¿Cómo medir el avance de la Estrategia Nacional de Ciberseguridad?

El octavo eje transversal de la Estrategia Nacional de Ciberseguridad presentada por la Presidencia de la República el 13 de noviembre pasado hace referencia a la medición y seguimiento de los resultados obtenidos de la implementación de esta política pública cuyo objetivo general es identificar y establecer las acciones en materia de ciberseguridad que permitan a la población y a las organizaciones públicas y privadas el uso y aprovechamiento de las TIC de manera responsable.

El documento de la ENCS establece que el desarrollo de mecanismos de medición y seguimiento ayudará a cumplir los cinco objetivos de la estrategia al permitir: “la colaboración conjunta de actores para la elaboración de una metodología que permita la construcción de diagnóstico nacional sobre riesgos y amenazas en el ciberespacio; el establecimiento de estadísticas centralizadas relacionadas con la implementación y el impacto de la ciberseguridad y de la estrategia en los sectores económicos, políticos y sociales, y la obtención de datos para la mejora continua y actualización de la ENCS”.

El diseño e implementación de estos mecanismos de medición y seguimiento de la ENCS recae en la Subcomisión de Ciberseguridad que a su vez depende de la Secretaría de Gobernación y de la Comisión Nacional de Seguridad (CNS) y de acuerdo con el gestor de la estrategia en el interior de la Presidencia de la República, Víctor Lagunes, serán los líderes de las dependencias que atiendan cada uno de los objetivos de la estrategia quienes irán estableciendo también las métricas de diagnóstico, medición y resultados de la misma.

“Se han ido desarrollando mediciones por parte de organismos internacionales. La UIT entregó a mediados de este año un estudio que coloca a México como tercer lugar del continente americano, y como primer lugar de Latinoamérica. Sabemos hacia dónde orientar los esfuerzos y nosotros estamos desarrollando mediciones y estándares para poder diagnosticar la situación de la ciberseguridad en el país”, dijo Lagunes, quien es el jefe de la Unidad de Innovación y Estrategia Tecnológica de Presidencia de la República de México.

El funcionario se refiere al Índice de Ciberseguridad 2017 que publicó la Unión Internacional de Telecomunicaciones (UIT) en julio pasado, el cual efectivamente coloca a México como el tercer país mejor posicionado de América, sólo detrás de Estados Unidos y Canadá, lo que lo pone de facto por encima de todos los países de la región latinoamericana y en el lugar 28 de 165 países considerados por el estudio.

Este optimismo por pertenecer a los tres países con mejores niveles de ciberseguridad en el continente ha sido tomado con escepticismo por especialistas en la materia y al echar un vistazo más detallado a las métricas ofrecidas por este índice se confirma esta duda sobre el avance que ha tenido México en materia de ciberseguridad en los últimos años.

De acuerdo con el índice, México tiene una puntuación total de 0.66 en materia de ciberseguridad, lo que lo aleja casi 15 de puntos de Canadá (0.81) y 25 de Estados Unidos (0.91), segundo y primer lugar de la tabla respectivamente. Las cuestiones legales y técnicas son las que mejor rankean a México dentro del índice, con calificaciones de 0.91 y 0.89 cada una, mientras que las capacidades de infraestructura (0.68), de organización (0.48) y de cooperación (0.34) son las que hacen que el puntaje del país se aleje de los primeros lugares del continente.

Para Kiyoshi Tsuru, justamente son la cooperación y la infraestructura los aspectos fundamentales a medir para calificar el avance de la Estrategia Nacional de Ciberseguridad.

El country manager en México de la The Software Alliance BSA refiere que, en el caso de la cooperación, primero es necesario que se adopten estándares internacionales como los contenidos en el Convenio de Budapest, el primer tratado internacional que busca hacer frente a los delitos cibernéticos mediante la armonización de leyes nacionales y la cooperación entre países.

“Otra cosa que puede medirse es la adopción de tecnología para estar preparados ante ciberataques, lo que se conoce como readiness, una estrategia que hemos observado que es directamente proporcional al uso de herramientas como la nube”, dijo Kiyoshi Tsuru.

Hay otros especialistas que creen que lo mejor que podemos hacer para medir el avance de la ENCS es primero mirar hacia dentro de las organizaciones, sean públicas o privadas.

“Primero debes medir la capacidad de las organizaciones y eso lo puedes hacer mediante el nivel de apego a mejores prácticas. Tienes que establecer un conjunto de modelos de madurez y de mejores prácticas adecuados a diferentes sectores y tamaños de empresas y tendrías que medir el grado de adopción de estas prácticas, que pueden ser incluso certificadas. Lo más importante es medir el grado de madurez de las organizaciones en materia de ciberseguridad”, dijo Ricardo Zermeño, director de la consultoría en tecnologías de la información Select.

Zermeño también propone un segundo paso para garantizar que la ENCS se está implementando con eficacia y tiene que ver con la medición de incidencias sobre todo entre las organizaciones críticas, para monitorear las amenazas y su impacto y compartiendo las experiencias entre los organismos.

La organización es uno de los aspectos más débiles de la ciberseguridad en México, de acuerdo con el índice de la UIT, y en este sentido iba dirigida la propuesta de entidades como la OEA, la Policía Federal y la iniciativa privada acerca de crear un consejo, una agencia o una coordinación nacional de ciberseguridad, que contara con mandato y presupuesto suficiente para coordinar de manera efectiva a los entes participantes de la ENCS, algo que de acuerdo con el documento más reciente de la estrategia recae en una Subcomisión de Ciberseguridad con un marco de acción limitado.