del hemisferio, así que resulta importante participar
en las actividades organizadas por la OEA y otros organismos internacionales como OTAN, OCDE y
UIT, así como suscribir acuerdos e implementar las nuevas tendencias, políticas, mejores prácticas y
recomendaciones de la OEA en esta materia.

Colaboración público-privada.

ACCIÓN 9: Creación de una Plataforma Nacional para la Coordinación y Cooperación Públi-


co-Privada y Grupos de Trabajo Sectoriales: Crear una plataforma donde estén representados los
principales actores del sector público, sector privado, la academia, centros tecnológicos y de investi-
gación, asociaciones, organizaciones y representantes de la sociedad civil, así mismo crear grupos de
trabajo por sectores para atender sus necesidades con mayor eficiencia.

24
Educación y sensibilización.

ACCIÓN 10: Desarrollar programas educativos: Estos programas deberán fomentar la con-
cienciación, educación, formación y desarrollo profesional en materia de ciberseguridad: Así como
una campaña de ciber-concienciación nacional para que los actores de todos los niveles tengan cono-
cimientos de los riesgos derivados del mal uso del ciberespacio, especialmente del internet y de las
redes sociales.

Por otro lado, se deben incorporar en los planes de estudio materias relacionadas a la seguridad
cibernética, preferiblemente desde la educación básica hasta estudios de posgrado, a fin de ir desa-
rrollando y mejorando el recurso humano.

I+D+i y competitividad.

ACCIÓN 11: Crear programas y plataformas que fomenten y propicien la investigación, desa-
rrollo y la innovación: Debemos recordar que en el ámbito de la ciberseguridad las amenazas y vul-
nerabilidades evolucionan constantemente y por tal motivo, es necesario desarrollar programas de
investigación, estrategias y tecnologías que proporcionen unos niveles de seguridad superiores a los
existentes en la actualidad.

Dicho lo anterior, es elemental promover programas que incentiven y protejan la innovación, y ade-
más generen nuevos conocimientos para combatir las amenazas cibernéticas futuras.

El Plan Nacional de Ciberseguridad de Chile, la cual comulga tanto con los


estándares y recomendaciones internacionales como con las recomendacio-
nes de la OCDE, estos serían los ejes y las medidas específicas que suelen
implementarse en un marco de políticas públicas y que se ajustan a la reali-
dad y necesidad chilena:

1. Infraestructura:

● Definir enfoque de gestión de riesgo.


● Identificar infraestructuras críticas de la información.
● Crear mecanismos de reportes de incidentes.
● Definir requisitos y estándares de seguridad a partir de la asociación público-privada.
● Establecer medidas para enfrentar un incidente (antes, durante y después).
● Diseñar planes de contingencia en ciberseguridad.

2. Prevención y sanción:

● Definir capacidades de levantamiento, estandarización e integración de datos e infor-


mación relacionados con el cibercrimen.
● Señalar desafíos en los ámbitos de prevención, detección y sanción del cibercrimen.
● Aumentar capacidad para investigar y generar evidencia respecto a cibercrimenes.
● Diseñar mecanismos de resguardo de derechos fundamentales en la prevención y san-
ción del cibercrimen.

25
3. Sensibilización, formación y difusión:

● Promover una cultura de ciberseguridad a nivel escolar, universitario, como también en


los funcionarios públicos y la sociedad civil.
● Fomentar la investigación y desarrollo (I+D) para la seguridad en el ciberespacio orien-
tada a generar capacidad tecnológica propia, de acuerdo a las necesidades nacionales.
● Generar y promover programas de capacitación, educación, y formación profesional a ni-
vel pre y posgrado en materia de ciberseguridad, focalizándose en diferentes objetivos
de acuerdo al público objetivo.

4. Cooperación y relaciones internacionales:

● Identificar y promover la postura de Chile en la comunidad internacional en materia de


ciberseguridad.
● Participar en foros internacionales tales como Meridian, Octupus, OEA, UNASUR, UIT,
IGF, Grupos de Expertos de la ONU, entre otros.
● Analizar la suscripción e implementación de acuerdos internacionales relacionados,
ejemplo Convención de Budapest, entre otros.
● Impulsar medidas de cooperación en investigación y asistencia técnica con otros países.

