La realidad es que están estrechamente conectadas. El último informe del Foro Global de Experiencia Cibernética (Global Forum on Cyber Expertise, GFCE) sobre La Integración de la Capacidad Cibernética en la Agenda de Desarrollo Digital (Integrating Cyber Capacity into the Digital Development Agenda) demuestra que los donantes y patrocinadores deben integrar los esfuerzos de ciberseguridad y transformación digital. Sin ciberseguridad, no se puede sostener la transformación digital.

La pandemia de covid-19 ha acelerado la transformación digital en todo el mundo. El resultado ha sido un aumento exponencial en la cantidad de incidentes cibernéticos. La atención médica es un objetivo cada vez más popular para los ataques cibernéticos. El año 2021 también fue testigo de las vulnerabilidades de la explotación por parte de delincuentes cibernéticos de otros servicios críticos como Air India o el sistema de suministro de agua de Florida. El desarrollo de servicios y soluciones digitales sin la ciberseguridad necesaria incorporada puede llevar rápidamente a la falta de confianza de los usuarios finales y ciudadanos.

Si se encuentra al comienzo del proceso, la ciberseguridad puede parecer abrumadora. Las siguientes son algunas lecciones aprendidas que pueden ser útiles:

Un error común en la ciberseguridad es invertir en tecnología o infraestructura sin pensar en los equipos que harán el trabajo. Esto hace que muchos esfuerzos sean insostenibles. La guía de NCS 2021 ofrece ideas sobre cómo financiar la ciberseguridad con el objetivo de sostener el proyecto.

Establecer un equipo de respuesta ante incidentes informáticos (Computer Incident Response Team, CIRT) es un paso esencial para ayudar a un país a mejorar su ciberseguridad. Además, la experiencia en ciberseguridad debe ser parte de los equipos de ejecución que desarrollan y operan servicios digitales. Es fundamental considerar tanto la dimensión humana como la financiera para implementar estrategias o proyectos. La única manera de sostener verdaderamente las iniciativas en el tiempo es obteniendo financiación para las personas que se necesitan.

Las comunidades regionales e internacionales brindan una gran asistencia a los equipos que se están formando. Ser parte de una comunidad más grande les permite a los equipos ir más rápido mientras aprenden de otros y evitar repetir los mismos errores. Las comunidades también pueden ofrecer muy buenas ideas sobre la investigación y las prácticas recomendadas más recientes.

El equipo de respuesta ante incidentes informáticos de la Isla Mauricio (Computer Incident Response Team of Mauritius, CIRT-MU) de la Junta Nacional de Informática es una gran historia de éxito sobre cómo el desarrollo de la capacidad y la asistencia de la comunidad internacional puede generar un impacto a largo plazo.

El CERT-MU es un pequeño equipo de 6 personas compuesto por personal técnico y de gestión. El equipo coordina las actividades de respuesta de ciberseguridad y promueve la ciberseguridad en los sectores público y privado, además de entre los ciudadanos de la Isla Mauricio. El CERT-MU ha desempeñado un papel importante en las clasificaciones del Índice de Seguridad Cibernética Global de la Unión Internacional de Telecomunicaciones (International Telecommunication Union, ITU) para la Isla Mauricio, que tiene el primer puesto en África y el 17.o a nivel mundial.

Además, el equipo dirige las operaciones del Centro de Excelencia de la ITU, establecido en marzo de 2020. El centro tiene la función esencial en la región de capacitar y certificar a los profesionales de ciberseguridad. Además, el CERT-MU asiste a los equipos de respuesta ante incidentes de ciberseguridad (Cyber Security Incident Response Team, CSIRT) en la región de África y el Océano Índico para que logren su madurez. Este equipo entusiasta ha aumentado su capacidad a lo largo del tiempo con el apoyo del Foro de respuesta ante incidentes y equipos de seguridad (Forum of Incident Response and Security Teams, FIRST), AfricaCERT, el Consejo de Europa, Cyber4D y muchas otras organizaciones. Según el Dr. Usmani, funcionario encargado del CERT-MU, el desarrollo de la experiencia a través de estas redes ha ayudado a este pequeño equipo considerablemente, y ahora puede prestar servicios a la comunidad nacional, regional e internacional de diferentes formas.

Incluya a un experto en ciberseguridad cuando desarrolle o adquiera un nuevo servicio o solución para garantizar que la ciberseguridad esté integrada en el diseño. La Agencia de los Estados Unidos para el Desarrollo Internacional (United Stated Agency for International Development, USAID) está integrando la ciberseguridad en su ciclo de programación y ha reconocido lo siguiente: “La ciberseguridad es una parte integral, y no separada, de las iniciativas tecnológicas. Se la debe considerar como un componente central de todos los aspectos de los programas tecnológicos de la USAID con el fin de garantizar la sostenibilidad y resiliencia digital. La clave para hacer las cosas bien con la ciberseguridad es estar al tanto de los riesgos y las oportunidades, y planificar en consecuencia de manera deliberada”.

Incluir la ciberseguridad en los estándares de servicios digitales también es una buena forma de impulsar las prácticas recomendadas en todos los equipos de ejecución. Por ejemplo, el Estándar de Servicios Digitales de Ontario trata sobre la integración de la privacidad y la seguridad en el diseño.

Las mediciones y los objetivos de éxito ayudan a impulsar las consideraciones sobre ciberseguridad de forma sostenible.

Muchas organizaciones están emprendiendo las evaluaciones de madurez digital y se deben incluir las consideraciones sobre ciberseguridad para ayudar a identificar las prácticas recomendadas y monitorear el progreso. Para un CIRT, vale la pena considerar la realización de evaluaciones de madurez periódicas, dado que esto ayuda a medir y mantener el enfoque en los objetivos de ciberseguridad. La fundación Open CSIRT, una organización sin fines de lucro que contribuye a la seguridad en Internet en todo el mundo, ha desarrollado el Modelo de madurez en la gestión de incidentes de seguridad (Security Incident Management Maturity Model, SIM3), que puede utilizarse para evaluar la madurez de los CIRT.

Un error común es pensar que invertir en infraestructura y software será suficiente y olvidar que los seres humanos se encuentran en el centro. Un aspecto importante de la prevención es concientizar sobre la ciberseguridad a los usuarios y ciudadanos. Informe a las personas acerca de la higiene básica de la ciberseguridad y repita la campañas de concientización para recordarles los buenos hábitos. La Agencia de la Unión Europea para la Seguridad Cibernética (European Union Agency for Cybersecurity, ENISA) ha publicado recientemente una guía sobre lo que podrían hacer los países a fin de mejorar su capacidad para concientizar a sus ciudadanos sobre la ciberseguirdad.

Hacer que los servicios digitales sean seguros es necesario para que tengan un impacto duradero. Si bien las organizaciones deben hacer todos los esfuerzos necesarios para integrar la seguridad cibernética en el diseño de sus servicios digitales, ninguna solución es infalible. Por eso, es igualmente importante tener un plan para la detección y respuesta ante incidentes cibernéticos. En pocas palabras, haga todo lo posible para que sus servicios digitales sean seguros y sostenibles, pero también planifique para lo peor.

Joanne Esmyot, Directora en Public Digital y ex Directora Ejecutiva del National Computer Board de Mauricio