Page 1

LA SEGURIDAD DIGITAL EN COLOMBIA

ANTECEDENTES CIBERSEGURIDAD Y CIBERDEFENSA NELSON RICARDO PÉREZ GONZÁLEZ CODIGO 225008

UNIVERSIDAD CATÓLICA DE COLOMBIA Dr. Jairo Becerra Director de Investigaciones Centro de Investigaciones Socio-jurídicas - CISJUC Facultad de Derecho jabecerrao@ucatolica.edu.co COLOMBIA


Introducción Parto de una definición muy básica de la cibernética, entendida como la ciencia del control y de la comunicación utilizada en común por seres humanos y máquinas para alcanzar un determinado fin. (Universidad Autónoma de Mexico, 2019) Es evidente que en nuestro caminar siempre dejamos huellas; Hoy estas huellas hablan con voz propia del comportamiento de una nación. Para entender la ciberseguridad y la ciberdefensa de una nación, o un conglomerado de estas, es indispensable observar el cambio dramático que tienen las comunicaciones, donde las decisiones trascendentales se comunican desde los dispositivos móviles a través de las redes sociales. Cabe preguntarse sobre la validez, vulnerabilidad, manipulación o inconveniencia de estos medios, que causan un efecto inmediato en el comportamiento social, en la productividad o cualquier fin que se propongan. Es así que al analizar los antecedentes, resulta relevante desarrollar marcos jurídicos relacionados con la ciberseguridad que sean consistentes con los parámetros internacionales; Para integrarse a la comunidad mundial está la

Convención del Consejo de Europa en Delito cibernético. En nuestro país para su ejecución se requiere de voluntad política. Para nadie es un misterio que los grupos al margen de la ley en Colombia, tienen completa información sobre el capital de los industriales y comerciantes y su capacidad económica; pueden medirlos en millones de dólares. Crear conciencia y sensibilizar a la población en todo lo referente a la seguridad de la información; En nuestro medio es común observar que vivimos en la cultura del “no pasa nada”. Las cadenas de mando junto con los mejores proyectos de capacitación se dañan en su ejecución por no aplicar con vigor el marco jurídico para quienes lo vulneran; Hoy existen nuevos tipos penales como delitos informáticos frente a la galopante política pública desarrollada en el Conpes del año 2.011. (Conpes 3701, 2011) A pesar de los grandes esfuerzos durante la última década, incluyendo el luchado Plan Nacional de Desarrollo, parecen sucumbir por la gran necesidad de una hermosa palabra que no debería ser ajena a nuestros corazones: Transparencia.


Antecedentes: En el 2009, luego del ataque a las páginas del Departamento del Tesoro y de Estado, de la Comisión Federal de Gobierno, del Pentágono y de la Casa Blanca, el gobierno de los Estados Unidos creó un Centro de Ciber-Comando Uni- ficado que depende de la Agencia de Seguri- dad Nacional (nsa, por sus siglas en inglés), dhs: National Cyber Security Division, us-cert: United States Computer Emergency Readiness Team y la oficina de Seguridad Cibernética de la Casa Blanca, para hacer posible la defensa de la infraestructura tecnológica del país y llevar a cabo operaciones ofensivas. Según un estudio de la Empresa de Análisis input del 2009, el pre- supuesto para ciberseguridad de us 7.9 billones de ese año, ha ido incrementando en un 8.1% anual, siendo en el 2010 de us 8.54 billones, que representan el 0,25% del Presupuesto Nacional de los Estados Unidos. (Universidad de los Andes, 2015) En nuestro entorno regional tampoco somos ajenos a esta problemática, como lo expone la misma autora: En los últimos dos años el aumento en los ataques cibernéticos en Latinoamérica fue de un 470%, asegura Dmitry Bestuzhev, director para América Latina del Equipo Global de Investigacion y Análisis de Kaspersky Lab.