5. Institucionalidad de la Ciberseguridad:

● Revisar el sistema nacional de ciberseguridad.


● Definir roles, atribuciones y competencias de las partes involucradas.
● Impulsar mecanismos de intercambio de información.
● Crear una alianza público-privada para la seguridad.
● Aumentar la capacidad nacional de respuesta a incidentes.
● Potenciar equipos de respuesta ante emergencias informáticas o CSIRT.

26
Unidad 4: Nueva Política Nacional de Seguridad Digital: Caso Colombia.

A inicios del año 2016, el gobierno colombiano lanzó su segunda estrategia nacional, denominada
“Política Nacional de Seguridad Digital”, Conpes 3854 del 2016, con un cambio de enfoque, ya que
la primera estrategia (“Lineamientos de Política para Ciberseguridad y Ciberdefensa” del 2011)
centró sus esfuerzos en la defensa del país y la lucha contra el cibercrimen a raíz de los ataques
cibernéticos acontecidos en el año 2011 cuando el grupo hacktivista “Anonymous” atacó los portales
de la Presidencia de la República, el Senado de la República, Gobierno en línea y de los Ministerios de
Interior, de Justicia, de Cultura y de Defensa, dejando fuera de servicio sus páginas web por varias
horas.

Colombia es el primer país de América Latina y uno de los primeros en el mundo con una política pública
en materia de ciberseguridad tan avanzada, la cual incorpora plenamente las recomendaciones y las
mejores prácticas internacionales en gestión de riesgos de seguridad digital emitidas recientemente
por la OCDE, así como recomendaciones de las diferentes partes interesadas. Con esa nueva política
de seguridad digital se pretende garantizar el desarrollo de un entorno digital que apalanque aún
más el crecimiento económico y la prosperidad social para todos los colombianos.

Con la primera estrategia nacional, que alcanzó un 90% de sus objetivos, Colombia logró establecer
y fortalecer:

1. La institucionalidad con la creación de varios CSIRT y otras entidades gubernamentales,


tales como el Centro Cibernético Policial (enfocado en temas de cibercrimen) y el Comando
Conjunto Cibernético (enfocado en temas de ciberdefensa).

POLÍTICA ACTUAL: CONPES 3854 DE 201 6

Principios
Dimensiones
Ciberseguridad
Acciones PONAL
Academía

Comisión Nacional Digital


de Información Estatal
Dec. 32 de 2013
DNP
Modificado
Coordinador
Sector privado

Ciberdefensa
CGFM
CCOC
riesgos de seguridad digital

prosperidad económica y social.


Ciudadanos

2. La capacitación con acciones que iban desde campañas de sensibilización para el uso
responsable del internet con énfasis en niños y jóvenes hasta programas de formación
especializada para servidores públicos.

27
En 2011 Colombia contaba con 12 programas académicos a nivel nacional, desde el nivel
técnico hasta el de maestría. Hoy día, Colombia cuenta con más de 50 programas, y con una
gran variedad de cursos de educación informal, que incluyen certificaciones de reconocimiento
internacional.
3. La legislación con la aprobación de normativa relacionada a la protección de datos personales,
la regulación sobre protección contra la explotación, la pornografía, el turismo sexual y demás
formas de abuso sexual a menores, entre otras leyes.
4. La cooperación y posicionamiento internacional, esfuerzo que inició con la solicitud de
adhesión al Convenio de Budapest. Luego, se suscribió un convenio multilateral con el Foro
Económico Mundial para identificar y abordar los riesgos sistemáticos globales derivados de
la conectividad, cada vez mayor, entre las personas, procesos y objetos.

Asimismo, se ha venido trabajando con la OEA para mejorar las capacidades de los CSIRT de la región.
Colombia ha suscrito acuerdos con organizaciones internacionales, como el Anti-phishing Working
Group con el fin de acceder a recursos y programas específicos en ciberseguridad y ciberdefensa.

