Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia © 2024, Amazon Web Services, Inc. 0 sus filiales. Todos los derechos reservados. Avisos Este documento se proporciona tnicamente con fines informativos. Representa las ofertas y practicas actuales de productos de Amazon Web Services (en adelante, AWS) a la fecha de emision de este documento, fas cuales estén sujetas @ cambios sin previo aviso. Los clientes ‘son responsables de realizar su propia evaluacion independiente de la informacion en este documento y de cualquier uso de los productos 0 servicios de AWS, cada uno de los cuales se proporciona “tal cual” sin garantia de ningtin tipo, ya sea expresa 0 implicita. Este documento no crea garantias, representaciones, compromisos contractuales, condiciones 0 aseguramientos de AWS, sus filales, proveedores o licenciantes. Las responsabilidades y obligaciones de AWS para con sus clientes estén controladas por los acuerdos de AWS y este documento no forma patte de, ni modifica, ningun acuerdo entre AWS y sus clientes. aws —Guia de Actulircién pora mejorar ta Postur de Cibersegurided: Colombia Resumen Ejecutivo ‘AWS presenta a la Presidencia de la Republica de Colombia esta Guia Estratégica, disefiada para prover un anilisis detaltado de las fortalezas y oportunidades del pais. La segunda parte de la Guia contiene una hoja de ruta integral para el avance de la madurez y gobernanza en ciberseguridad en Colombia. Consideramos que estos temas son de vital importancia y contribuyen significativamente al fortalecimiento de las capacidades nacionates en ciberseguridad. Para elaborar esta Guia, AWS implementé una metodologfa de evaluacién de la madurez de las capacidades de ciberseguridad que se denomina “Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones” (CMM). El CMM se ha implementado més de 130 veces en més de 90 paises de todo el mundo desde 2015. El desarrollo del modelo de CMM y su mejora continua estan dirigidos por el Centro de Capacidad de Ciberseguridad Global de la Universidad de Oxford (GCSCO). Esta guia esta basada en la diltima versién del modelo de CMM (2021 CMM Edition) y en investigaciones documentales; por lo tanto, esta Guia no es ni pretende ser una evaluacién completa del pais segtin el modelo de CMM. Asimismo, esta Guia, incluido el analisis y las recomendaciones, fue elaborada principalmente por una firma consultora independiente con el apoyo y la orientacién de los expertos en Politicas ptiblicas y ciberseguridad de AWS. La Guia completa est compuesta por seis secciones que abordarén los siguientes in y contexto, la explicacién del modelo de madurez de ciberseguridad -CMM-, un andlisis del nivel de madurez alcanzado por Colombia en los Ultimos afios segtin indices internacionales y de las fortalezas y oportunidades del pais, asi como una hoja de ruta para mejorar la madurez de la ciberseguridad de Colombia. La Guia también realiza un anélisis sobre la actual discusi6n en el tema de la gobernanza de la ciberseguridad, para luego concluir con una serie de recomendaciones accionables que se espera sean de utilidad para el Gobierno de Colombia y el ecosistema en general. La metodologia del CMM evalua cinco dimensiones de la madurez de la ciberseguridad, lo que establece una re\ istica del dominio de la ciberseguridad desde una perspectiva nacional. Las 5 dimensiones del CMM son las siguientes: Dimensién 1 - Politica y Estrategia de Ciberseguridad; Dimension 2~ Cultura cibernética y sociedad; Dimensién 3: Desarrollo de conacimientos y capacidades en ciberseguridad; Dimensién 4 — Marcos Legales y Regulator si aws SsGula de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia Dimension 5 - Estandares y Tecnologias. Las secciones de esta Gula, incluido los anilisis estructurados arriba indicados y las recomendaciones, siguen estndares internacionales y buenas practicas, entre ellas, el modelo CMM. Es fundamental sefialar que para lograr una comprensién profunda de esta Guia se requiere un conocimiento basico de los conceptos de ciberseguridad y de la metodologia CMM. A partir de nuestro anilisis, siguiendo el modelo CMM y sus diferentes etapas de madurez, Colombia se ubica, en promedio, en transicién del nivel formativo (2) al nivel establecido (3); por otro lado, a nivel regional, segun el estudio basado en CMM y publicado por la OEA y el BID en 2020, Colombia es uno de los paises de la regién conniveles mds avanzado de madurez en su cibersequridat Si bien los avances en las diferentes etapas de madurez segtin el modelo de CMM se pueden lograr en momentos especificos, su logro también requiere de una mejora continua para garantizar su sostenibilidad. Con base en la investigacién documental actual y los desarrollos de la economia digital del pais, es técnicamente factible que Colombia alcance indices relativamente altos (4+, siendo 5 la calificacién mas alta) en todas las dimensiones a mas tardar el afio 2028. En este punto cabe destacar que el gobierno de Colombia ha adoptado el término “Seguridad Digital” que en ocasiones podria ser més amplio que el término “ciberseguridad", adoptado por la metodologia CMM y que en consecuencia se aplica en este documento. Sin embargo, dado que el enfoque aplicado por CMM ala ciberseguridad es holistico, en la practica es equivalente a la seguridad digital. Establecer mecanismos y esfuerzos de colaboracién entre el gobierno colombiano, AWS y otras partes interesadas del mundo académico y de la industria es clave para centrarse en la aceleracién de ta madurez en ciberseguridad del pais. Esta guia recomienda talleres técnicos sobre cada dimension de la CMM para revisar y actualizar conjuntamente los objetivos estratégicos de la nueva estrategia nacional de ciberseguridad y elaborar un plan de accién sélido y realista bajo una arquitectura de asociacién de multiples partes interesadas. Asi como cooperar en la discusién y debate publico sobre ta creacién de la agencia nacional de seguridad digital. aws SSGuia de Actuolizacin paro mejoror o Pestra de Cberseguridad: Colombia Tabla de Contenidos Resumen Ejecutivo ‘| : 1, Introduccién..... 2. Descripcién del Modelo de Madurez de la Ciberseguridad de las Naciones (CMM) 8 3. Contexto de la Ciberseguridad en Colombia cry 4, Nivel de Madurez de la Ciberseguridad de Colombia an, 5. Andlisis de los planteamientos para reestructurar y mejorar la estructura de gobernanza de ciberseguridad en Colombiza...... 31 6. Hoja de-Ruta para mejorar los niveles de madurez en Ciberseguridad de COLOMBIA ern : 48 aws SsGuta de Actualizacién para mejorar a Postura de Ciberseguridad: Colombia 1. Introduccién Esta primera parte de la Gula es presentada at Grupo de Transformacién Digital de la Presidencia de ta Republica como una invitacién formal para continuar con las colaboraciones encaminadas a acelerar el nivel de madurez de ciberseguridad det pais. Los principales objetivos son: 1. Estructurar e impulsar interacciones, conversaciones y mecanismos de colaboracién entre AWS y el ecosistema de instituciones responsables de coordinar los asuntos de ciberseguridad a nivel del sector ptiblico y nacional a través de un modelo de asociacién piiblico-privada, que se ejecutard de manera transparente y alineado con las mejores précticas internacionales para la creacién de valor y alto impacto. 2. Acelerar el desarrollo de capacidades de ciberseguridad en todas sus dimensiones y avanzar el nivel de madurez de la ciberseguridad en Colombia bajo un modelo de acompajiamiento y apoyo a los procesos de transformacién digital de su economia y sociedad. 3. Mejorar y consolidar este marco a partir de experiencias de implementacién. Esta primera parte de la Guia estd dividida en tres secciones: 1. Anilisis del Modelo CMM: en esta seccién se explicard los detalles de la metodologia, sus cinco dimensiones y qué temas evaldan cada una de ellas, asi como el esquema de niveles de madurez. 2. Contexto de la Ciberseguridad en Colombia: en esta secci6n se hard un recuento historico de los avances logrados por Colombia en materia de ciberseguridad durante la Ultima década. 3. Andlisis de los avances en el nivel de madurez de las capacidades de ciberseguridad de Colombia basado en indices regionales e internacionales {e.g., CMM, GCI, NCSI: andlisis de las evaluaciones del nivel de madurez, sus aws —Guia de Actuatizecién para mejorar la Postura de Ciberseguridad: Colombia fortalezas, oportunidades, y posibles acciones de aceleracién basadas en las cinco dimensiones del CMM." La segunda parte de la Guia estd compuesta de las siguientes secciones: 4. Marco potencial para el disefio de la hoja de ruta de aceleracién para aumentar el nivel de madurez: se propone un marco teérico de posibles objetivos estratégicos, incluido un marco temporal, para aumentar los niveles de madurez en ciberseguridad en Colombia, siguiendo la metodologia CMM, segtin las prioridades y necesidades del pais. 5. Analisis det planteamiento sobre una nueva estructura de gobernanza nacional para la ciberseguridad en Colombia: en los ultimos afios Colombia ha realizado ajustes importantes a su estructura de gobernanza digital, y en la actualidad se debate a nivel nacional sobre la creacién de una agencia nacional de ciberseguridad. En esta seccién se analizaré este planteamiento y el debate en curso. También se presentarén conceptos fundamentales a considerar, referencias internacionales y recomendaciones para ayudar a perfilar una estructura de gobernanza holistica, inclusiva, participa efectiva para Colombia — basada en una premisa fundamental: la ciberseguridad es responsabilidad de todos. 