Sin embargo, en el ciberespacio aumenta un riesgo mayor que pocos han percibido. Se trata de los ataques criminales que desde el mundo virtual están encaminadas a destruir infraestructuras, entidades públicas, sistema financiero y toda la economía de una nación. Por ende, se ha visto la necesidad de implementar políticas públicas que permitan mitigar y hacer frente a estas nuevas amenazas que se presentan para el mismo Estado, el sector privado y la ciudadanía. El Comité Interamericano Contra el Terrorismo, cicte, muestra que en Latinoamérica hay 13 países con Equipos de Respuesta a Incidentes de Seguridad Cibernética (csirt), entre los que se encuentran el arcert, en Argentina, creado en 1999, el clcert de Chile en el 2001, el ctir-gov en Brazil desde el 2004, el ctirgt de Guatemala del 2006, el certuy de Uruguay y el vencert de Venezuela desde el 2008, y el percert, creado en Perú durante el 2009. Quiere decir que desde hace varios años estos países cuentan con una estrategia nacional y un marco legal para la ciberseguridad y la ciberdefensa. La situación para las entidades públicas y privadas no es mejor, pues el más elemental diagnóstico


sugiere que existe un alto reto en temas de ciberseguridad. Durante el 2013 se detectaron 1.551 desfases, una modalidad de ataque cibernético que cambia la página principal de un sitio de internet. En lo que va del 2014 se han reportado 801 de esos ataques: 507 a portales comerciales, 186 de sitios web educativos y 108 de sitios web de entidades. (Universidad de los Andes, 2015) Esta gravísima problemática que está afectando tanto al sector público como al sector priva- do ha repercutido en el Gobierno nacional en los últimos cinco años. A partir de allí el Estado colombiano ha implementado una serie de estrategias desde la inclusión de nuevos tipos penales como delitos informáticos hasta la consolidación de una política pública plasmada en el Conpes 3701 “Lineamientos de política para ciberseguridad y ciberdefensa”. (Conpes 3701, 2011) Dichas estrategias se han convertido en una política pública que permitiría al Estado colombiano y al sector privado enfrentar las nuevas amenazas del entorno digital, fortaleciendo las instituciones, los recursos físicos y de talento humano, entre otros.

Resiliencia Gestión de Riesgo Seguridad de la información

Ciberseguridad

Se entiende como riesgo la posibilidad genérica de pérdida o lesión y la gestión del riesgo como una disciplina que busca optimizar las decisiones sobre medidas de protección, buscando maximizar el valor esperado frente a los riesgos conocidos, basada en datos históricos. Actualmente esta visión se ve complementada a través del término de resiliencia como la capacidad de que tiene un sistema de tolerar y recuperarse ante un desastre. El significado de resiliencia, seguridad y gestión del riesgo, sus significados en el contexto de la ciberseguridad están interrelacionadas. El siguiente diagrama proporciona la relación entre la ciberseguridad, la seguridad de la información, la gestión de riesgos y la resiliencia. Teniendo esto en cuenta, se puede apreciar la evolución de la política pública colombiana entre el CONPES 3701 y el CONPES 3158, donde se han utilizado el concepto de resiliencia para evaluar la capacidad de mantener la seguridad y la flexibilidad y para recuperarse de una serie de posibles eventos adversos. Además, la capacidad de recuperación ofrece la capacidad de revisar mejor cómo los sistemas pueden ajustarse continuamente a la información, las relaciones, los objetivos, las amenazas y otros factores cambiantes para adaptarse frente al cambio, particularmente aquellos cambios potenciales que podrían arrojar resultados negativos. (Escuela Superior de Guerra, 2018)


CIBERSEGURIDAD “Se define como la capacidad del Estado para minimizar el nivel de riesgo cibernético al que están expuestos los ciudadanos, en áreas como transacciones financieras, protección a la información y propiedad intelectual”

