Coip

“Ciberdefensa: Las

reglas del juego a nivel

mundial”

Informe independiente sobre el nivel de preparación

de los países en términos cibernéticos

Con el patrocinio de

2

Resumen ejecutivo

El documento Cyber Defence Report (Informe sobre ciberdefensa) es un informe

independiente sobre el estado de ciberpreparación en las diferentes regiones del

mundo. Su publicación se enmarca dentro de la iniciativa de ciberseguridad SDA

(Security & Defence Agenda) y debe servir de base a futuros debates e

investigaciones que lleve a cabo la SDA durante 2012. La SDA es el único grupo de

reflexión especializado en seguridad y defensa de Bruselas.

Este informe está compuesto de entrevistas realizadas a finales de 2011 y principios

de 2012 a 80 expertos en ciberseguridad de administraciones, empresas,

organizaciones internacionales y universidades. Ofrece una perspectiva global del

pensamiento actual sobre las ciberamenazas y las medidas que deben tomarse para

protegerse contra ellas.

El debate también se extiende a otras cuestiones, como quién debe dictar las reglas

y hasta qué punto es bueno o no dejar el control de la ciberseguridad a los militares.

La ausencia de fronteras en el ciberespacio implica que la seguridad se mide por el

punto más débil de la cadena. Es necesario por tanto tomar medidas en relación a

los países que carecen de reglamentación y que son susceptibles de ofrecer refugio

a los ciberdelincuentes.

El informe se compone de dos partes: la primera se centra en los principales

obstáculos que ralentizan el progreso, empezando por la ausencia de consenso en

la definición de términos como "ciberguerra" o "ciberataque". El significado difiere en

función de si los utilizan militares o expertos en tecnología.

El informe saca a relucir algunos temas y problemas concretos que deben

solucionarse de manera urgente. Entre ellos cabe destacar los siguientes:

 Hasta qué nivel debería fomentarse más el intercambio de información, tanto

en las esferas civiles como en las militares

 Necesidad de una mayor cooperación internacional

 Introducción de una arquitectura de seguridad más sólida para Internet

 Adopción de medidas destinadas a fortalecer la confianza en el ciberespacio,

una alternativa más fácil que cualquier tratado internacional

En la segunda parte del informe se incluyen los resultados de las pruebas de

resistencia efectuadas en 21 países. El sistema de puntuación se basa en la

tecnología diseñada por Robert Lentz, antiguo secretario adjunto del Departamento

de Defensa estadounidense para la CIIA (Cyber Identity and Information Assurance).

Este programa de cinco etapas para alcanzar la resistencia proporciona una serie de

criterios destinados a evaluar la ciberpreparación de cada país y a determinar el

grado de preparación de los países para hacer frente a ciberataques.

Estas pruebas de resistencia se completan con los resultados del estudio

internacional realizado por la SDA en otoño de 2011 entre 250 reconocidos

especialistas en ciberseguridad de 37 países. Entre los entrevistados hay ministros,

funcionarios de organismos internacionales, destacados académicos, miembros de

grupos de reflexión y especialistas de TI. Sus opiniones discreparon

considerablemente sobre la manera de mejorar la cooperación internacional en el

ciberespacio, que es considerado por más de la mitad un bien común mundial, como

los océanos y el espacio.

3

Recomendaciones

1. A pesar de los muchos obstáculos en el camino hacia la transparencia, tanto

para las empresas privadas como para las administraciones públicas, es

necesario encontrar soluciones destinadas a instaurar la confianza a través

de la implementación de mecanismos y procesos de seguridad.

2. Establecer una relación de confianza entre las partes interesada del sector

mediante la creación de organismos que permitan compartir información y las

mejores prácticas, como el CAMM (Common Assurance Maturity Model) y la

CSA (Cloud Security Alliance).

3. Aumentar la concienciación de los particulares sobre cómo pueden proteger

sus propios datos en Internet.

4. Permitir la atribución de responsabilidades de los ataques mediante la

inversión en nuevas tecnologías, así como establecer reglas y normas.

5. Mejorar el proceso de atribución de responsabilidades limitando el anonimato

de manera selectiva sin sacrificar los derechos humanos.

6. Seguir el modelo holandés de cibeintercambio de terceros para mejorar la

colaboración entre los sectores público y privado.

7. Reflexionar de manera creativa sobre el futuro entorno y los nuevos

problemas generados por los smartphones y la computación en la nube. Esta

última necesita una arquitectura adecuada para alcanzar niveles de

seguridad óptimos.

8. Establecer prioridades en materia de protección de la información, siendo

conscientes de que no hay soluciones universales. Los tres principales

objetivos que se deben conseguir son la confidencialidad, la integración y la

disponibilidad en dosis distintas en función de la situación.

9. Considerar el establecimiento de medidas destinada a instaurar la

ciberconfianza como solución alternativa a un tratado internacional, o al

menos como recurso provisional, siendo conscientes de que países como

EE. UU. consideran que un tratado es poco práctico, difícilmente aplicable e

imposible de controlar.

10. Avanzar y fomentar la integración sopesada del ciberespacio en los

procesos y estructuras existentes, siendo conscientes de que ahora parte

integrante de todo lo que hacemos y que las decisiones al respecto

dependen de los responsables de las decisiones políticas.

Encuesta mundial

En el marco de esta encuesta mundial llevada a cabo por la SDA a finales de

2011, se preguntó a los encuestados que calificaran a los países (que no

fueran el suyo) que consideraban mejor preparados para hacer frente a

ciberataques. EE. UU., el Reino Unido y Estonia encabezaron la lista, mientras

que Albania, México y Rumanía ocuparon los últimos puestos.

La SDA preguntó a 250 reconocidos profesionales de la seguridad sobre cuál era

según su

...