6. Recomendaciones: regresando al anilisis basado en CMM a lo largo de esta Guia se presentan recomendaciones, que servirdn para elaborar disefiar planes de accién encaminados a acelerar la madurez de las capacidades nacionales en ciberseguridad, *En Marzo 2021, o! Global Cybersecurity Capacity Center (GCSCC) publicé una versién revisada de la_metodologia del CMM 2016. Esta Guia usa [a edicién del CMM 2021 como marco metodolégico de referencia, aws —Gulo de Actualizacién pra mejorar ta Postura de Ciberseguridad: Colombia 2. Descripcidn del Modelo de Madurez de la Ciberseguridad de las Naciones (CMM) Desde el afio 2015, el GCSCC ha promovido activamente la metodologia CMM, para impulsar el debate sobre las capacidades de ciberseguridad y ayudar a mejorar los procesos de digitalizacién globalmente. La adopcion del CMM mediante la realizacién de mas de 130 despliegues sobre mas de 90 paises de todo el mundo? demuestra su amplia aceptacién. Impulsado por el cambiante panorama de las amenazas cibernéticas y las correspondientes buenas précticas de ciberseguridad, el GCSCC ha liderado una revisin del CMM, la primera que se lleva a cabo desde que se publicé la edi 2016. Para producir esta edicién del 2021, el GCSCC llevé a cabo un ejercicio colaborativo global destinado a extraer y sintetizar los conocimientos mas recientes de la comunidad. n de. ‘América Latina y el Caribe ha sido una de las geograffas que més ha destacado en el desarrollo y adopcién del CMM, mediante estrecha colaboracién desarrollada entre ta Organizacién de los Estados Americanos y el Banco interamericano de Desarrollo. Esta colaboracién ha dado como resultado el despliegue de dos estudios regionales de CMM (2016 y 2020)? que son referentes para esta guia y para todos los paises de la region. Dimensiones de las Capacidades Nacionales de Ciberseguridad El CMM considera que la ciberseguridad comprende cinco dimensiones que en conjunto constituyen la amplitud de la capacidad nacional que un pais requiere para ser eficaz en la prestacién de la ciberseguridad: 1. Desarrollar una politica y estrategia de ciberseguridad: explora la capacidad del pais para desarrollar y aplicar una estrategia de ciberseguridad y mejorar su resiliencia en materia de ciberseguridad mejorando sus capacidades de respuesta a incidentes, ciberdefensa y proteccién de infraestructura critica (Cl). Esta Dimensidn considera que las estrategias y politicas deben ser efectivas para mejorar la capacidad nacional de ciberseguridad, manteniendo al mismo tiempo los beneficios de un ? hetpsif/acscc ox ac.uk/emm-reviews > hrtoss//eybersecuntyobservatory.ora/#/fnal-reoort aws —Guia de. aws SS Actualizecién para mejorar la Posture de Ciberseguridad: Colombia ciberespacio vital para el gobierno, las empresas locales e internacionales y la sociedad en general. 2. Fomentar una cultura de ciberseguridad responsable dentro de la sociedad: esta dimensién revisa elementos importantes de una cultura de ciberseguridad responsable, como la comprensién de los riesgos relacionados con la ciberseguridad en la sociedad, el nivel de confianza en los servicios de Internet, los servicios de gobierno y comercio electrénico y la comprensién de los usuarios sobre la proteccién de la informacién personal en linea. Ademds, esta Dimensién explora la existencia de mecanismos de denuncia que funcionan como canales para que los usuarios denuncien delites informsticos. Asi mismo, esta Dimensién revisa el rol de los medios de comunicacién y las redes sociales en la configuracién de valores, actitudes y comportamientos en materia de ciberseguridad. 3. Desarrollar conocimientos y capacidades en ciberseguridad: revisa ta disponibilidad, calidad y aceptacién de programas para diversos grupos de partes interesadas, incluidos el gobierno, el sector privado y la poblacién en su conjunto, y se relacionan con programas de concientizacién sobre ciberseguridad, programas educativos formales y programas de capacitacién profesional sobre ciberseguridad. 4. Crear marcos legales y regulatorios efectivos: examina la capacidad del gobierno para disefiar y promulgar legislacién nacional que se relacione directa e indirectamente con la ciberseguridad, con especial énfasis en los temas de requisitos regulatorios para la ciberseguridad, legislacién relacionada con el cibercrimen y la capacidad para hacer cumplir esas leyes se examina a través de las capacidades de las agencias de cumplimiento de la ley, fiscalias y tribunales, y érganos reguladores. Ademds, esta Dimensién ‘observa cuestiones como los marcos de cooperacién formales e informales para combatir el delito informatico, 5. Controlar los riesgos a través de estdndares y tecnologias: aborda el uso efectivo y generalizado de la tecnologia de ciberseguridad para proteger a personas, organizaciones e infraestructura nacional. Esta Dimensién examina especificamente la implementacién de estandares y buenas practicas de ciberseguridad, el despliegue de procesos y controles de seguridad, y el desarrollo de tecnologias y productos para reducir los riesgos de ciberseguridad.Gula de Actualizacién pora mejorar ta Postura de Ciberseguridad: Colombia aws SS Deverell Caprcicader en Gheregusdad 0Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia Estructura del Modelo CMM Dimensién En conjunto, las cinco Dimensiones cubren la amplitud de la capacidad nacional de ciberseguridad evaluada por el CMM. Cada Dimensién est constituida por una variedad de Factores, que capturan las capacidades basicas necesarias para cumplir con la Dimensién. Juntos, representan los diferentes “lentes” a través de los cuales se puede observar, evidenciar y analizar la capacidad de ciberseguridad. Factor Dentro de las cinco Dimensiones, los Factores describen lo que significa poser capacidad de ciberseguridad. Estos son los elementos esenciales de la capacidad nacional, cuya etapa de madurez luego se mide con la lista completa de Factores, los cuales incorporan de manera integral todas las necesidades de la capacidad de ciberseguridad de una nacién. La mayoria de los Factores se componen de una serie de Aspectos que estructuran los Indicadores del Factor en partes més concisas (que se relacionan directamente con la recopilacién y medicién de evidencia). Sin embargo, algunos Factores que tienen un alcance mas limitado no tienen Aspectos especificos. Aspecto Cuando un Factor pose miltiples componentes, estos son Aspectos. Los Aspectos son un método organizativo para dividir los indicadores en grupos mas pequefios que son més faciles de comprender. El nimero de Aspectos depende de los temas que emergen en el contenido del Factor y de la complejidad general del Factor. Indicador Los Indicadores representan la parte més basica de la estructura de CMM. Cada indicador describe los pasos, acciones o componentes basicos que son indicativos de aws SSGuia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia una etapa de madurez especifica. Para haber alcanzado exitosamente una Etapa de madurez, un pais necesitaré convencerse de que puede evidenciar cada uno de los Indicadores. Para elevar la madurez de la capacidad de ciberseguridad de un pais, serd necesario haber cumplido todos los Indicadores dentro de una etapa en particular. La mayorfa de estos Indicadores son de naturaleza binaria, es decir, el pais puede demostrar que ha cumplido o no los criterios del indicador, y para ello deberé aportar evidencia, Niveles de Madurez (stages etapas) Las Etapas definen el grado en que un pais ha progresado en relacién con un determinado Factor o Aspecto de la capacidad de ciberseguridad. EL CMM consta de cinco Etapas de madurez distintas: inicial, formativa, establecida, estratégica y dinémica. Una revisién del CMM compararé a un pais con estas Etapas, capturando la capacidad de ciberseguridad existente, a partir de la cual un pais puede mejorar 0 disminuir dependiendo de las acciones tomadas (0 inaccién). Dentro de cada Etapa hay una serie de Indicadores que un pais debe cumplir para haber alcanzado con éxito la Etapa. Iniciat (1) En esta etapa, 0 no existe madurez en materia de ciberseguridad o su naturaleza esté en fase embrionaria. Es posible que haya discusiones iniciales sobre el desarrollo de capacidades en ciberseguridad, pero no se han tomado acciones concretas. Puede haber una ausencia de evidencia observable en esta Etapa. Formativa (2) Algunas caracteristicas del Aspecto han comenzado a crecer y formularse, pero pueden ser ad hoc, desorganizadas, mal definidas o simplemente nuevas. Sin ‘embargo, se pueden demostrar claramente que las actividades recién inician Establecida (3) Los indicadores del Aspecto estén establecidos y la evidencia demuestra que estan funcionando. Sin embargo, no existe una consideracién bien pensada de la asignacidn relativa de recursos. Se han tomado pocas decisiones con respecto ala inversién relativa en los diversos elementos del Aspecto. Pero el Aspecto es funcional y definido. Estratégica (4) Se han tomado decisiones sobre qué partes del Aspecto son importantes y cudles son menos importantes para una organizacién 0 nacién en particular. La etapa aws Ss 2Guia de Actualizecién para mejorar la Postura de Ciberseguridad: Colombia estratégica refleja el hecho de que se han tomado estas decisiones, condicionadas a las circunstancias particulares de la nacién u organizacién Dindmica (5) En esta etapa, existen mecanismos claros para alterar la estrategia nacional dependiendo de las circunstancias prevalecientes, como la tecnologia del entorno de amenaza, el conflicto global o un cambio significativo en un drea de preocupacién (por ejemplo, cibercrimen o privacidad). También hay evidencia de liderazgo global en temas de ciberseguridad. Al menos sectores clave han ideado métodos para cambiar estrategias en cualquier etapa de su desarrollo. La répida toma de decisiones, ta reasignacién de recursos y la atencién constante al entorno cambiante. aws Ss 5Guia de Actualizocién para mejorar la Postura de Ciberseguridad: Colombia 3. Contexto de la Ciberseguridad en Colombia Por mas de una década Colombia ha priorizado el desarrollo de politicas y marcos legales orientados a acelerar la digitalizacion y el mejoramiento de las capacidades de ciberseguridad nacional. A continuacién, destacamos desarrollos ms recientes: * Enel 2020, Colombia emite el CONPES 3995 “Politica Nacional de Confianza y Seguridad Digital”, que tiene como objetivo establecer medidas para el desarrollo de la confianza digital de manera que Colombia sea una sociedad incluyente y competitiva en el futuro. Lo anterior se pretende lograr mediante él fortalecimiento de capacidades de todos los sectores y la actualizacién del marco de gobernanza en seguridad digital, asi como con la adopcién de modelos, esténdares y marcos de trabajo en materia de seguridad digital, con énfasis en nuevas tecnologias. + Enel 2022, Colombia emite la Politica de Gobierno Digital (Decreto No. 767), donde también se definen la seguridad y privacidad de la informacién como habilitadores. En ese mismo afio, se emite el nuevo Manual de Gobierno Digital, que establece las pautas que deben aplicar las entidades publicas para la implementacién de la Politica de Gobierno Digital, entre ellas, la aplicacién del Modelo de Seguridad y Privacidad de la Informacién, cuyos lineamientos e indicadores permiten establecer el nivel de madurez en materia de seguridad digital para las entidades publicas.Guia de Actualizacién pora mejorar la Postura de Ciberseguridad: Colombia + También en el 2022, Colombia emite el Decreto 338, que viene a definir y fortalecer el modelo y las instancias de la Gobernanza de Seguridad Digital y se dictan otras disposiciones. + En ese mismo afio, Colombia enfrenté dos ataques cibernéticos importantes, tales como el ataque sufrido por el Grupo Keralty, que sufrié un robo de datos clasificados por parte de un grupo de hackers denominado RansomHouse, quien publicé la mitad de la informacién al no ver satisfechas sus pretensiones econémicas. El segundo ataque, se sufrié en la empresa de telecomunicaciones IFX Networks, la cual fue victima de un ataque que a su vez afecté 2 760 entidades puiblicas y privadas, entre ellas varias proveedoras estatales de servicios digitales.