CIBERDEFENSA Es preciso hacer énfasis en la diferenciación de estos conceptos, pues la ciberdefensa tien- de a dirigirse a las acciones tendientes a la pro- tección de la soberanía nacional y el uso de las fuerzas militares y de inteligencia para contra- rrestar distintas amenazas, mientras que ciber- seguridad hace relación a todas esas acciones que ponen en marcha tanto el Estado como el sector privado para minimizar los riesgos de amenaza que puedan sufrir entidades de cual- quier naturaleza y el ciudadano del común. Tal y como se ha señalado en investigaciones anteriores , el documento conpes de seguridad digital establece que es necesario reforzar las capacidades de ciberseguridad con un enfoque de gestión de riesgos, así como reforzar las de ciberdefensa con un enfoque de gestión de riesgos; también se determina que los esfuerzos de cooperación, colaboración y asistencia, nacionales e internacionales, relacionados con la seguridad digital, son insuficientes y desarticulados. Ante este panorama se plantea una nueva política, cuyo

objetivo general es: [...] identificar, gestionar, tratar y mitigar los riesgos de seguridad digital en sus actividades socioeconómicas en el entorno digital, en un marco de cooperación, colaboración y asistencia. Lo anterior, con el fin de contribuir al crecimiento de la economía digital nacional, lo que a su vez impulsará una mayor prosperidad económica y social en el país. (Conpes, 2016, p 47) Es precisamente por ello que la política trazada por el documento conpes 3854 de 2016 está determinada de la siguiente manera.


Adoptará un enfoque multidimensional • Técnica • Jurídica • Económica • Social Estimulará la prosperidad económica y social

Tendrá en cuenta a las múltiples partes interesadas

Asegurará la defensa y seguridad nacional

Promoverá la responsabilidad compartida

Gestión sistemática y cíclica del riesgo

Alto nivel del gobierno

Salvaguardará los derechos humanos

Protegerá los valores nacionales

Concientizará y educará

Las cinco dimensiones estratégicas sobre las que se adopta el enfoque que garantice la seguridad digital desde la participación de las múltiples partes interesadas se define de la siguiente manera que se presenta de manera gráfica para la comprensión Crear las condiciones para que las múltiples partes interesadas gestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se genere confianza en el uso del entorno digital

Establecer mecanismos de participación activa y permanente de las múltiples partes interesadas en la gestión del riesgo de seguridad digital

Adecuar el marco legal y regulatorio en torno a la dinámica de la economía digital y sus incertidumbres inherentes

Generar confianza en las múltiples partes interesadas en el uso del entorno digital

Identificar y abordar los posibles impactos negativos que otras políticas pueden generar sobre las actividades de las múltiples partes interesadas en el entorno digital o sobre la prosperidad económica y social

Promover en los diferentes niveles de formación comportamientos responsables en el entorno digital


ANTECEDENTES Y DESARROLLO NORMATIVO DE LA POLÍTICA PÚBLICA DE CIBERSEGURIDAD Y CIBERDEFENSA EN COLOMBIA

NORMATIVIDAD INTERNACIONAL Convenio sobre la Ciberdelincuencia (cc). Consejo de Europa. (Convenio sobre Cibercriminalidad de Budapest). Adoptado en noviembre de 2001 entró en vigor el 1° de julio de 2004.

Único instrumento vinculante vigente sobre el tema en el ámbito internacional, y su protocolo para la criminalización de actos de ra- cismo y xenofobia cometidos a través de sistemas informáticos. Cabe resaltar que si bien el cc tuvo su origen en el ámbito regional europeo, es un instrumento abierto para su adhesión a todos los países del mundo.

Resolución AG/RES 2004 (XXXIVO/04) de la Asamblea General de la Organización de los Estados Americanos.


Estrategia integral para combatir las amenazas a la seguridad cibernética: • Creación de una Red Hemisférica de Equipos Nacionales de Respuesta a Incidentes de Seguridad de Computadores. • Identificación y adopción de normas técnicas para una arquitectura segura de Internet. • Adopción y/o adecuación de los instrumentos jurídicos necesarios para proteger a los usuarios de Internet y las redes de información de los delincuentes y los grupos delic- tivos organizados que utilizan estos medios, a cargo de las Reuniones de Ministros de Justicia o de Ministros o Procura- dores Generales de las Américas (remja).

Normatividad Nacional Constitución Política de 1991 -

Articulos 2, 15, 20, 75,78.

