Reporte OEA -BID Ciberseguridad Latinoamerica - 2020

Sin duda tanto el reporte como la metodología para definir los modelos de madurez son temas de análisis meticuloso a seguir haciendo.

Quiero adelantar compartiendo los resultados para Bolivia que sin duda me parecen “DEMASIADO OPTIMISTAS. Considerando ademas que los datos tomados en cuenta para el estado país son referencialmente del año 2017.

Quiero ser pesimista por cuanto en los últimos 20 años hemos participando tímidamente de eventos internacionales donde se han impulsado iniciativas regionales, pero por muchos motivos estos no han generado las respuestas esperadas como pais.

Esperamos que con el nuevo gobierno podamos tomar mas en serio este problema que hoy mas que nunca esta afectando a la respuesta de la TRANSFORMACIÓN DIGITAL como país.

EL MODELO DE MADUREZ

•Inicial: En esta etapa no existe madurez en ciberseguridad o bien se encuentra en un estadio muy embrionario. Puede haber discusiones iniciales sobre el desarrollo de capacidades de ciberseguridad, pero no se han tomado medidas concretas. Falta evidencia observable de la capacidad de seguridad cibernética.
•Formativa: Algunos aspectos han comenzado a crecer y formularse, pero pueden ser ad hoc, desorganizados, mal definidos, o simplemente nuevos. Sin embargo, se puede demostrar claramente evidencia de este aspecto.
•Consolidada: Los indicadores están instalados y funcionando. Sin embargo, no se le ha dado mucha consideración a la asignación de recursos. Se han tomado pocas decisiones acerca de los beneficios con respecto a la inversión relativa en este aspecto. Pero
la etapa es funcional y está definida.
•Estratégica: En esta etapa se han tomado decisiones sobre qué indicadores de este aspecto son importantes y cuáles lo son menos para la organización o el Estado en particular. La etapa estratégica refleja el hecho de que estas elecciones se han realizado condicionadas por las circunstancias particulares del Estado o de las organizaciones.

•Dinámica: En esta etapa existen mecanismos claros para alterar la estrategia en función de las circunstancias prevalentes, como la sofisticación tecnológica del entorno de amenaza, el conflicto global o un cambio significativo en un área de preocupación (por ejemplo, delito informático o privacidad). Las organizaciones dinámicas han desarrollado métodos para cambiar las estrategias con calma. Sin embargo, la rápida toma de decisiones, la reasignación de recursos y la atención constante al entorno cambiante son características de esta etapa.

Algunos resultados – resumidos para BOLIVIA

Comparto resultados del reporte relativos a Boliva. Consideremos que son situación PAÍS, es decir no solo están tomando en cuenta determinados sectores, aunque en algunos puntos si hace diferencia entre Gobierno y Privados.

1-1 ESTRATEGIA. Desconozco donde se hubiera creado la Estrategia de Seguridad cibernetica. Un trabajo como este debería haber congregado representantes de diferentes sectores y haber generado un documento a nivel PAÍS. Ahora diferente si nuestra estrategia es NO TENER estrategia, lo cual también debería haber sido colocado en un documento.

1-2 RESPUESTA A INCIDENTES. No considero que tener un sitio web para reportar algunos incidentes sea una situación país.Sectores como las EEFF tienen un proceso pare reportar incidentes, pero no he visto jamas un reporte con esos datos.

1-3 INFRAESTRUCTURA CRITICA – Peor que los anteriores. No he visto u oído un trabajo a nivel nacional para definir el alcance de este punto.

1-4 Manejo de crisis – No he visto nada

1-5 Defensa cibernetica – No he visto NADA

1-6 Redundancia de comunicaciones. Quizá tenemos como un tema comercial, pero no dentro de una estrategia de ciberseguridad.

2-1 MENTALIDAD – Si hacemos promedio deberíamos seguir en nivel INICIAL, no tenemso evidencia para llegar a formativa en sectores diferentes a EEFF, valores y seguros. el industrial y comercial no ha desarrollado este tema.

Creo que para no ser muy estrictos, tener un nivel FORMATIVO o nivel 2 en estos temas nos hace justicia.

Creo que para no ser muy estrictos, tener un nivel FORMATIVO o nivel 2 en estos temas nos hace justicia.

Creo que para no ser muy estrictos, tener un nivel FORMATIVO o nivel 2 en estos temas nos hace justicia.

Creo que para no ser muy estrictos, tener un nivel FORMATIVO o nivel 2 en estos temas nos hace justicia.

Solamente a nivel de RESPUESTA A INCIDENTES tuviéramos un nivel 3 CONSOLIDADO, pero no estoy de acuerdo con ese nivel.

En el reporte tenemos:

” Por su parte, a través del Decreto Supremo Nº 2.514 se creó el Centro de Gestión de Incidentes Informáticos (CGII), cuya misión es proteger la información crítica del Estado y promover la conciencia de la seguridad para prevenir y responder a los incidentes de seguridad.95 Además, el CGII forma parte de la plataforma CSIRT Américas desarrollada por la plataforma de la OEA cuyo objetivo es promover la colaboración, el intercambio, el estímulo y la participación en proyectos técnicos entre los CSIRT nacionales, de defensa, policiales y gubernamentales de los países miembros”

No estoy de acuerdo con el resultado que parecería haber tenido contar con esta organización CGII, siendo que su alcance ha sido extremadamente limitado a algunos eventos por ellos realizados y algunas entidades y casos de gobierno reportados. Deberíamos estar en nivel 2 FORMATIVO.

Conclusion

Lamentablemente cuando se trata de encarar estos temas como organizaciones, asociaciones, cámaras, etc. aparecen los mismos actores con una capacidad de ser TODOLOGOS impresionante. El día anterior estaba hablando de indicadores económicos mundiales y al siguiente están también diciendo que la CIBERSEGURIDAD es importante. Deben dejar que personas especializadas en sus respectivas organizaciones promuevan y liderisen estos temas.

El documento completo puede ser descargado del sitio web de OEA y BID. https://publications.iadb.org/es/reporte-ciberseguridad-2020-riesgos-avances-y-el-camino-seguir-en-america-latina-y-el-caribe