¢ Lo anterior no es de extraffar ya que en Colombia se reportaron alrededor de 54.121 denuncias por ataques cibemnéticos en et 2022, segiin estadisticas del Centro Cibernético de la Policia Nacional, representando un incremento del 79% comparado con el 2021.5 + Enla primera mitad del 2023, Fortinet Lab,, reporté que Colombia fue el objetivo directo de mas de 5,000 millones de intentos de ataques cibernéticos, ubicandose en el cuatro lugar a nivel regional.§ En ese mismo reporte, América Latina y el Caribe recibié mas de 63 millones de intentos, siendo Brasil el pais con ta mayor cantidad de intentos (23 mil mitiones, seguido por México (14 (ones), Venezuela (10 mil millones), Colombia (5 mil millones) y Chile (4 mil millones). + Con menos de un dia de diferencia, en Colombia se radicaron en el Congreso dos proyectos de ley para crear una agencia de seguridad digital, un proyecto liderado por MinTIC y el otro por miembros del Senado. El primer proyecto de ley, radicado el 24 de julio, propone la creacién de la Agencia Nacional de Seguridad Digital (ANSD), liderado por los senadores David Luna y Ana Maria Castafieda, junto con la Representante Ingrid Sogamoso. Mientras que el segundo proyecto de ley, radicado el 25 de julio, es liderado por MinTIC, y esta alineado con la estrategia de ciberseguridad (pilares) que ese mismo mes presenté dicho ministerio, aunque es importante destacar que el proyecto es més amplio ya que vincula bajo una misma estructura los asuntos espaciales: Agencia Nacional de Seguridad Digital y Asuntos Espaciales. ‘+ Asimismo, en el siguiente cuadro se hace un resumen de algunas politicas pablicas y marcos legales y regulatorios en el plano de desarrollo digital, ciberseguridad y gestién de la informacién, que son referencias importantes en el contexto del pais y de la presente Guia: * httos://vaww eltiempo.com/tecnosfera/novedaces-tecnologia/tiberataque-en-colombia-que-informacion- se-pudieron-haber-robado-en-el-ciberataque.205730?mrfhud=true 5 ittos:/Forbes.co/2023/10/08/tecnologia/ciberseguridad-colombia-aun-no-esta.creparada-para-avanzar * httos//wnw.eltiempo.com/tecnosfera/novedades-tecnologia/colombia-tuvo-mas.de-5-000.intentos-de- siberataques-a-inicio-del-2073-786252 aws ~Guia de Actualizacién pora mejorar ta Postura de Ciberseguridad: Colombia KG Vion Extenso Marco Normativo Bima aws —Sa — sme Sa}euoyeusayu! 2 s9]EUo}bas sauorrenjera uNBas ¢70Z PUE OZOZ a/IU2 BIqUI}0> 40d sopesBo} SadUEAY :L*p Open “s9]euo}2eusaqu! a sayeuoibai Se21puy SaqUs.94Ip UNBas e!qUJo}05 40d sopesGo} Sa2UEAe 0} ap Onjyesed.OD S/s}]eue UN esYSANU as Lp OUpeNd [2 UZ “WIND JP Up|suawp epes ua (5 ap ewyxew uppemund) zinpew ap opezuene SpUU J>AIU UN JeZUeD|e exed sopepiAnse sazua:ayIp sLIBBNS £ pepunBass0q)9 8] ap olulWop ja ua sajemme sapeplumuodo A seyrauq se) 1e>\yhUap) & sepnAe oanalqo OWOD dua; Sis!pUE AISd ‘eIDUDS9 U3 “sopepiunziodo A sezajeoy se] ap sisyjeue tun owld |se (0202 BAVI/V3O ‘ISDN ‘0Z0z 19 “{a) sejeuo!reuiaqu! sa2ipuy sajediouud Ud elqiuo}0> 10d sopluaygo sopeynsas 50] ap sISIIEUE Un e1eL) a5 UBIqWIEL “WIND ap O}aPOW 9 OpUeD!\de eIqWIO}0> ap pepLnBasiaq)> ap sapepioeded sajem>e se] ue Un sowaiey opeyiede 2959 Ua “WD O}9POLL Jap Uo|SuBLUIP eped ud sayUeAa}a1 saduene OpueNSOW ‘pepUNBessaq> 9p sajeuoneu sapepireded sns sevofaw eed sozianysa saqueyoduys opezijeo4 ey eIqUIo}0> ap eUIaIs|S0Da Ja OPO] aps BIqUIO]O} ap pepuinbasiaq!5 e] ap Zainpew ap PAIN “py ‘1qu0}09 :poptinBasioq)9 ap vsn3sog 0} 1010/ow ood uopeznonay ap ona — sme ‘A upiewuo4u) 2p sapepedes se} o1ad “9905 opuezuerye e142 erpaui © ugasa sjed lap soauappul e exsandsas ap sapepizede> $27 -asseqoude ap ose us ‘e1s9 ap uoPrequauaydul! 2] ua o6ze19p)) j9 awo4 e369 anb xed pepunBasiaqp 9p reuo}seu e:sua6e e} ap axua|uupe|qers9 [ap LOY |p suo anjos opueiadsa upase anb aiqegoud sa K‘saveyd onen> sis ap uppequasald e] Uola}>14 ek ‘pepunBesiago ap [euo!seU ceyBaxe.3¢0 exanu un Ua opulefeqe upIse Sawuaraduio> sapepuorne se] 'so}euoneu sapepinede se sesofaiu opuessng oxdwa's {6 3qu219))p anboyue un vod sepo} ‘peplin6as.0q)> ap sajeuoeu Ua e1quio}09 anb 2 un sa Jen> 0| "9662 ap Ug}DeMUNd eUN ousesap ISON seBayense ¢ opeyousesap ey epergp et 24 ‘ayqeuonsan> ugioed) ‘anb pepunGasiag ap se>inpw ep u9D% uOIDBU yD j@ OwOD ‘SoPadse s ‘ap euoppeu e|Saxense e) seruouroyduul ap ajqesuodsau epuabe eun ap uoineubisap e} uas9n3 UBIqUIEY OW SEY fora eA 8 ‘eau ua \quejul Up}soax0ud e| exed sense eun A ezuewoqo6 ap euna>nunse euang Eun Jaqp e] ‘uoDeUOpU! e) ap Se: 'se) 0.09 seuiay uepsoge ZaA ns e anb ‘pepiinBasioq> ap jevoipeu ei6ayensa e) ap UoDeWUaWe/du eA opowsesap 8 uaigna (OWN) Sen ‘0002 a1998 £9'9 ‘eleq uopemund eun Jen &) ‘sepeyjouesap 020d upyso equio}o> ap seAnezuebi0 Sepipau se} o}ayUe ODyeu6 ya Ua eNsAnUI 9s owLO> iqu9}02 :popunBasiaqi9 ap o1ms0 0} zo10faw o1ed upi2dznomay ap nD)a — sme Sea]e sp SouOPeMUNd Se] ap BUA $a SajeuosIOd souep ap Lup}2ay0id €] 0184 ‘upisuoLUp erse aquowley due a1qn> OU [SON 12 ‘anB D5 oP (90) sepeppede ap oyouesap ap uplsuawip 2] ua seyaigna upys9 WWD O}palw Jap £ A Z SOLOISUEWIP $e -auuy osed @ opuezuere jauaya anb ta ‘eulzuabay “KenBnin ‘eueaiuiwiog eanandey owio> sasjed sod opednn0 sa ep fou} anb & ‘aquaweueyned puatpiad any anb oysand ‘eure eaupuuy Ue aqual9ja4 un ang e1qulo}o9 ‘Soue olen Jog “sews o4>nut s22ey apand as eyAepoa onb nBo4 K ele anu eso ‘eune? SSUpULY ap UpI6a1 e 9p osluep oausjed)pulsd ‘peplunéosieq> £9 Sa|eIpUNU 5010} 50] Ua eIqUIO}09 ap Up!DDeMU €7 *seoq seamanasaedyUr se] saGmo1d eed seyoi2u09 sapepinnyce opesed J2 va opeztj204 ey elquiojo> anb Sowages ‘a21pU) 2159 ua uprpeiUnd eleq esa e asad ‘sjed Jap je!205 A eajuiguods pepiiqease e} eved aquevoduu! o6sal! un ewuasoidas /oL 19P UDBeNIUNd eun opuezuEdje ‘saje;oUAsA so_uas 50] ap up}2283010 e] ua opezuene BY OU eIqWUO}O} ‘a2:pU) 2359 UNBIS £9 1@ opueba}y ‘epergp Ewin 2) uo aque3seq opruanu! ey eiquiojo9 apuop A aqueyedwy euIo} un sas ua2aved eqq/Lu eangonuysa e} va SeaN|pUIAg!D soUO!DeI0d0 57 ;pepiieynGau ‘e212 Uo> sup-saqf> UeZIeal as |s sjed J@ ua anb sowages Js anbune 'seay}9u1aq) 5151.0 ap uoNs96 ap }euo!peU Ue}d Un es1KO ‘anb ap e1suopiaa Key on “9402 J@ UEZUED}e anb ‘se>:¥9UIEq)9 SISLD ap ugnsa6 ap sapepzedea srs opepriosuoa ey ou sJed J2 “ope| ono Jog ‘av |@ opuezuedye ‘sepeBeza! U2) un upisa se>9us9q)9 sezeuawe ap sis}}eUE 'Solen uaysixa eIq\UI0}05 ua ‘ousay ap ‘anb ‘sajeuoWes LID 50] (1439105) jeuomeU yD jap owuayeUo}>UN} ‘A eauajwa}qerso j= wasqna upiquiey se21U293 sepIpaw se so.jo a1jua ‘jeuo}2eu aAU e oUadWasap jap eYoUpNe op soBsaLsoj uapioge iquu0}09 :popyinBasiaq9 ap v1myS0q 0) 1040/aWW os0d uoreznomay ap o/ND Lugisuauia— sme ye}2u260 53 Sojeuo|zeus93U) $0}205 UoD up}DeOGEI0> a1s0 ug up)seaepadse ap jan un sezuedye eied ap sapepium odo seu ueysspau savant so] saye354 isp sezseny se sousiue 0 ap sesad y 4001 18P Up!DEMUNd EuN 09 ‘epezuene Anu £9 s02)39u10q9 sonjap 186) s9NU! eed EPIOS 2} 9p peppede>e) anb ensenusIsaN 12 0202 [09 189 024936 up opewse|d 9pand je ‘oq ay59 U9 026d operuene ey e1GWOI0> “(6 uotsuawp) pepunéas ap sozepuerse ap upaeqUaWa/duLt 9 peplinfasieqy> ap eMOUpNe | pepyinéasseqi> {ap soysinbas ‘saquop2ou! ap uppe>y nou ap o>sew ‘Soxep ap a uug}s2ay0ud ap up!2e}5159)‘SooNBUUDgH Soanap 21995 59188290:4 | sapeprnede) k A sengueysns sao) 'sak2} s@,usin6is se} ap SPUNBYE UO PWUEN> | oguai.WID0U0> eJquioje9 anb eyuasaidas 0183 ‘00°07 B05 p16 opUEMUNG | 3p onowesag ‘e192 e/pau ap ofeqap Jod ugrse ‘eque ap 0214216 |2 unBas iad 'sol028)n6ad Ks3}e6a) soavadse ud e13409 95 OU ISIN 13 | _‘anb ‘soyeBa) sepipaw se) 10d eyaiqo eyss uo}suoWlp esa | ¢ Uo!sUEIG sayesnu seuoz “opuezuene upiso ‘ap saquelpniso eued eu0!2820n 0 eus104 olpmisa ap sopepluniiodo | ‘a+| ap sewesBord so} sopinppu‘pepunsesraqn ua so>qu=pere 123.2 A JenuaDUt ayUEOdWH Sy "epUIAOG ap jeydes & ero60g | oxpmise ap saueid A sonaeonpa seutes6o1d 0] f peplin6—sieq9 seuefay seuoz A soyesru seuoz uo enjuippere e11040 8} e upDUaIe 2 ap so[euoisajoud ap up!