Decretos reglamentarios -

Leyes -

Ley 527 de 1999 – Comercio Electrónico. Ley 599 de 2000 − Código Penal Colombiano. Ley 603 de 2000 − Control de legalidad de soGware. Ley 962 de 2005 − Ley Antitrámites. Ley 1150 de 2007 − Modificación al Estatuto de Contratación Pública. Ley 1266 de 2008 – Habeas Data. Ley 1273 de 2009 − Delitos informáticos. Ley 1341 de 2009 – Sociedad de la Información y las tıc. Ley 1581 de 2012 − Protección de Datos Personales.

Decreto 2693 de 2012 – Gobierno en Línea. Decreto reglamentario 1377 de 2013 − Protección de datos Personales.

Normatividad especializada -

Documento Conpes 3701 de 2011. Resolución de la Comisión de Regulación de Comunicacio- nes 2258 de 2009. Circular 052 de 2007 (Superintendencia Financiera de Co- lombia). Norma Técnica ntc−ısoƒıec Colombiana 27001.


ORGANISMOS ENCARGADOS DE LA CIBERSEGURIDAD Y LA CIBERDEFENSA EN COLOMBIA

1. Presidencia de la República

Sus funciones específicas, según el Decreto 1512 de 2000, art. 5 son, entre otras:

En sus funciones constitucionales y legales el

1. Participar en la definición, desarrollo y eje-

poder ejecutivo, en cabeza del Presidente de la

cución de las políticas de defensa y seguridad

República como suprema autoridad administrativa

nacionales, para garantizar la soberanía nacio- nal,

y comandante de las fuerzas militares, ha liderado

la independencia, la integridad territorial y el

la concreción de una política pública de

orden constitucional, el mantenimiento de las

ciberseguridad y ciberdefensa en el Estado

condiciones necesarias para el ejercicio y el

Colombiano. Desde la llegada del presidente Juan

derecho de libertades públicas, y para ase- gurar

Manuel Santos a la Presidencia se ha demostrado

que los habitantes de Colombia convivan en paz.

A. Organismos del orden nacional

gran voluntad política para enfrentar los nuevos desafíos a la sociedad y al propio Estado en

Así las cosas, esta institución es la llamada a

materia de seguridad, implementando distintos

concretar los lineamientos que materialicen la

instrumentos y mecanismos.

ciberseguridad y la ciberdefensa en el Estado colombiano, en conjunto con las fuerzas mili-

2. Ministerio de Defensa Nacional

tares y de policía, así como los organismos de seguridad e inteligencia.

La misión del Ministerio de Defensa Nacional

3. Ministerio de Tecnologías de la Información y

(Min defensa) le define como un deber “contribuir

las Comunicaciones

a la gobernabilidad democrática, la prosperidad colectiva y la erradicación de la violencia, mediante

Según la Ley 1341 de 2009 o Ley de tic, este

el ejercicio de la seguridad y la defensa, la

Ministerio es la entidad que se encarga de diseñar,

aplicación adecuada y focalizada de la fuerza y el

adoptar

desarrollo de capacidades mínimas disuasivas.”

programas y proyectos del sector de las

(Mindefensa, 2014).

tecnologías

y

promover de

comunicaciones.

la

las

políticas,

información

planes, y

las


Dentro de sus funciones está incrementar y facilitar el acceso de todos los habitantes del territorio nacional a las tecnologías de la información y las comunicaciones y a sus

1. Comando Conjunto Cibernético de las Fuerzas Militares

beneficios. Dependencia adscrita al Comando de las Fuerzas Su misión es promover el acceso, uso efectivo y

Militares, la cual se encarga de coordinar la

apropiación masivos de las tic, a través de políticas

respuesta a incidentes de seguridad que afecten la

y programas para mejorar la calidad de vida de

seguridad nacional.

cada colombiano y el incremento sostenible del desarrollo del país (MinTic, 2014). Siendo esta institución la entidad especializada designada para ayudar a la concreción de las políticas de ciberseguridad y ciberdefensa, se constituye en un aliado primordial del Ministerio

Objetivos: -Análisis forense básico. -Operaciones de ciberdefensa.

de Defensa para que estas puedan implementarse, desarrollarse y generar los efectos esperados

-Operaciones de inteligencia.

frente a las nuevas problemáticas que la modernidad nos presenta.

