La Ciberseguridad según la ITU
En materias de Ciberseguridad, salvo excepciones, no se ve un gran avance en la región!
Hace unas semanas salió el último ranking de ciberseguridad de la Organización Internacional de Telecomunicaciones, ITU, denominado Global Cibersecurity Index (CGI), esta es su tercera versión (2015, 2017 y 2018), la cual era bastante esperada, ya que la anterior correspondía a 2017, mostrando el estado del arte del 2016. En tres años pasan muchas cosas en esta área y por lo tanto era una métrica necesaria para entender de mor forma cómo los países han evolucionado. Si bien, existen otros indicadores de ciberseguridad, como es el caso del National Cyber Security Index (NCSI) desarrollado por e-Governance Academy Foundation de Estonia, sobre el cual ya he escrito anteriormente y que me genera bastantes dudas. En la gráfica siguiente se muestra el mapa de calor de la última versión (2018) indicador de la ITU.
En el caso del GCI de la ITU, este indicador es el de mayor cobertura en términos de países analizados, además con el respaldo de una agencia de Naciones Unidas, y una metodología que se ha ha ido depurando en estas tres versiones, introduciendo en la última versión algunos cambios, por ejemplo:
- El instrumento (cuestionario) y los ponderadores luego de un análisis con un grupo de expertos han sido modificado de forma de representar de mejor forma el estado del arte.
- Los países cuando responden a las preguntas del cuestionario, sustentado dichas respuestas con documentos (de apoyo) en carácter de borrador sólo ponderan 50% del indicador y no 100% como en versiones anteriores.
- Se han introducido algunas variables asociadas a la protección de menores online.
El índice actual se basa en 5 dimensiones, esto es:
- Jurídica: Corresponden a las medidas adoptadas para la existencia de una institucionalidad legal (leyes, regulaciones, normativas y otros), así como un marco regulatorio respecto de la ciberseguridad y el cibercrimen (ley de delito informático, normativa y regulación de ciberseguridad y regulación del SPAM entre otros).
- Técnico: medidas e iniciativas basadas que apuntan a promover la existencia y desarrollo de instituciones técnicas que velen por la ciberseguridad (CSIRT/CERT, cuerpo de estándares, protección de menores, etc.).
- Organizacional: medidas adoptadas para contar con estrategias y políticas de coordinación interinstitucional a nivel nacional (estrategia nacional de ciberseguridad, agencia responsable, métricas) y que permitan un trabajo coordinado entre diferentes agencias e instituciones.
- Generación de capacidades: medidas adoptadas para la generación capacidades y competencias (investigación y capacitación), así como procesos de certificación de profesionales (certificaciones, capacitaciones, investigación, generación de industria y servicios, campañas de prevención, etc.), apuntado a contar con un cuerpo de expertos y profesionales en la materia.
- Cooperación: medidas adoptadas para desarrollar alianzas y esquemas de cooperación a nivel país (acuerdos industriales, alianzas público-privadas, difusión de mejores prácticas, etc.).
La gráfica siguiente muestra según la ITU un modelo y buena práctica de gobernanza y estrategia de Ciberseguridad.
En esta versión del indicador, de los 194 países miembros de la ITU el 80% participó contestando el cuestionario, cifra muy superior al 2017 (69%) y 2015 (54%). Para la región los países con mejor desempeño son:
En el gráfico siguiente se muestra la evolución que ha tenido el GCI en sus tres versiones para algunos países de la región, cabe destacar el desempeño de Uruguay en la región bastante por sobre el resto de los países.
De la región de América Latina, los top 10 son, después de Uruguay, le siguen: (2) México, (3) Paraguay, (4) Brasil, (5) Colombia, (6) Cuba, (7) Chile, (8) República Dominicana, (9) Argentina. En todos los casos muy lejos en el ranking mundial.