>euui0} 2) 's9]aNtu so sopoy pepanos a}.0U0¢ “aulweD uang 40d wer & uezUERe jeu0ys24014 L9!reWHIO} ua pepunbasiaqy e) 2190s Up!De>DuaAuOD e) anb eE>yUEIS | —f eonaUIDq> ‘ap souciado se) A eaRwppere e940 e]anb eoIpul uo>enyund | 0453 -00'0 2140S Zp'PL ap UgPeMund euN Uo ‘epezuEre eming 2483 “Teuo|sajoud oyjoxzesap j2 A ug}eanp e] ap oyquwe e ua | ayuaweuerpaus ersa UgiqweI anb ‘199 18P 3a ap U9|SUALUIP aoL9 Jap ugHeMUNd euN opezuedye ey eIqWO}O> ‘d>IpUI 359 UNS | _e) UO seLIGND WeIsD WIND O|2PoW Jop ¢X ZsauO\suAWWIP se |Z Uo|sUEUNG ‘ayqeuonsano so uopemund esa anb sowsesapisuo> 940 ap Uorsemund eun e469} ‘s1god Anw ‘2 S2}2)/61p s0)2!0195 50) 8p uo!naax0ud e] ‘ope] O10 404 “e|qWIO}O} ‘9p sasope2/pul so] sopor ap exie spur 2100193 0} ‘949 ap UO|eMUNd ‘2un opues6o} "je;Ue}sns eU104 ap opesofaws ueY e21U9223)5 p}pe2ysiuap! @ e2ue\4U09 ap 01914196 0] ab eDIPL! ISDN 13 ‘osaiBoud uang un sa jens oj ‘se3!ugsapaja souo|>>esueN se] UD A sonia ua e2u2yuo> Je1au96 f so2quuy2a}a SoPAs3s so) sabsyoud exed se2qnd seantiod X sajeBa) soosew: sounbje opeyjouesap ey sjed 13 °%00L 12 opuezuedte ‘a21pUI 2359 Ua eIqucjO> 10d sepezue|e “euang squatuerpa so e/qw0}09 Ua pepunéasiagys e) ap esnyin> e] anb eaylubis 0353 0'0z a1qos Zp'yL 9p upneNqund eun uod ‘aruenodu! ssuene un eyodas pepynesiaqi> ap elBayensa Aeaniod ‘b4quo}03 ;popin62s10q/9 2p 01n3s0, 0} o.0foul o40d up}DozNOM24 ap on)—_ sme TO US PEP UNAS TAS-e SP -OPHTTO STUTOT WOT SOL TNIIPTINTO | RATSEG wDVD Un e anal zE0z A pz0z Soue sd] anjUD anb EuiRse 85 K"SOR 18 Wo sase19p ap sauONW 98'¢p2 ap 20}en un OZUED}e e1qW0}O> ua pepunéasiaq)> &} ap opeataw yep ouewer jo anb e>ipul 2z0z 8p aodad Un ‘opusina.n piss pepunBasiag ey ap ope2sauu 13, ‘00°02 aqos 85°C ap UopenaUnd eun uoveZuer!e sajen> se} ‘Se>1UD— SepIpaLW Se) Up ®1St109 |se ‘opeatid A o2))qnd saiorR9s So} Sopin|aut "eLUO}s}5039 12 po} ua pepuinBas ap sozepuerse ap UgiseqUaWIa}dw) 2) Us OpezueRE ‘Anu gysa sted ja anb ensanuu {99 J2 o1ad ‘pepun6as ap sajossu0> A sosepugysa ap Ug!2e\uaWa|duul e} a}IE.OP UB eSIAD! OU ISIN 13 equan> e1quso}05 anb equasaidas 0359 “0002 a1qos B5"/L ap Uppenund eun opuesbo) ‘opezuere seus auauod.o> y> Uos se21U382 Sepipaui se) ‘eqUaLLiONa}Ue opeuo!DUOUE PY aS O10} sapeppedea ap ojjeesap ap sapepinnce se] Jeuawoy eed sajequoweuiagnd SoAnUaSU! ap UpPeILaLUa}du e) A pepUNBasiaqD ap jevopeu e1s}snput e} ap ojousesap ap Janu yo auqno upIqwer sopepledes ap ojjouiesap 13 “00'07 31905 Zp'yL ap uo!demund BUN OAMgo 199 J9P 3G ap UOIsUaUNP e) ‘9>IPUI as OW), eyBo}0ura, A sasepugisy S uossuauna (8028p ap ugipran01d e} { peppentid e) esed sayeinsMpUl so3OWI69s 50] ap 1e116|p up!rew0ysues) e) sod opesindusy “y602'PL BP YOVD Un e anBajy ZF0z A pZOz Soue 50) a:nua anb ewse as k'Sz0z 12 ua saie}9p ap saucy 98°52 ap 10]2A uN ozuED}e eIqWO}O> ua pepuin6asiaq)> &} ap opesiauy yep ovewes ja anb e>1pUl Z2z02 18 atiodas un “opuaroa.o pasa pepunBasiagy> e) ap opeoiatu 13 ‘ooroz asqos 85°C ap UopemUNd eun uovezUeDye sajen> se} ‘se>|UD9A SepIDa Se) "249 ‘eau Ua NUeAUI UO!DdaIOId ‘pepun6asiaq ap savepupisa exed jeuoyeu o2seu! Un uo> ‘quand e1quiojo9 anb eyuasaidas 0353 “00107 a1G05 BS'L| ap p}emund eun opues6o) ‘opezuene sew aquauod.No> 13 UOs se2|UD93 sepIpaw sey ‘ajUaWoVaIUe opeuO!IUDW ey as CIO) ‘sapeppedes ap ‘oj}o.zesap ap sapepiaye sey sejUaWos eed sajewawiewsgnd souoyeinioy ua est0> /se ‘opentid K o2jjqnd saso129s so) sopyn)ouu ‘ewuaysiso29 j2 SOAIIUDU 3p UO!DeIUDLUa}dW e) K pepUNBasiaqy> s9}2637 ‘p03 Ua pepuin6as ap sasepuyso ap uppeyuowa}duul €| U9 opezuert | ap jeuo‘eU eLAsNpUle] ap o}joMLesap ap jaAlU ya B1qnD upIGUIeS sone, ‘Anu g3s9 sjed ja anb ensanus 135 [8 ovad ‘peplinBas ap sajo.quo9 | sapepisede> ap ojjolsesop 13 “90'0Z 31905 Zy'pL ap ugipenund A sasepupysa ap upisequausa}dut 2] a1/evap Ua es\A04 OW ISN I Un CAMO 139 |9P 3G ap UDISUDLUIP 2] ‘Q>IpUL as OWOD | _y Lo!sUOLHG ‘00°02 a:q0s £6'S1L ap UoDEMUNd eUN opuesbo) ‘aueUOd ‘aduene UN aual 195 Je UNGas sajend se) ‘upr2e/ad009 2p Sepipawi se} a1Gn9 3s Upiqwe) UpISUALLIp eIs9 U3 ‘oIquto}09 :popiunbass0q19 ap oinasog 0} 1040Jeu osod uprrezomay ap Ins)a — rGUTSTSS-Ua- PEP UMITETIAT FSP OPERIBUs TOSRPOTRS HE BOD HS UIE even dein eA S048) BEDHNB ASIA > souoneindg 2p exits 2 |peip pasa sed "eur apuop sos0d ap evo) s29]8U0) "U9D>e puntos e1 foxtets6a)ojpmso ofeq Upso 0) 109 'S33NOD | 3p so} 2KoId Sop a asi sp enbojie ‘ugiseeysetsnte aqap as spuop SoyuawoUs So) eaynuap! opoauodos ey equa) and aIgereIsep souopbe y 521 epunue 3LANIW ‘€202 99 O1US UpHUeWID esa 3p ZaNReL ‘3 sont 5] use uous Un 34¢029) 53 "La rquoye> panos 2p sapepliovd A sapepisooou 52) apuase ‘206 soupnus U9 gipaans 0359 —jeUopau ied woven ne opueuay ‘anh poy ey 050 pepunbasieqia ap eqbayensa A e2inod i iplod at ‘enGqvenso ‘rune ico 2p sake ‘u601 eyguoja9 ‘epior| euAunyo>e| ap ages 19 Ua Enargo 9 UD605 G02 £9402 2p opeL9d jo WEIN 12 ue vegettuus) Se6s $34NOD [8p s>pepid (05 FPLUODY 0 UE 1 Utes Lugisuewig ‘011031959 ap UpI>eB|}s9AuI ua sepeseq sapepiunyiodg sezzjey04 :7"p Open ‘seanand saquany ap epluage 4 ajquuodsip uppewiojut ua eseq 3s 10a Ue Wind 18 Uo!sveWip epe> ue esofaw ap sapepiunyiodo A sezojey10) ap soUIUGY Ua SisIEUE J@ e3LasaId aS Zy EIqEL e] Ua {S0iep ap uppaajoid e) A pepraeaud ey e1ed sajernsnpul sowuauBas ya ‘eauy] ua ynUey 50] 2p 1euSip ug}rewi0jsue.s e) sod opesinduul %OL'P LEP ‘pepunBasiago ap sasepupyso exed ieuopeu o2sew un UoD iquuo}0 :popunbasiagin ap wimsog 0} 1o.0faus vsod uppozton>y ap BINDa feun equsaidas 013 pnp ug i 009 oanad 0159 fo uo 8 “Se1Uepbul ap Uonso6 9p sowsuedow 1.29 syed yp anb ensonts [em 0} Sopess}64/ 8505 Keak) 1 29 seu Aey f4.W0}05 UD “LSUL! 9p [eiod > UNbaS wed 12 U9 ounfos euip oueaus un seznuexe exed s0p03 ‘nua vatede os uplaues anh A ayousesanp 143910) ‘nb ayuiad Suan © #sU9}9q pens opucsea pe suepued | auo> soyes9p sounsje opewosae Uehe 95 po) ‘soso ¥eza,euo} sep Eusunio> e| Uo 93 9¢ io) sowed sojaue> sounbje waaip 95 ‘BEE O19 PA cess 34NOD|9 Jos eyondosd awepuny 52 2490703 fe SoH!M94 9p sp anb sy “opensepe upizeiau4 ap ald uN 6) bled ayueodin syuauimne 0 sae) == 6 9p oun ksasvenodt seis veney ean etguio}d> ‘pease eam ap seuny ua ney soupy ap ents {up owoulenanu auainuon os wu e oBzesop a seuiya,# atannelquinoy ‘nb eved sapzpiuryiodo senan kaart ua6ins epuabe evans e| 9p uppeeis eo) epepungosiay ap ewsyepadse ap oyuaiueuaiies ‘81quw0}09 :poplsn6asi0qr9 ap ounysoct 0} s0,0[aw oxed uppoznomay ap yina — sme enaquegy sys eun ate epuansas ap sajaau so) ueuswo.u ‘apap se Per} tn 9 ny opus = ‘0B requro us 321 9p se.0pes0d0 301 9p ua eanawedr ye jun 'ozoe KaLo2 ana e@uie9 ap zaunpew ‘3p soni] 3p on4e00 ap spuaissap 25 uNBas seuss unis un uoo uewuons Up\604 ua sae $2304 sexjand sopeniwve se op upewioju ap seus Eo} Aspjeneip seamnesoesjl se 3p UOD20 s0n0\2u0} 9pu9%01d Yen > gSW ap UNDELIWD}EUN cyte 1839709 fe Opuesode etsa 142) 409 [9 UPIEL ‘soqupyeduos sapepuoyne se|ap Aseanand npuunG 199 ‘uoas96 eee yeuoreu ved undye opeztine opueiep fu 36 a8sequ US ND31 vag seangansaeiU se 9p uppenbo.& Luppesynuape] e erueiai01 o2e4 BS 018000 3 biquuo}09 :popunbasi9q19 ap o1mSog 0} o.ofaws o1ed uppoznonay ap INDsz — sme te sapraajua put ergwoye> ‘0202 12 £9192 1 aiueinp Zasrpeul ap o2ie18 19 UnbeS Ta 9b 9p 1etad y SiURLOTT ayRAp Ur OpUOTT eputuo> pepunboss 9p oun unsey ind openness ‘de5 ss Avumsaeiagly 2202, 90d uoisuaung 21a s3uejape spur ejerap 2 aui0a ‘Soe souligid 30) Uo q3e) so Uolsuaup esa ap zalmpeud 9p SoU) Ua yepuesanseloous ‘eon pepopos ej us eanguiag> za 2 va seypaig se eua> anu ‘apand ant sajevoneura4u 18 saves Ksolsuca iuo> 9p 09 9p upso08 ‘soye san soup 0) uo opesofau uesey o>upns0}9 ua 906 yuo3 3122 S00 59 ols ezUe4L0> 406 O28Nd #5 SEE SaBNOD 1 UO) yeroua6 Soongunogu soup 0 suapsutsoy ap runing ap sousiunoU soln opeyasiesap uly 9¢ eLO}e) 1 eau un euasaudss "30 ap UoIdax9 U03) Jen9 0yoppaygersa a sopo us se3 opuei66)“auessodt aoen® on erou 9520 Map sopodse so] ap eponeu eu outa ‘nips 2aunpeus ap any J pau oui op ef anf mapa 0] 29919391044 9p uprvsed eun opeidope ge 1p ap Upjaaiai3 fap ewit js us yeunibosaarjas uns eRVO}OD 0202 | epa|ros f esngus9gi9 eunajn, Zugisuawig iquuo}09 :poptin6asioq!9 ap o1ysog 0) so4ofaw Died uppoznomay ap oNa en sored eu ump sp ey us seypaig ses ‘uapand nb tauiue> eveDeusow) 3 STS wn se UEIOT Hg SpE ‘anbexeey sove iesouap typed Yeo O| ‘spu0ge uagap #8 oW09 A sepUave9 Se} Uolea)302p1 1984668 $1903 1 U8 ep upadaoxa F590. ‘A'aiunyes op @ovaDuap eun Bish eGo} PANY 211 vosemnpa evo osm open se eu ey anb gausg6s S34N02 ous 9 ‘U9! ua saved enugpese eunjoe|anbuny ox unbasiaq e) © Lepage oe jen fo U9 9pUSsEY eiqucfe> euOd f Uo “sblguodayp worms sojeno so] S05 ¥ Us ssonnnsais so} ap uppeniqisuas e) veproge anb sew 6018 uo owed jeuonau upivenitstaues sp seuse/6015 50] ap pa e1 woo 22e4 28 oe: Pepasos |e ores soles jes foul seas ua psa pepnndas esep Kuppeonsonue]anbuny “onguanu one Janbyenso ‘sajgusypmasa sowespid seq saueipaw 095k nae ap e181 $2) 00 (Pe) eolou eee ups A sing 6059 Ud S0}2U0159)008 ub un 129) aygepUDUIONS porque vB oWw9pEE que vod s3 olegen a5 "eps 2p buesuad e ea s0U 043 ra 25 OU an roWwapUNND y9859 0) 58 SEGE S34NOD ued} 382 fey 9s ou Saseu sour 9204 eseH, ‘oypeduy Z2ewuowne eupod sepa anu wo.reuip.009 ols pepunBasiaql> ap sapeprzede), ‘AoquaIWBOULD ap ojouesea | bigure}e> :popiinBasiaq/9 ap osnasoq 2} s010feus o20d upisoznomay ap vInconan osotveul squeeodelo a papunfosiaqn 0/k upcewioque 9 pep) sopadse edwaiuo> ou 2z02 bP ki 1012 0202 WP 308 ch olan jo sidepe eauioes eepued er auemG s1quojo9 ‘oz 18 A 9.02 Wp oDeLt i aeING eA 60) 9p9s ua ORTDEISET RITES) ‘fp opofoud ond exjeue 36 souoreinBay A saje6a7 soouey puoisuawia od ap sa} se} 0 PbO ap san, seu sejanbe opuenioego sapepisab0u se, i uleueg vo alg te od opeyua3} Sun, 12 owe Sewesfoud s10}dx> eupod eaue}o) ‘ope sam ‘91qu0}09 ;poplin6as10q)9 ap osnasog 0} s0.0/eu o1pd uorezqon>y ap Dinex “swapoe eon: souosuDus se] 3p €40 59.50 €1 sepoaues viemyos op ‘3p ippeywawyda 21 U3 fxQWo}O> Hod sp es80) snulne so 10921590 eupod a: 0] op onUaG, eyGojoural A saxepuers3 fang aasoid [ er ua awerppe sew enerap 2s oue> ‘one pis vosuawi m9 opuey ‘sajevapeutowu' soso) epuersur epuntas xed «2,86 us epuaizey ps0 35 ek nb ob}e ope ap ally UppAGo Us ueyuse ae ou eMgpor aio van Ons sep breqwe US 2202 9p ‘ies e199 078000) 199 19009 "SENGOS Papp feBeSH A OMG 93 depne 2p ypeauo> 2 U8 yevopeWsyu uoDedoo> op ELSIE 9 ap £823} 210| 5) 9p ‘nb 23 soyop auqoe upper) ou e1@uuoja> EUSIUISY sojeuosiedsorep $0) 9p vpiaieud cus sed anu eenengas spur osquasdo: revorsmnsut epuapuada sa pepiyewodsp so}euesiod Souep 3 Ss uossuawig pepumos ‘21 © Olpai9p jp 990U0301 35 OU BIAEFO = erqwjon vo Sepenesuas sowuany se NBs pee oe oye un seD198 eu “aUO}SRBNGOAL| 9 Eola ap ee ula, 359.03, soupp 12u0ns06 uepand! sp senap up ved sear ew) yap ean) 2) ap sausabe so) op v9DeWedeDe7 noworereancromms| Lozoz| mT raf 1qu0}09 :poplan6assaq)9 ap pamasod 2) s0.0fau! Died uo!202)}0M>y ap OIDwe — sme “ang auaaid us squopespusejeop as auso> ‘Soue sounngsd 50] Ua upisuaup ‘essa 3p 2:npmL ap Sa}aN 0] ua yepueiens eofous eum ‘ayqnoey sa ered obse © opusos ‘asonso un uasanbas sq yap sesoej 50} 9p sounbje ise ury "50 e) ap suo) $0) U9 Sf BD SS3HA Se] 2p a2vespe ye uss soy npois soso and sue od ea ubiaue}‘pepitcuo> Kepuan,y ua va>a psoaize sn dered sewoyss Uo seu uaa 9 eSL9p09 3 Souisueoaus sts uatofausevaidusa seyanu an ee Ten9 0] evo[au aqop as epuewsspe|eepo} “onbos “aq? [pp owed) evayo eum a6 mqWOIOD “sexnapd sopepnua se] 9p pieuoyuy ap semis S01 Asajevbip sear ey 3] pi isd a¢eiqulojon uo saque expUl 