También suscribió acuerdos de cooperación con la INTERPOL, FBI, DEA, Centro Europeo contra el
cibercrimen (EC3), AMERIPOL, Agencia Nacional contra el crimen del Reino Unido (NCA), Agencia
Internacional de Cooperación Coreana (KOICA), y el Programa de Asistencia Anti-Terrorismo de
Estados Unidos (ATA).

Colombia cuenta con 8 CSIRT con membrecía en el Forum of Incident Response and Security Teams
(FIRST), lo cual permite responder de manera más eficaz a los incidentes, tener acceso a información
acerca de mejores prácticas, ser invitado a eventos y a capacitaciones y cursos relacionados a la
seguridad digital.

En el ámbito de cooperación nacional, se ha venido trabajando en el catálogo de infraestructuras
críticas cibernéticas nacionales, el cual pretende coordinar y gestionar los planes y programas de
protección y defensa a infraestructuras críticas, y en el año 2015 se había elaborado la “Guía para la
Identificación” de Infraestructuras Críticas Cibernéticas”, la cual constituye el principal insumo de
dicho catálogo, elaborado por las múltiples partes interesadas.

Si bien esa primera estrategia posicionó a Colombia como uno de los países líderes a nivel regional, lo
cierto es que había dejado de lado la gestión de riesgos en el entorno digital. Esto último es esencial
en un contexto en el que el incremento en el uso de las TIC para realizar actividades económicas y
sociales ha traído consigo nuevas y más sofisticadas formas de afectar el desarrollo normal de estas
en el entorno digital.

Esa nueva estrategia fue el producto de mesas de trabajo durante el año 2014 y 2015 donde
participaron expertos nacionales e internacionales (OEA, OCDE, CE, INTERPOL, entre otros), los cuales
coincidieron en la necesidad de incorporar nuevos elementos a las estructuras institucionales, a la
legislación y a las acciones existentes, y de incluir en la política, principios, lineamientos y directrices
en lo relacionado a los derechos humanos en el entorno digital.

Asimismo, se concluyó que, aunque la primera estrategia había sido efectiva para contrarrestar los
ataques cibernéticos que atentaban contra la defensa y seguridad nacional, en ella no se tuvieron en
cuenta objetivos relacionados con la prosperidad económica y social.

28
Por las razones señaladas, con la nueva estrategia de “políticas de seguridad digital”, se pretende
complementar ambos enfoques:

Ǥ Políticas de ciberseguridad y ciberdefensa, y


Ǥ Gestión de Riesgos.

Contemplándose así la defensa y seguridad nacional en el entorno digital, incluidas las infraestructuras
críticas cibernéticas nacionales, e incluyéndose además componentes relevantes, como la gobernanza,
educación, regulación, cooperación internacional, nacional, investigación, desarrollo, y la innovación.
Además se amplía el concepto de partes interesadas para incluir a todos los ciudadanos, sectores
económicos y organizaciones.

El desarrollo de una economía digital sólida y segura es primordial para Colombia, lo cual aplica a
todos los países de la región, ya que contribuye positivamente a la prosperidad económica y social.
Su crecimiento y correcto funcionamiento requiere la construcción de un entorno digital abierto,
seguro y confiable, acorde con el aumento y dinamismo de las actividades digitales de los individuos,
lo cual se logra más eficientemente desde un enfoque de gestión del riesgo que involucra a todas
las partes interesadas y que a su vez permite tomar decisiones socio-económicas informadas para
maximizar las oportunidades en el entorno digital. Para lograr ese cometido, se debe abordar el
riesgo de seguridad digital como un reto económico y social en lugar de un reto puramente técnico.

El objetivo principal de la nueva estrategia es fortalecer las capacidades de las múltiples partes
interesadas para identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus
actividades socio-económicas en el entorno digital. Además, la estrategia se basa en los siguientes
principios fundamentales:

● Salvaguardar los derechos humanos y los valores fundamentales de los individuos.


● Adoptar un enfoque incluyente y colaborativo.
● Asegurar una responsabilidad compartida entre todos los actores interesados.
● Adoptar un enfoque basado en riesgos, que permita a los individuos el libre, confiable y
seguro desarrollo de sus actividades en el entorno digital.