B. Organismos especializados La política de ciberseguridad y ciberdefensa en

-Auditorías y evaluaciones de seguridad. -Aseguramiento de portales FF. MM.

Colombia se soporta en una Comisión Intersectorial formada por los siguientes tres organis- mos creados a partir del Documento Conpes 3701 de 2011:

-Capacitación especializada en ciberseguridad y ciberdefensa. -Cooperación internacional. -Membresía al first.


2. Centro Cibernético Policial Es la dependencia de la Dirección de Investigación Criminal e interpol encargada del desarrollo

-Laboratorio de investigación de malware (sector bancario). -Análisis forense equipos Tablet Mac-Servido- res-Smarthphones.

de estrategias, programas, proyectos y demás actividades requeridas en materia de investigación criminal contra los delitos que afectan la información y los datos (Centro Cibernético Policial, 2014).

Objetivos: -Implementación del Centro Cibernético Policial (C. C. P.). -Respuesta en línea a incidentes de ciberseguridad - Cuadrante Virtual (cai Virtual). -Coordinación internacional Interpol-Europol Grupo de Trabajo de Delitos Tecnológicos.

-Atención, judicialización de incidentes ciber- néticos (afectación en distintos niveles y sec- tores). -Unidades de investigación tecnológica udite (44) Cobertura nacional de la problemática.

3. Grupo de Respuesta a Emergencias Cibernéticas de Colombia (colCERT) Tiene

como

responsabilidad

central

la

coordinación de la ciberseguridad y ciberdefensa

-Atención de incidentes informáticos Dijin Laboratorios móviles de informática forense. -Implementación csirt ponal: equipo de res- puesta a incidentes informáticos de la Policía Nacional.

nacional, la cual estará enmarcada dentro del proceso misional de gestión de la seguridad y defensa del Ministerio de Defensa Nacional. Dicha coordinación corresponde a las acciones necesarias para la protección de la infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten o comprometan la seguridad y defensa nacional.


Objetivos: - Coordinar y asesorar a csirt y entidades tanto del nivel público como privado y de la sociedad civil para responder ante incidentes informáticos. - Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a inci- dentes informáticos, así como a aquellos de información, sensibilización y formación en materia de seguridad informática. - Actuar como punto de contacto internacional con sus homólogos en otros países, así como con organismos internacionales involucrados en esta técnica.

- Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la nación, en conjunto con los agentes correspondientes y velar por su implementación y cumplimiento. - Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y formación de talento humano especializado, relativas a la ciberdefensa y ciberseguridad.

- Promover el desarrollo de capacidades loca- les/sectoriales, así como la creación de csirt

- Apoyar a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las comunicaciones.

sectoriales para la gestión operativa de los incidentes de ciberseguridad en las infraestructuras críticas nacionales, el sector privado y la sociedad civil.

- Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y cibersegu- ridad, orientado a la mejora de los servicios prestados por el colCERT.


VI. CONCLUSIONES Es evidente que en Colombia existe una política

“las acciones y grupos de trabajo de las unidades

pública líder en la región de Latinoamérica,

de seguridad e investigación informática y forense

respecto de la forma como el Estado ha venido

de la Policía y las fuerzas armadas están en un alto

enfrentando

nivel”, según el exministro de las tic, Diego

los

desafíos

que

plantean

la

ciberseguridad y la ciberdefensa al propio Estado

Molano Vega.

y a la sociedad en general. En ello hay que destacar la importancia de hacer de dicha política

Sin embargo este balance positivo contrasta con

un esfuerzo sin precedentes que debe reunir al

lo

sector privado, al sector público, al sector militar,

comunicación:

expresado

por

el

mismo

medio

de

la academia y la ciudadanía en torno de ella. Muestra de este liderazgo es que Colombia, según

Según mediciones del Centro de Cibercrimen de

la clasificación global de la uit en materia de

Microsoft, en los Estados Unidos, así como de

ciberseguridad, en el año 2014 logró situarse en el

empresas como Symantec, McAfee y Eset,

noveno lugar a nivel mundial, no muy lejos de

Colombia es un país que ya muestra altos índices

países como Francia, España, Egipto y Dina-

de criminalidad digital.

marca, y en el quinto lugar en el ámbito de las Américas, luego de Chile y México.