98 ol03 ‘6.289 eaveye s1uos0/d ©) UO>s216) ‘pond os eo A ev0[ou ap onedsa uason enepor 0: “oppajqessa zaunpeur ap yond un opei8o sey s010430} ‘sb anb eusy un 9 ms4 pepIn39;9 sokeus eun Je) cued @5vanuo> ap seyedie> Supp dope e1ue oWvouleotau zz0e > quis 03 upto "ainpeul 9p 0345 unas 199 1 a>aigensa and oy ap'ceg 15950 lous ap epwumyod fey anb ood ‘onseuuos 2ainpe biqusoyo9 :popliness0q19 ap vinysog 0} 10,0 oui osod upraeenom¥ ap ojoos — sme “WIND OTaPOW Jap (9102) UOISiaA so}ayUE | pzijnn as apuop & souesualuy sopersa So) ap upI2e7IUNeGIO e} £ oy}o1esEq ap OUR>|J2W2J0,U| 2UeG J2 4od OpEINUH404 OZOZ T2P euo|6) ayi0das jap sopewioy uosany epsainbzt e] ap euLuN|O> ej Us SopeD!PUl ZaINPeLL ep JaA|U Bp SO2}E16 SO] anb ‘OW!SILHISY “| ‘oupens ja ua sopesipul Zaunpew ap sajaalu So) 41Uyap & OpNAe orpeN> s0}/a9Ue Jap OplLayUO> J anb JeD|PU! aUELOdW! SI -VLON bquso}03 ;popunBessaqt) ap a1n3sog 0] 10.ofaw o1ed upooznomay ap on5 Analisis de los planteamientos para reestructurar y mejorar la estructura de gobernanza de ciberseguridad en Colombia 5.1. Introduccién. La digitalizacién de la sociedad y ta economia es hoy una tarea impostergable que implica a toda la humanidad. En esta agenda global, los gobiernos, en general han asumido responsabilidades en la definicién de una visién de futuro en cada pais, y de liderar junto a la industria tecnolégica, la academia y la sociedad en general, las, politicas, estrategias y planes de accién necesarios para alcanzar la vision propuesta. ‘Aunque siempre ha sido parte de la agenda de digitalizaci6n, la ciberseguridad ha escalado en relevancia y prioridad en la medida que ha avanzado la digitalizacién. En los paises dénde la digitalizacién esté mas avanzada, la ciberseguridad ha pasado a ser alta prioridad. Cada pais ha tenido su propia experiencia, y globalmente hemos aprendido de las experiencias compartidas en la comunidad internacional. América Latina en general se ha beneficiado de las experiencias de paises mas avanzados, y como region en desarrollo, presenta un cuadro diverso en los niveles de avance de la digitalizacién y de la ciberseguridad en cada pais. Colombia en particular se posiciona relativamente bien en comparacién con los paises vecinos, segtin lo evidencian distintos estudios internacionales. Por ejemplo: * Enel ranking de gobierno electrénico de tas Naciones Unidas (2022 Colombia forma parte del grupo de 12 paises de las Américas con niveles més altos de desarrollo, * Enel ranking global de innovacién de 2023, Colombia alcanza en Sto lugar en América Latina, * Enel ranking global de cibersequridad 2020 de la ITU, Colombia alcanza el ‘7mo lugar en América Latina, aws Ss 3Guta de Actualizacién para mejorar (a Postura de Ciberseguridad: Colombia + Enel estudio CMM publicado por OEA/BID en 2020, Colombia alcanza el 2do lugar en América Latina”. «Enel estudio 2023 OECD Digital Government Index, Colombia es uno de los 10 paises que demuestran un enfoque integral para garantizar bases sélidas para el gobierno digital con un desemperio equilibrado en las seis dimensiones del indice. Sin embargo, dentro de los retos que la nueva sociedad y economia digital nos trae, no solo estan la visién, las politicas y los planes de trabajo. Una dimensién en la que més recientemente se estan enfocando los paises es la gobernanza de la digitalizacién y dentro de ella, la gobernanza de la ciberseguridad se ha convertido en un aspecto prioritario. En América Latina, el reto de la gobernanza de la ciberseguridad ya se ha comenzado a atender y Colombia ha evolucionado también en este aspecto a través de los modelos que ha implementado en el pasado y que actualmente debate a nivel legislativo. Los retos de esta gobernanza de la ciberseguridad a nivel mundial son comunes. Por ejemplo, agencias de defensa y seguridad nacional controlando la coordinacién nacional en ciberseguridad, agencias o ministerios disputandose el rol de coordinador nacional, o asumiendo ese rol (de-facto), agencias trabajando de forma aislada sin mandato legal ni recursos. CERTs sectoriales (de telecomunicaciones principalmente) o de gobierno intentando operar como CERT nacionales (sin recursos, ni mandato), o CERTs nacionales con stiper poderes- desarrollando leyes, politicas piblicas, implementado estrategias. En el caso de Colombia, el Decreto No. 338 de 2022, marca un hito fundamental definir un mandato formal para atender la gobernanza de la seguridad digital, bajo el siguiente lineamiento claramente definido: “Lineamientos generales para fortalecer la gobernanza de la seguridad digital, la identificacién de infraestructuras criticas cibernéticas y servicios esenciales, la gestion de riesgos y la respuesta a incidentes de seguridad digital.” A partir del cémputo simple del promedio ¢e las calificaciones obtenidas por cada pais para cade ENISA también indica que el marco de gobernanza viene a definir los roles, responsabilidad y rendicién de cuentas de todos los stakeholders y adems proporciona un marco para el didlogo y la coordinacién de las. ividades comprendidas en el ciclo de vida de la estrategia."® Los paises deben adoptar un modelo de gobernanza que articule a todos los actores, que contribuyen al éxito de su implementacién en forma horizontal y en los distintos niveles de influencia, de tal forma que se generen los lineamientos, atribuciones, insumos, recursos y capacidades requeridas en el ecosistema. Asimismo, los paises deben contar con legislacién actualizada para la implementacién del modelo de gobernanza, la cual deberd permitir una institucionalidad definida, y como se atribuciones, estructura organizacional, recursos y modelo de sostenibilidad."” 6, ENISA documenta tres modelos de estructuras de gobernanza para gestionar la ciberseguridad a nivel nacional, incluso esos modelos podrfan aplicarse a las estructuras de gobernanza de las funciones criticas (e.g., proteccién de las » preps:J/wonw.enise.eurona.ev /oublications/evber-security-strategies-paper 1 prips: www. eniss europa-eu/oublications/national-cyber-security-trategies-2n-implementation-guide 1 httos://wwww.onisa ouropa.eu/pub lcations/a-governance-iramework-for-national-cybersecurity-stratesies 2 ttps//www.enise.2uropa eu/publications/national-cyber-security-strategies-an-Implementation-guide https://consejofuturo senado. Mandato Legal: Segiin su expertise, las instituciones publicas o privadas deben contar con funciones y responsabilidades claras, incluso que les permita interactuar con otros actores del ecosistema. > Visién Estratégica: la estructura de gobernanza debe tener un norte claro, debe tener una visién y misién para lograr los objetivos en un horizonte temporal. Por tal motivo, es importante involucrar ala agencia de proteccién de datos personales dentro de la estructura de gobernanza para que los temas de seguridad de la informacién, ciberseguridad, privacidad y Proteccién de datos personales tengan un mismo rumbo y con canales de comunicacién adecuados, y no que las agencias de coordinacién y control funcionen de forma aistada, lo cual va @ generar disfuncionalidad en la institucionatidad, todo en menoscabo de los intereses de los ciudadanos. > Enfoque centrado en ef ciudadano: la estructura de gobernanza tiene que ser respetuosa del Estado de Derecho y, por ende, de los derechos nttos://wnw enisa.europa eu/publications/ness-good-practice-guide aws — 37Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia fundamentales de los ciudadanos.% Asimismo, que el objetivo principal de la estructura, as{ como de las politicas ptiblicas y leyes, sea el bienestar econémico y social de los ciudadanos. Colombia adopts este enfoque en el CONPES 3854 de 2016. > Inclusivo y participativo: La ciberseguridad es una problemitica de naturaleza transversal que afecta por definicién a los gobiernos, empresas y ciudadanos. En esa misma linea, uno de los principios rectores en ciberseguridad, y que se encuentra en muchas de las estrategias nacionales de ciberseguridad, es el principio de responsabilidad compartida, el cual requiere el involucramiento y participacién de todos los actores del ecosistema, a saber, el sector piblico, sector privado, academia, sociedad civil, etc, No solo que participen, sino que todos también se beneficien de la toma de decisiones, leyes y politicas publicas. Bajo esas premisas, la toma de decisiones deberd tener un abordaje holistico y pensando en satisfacer las necesidades y prioridades nacionales. En esa misma linea, la estructura de gobernanza deberd observar y promover la participacién igualitaria de género, dandole espacio a las mujeres dentro de la estructura de gobernanza. > Enfoque multidimensional: debido a que la gestidn de las amenazas cibernéticas a nivel nacional es un asunto multidimensional y cuyo abordaje debe ser holistico, por lo tanto, la estructura de gobernanza debe adoptar ese enfoque no solo desde el punto de vista de participacién, como se indicé en el principio anterior, sino también para que las politicas publicas y/o marcos legales y regulatorios y cualquier actividad a nivel nacional ‘tenga en consideracién esa visién de forma sistematica para que el desarrollo y fortalecimiento de las capacidades de ciberseguridad sea balanceado en las diferentes dimensiones, por ejemplo, politicas publicas, cultura cibernética, desarrollo de conocimiento y habilidades, marcos legales y regulatorios e implementacién de estandares y tecnologias. > Orientada al consenso: como es un proceso de toma de decisiones, siempre deberd privar el interés colectivo y el respeto a los derechos humanos ~ lo cual va a generar confianza entre los actores y con ello un mejor ambiente y cohesién en los procesos de toma de decisién. Si priva el interés colectivo, habré mayor participacién, y eso despierta el sentido de apropiacién e involucramiento en las actividades que generan un beneficio directo a la poblacién. hitpss/www deaf.ch/sites/defauit/files/publications/dacuments/CyberSecurity Governance ENG Jan2021 38Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia > Jerarquia en la toma de decisiones: dentro de la estructura de gobernanza debe haber total claridad en cuanto a la jerarquia y proceso de quienes toman las decisiones, asi como el rol y responsabilidad de los diferentes stakeholders en el proceso de toma de decisiones. En