A efectos de determinar los campos de acción de la política nacional de seguridad nacional se


establecieron 5 dimensiones estratégicas:

● Gobernanza de la seguridad digital.


● Marco legal y regulatorio de la seguridad digital.
● Gestión sistemática y cíclica del riesgo de seguridad digital.
● Cultura ciudadana para la seguridad digital.
● Capacidades para la gestión del riesgo de seguridad digital.

Con la implementación de la nueva estrategia, basada en la gestión de riesgos, Colombia pretende


atender 5 problemas principales que se identificaron durante la implementación de la anterior
estrategia y la etapa de diagnóstico:

29
1. Ausencia de una visión estratégica en seguridad digital basada en la gestión de riesgos:
No se contaba con una instancia de coordinación nacional en seguridad digital que optimizara la
gestión de los recursos destinados a esta materia, y esa ausencia no permitía que el país tuviera una
visión global, integral y estratégica, que articulara las funciones y actividades de la institucionalidad
existente en torno a los objetivos nacionales en seguridad digital. Esa situación conducía a la
duplicidad de esfuerzos y a una menor eficiencia.
Además, se le debe sumar la ausencia de una instancia de orientación superior que emita lineamientos
generales a nivel nacional y defina los objetivos nacionales en términos de seguridad digital. Tener
una estrategia que no esté basada en el modelo de gestión de riesgos, identificar cuáles son los
riesgos en el mundo digital, para ver cómo los gestionamos, mitigamos y prevenimos y sin involucrar
a todas las partes interesadas, resultaría insostenible y costoso.
El riesgo de seguridad digital debe ser formulado en términos económicos y sociales: pérdidas
financieras, pérdidas en competitividad, pérdidas de oportunidad, daños a la reputación, imagen o a
la confianza; y debe ser gestionado adecuadamente por todos los interesados o posibles afectados.
2. Las múltiples partes interesadas no maximizan sus oportunidades al desarrollar
actividades socio-económicas en el entorno digital:
El hecho de no involucrar a todas las partes interesadas limita las oportunidades y beneficios
económicos que otorga el entorno digital. Todos los actores deben asumir las responsabilidades de
gestionar el riesgo de seguridad digital.
La desconfianza e inseguridad en el entorno digital, generada por el uso indebido del Internet y las
TIC, limita tanto a los individuos como a las empresas, por lo que se requieren políticas y mecanismos
para ofrecer un entorno digital seguro y confiable para todos. En ese contexto, todos los actores
podrán generar nuevas oportunidades, y por ende, generar prosperidad económica y social.
3. Reforzar las capacidades de ciberseguridad con un enfoque de gestión de riesgos:
La baja prioridad en la asignación y ejecución de los recursos humanos, físicos, lógicos y económicos
ha generado una brecha con respecto a los avances tecnológicos, lo cual significa que limita las
capacidades para combatir a la ciberdelincuencia.
Resulta muy preocupante que los esfuerzos de las entidades en el desarrollo de temas relacionados
con la investigación, desarrollo e innovación son insuficientes en comparación con las necesidades y
avances que se tienen de forma cotidiana en ataques cibernéticos.
A pesar de los desarrollos normativos para combatir la ciberdelincuencia, se puede decir que las
competencias técnicas de los jueces y fiscales para emprender esa lucha son insuficientes. Por lo
tanto, se requiere una revisión y mejoramiento de cada una de las instancias judiciales, así como de
las sanciones administrativas y disciplinarias sobre la comisión o prevención de un delito informático.
Se dice que el incremento continuo de la comisión de las conductas delictivas cibernéticas y
su reincidencia, entre otros factores, en parte se debe al desconocimiento por parte de los
administradores de justicia de la conducta criminal informática.
Con el objetivo de ampliar las capacidades de los jueces, fiscales y policías para realizar tareas y
funciones acorde con la nueva política, es indispensable capacitarlos en la materia, lo cual contribuye
a una mejora en la judicialización de esas conductas.