Robos de identidad digital con fines extorsivos; de recursos de entidades, empresas y personas;

Reconociendo la realidad que está enfrentando

ataques dirigidos contra oficinas del Estado y

Colombia, y tomando lo comunicado por la

compañías financieras; ‘secuestro’ de equipos e

Redacción de Tecnología del diario El Tiempo (7

información pública y privada, son algunas de las

de abril de 2014) a manera de diagnóstico:

modalidades que más crecen en Colombia.

Lo primero que encontraron los expertos al analizar los planes en materia de ciberdefensa y

En razón de lo anterior el Gobierno colombiano

seguridad digital en Colombia es que somos un

está ultimando la nueva estructura que tendrá

país

proteger

tanto en el alto Gobierno como a nivel nacional y

infraestructura informática y un ejemplo para

regional el plan de ciberseguridad y ciberdefensa.

otras naciones”, según dijo al diario El Espectador

Los lineamientos más relevantes según el artículo

el secretario ejecutivo de la oea, Neil Klo-

de El Tiempo (2014) que se viene comentando

pfenstein.

son:

“líder

en

experiencia

para


Puntos del nuevo programa Dos sistemas. Colombia tendría un sistema de

Entre las novedades cabe resaltar la creación de la

seguridad externa (ciberdefensa) y otro de

Agencia Nacional de Seguridad Cibernética y la

políticas internas (ciberseguridad). Ambos con

Comisión Digital.

coordinación unificada y con enlace directo a Presidencia.

De igual manera:

Refuerzo de personal. El pie de fuerza en

El

seguridad digital crecerá. Se destinarán más

Cibernéticas de Colombia (Colcert), que hoy

recursos a los comandos y grupos de investigación

forma parte del Ministerio de Defensa Nacional,

de defensa y seguridad digitales.

pasará a integrar la nueva agencia. Se crearán

Grupo

de

Respuesta

a

Emergencias

fiscalías especializadas en ciberdelitos

y se

Más tecnología. Según el ministro Molano el país

capacitarán a los jueces de la República en el

cuenta con tecnología de punta para la lucha

manejo de este tipo de casos.

contra el Cibercrimen. En este aspecto se aumentará el presupuesto y el trabajo con

En apoyo con el sector privado y las universidades,

expertos privados.

se formarán centros de innovación y excelencia, que

harán

investigación

y

desarrollo

de

Leyes fuertes. Judicializar a tiempo y de manera

herramientas para mejorar la ciberseguridad o

efectiva a los delincuentes digitales será punto

atenderán casos de ciberdefensa.

clave. El marco legislativo actual requiere de revisión y endurecimiento.

Este nuevo plan es transversal a todo el Estado colombiano, tanto a nivel central como regio- nal,

¿Y la inteligencia? Las entidades que controlan y

con la participación activa del Ministerio de la

vigilan la seguridad y la defensa nacionales en el

Defensa, el de Justicia, la Cancillería y el

campo digital estarán mejor ‘armadas’ a la hora de recabar información y datos que permitan evitar riesgos para la Nación.

de las tic, entre otros. Dentro del plan también se contemplarán planes de formación sectorial en

Promulgación. Aún no se conocen los detalles

temas de ciberseguridad y un esquema de

exactos del nuevo plan de ciberdefensa y

cooperación internacional. (Tecnosfera, 2014).

ciberseguridad que anunciará, con sus respectivos decretos, el Presidente Santos.


Es claro que los desafíos a los cuales nos estamos viendo expuestos son de gran magnitud y ameritan la respuesta que le está dando el Gobierno nacional, pues la globalización, la sociedad de la información y el desarrollo tecnológico exigen la implementación permanente de este tipo de políticas públicas, y el avance en la creación

de

organismos,

mecanismos

e

instrumentos que permitan hacer frente a las amenazas que la modernidad y la era digital nos presentan como Estado y como sociedad.