todo caso, las decisiones deben ser informadas, siempre buscando el interés colectivo. > Recursos/presupuesto: estrategias y politicas podrian quedar como buenas intenciones si no se dotan a las autoridades competentes de los recursos necesarios para desarrollartas e implementarlas. En las estructuras de gobernanza las alianzas piblico-privadas son un eje muy importante, ya que hay sectores que tienen los recursos, know-how, etc. que permiten la implementaci6n de actividades que se salen del presupuesto puiblico, el cual es limitado. En algunos paises existe un presupuesto dedicado para ciberseguridad -asi se sugiere en la Guia para Desarrollar una Estrategia Nacional de Ciberseguridad-,® lo cual cubre todas las actividades, mientras que en otros paises cada institucién involucrada debe presupuestar tanto las partidas para la ciberseguridad interna como para la implementacin de las actividades o proyectos de alcance nacional que estan a su cargo. En todo aso, es importante que se asignen suficientes recursos o incluso se trabaje con multilaterales, como el Banco Mundial, Banco Interamericano de Desarrollo (B10), etc. para obtener los recursos necesarios. > Cooperacién a nivel nacional e internacional: uno de los temas de mayor impacto dentro de cualquier estructura de gobernanza es el desarrollo de alianzas publico-privadas tanto a nivel nacional como internacional. A nivel internacional, es importante tener un ciber diplomatico que ademés de representar al pais en foros internacionales como Naciones Unidas, también tenga la potestad de establecer alianzas estratégicas de cooperacién con gobiernos 0 socios internacionales o empresas tecnolégicas que quieran apoyar al pais con asistencias técnicas o donaciones orientadas @ implementar actividades 0 proyectos en ambito de la ciberseguridad, como por ejemplo campatias de concientizacién, mejoramiento del CERT nacional, evaluaciones 0 diagnésticos, etc. > Rendicién de cuentas o accountability: Establecer mecanismos de control, Feporte e incluso un régimen sancionatorio son herramientas disponibles Para que las autoridades competentes e incluso sectores no gubernamentales que tienen a su cargo funciones criticas 0 estan sometidas al cumplimiento de ciertas obligaciones se responsabilicen por las mismas. ‘Ademés, debe existir una jerarquia dentro de la estructura de gobernanza a *® httos://warw un ove/counterterrorism/sites/www.un.org.counterterrorism/files/2021 nes-guide, od aws — 39Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia efectos de reportar regularmente los problemas, avances, desafios, mejoras, y que al final, basado en esos indicadores, se puedan tomar mejores decisiones y decisiones informadas, siempre buscan la mejora > Transparencia: Se deben establecer mecanismos de revisién y reporte para que autoridades de mas alto nivel estén al tanto de los avances y puedan llamar a cuenta a las entidades que no estén cumpliendo su mandato 0 actiian de forma irregular. Es importante establecer métricas 0 indicadores para medir el performance tanto de cada institucién como de la implementacién de las politicas piiblicas. Que los mandatos legales, roles y responsabilidades de los miembros de la estructura de gobernanza sean de conocimiento puiblico y los mecanismos de escalamiento de los problemas con autoridades de mas alto rango. > Adaptabilidad/funcional: La estructura de gobernanza debe mantener una base sélida, pero a su vez debe ser flexible y adaptable a situaciones inesperadas (e.g., una pandemia) 0 que requieren ajustes sobre la mancha para atender situaciones de emergencia (e.g., una crisis cibernética de alcance nacional). Ademés, debe ser funcional, para trabajar de la mano con otras estructuras de gobernanza, como la de gobierno electrénico, la de inteligencia artificial, la de transformacién digital, ya que muchas de las funciones criticas estan directa 0 indirectamente conectadas con las actividades o proyectos de otras estructuras, por ejemplo, gobierno electrénico. Es evidente que esas estructuras no pueden trabajar de forma aislada, tiene que existir buenos canales de comunicacién. b. Funciones criticas dentro de la estructura de gobernanza Segiin los modelos de CMM y NCSI, los cuales evaldan las capacidades de ciberseguridad de los paises, existen una serie de funciones criticas que una o varias entidades deben desarrollar, ejecutar, implementar 0 monitorear a efectos de incrementar los niveles de madurez y la ciber resiliencia de la nacién. Una entidad, por ejemplo, el CERT nacional, podria tener a cargo o participar en una o varias funciones criticas, como lo es la respuesta a incidentes, registro de incidentes, coordinacién de las campafias de concientizacién, gestién de crisis cibern coordinacién de simulacros cibernéticos, ete. aws . 40Guta de Actuatizacién para mejorar la Posture de Ciberseguridad: Colombia La coordinacién de esas funciones criticas forma parte de los roles y responsabilidades de la estructura de gobernanza y, para ello, deberdn otorgarse los. mandatos legales, los recursos necesarios para su cumplimiento y los mecanismos de coordinacién con los participantes de todos los sectores. incluso, algunas de esas funciones criticas tienen su propia estructura de gobernanza, la cual debe estar alineada con la estructura de gobernanza nacional, como to es la proteccién a las infraestructuras criticas de la informacién. Esa estructura particular, participan los operadores de servicios criticos tanto del sector piiblico como del sector privado, los reguladores sectoriales y obviamente debe existir un ente rector (e.g., CISA en et caso de los Estados Unidos). Algunas de esas funciones criticas no estén contempladas por modelos como CMM 0 NCSI, como lo es la coordinacién de ciberseguridad a nivel municipal, La gran mayoria de las estrategias nacionales de ciberseguridad se enfocan en realizar actividades a nivel nacional y de gobierno, pero no establecen un vinculo con el sector municipal, lo cual genera una ruptura. A pesar de que las municipalidades también sufren ataques cibernéticos (e.g. Municipatidad de Quito, Ecuador) y tienen Sus propios desafios en el mbito de la ciberseguridad y gestién de datos personales, e505 gobiernos locales cuentan con recursos propios y que estén més cerca de los ciudadanos, lo cual podrian ser un puente o facilitador para mejorar ciertas capacidades, como el nivel de cultura y conciencia cibernética de los ciudadanos dentro de su jurisdicci6n. Ademés, deben desarrollarse mecanismos de coordinacién, ya que estas también ofrecen servicios esenciales, tales como administracién de plantas de suministro de agua potable, cobro de impuestos, etc., servicios que usan infraestructuras o sistemas digitales para su funcionamiento. El siguiente cuadro presenta un resumen de estas funciones criticas, pemes eerGuia de Actualizacién para mejorar la Posturo de Ciberseguridad: Colombia Pee Ef ar coer & Tendencias a nivel regional y global La gran mayoria de paises de la UE, Estados Unidos, Australia, Estonia, Lituania, Reino Unido, Singapur, entre otros, cuentan con una agencia nacional de ciberseguridad, la cual es administrada y operada segin el enfoque o modelo estratégico, intereses y recursos de cada pais. Sin duda, la creacién de un ente coordinador a nivel nacional se ha convertido en tendencia a nivel mundial y ya son varios los paises que impulsan la creacién de una agencia nacional de ciberseguridad. aws — 2Guia de Actuatizocién pora mejorar la Postura de Ciberseguridad: Colombia En América Latina, algunos paises como Reptiblica Dominicana (con el Centro Nacional de Ciberseguridad), Perti (con el Centro Nacional de Seguridad Digital) y Panamé (con la Direcci6n Nacional de Ciberseguridad del AIG) cuentan con una agencia de ciberseguridad. Lo que est en discusién es, si realmente esas agencias, tienen los mandatos legales y recursos necesarios para que operen como un ente de coordinacién nacional en los temas de ciberseguridad o si sus funciones se limitan a la coordinacién en el mbito de gobierno. Como se indicé anteriormente, problemas de gobernanza llevan a entidades a operar en un dmbito de accién limitado, debido a falta de un mandato legal amplio, suficientes recursos, etc. Hoy en dia, varios paises de América Latina discuten a nivel legislativo la promulgacién de leyes y decretos orientados a fortalecer el marco legal y regulatorio. de ciberseguridad y el establecimiento de una agencia nacional de ciberseguridad, como ente coordinador y de carécter técnico. Brasil: Se discute un proyecto de ley para la creacién de la Politica Nacional de Ciberseguridad (PNCiber), el cual incluye el establecimiento de una agencia nacional de ciberseguridad (ANCiber).2# fle Chile: Se discute un proyecto de ley relacionado con la nueva politica de ciberseguridad e infraestructuras criticas de la informacién, el cual ya recibié la aprobacién del Senado y actualmente est siendo revisado por la Cmara de Diputados. Este proyecto también proponer la creacién de una agencia nacional de ciberseguridad (ANCI).?5 Tell México: Se discute en la Cémara de Diputados la aprobacién de un proyecto de decreto para la creacién de una Ley Federal de Ciberseguridad, la cual buscaria fortalecer la proteccién de los datos e informacién en linea, implementar politicas y procedimientos de seguridad cibernética, crear una agencia nacional de ciberseguridad y un registro nacional de incidentes de ciberseguridad, asi como definir infracciones y sanciones para combatir los riesgos cibeméticos. 