30
4. Reforzar las capacidades de ciberdefensa con un enfoque de gestión de riesgos:
Las estadísticas han demostrado que las amenazas cibernéticas a las infraestructuras críticas son una
realidad incuestionable y presentan una tendencia creciente, lo cual es sentido en todo el mundo. Pese
a ello, en Colombia el marco jurídico no contempla aspectos necesarios para facilitar la protección
y defensa de las infraestructuras críticas cibernéticas, y a diciembre del año 2015, Colombia aún no
contaba con un catálogo de infraestructuras críticas cibernéticas nacionales.
Esa ausencia aumenta el índice de riesgos de materialización de amenazas cibernéticas sobre las
mismas, y facilita la inadecuada gestión de riesgos, protección y defensa. La afectación o destrucción
de cualquier infraestructura crítica que soporte los procesos de servicios esenciales a la población,
traería consigo efectos y consecuencias devastadoras, e incluso podrían ocasionar la pérdida de
gobernabilidad en pocos minutos.
Por lo que es indispensable generar una estrategia de protección de la infraestructura crítica,
culminando con el proceso de catalogación o clasificación de dicha infraestructura bajo un enfoque
de gestión de riesgos de seguridad digital, y vinculado activamente a las múltiples partes interesadas,
especialmente al sector privado.
Otro tema preocupante, es que el gobierno colombiano actualmente no recibe información sobre
incidentes por parte de las múltiples partes interesadas con el fin de priorizar y emitir lineamientos
para garantizar la defensa nacional y soberanía nacional. Asimismo, existen sectores de la economía
que no han creado sus equipos de respuesta y, por lo tanto, no disponen de una instancia para
reaccionar a los incidentes digitales de modo centralizado y especializado. Es necesario promover la
creación de nuevos CSIRT sectoriales que permitan la adecuada gestión de incidentes.
5. Los esfuerzos de cooperación, colaboración y asistencia, nacionales o internacionales,
relacionados con la seguridad digital son insuficientes y desarticulados:
La naturaleza transnacional del delito informático y del cibercrimen, en particular la volatilidad de
la evidencia electrónica, implican que la justicia penal no pueda ser efectiva sin una cooperación
internacional eficiente. Colombia no se ha adherido a convenios internacionales en materia de
seguridad digital, entre ellos el Convenio de Budapest.
Lo anterior implica que los esfuerzos aislados resulten ineficientes y se estén desaprovechando
oportunidades, como la cooperación, intercambio de información, asistencia judicial recíproca y
la capacitación. Sin duda, esto dificulta la implementación de mejores prácticas, la identificación
temprana de nuevos tipos de amenazas o riesgos cibernéticos, los procesos de actualización de
procedimientos relacionados con la gestión del riesgo.
Finalmente, con un ambiente digital seguro se podrá garantizar la prosperidad económica y social. Con
la implementación de la política de seguridad digital las entidades públicas y privadas deben adoptar
estos nuevos modelos, con la intención de generar entre los años 2016 y 2020 cerca de 307.000
nuevos empleos y un crecimiento del PIB nacional, pasando de 4,35% en el escenario base a 4,44%,
lo que significa un incremento del 0,09% en términos de crecimiento económico, de acuerdo a varios
estudios realizados por la Comisión de Regulación de Comunicaciones (CRC) y otras instituciones.
Colombia destinará $ 85.070 millones de pesos (23 mil millones de pesos en el año 2016, 21 mil
millones de pesos en el año 2017 y en el año 2018, y 18 mil millones de pesos en el año 2019) para la
ejecución de esta política entre 2016 y 2019.

La política nacional de seguridad digital tiene un impacto positivo sobre muchos sectores de la
economía que no son medibles, o que por el diseño de la política se ven diluidos en los diferentes
canales de transmisión de la misma.

31
Referencias.

Recomendamos ver los siguientes videos para ampliar conceptos:

● Colombia: Política Nacional de Seguridad Digital (CONPES 3854)


● Chile: Plan Nacional de Ciberseguridad 2017-2022
Estrategia Nacional de Ciberseguridad. Hacia un nuevo marco normativo en Chile
● Paraguay: Plan Nacional de Ciberseguridad
Documentos interesantes
● Costa Rica: Estrategia Nacional de Ciberseguridad 2017
● México: Estrategia Nacional de Ciberseguridad - México 2017

32