Trabajos citados Conpes 3701. (14 de julio de 2011). Consejo Nacional de Politica Economica y social. Obtenido de

Departamento

Nacional

de

Planeacion:

https://www.mintic.gov.co/portal/604/articles3510_documento.pdf Escuela Superior de Guerra. (2018). LIBRO PARES

LA

SEGURIDAD

DIGITAL

EN

COLOMBIA. BOGOTA: MINISTERIO DE LAS TECNOLOGIAS DE LA INFORMACION Y LAS COMUNICACIONES. Universidad de los Andes. (numero 14 de julio diciembre

de

2015).

Revista

de

Derecho

Comunicaciones y Nuevas Tecnologias. Obtenido de Ciberseguridad y Ciberdefensa en Colombia: file:///C:/Users/rpg32/Downloads/Ciberdefens a.pdf


CONCLUSIONES FINALES A lo largo de los capítulos presentados en este

Reducir la amenaza de ciberseguridad significa

libro se ha evidenciado la importancia para cada

centrarse en prevenir o impedir que el adversario

uno de los sectores de poder medir y mitigar el

actúe es decir que los carteles del ciberespacio

riesgo digital. Para cualquier economía, Internet

tomen control. Esto a través de la óptica de un

amplía en gran medida los mercados de productos

fortalecimiento jurídico complementa la reducción

y servicios y por ello su importancia. Las partes

de la amenaza en la ecuación del riesgo. Evitar que

interesadas reflexionan sobre la necesidad de una

el adversario actúe puede incluir la aplicación de la

mayor integración entre la ciberseguridad y los

ley, la diplomacia, la inteligencia o los esfuerzos

esfuerzos de desarrollo de la resiliencia. La

militares para neutralizar a las personas o sus

resiliencia está surgiendo como la estrategia para

herramientas. Disuadir al adversario de actuar

abordar el cambio y la incertidumbre en un

podría incluir una gama aún más amplia de

conjunto cada vez mayor de sectores, escalas y

opciones,

plazos. La resiliencia ofrece una visión de

particular.

dependiendo

del

adversario

en

equilibrio de los sistemas y cómo podría responder a diversas circunstancias. A partir de ello y usando

Las tendencias actuales hacia la digitalización, la

el análisis de riesgos, el problema del riesgo desde

automatización y la interoperabilidad no necesitan

una perspectiva clásica se compone de la amenaza,

excluirse mutuamente de la seguridad. Sin

vulnerabilidad y consecuencia, donde reduciendo

embargo, el desafío de la ciberseguridad solo

la amenaza o la vulnerabilidad se concluye que la

puede abordarse de manera efectiva al comprender

consecuencia es pequeña. Ahora bien, se sabe que

completamente la amplia gama de vectores de

no existe ningún sistema cien por cien seguro y

amenazas. Incluso entonces, estas preocupaciones

siempre existirá la probabilidad de ocurrencia de

solo se pueden resolver eficientemente al buscar

un efecto de riesgo o de desorden (Entropía de

las mejores opciones para reducir cada uno de los

Shannon) que se puede ver reducido a un

tres factores de riesgo.

equilibrio producido por la resiliencia.


Un elemento fundamental dentro de esta visión

La universidad debe asumir el liderazgo para

resiliente que se adiciona en la ecuación es una

generar los espacios en el ámbito de la educación,

ciudadanía educada en el ámbito ciber, es decir que

desde cursos formales, cursos de extensión y la

el individuo sea y deba ser un agento activo de

investigación científica. En este último creando

generación de la seguridad y con ello construir

grupos

una sociedad más segura y que tenga confianza

reconocimiento por el valor de sus resultados.

dentro de este ámbito. La educación en la

Esto

ciberseguridad nace de sensibilizar a todos, desde

conocimiento que pueda ser volcado a la sociedad

edades tempranas, pasando por jóvenes y adultos

y a las empresas.

de

investigación

puede

habilitar

que la

cuenten

generación

con de

mayores, de los riesgos y las consecuencias de sus prácticas en Internet. Por ejemplo, Estados