227 hecos://Inkd n/a TaN * hrtps://Inkd.in/atversa https://consumotic.mx/tecnologia/reciben-en-congreso-iniclativa-de-ley-federal-de-ciberseguridad/ 77 hutps:/Jinkd.infdcFeSTE aws a 45Gui de Actualizacién para mejorar la Postura de Ciberseguridad: Colombio = costa Rica: Se discute un proyecto de ley, denominado Ley Nacional de Ciberseguridad, la propone, entre otros asuntos, la creacién de una agencia nacional de ciberseguridad bajo el Ministerio de Ciencia, Innovacién, Tecnologia y Telecomunicaciones, pero también esté la discusién de si esa agencia deberia estar a cargo del Ministerio de Seguridad Publica.2° 3 Colombia: La propuesta inicial era incluir dentro del Plan Nacional de Desarrollo la creacién de la agencia nacional de seguridad digital, pero la iniciativa no prosperé. En el 2023, se han presentado dos proyectos de ley, una por parte de MinTIC y la otra por varios miembros del Senado. Ambos proyectos de ley con enfoques diferentes, pero que coinciden en la necesidad de crear una agencia nacional de ciberseguridad. IH Perdi: Al Congreso se han presentado varias iniciativas legislativas, una de ellas orientada a la creacién del Centro Nacional de Ciberseguridad (CENACI)?? y otra a reforzar el Centro Nacional de Seguridad Digital y la creacién del Consejo Nacional de Ciberseguridad, dentro del marco de las competencias de la Presidencia del Consejo de Ministros y la Secretaria de Gobierno y Transformacién Digital. d. Anilisis de los Proyectos de Ley de Colombia Con menos de un dia de diferencia, en Colombia se radicaron en el Congreso dos proyectos de ley para crear una agencia de seguridad digital, un proyecto liderado por MinTICy el otro por miembros del Senado. El primer proyecto de ley, radicado et 24 de julio de 2023, propone la creacién de la Agencia Nacional de Seguridad Digital {ANSD), liderado por los senadores David Luna y Ana Maria Castafieda, junto con Ingrid Sogamoso. Mientras que el segundo proyecto de ley, radicado el 25 de julio de 2023, es liderado por MinTIC, y esté alineado con la estrategia de ciberseguridad (pilares) que ese mismo mes presenté dicho ministerio, aunque es importante destacar que el proyecto es mas amplio ya que vincula bajo una misma estructura una divisién de asuntos espaciales: Agencia Nacional de Seguridad Digital y Asuntos Espaciales. 2 paps) Awww larepublca.net/noticis/agencia-nacional-de ciberseguridas-podris-estar.a-cargo-de- segurigad-publica 2 httosy//dalnews.com/ocoponen-crear-centro-nacional-de-cibersequridad-en-peru +» nttps://eomunicaciones.congreso gob, pe/notiias/sustenian-iniciativa-que-promueve-ia-creacion-de'- consejo-nacional-de-clverseguridoe/ aws pene]Guia de Actuatizacién para mejorar la Postura de Ciberseguridad: Colombia SIMILITUDES: Ambos proyectos plantean una agencia de carécter técnico y cuyo objetivo es el fortalecimiento de la confianza y la seguridad de todos los actores digitales, asi como la coordinacién de programas de educacién y prevencién para que los colombianos puedan afrontar las amenazas en el ciberespacio. Ademés, la agencia contar con tos principios de coordinacién, confidencialidad, cooperacién, integridad, neutralidad tecnol6gica y tendré un enfoque basado en riesgos. Ambos proyectos de ley proponen que la agencia debe tener una naturaleza jurfdica descentralizada con personerfa juridica, autonomia administrativa, financiera y patrimonio propio, pero adscrita, una a Presidencia y la otra, al MinTIC. Diferencias generales: Aunque las similitudes muestran armonia y coherencia entre ambos proyectos, la realidad es que las diferencias entre ambos proyectos de ley son sustanciales, Por ejemplo, la propuesta de MinTIC propone la creacién de una Agencia Nacional de Seguridad Digital y Asuntos Espaciales adscrita a la Presidencia de la Presidencia, Mientras que la propuesta de los congresistas plantea una agencia dedicada a los temas de ciberseguridad y adscrita directamente a MinTIC. Otra diferencia, es que la ANSD buscar que tanto las entidades del Estado como las empresas privadas estén obligadas a dar a conocer los riesgos de ataques cibernéticos dentro de sus organizaciones con el fin de que la ANSD preste el soporte necesario. En contraste, el proyecto de MinTIC no contempla esas obligaciones. La entidad propuesta por MinTIC involucra asuntos espaciales y ademas buscaria establecer una gobernanza e institucionalidad de una politica especial. La propuesta de los senadores no contempla ese aspecto. Reflexiones finales y recomendaciones ‘Ambos proyectos tienen similitud en cuanto al fondo y los objetivos que deberia perseguir la agencia nacional de ciberseguridad. Sin embargo, ambos proyectos aws — 45Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia tienen diferencias importantes que deben discutirse para alcanzar consensos. Sin embargo, quizds lamentablemente, la discusi6n ha salido del mbito técnico y se ha tlevado al mbito mas politico, quizas a partir del primer intento del gobierno por incluir el proyecto en el Plan Nacional de Desarrollo, lo que levanté sospechas y desconfianzas. En esta coyuntura presentamos las siguientes recomendaciones: Encaminar esfuerzos a mantener la discusién enfocada en los aspectos técnicos de las propuestas, aislando hasta donde sea posible el ruido y la polarizacién politica. De nuestro estudio basado en publicaciones de diversas fuentes nacionales ¢ iternacionales, parece claro que la sociedad colombiana, sus lideres politicos, empresariales y de la sociedad civil consideran la seguridad digital como un tema importante que debe ser atendido para que el pais avance en los beneficios de digitalizaci6n. Es importante destacar los puntos de entendimiento comtin para avanzar en la biisqueda de consensos. Colombia cuenta con la experiencia, conocimientos y nivel de desarrollo digital que le habilita para tomar decisiones apropiadas en la definicién e implementacién de sus modelos de gobernanza digital, incluida la cibersequridad 0 seguridad digital. Aprovechar estas capacidades en ta construccién de consensos es un imperativo. En el debate puiblico se estén tratando temas fundamentales como la ubicacién de esta nueva agencia, lo que nos lleva a los modelos presentados previamente como referencia de ENISA: centralizado, descentralizado, basados en alianzas piblico-privadas. Asimismo, queda abierta la opcién a crear modelos hibridos a la medida de la situacién del pais. Nuestra experiencia nos inclina a pensar que los modelos hibridos y flexibles son los que brindan mayores garantias de éxito y resiliencia. La inclusién de los asuntos espaciales en la propuesta de MinTIC también trae el planteamiento de la conveniencia en combinar la ciberseguridad y los. asuntos espaciales, aunque en realidad el proyecto plantea dos éreas separadas bajo la nueva agencia. Este planteamiento minimiza riesgos de pérdida de foco para cada érea, pero agrega un nivel adicional en el organigrama que siempre es contraproducente. Recomendames evaluar estos aws Ss 4Guia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia aspectos y en todo caso asegurar que se priorice la agilidad en la toma de decisiones en dreas de alto dinamismo como los son los asuntos espaciales y la seguridad digital. 6. Mantener la nueva agencia atendiendo alto nivel de estrategias, politicas y rendicién de cuentas, mientras que para la ejecucién se fortalezcan otras instituciones como las identificadas por el MinTIC, planteando la creacién de un nuevo hub en capacidades de ciberseguridad en Manizales, es una iniciativa importante. Sin embargo, las mejores practicas internacionales sefialan los procesos de competencia como el mecanismo mas efectivo para este tipo de procesos de seleccidn, Recomendamos considerar un proceso abierto de competencia entre distintas regiones del pais a partir de ciertas capacidades bésicas. 7. Es fundamental que se definan claramente la nueva relacién entre las instituciones existentes como la autoridad de proteccién de datos, el Ministerio de Defensa, o los érganos policiales y de justicia, entre otras; y la nueva agencia. 8. Colombia tiene mucha experiencia gestionando procesos abiertos y participativos mediante discusiones a foros ptiblicos, donde se pueden debatir los diferentes puntos en conflicto y generar insumos y conclusiones importantes. Al parecer, ambos proyectos de ley tienen pros y contras, asi que de ambos planteamientos se podrian depurar y de ellos extraer un proyecto consensuado, 9. El sector privado y la sociedad civil colombiana, particularmente las asociaciones que representan los distintos sectores pueden desempefiar un rol clave en la generacién de consensos en el pais ante este proyecto. Sin duda, Colombia cuenta con la experiencia y conocimientos para capitalizar estas capacidades en la busqueda de consensos. 10. Colombia cuenta con amplia presencia y experiencia en las instituciones y organizaciones internacionales que estudian y definen los modelos para la ciberseguridad globalmente. Esta capacidad esté al alcance del pais y es altamente recomendable invitarlos a contribuir en este proceso. Entre estos cabe destacar la OCDE, la Unién Europeo, o la OEA, entre otros. aws Ss aGuia de Actualizacién para mejorar la Postura de Ciberseguridad: Colombia 6. Hoja de Ruta para mejorar los niveles de madurez en Ciberseguridad de Colombia El andlisis de las anteriores secciones ha proporcionado una perspectiva general det desarrollo y estado actual de la ciberseguridad en el pais, el posicionamiento internacional del pais en revisiones globales sobre ciberseguridad, y un andlisis de ta evaluacién del CMM basada en informes regionales ¢ internacionales, considerando la relevancia para la alianza aqui propuesta. Asimismo, también identificamos las fortalezas y éreas de oportunidad con miras a mejorar las capacidades de ciberseguridad. Esta seccién también presenta recomendaciones para desarrollar una hoja de ruta detallada, que se redactaré en conjunto, y una hipétesis de posibilidades de desarrollo con cronogramas especificos. La siguiente tabla resume las recomendaciones basicas para el desarrollo de la hoja de ruta de madurez de la postura de ciberseguridad: aws — 48Guo de Actualizacién para mejorar ta Postura de Ciberseguridad: Colombia La Tabla 6.1 resume las hipétesis propuestas para el disefio de la hoja de ruta. Dado que el nivel de madurez en el CMM se establece en niveles desde 1 (inicial) hasta 5 (dindmico), siendo el nivel 5 el maximo de madurez posible, las hipétesis se establecen sobre el objetivo alcanzable de un nivel 4,5 o superior, dado que la ciberseguridad esta ligada a un entorno que cambia répidamente y la metodologia CMM seguird evolucionando, sus indicadores sufriran ajustes y el nivel de desempejio del pais también variard con el tiempo, Por lo tanto, alcanzar el nivel maximo de CMM no lo mantiene automdticamente en el tiempo. Mas bien, requeriré una capacidad de mejora continua y de innovacién constante que debe ser evaluada periddicamente. Por ejemplo, cada vez que se desarrolla e implementa una nueva estrategia nacional de ciberseguridad en un pais en particular, la evaluacién del CMM comienza desde el nivel de madurez formativa. Tabla 6.1: Planificaci in y desarrollo de la hoja de ruta para mejorar el nivel de madurez en ciberseguridad a nivel nacional 01 =Polticay estrategia en Durante et cesarola eimplementacon dela nueva NCSS, las autoridedes competentes Sbersegurided eben coordina con los siferentessectores (ea, sector publicoy privado, academia, sociedad chil, operadores de infasstructre rita, entre otros ysiguiendo los linearientesy modelo dels muestra ‘estructura de goberranza fnclayende fa nveve agencia} para identifiar la necesdades y rioridades nacionales yas garantizar una immplementaciénexitosa. También se recomienda recopiter estadstcasy métvieas ara monitarear peidcicamente el proceso de Amplementacién y verficar, entre otras | cuestiones, a disponibilcad de recursos aws Ss 9suficentesy que se avance de acuerdo con as dethldaces eagramacs. PG 3 Tae ast Esta ieensin requlere de un efosri@ Goeméticay sostenido a largo plazo ya generacién de Sociedad Sinezgias entre maples sectores econdmicos yy sociales. Aqui el papel det sector privado, expecialmente de las empresas de base teenol6gica, ex primordial 05 5 ass] a5 ‘sta ex una dimension que equieve Tempoy Desarrollo de recursos pare obtener os resultados conccimiento plarifcados. Se reconvenda crear un grupo de vy Capacicades trabalo compuesto por earesentantes del a gobierno, la industria ye sector acadéico Gersegusiced ara dentficar las piovidades y necesidades 2 rive! nacional Esta dmensinrequerié un | ‘esfuerz0 més significative para integrar de manera sosteniblelacibersegurida en los planes de estusio dela educacén peimariay secundaria y potencar la oferta académica a | ive universtado, ba wares z 350] 48+ Tata devension tambien rogues esluoras Lagalesy sostenides para actualiza (a legislacén Regulatorios vigente,formacin de recurso hurnano y Catackin de recursos econéenicos y tecrolégicos para continua a lucha contra el iberdelt, Ds- 3 ase] a5? Esta dimensiGn reaver un eoue=S Estindaresy significativo en el desarollo dealianzas Teenolagia ‘bico-privadas pare consoidar una indus nacional de eberseguridad apoyads en la ‘sdopcin de extindares internacionales y bcras prcteas erivel nacional incuizor toe | sectores piblio y prvado- | aws: —S 50oo ‘SSDN 0) ap upPinUaLa;dIL] ap odoIa by Wa Or|Up6O,0xd pul Jadod un sjunso 4 unqunuo> upand sayoruauioUdagn6 OU sodni6 50.30 & j1N9 popar3os 9) ‘opoaud 403285 Jap sauo}o0z}40610 so} anb vind Sopoaud & sv2iygnd sozuBIo JAOWIOIG (y “SSN B} ap soxzakord 50) 4 o216 910.1380 onijalgo Jap upiooqUaWa)duul a onosOSap ja Ua (jiA!D popar>os ‘oILLapo20 ‘opontid 403288 ‘ojdurale 10d) anoj2 soposaieiu) sauiod ap upisnd)ojy10d 0) sous (¢ “ousa1qo6 ap saiouiadns sajantu » uopo}so.9 as sorlyauiaqio sowa)qosd A soBsaui ‘saquapiouy so} ow92 A sauo!suny £ sajo1 sns apuaidusos “o1aU96 ua cojand ja opin}2U) ‘pusaysisoze Ja opo3 anb A so4o}2 sapopiiqosuodsas A sauojuny unbuay ‘poplinBasiaq!> ap JDUO!ON oWUDs6oAd Jap ozuDUseG06 ap binz2nAISA } ap auiDd UBLUO, anb ‘(1839-93 DSF “VALLN ‘LIDIWW ‘o}dusafa sod) popyinGasieqi> ap so1opoulpi009 soi2ua60 so) anb 40zAUDID (z (Sequalpuad souo;ssano sono £ joyuaUiUsaqn6 uplouLo4u 0) ap poplunbas ap o210Lu ‘soa)ipu1aq)2 SISu2 ap Uonsa6 ‘o\dulafa 40d) opb1a}220 ou4OIwa 10 SapUodsas DADd JoUO!>0U JaA}U 0 Sopunwiap A sapoprioyid sajon320 so} s0fa}J24 upiquto} o4ad ’Sosm}2u02u) SazuDAa}a4 s032aA04d so) ap popinurjuio2 ») opinj2ut ‘jenju aquajnB|s jap sazuaucdwo> so) apiogo O}05 ou opiuaquo2 ns anb sozAUwI06 wsod (o4aIGNY o} js) UgI290 ap UD}d Ns A (SSN) popuInbassaqiD ap joue!20u oj6ay0.489 onanu b AvjjousDsap o10d ("222 ‘jo;pUN|y O2UOg ‘1 //) Sa}DUO!OULEALY 0120s ap pyouays}so 0) Wo? o2KipUzeqID OBSal1 Jap }OUCINDU UO!DONIDAA DUN 40Z1)0y (L Ha “L°9 e1ge4 e) Ua e>}pul as anb jeioduiay auoz04 1 UnBas peplin6asiaq)> ap sapepyede> se} sevolaus e1ed sapeplaze Jauodoud oalyalgo owso> uauial anb A Winl> 1p e/60]0poyui e] ua sepeseq Sajqeuo}9>" sauo!>epuaLUODaJ ap a}ias eUN UeaIUE|d as ‘oV)a ap UOze! La 'K“(L"9 eIGeL 22) opeujwayap Zasnpew ap JAIL UN UB eIqWIO}O} e 4e2IGN gI4IUHAd SoU JeN> O} ‘(JeUC{B34 WWD ‘ISDN '0Z0Z DD “6'2) sayeuo}>eUWaqUI saD{pUy SO} La e/qUIO}O> Jod sopitisyqo Sopey|Nsa4 A SeIDUa/Oa4 Se] A 0110311959 ap UO!IBBNSAALUI eusanu ua sopenuooua sobze}]2Y $0) e!2U949404 A epjued ap ojund owo> Uauay ssuo!ZepUBLIODAL SoIUOINBIS $e sauolepuatuozay Nosy | 9— sme “prapuouly £ up)ouspi009 ap ‘owousny pop}redo2 0} oganud s2uiod o1od sopouasip vajaguaqi2 0] uo? sopouo_oje1 soIpoliad so!2/2/af9 s0zNDaY JDUO!20U 44D Jap Sapopyiqosuodsay A sajo4 ‘sauo}UNy Soy auaWaRUa!D'Ja oyadwasap o1od sousayuy sajonuouws £ so>)yjod ‘sojuajtuyparosd so) 40sIAay * ssojzadsb sayuainbis so) 10.0[atu 0 405)A04 J0/ap{su09 byiaqap yDuO!2DU 14D 13 ‘SOpluLjap sapopiyqnsuodsay A sauo|DUny f $010}2 sosaz01d Buat (sayo1uawoUsagn6 IOS A 1439 50220 £ 14139}09) jOUO!DDU 1499 J2 anb sozAUOID (LL “ypuo}ou janiu 0 popunBasiaqy9 ap saquonayas sapopiniy20 $0.90 10UJp1009 D10d upIqw} OUIS SSN 0} ap UO!>DIUALUA;dUu) ap OSa20Nd )9 109103]UOLL ‘£1039 140 ‘10,9p!) b1nd oj05 ou poplinBasi9qio ap )UCIDON BUIDIBOsd J2 4923}D1404 (OL ‘ousaigo6 ap sasoluadns sajanlu D uDAaja as sornewiaq)> souiaygosd A soBsaus ‘saquep|ou) So) wip? A sauo}2uny f sa}o4 sns opuasdwi0> ‘}010U26 ua o2ngnd ja opinjout ‘ou123s/s022 19 opo} anb X soioy9 sapopniqnsuodsa1 f sajor uv6u02 ‘popunBassaq!9 ap }OUo}PON DUIOLGoId jap DUBUIAGO6 ap oINI2NASA D) ap auDd UDULIO} anb {939 "1939709 ‘DLLNIW “[2 “d) popun6asiaqi> ap sos0pouIp1002 sor2uabD sv anb sbinBasy (6 ‘poplunBasiaqio ap ssjouol0U sauojysand so.NO K SSN 0} ap up!roqUaLUa;duU 2 onounsap ap osazoud ja s0KUDUY o10d ajqouoz0/ o3sandnsaid un aubjso as anb 1ozRUDsOD (8 sayqiuodsip sosun3au 50} ap osn ja spzjwulado upiquio2 A sozianysa ap up!20a;idnp b] 4031Aa Dsod s}buo!DDU saupjd £ sp/Ga.D.3S@ ‘sapopliojid 50.30 UOD opoaUnD 2352 SSIN B) anb sBInBasy (Z aquapye up)pyuawiaydu ap osas0ud un snz;.U0J06 £ sapopLolid Jon}OAa ‘uoIsaAU! 0} sDzILUIXDUA upd SSN 0} ap Sapopalz20 So} ap (SajDnUDIG 0 sajonun ‘sajos}SawuL.a) sauoPON|DAA 4DzNDAs bund sauuogul ap uoi20,Uasaud A oquajuuynBas ap sozualuyparoud f sows|uoraw 122219057 (9 '$0s1n@1 ap ug) 0U6IS0 0} A sauo}sj2ap ap vUUO} D} soLWIO,LY D1Od saqupnayas ojuariuinBas ap sowop A sosa2oid ‘soayapw uanyona A uayidozed as anb wwznuDs09 (5 qui9}09 :popunbassaq19 ap oumsog 0) 1o10/auy oiod upiaozi}omoy ap nDes — sme 12 induina 10204 X oei0yjUOW Biod Bia;suDUY A D2IBG}OUDaS ‘oUDUIMY popjodDd bj UBbuBy sequauruied sa1opojnbas souss}uo610 so) £ saquayaduuo9 sapoptioino so) anb soz;qUv105 (91 “11D £19 50} ap uo!220,04d 0) vod spI6ay01989 f sojo20301d 's0>y,!}0d s)UNsaCN(S L ‘saquapiou) 0 oysandsau & uor2222ap ‘ugouanaid ap sopijps sa1opupasa f so2)3))od ‘sojoz0r01d opuniuawiajduy upisa sopoarad £ soongnd 119/1D sasopvsado $0} anb s0znUuo1eD (pL “sozouauio ap ouz0}U2 }2 Ua S0)qUID 50] 4D1Nado9 iod sa}oUo}DOULAIU) sexpUEISA So) opUaInbiS 1) f ID ap s0U12}5)5022 So) axuauud2}poliad sonjOAaaY ‘{I[D) UOIDDULIOAU) D] ap SDIRD SpAM>NIASADIZU! 2 (12) so2iyua sounyansasapiyuy sv) ap Sonna” A solD/Auas ‘sas03995 $0} 40214060209 & 10914;UapI (EL JDUO}OU 1y39 Jb SOD/IBUIAGD SaqUApIDU] 50} ‘ounyiodo oauou ap ‘sowNejUl 0 (115 uoas cu anb saiopoiado) soppayid souo!r0z1ub6s0 50} D an6ngo upiquio} aquaysixa Saquapioul ap Up!D0I4yOU ap o210WW Ja anb IwZ;AUDIDH (ZL “putbs6oud jap you1e30u 12 aquawo2Ipouiad sosIAay ‘uoHOZ;IG/SUAs ap soWuBABO1d opuDjnoafa 1nuRUOD ipd (so1a}ououyy £ $02{6p}0u2a} ‘soupwINy) sazuafayNs sosinz—d 1DUO]II0d04d “HA ‘JouoI20U 41439 Jap 22U03}0 Jap o.quAp sauo!ouNy sbaanu soso so10di02uI nied ayuiauz4ad 1062] oyopuDUs Ja anB1ox0 as anb 1ounBasy “1A *s9]046ip sasuasoy souo}s06nsanuy 2 sa}ouoPoULA}UY a $a}oUE!DU soLUOIUA UB SozDLIBLUD a1g0S opD2I351J05 D/2UABN} RU! ap ofodd/sisnpuo J0feuawu o1bd so2ju9x sapoplsodo9 sp) 1onduip s019pysu0> ‘A 70U0!20U 1439 1@p popiajz9@y0 0} soN,DNA A s0a10}1uoU! ind soapsipoisa & soounguu soj/do294 010d soquatiup.iay £ sowsjuv2ewi 1222)90189 ‘Al "JoUo}20U 1439 Jap UOSIad jap UD!D0y90d02 2} ap sopo3)nsa so} sonjona viod sooingiu soydozas £ o>Ipouied uomoyDed02 ] bid soquayuiaLu 4422)90)59 BuDd up!203120d02 ap oUdaAU! D2IRNOd D} 4222]0UO “11 4qu0}03 :poplinbasiaq)9 ap osnysog 0} so,0fow osed uoroznoMoy ap on6 — sme "So2;4N)Od ap UDPO|NUNIO, b) JLUIOJUF O10d popporlid X popunbas ala o}qinba 12 24qos £ ouosiad up} roUUL0JUI 0} ap Uo!>2a,04d bv} 21gos oDNghd aIDgap UN 4DUaWOS ‘sajouosied 5020p ap upja0an0ud 0} ap soapapid sorzadso » sopo2ipap saypiadsa so\npow! sozuawaydut 2 spjjous0sap uaasap Zan JO} BI4012183 K DluBpuNdas UO!DvINpa ap SAUOIINI!ASU! SO] “vauy] ua poplaoayid ns 19u0/S26 1nd sapopHiqoy sns ap o}jounsap ja JenowUosd f souoNsN 50] a2ua Dau) Ua }DUOSIad Up!20ULOJU! b) ap Up}22a}010 b) ap UpISUaJdWUOD D} J9AOWIOA ‘sopoquawa}diuy poprinbas ap sauoionjos so} 2p popnan vj a1qos souonsn so} 0 Up!2pULJ0,uI 0} ppin}2ut 02}U0112a)9 0218.09 ap SO!DIAI05 So} ua p2up1Ju09 s012U26 v1od poplinbas ap sopipauu anbyjdo opoalid 103228 Ja anb 1vz;.UL4D ‘sojpinias sns ua ozUDYU0 A popunGasiaqi2 ap so2j22p1d souang UDAanwosd anb (s2}0190s sapas ap soqUand sns ap spnoaz v sopinquasip A ol2{ul ap souibpd sns ua ppo2pysap viauow ap sopiqlyx@ ‘IDap $a) 058990 }!9p4 ap SayD{Ja,OW 40819 B S| SO} B 10IUA}y ‘siod jap sauianof So} ap poplsnbasiaq 2190s 0j2uU912U09 ap Janu }2 JoN}DAa oad opoxpw un soruawiayduyy 2.10919 ‘saquaypuodsa.io9 soajoanpa sapopli02n0 SD) uo? svfoqod, ‘sowiaxsis Sns Ja6aq01 ap piououodw) 0} asqos 0)2ua/2U02 402.9 o1bd sosaiduue souvipaw A souanbad v sopi6uip popiinBassaq9 aigos up!>DBynnip ap souins6oud 1010/aUu 0 4021, "7090} janlu b SayDrUaUDWJaGN6 soLIDUO|IUN f sopwa;due popunBasiaqio 2190s ug|oznUa!oUOD Ua Up!20;20d02 JoAay) o10d DUIDsBosd UN 4092}90353 ‘ug}90})90d02 0) ap up}DOsRSIUTLUpD 0) 40z}o.3UA> LBLepISUO) ‘popunGasiaqio aigos uppoznual2U09 a1g0s UpoULIOY auaUO>!PoLIad UDg)7A4 ‘SOLoUOIIUNJ ‘50910 $0) sopinjou) ‘sajoquawDusaqn6 (sonanu f s9jany20) sopbaydusa so} sopo1 anb 40z;UvI0D wapeeueme "SB)DUG|ODU [5] ap SOATDD 50) BUBUIDPORTEpD upfaroud (5) ap sasopoiado so} anb J0z2UD406 oJod o}4030jn6a4 o24DU 0430 Janbjon2 Be A sauuiogul ap upiooiuasaud ap soyssinbas $0) ‘2Ua380x2 df!) aP o14030)N62x & yo62) o210U1 ae ‘biquso}03 ‘popun6assaqr) ap o1n)soy 0] s;oofaui o40d uoroeznoMy ap On