Ahora bien, en la línea de lo anterior, es

Unidos cuenta con el programa de educación

importante definir que del todo es lo más

“National Initiative for Cybersecurity Education

importante

(NICE)” desarrollado en el año 2012 promoviendo

investigar

el desarrollo de las personas en el tema de

infraestructura crítica por el nivel de impacto que

ciberseguridad.

puede

proteger sobre

acarrear

y

ello, una

consecuentemente en

este

interrupción

caso en

la su

funcionamiento. La infraestructura crítica como Sin embargo, existe una ausencia de un consenso

sistemas de generación y distribución de energía,

general de que se debiese enseñar sobre

redes

ciberseguridad en todo nivel, desde el nivel del

oleoductos, etc, son el blanco de los ciberataques.

ciudadano común hasta el nivel universitario. En

El impacto y el costo de estas amenazas, así como

este último debe haber un esfuerzo en el desarrollo

la presión regulatoria para mitigarlas, han creado

curricular en este ámbito. La evolución de unos

una agenda priorizada para los estados.

de

telecomunicaciones,

control

de

buenos programas de ciber seguridad a nivel universitario está siendo obstaculizada por los

La revisión de la madurez actual de la capacidad de

procesos internos de las universidades, el cambio

resiliencia y los modelos de riesgo, destacan que,

es necesario en este frente. Existe una gran

aunque muchos modelos existen, ninguno está

demanda de personas no solo en el país sino a nivel

específicamente

internacional bien calificadas en ciberseguridad, es

escenario de los operadores en Colombia, por el

visto como una carrera para el futuro.

contrario, solos existen modelos parciales o de

diseñado

para

abordar

el

sectores específicos de la industria y todos están en un nivel general. La ausencia de un modelo de


madurez de la capacidad de ciberseguridad brinda

recuperación para restaurar el sistema después de

una oportunidad para mayor investigación a

un compromiso de seguridad. No existen métricas

expertos e investigadores de la industria de los

de rendimiento y evaluación que permitan

modelos

determinar el nivel óptimo de inversión en

de

madurez

de

capacidad

de

ciberseguridad.

ciberseguridad, depende de factores relacionados con la eficiencia de la inversión.

La resiliencia está surgiendo como la mejor estrategia

para

abordar

el

cambio

y

la

La ciberseguridad, que es el desafío común de

incertidumbre en un conjunto cada vez mayor de

todas las partes interesada, debe aplicar el análisis

sectores, escalas y plazos. Las partes interesadas y

de riesgos a cada uno de los vectores de amenaza.

los expertos en la materia deben reflexionar sobre

Si bien ninguno de nosotros puede saber

la integración entre la ciberseguridad y los

exactamente cómo será el mundo futuro, creemos

esfuerzos de desarrollo de la resiliencia en general.

que es importante prestar atención a las

Los responsables de la ciberseguridad deberían

tendencias clave de hoy que podrían dar forma a

examinar cómo el pensamiento de resiliencia

ese mundo y una de ellas es todo lo relacionado

podría alterar los enfoques para gestionar los

con la ciberseguridad.

riesgos de forma explícita en el ciberespacio. Igualmente, las empresas deben unir las técnicas de evaluación del riesgo junto con las técnicas financieras de análisis, para determinar la mejor manera de utilizar sus recursos y esfuerzo para aumentar los ingresos y disminuir los costos o las pérdidas. Sin embargo, pocas organizaciones tienen tales procesos de análisis para determinar el nivel y tipo de mecanismos de ciberseguridad en los que invierten y mantener. Medir nivel óptimo no es sencillo, sin embargo, se puede conseguir una aproximación midiendo la posibilidad de ocurrencia de una brecha de seguridad versus el costo de si llegase a ocurrir. La resiliencia alimenta este modelo ya que, incorporándolo permite evaluar de manera fehaciente los tiempos de respuesta que se deben tener y los planes de


Profile for harbey

CIBERSEGURIDAD Y CIBERDEFENSA  

CIBERSEGURIDAD Y CIBERDEFENSA  

Profile for harbey6
Advertisement