Los ataques a servidores en Internet son tan frecuentes como el acceso a sitios web regulares por parte de ciudadanos responsables y honestos. A veces se trata de intrusiones hechas sólo para probar que es posible hacerlas; en otras ocasiones, los objetivos pueden ser más serios, y pueden tener motivaciones políticas, militares, económicas, comerciales y otras.

La tendencia es que estos ataques e intrusiones ilegales continuarán en aumento, tanto en frecuencia y variedad de objetivos, así como en cuanto al poder computacional del ataque. Adicionalmente, la forma en que estas acciones agresivas, potencialmente destructivas y muy caras en términos de efectos y de información perdida, también irá creciendo con los avances tecnológicos, como Internet de las cosas, nanotecnología, fintech y otras.

Para prevenir, mitigar y contrarrestar cualquiera de estos potenciales ataques y amenazas, de las que nadie está liberado, es importante formar recurso humano especializado y contar con una serie de políticas, reglamentos, equipos, metodologías y protocolos, desarrollados y acompañados por la mayor cantidad de personas, instituciones, empresas y sectores de una economía y nación particular.

La Organización de Estados Americanos (OEA), en conjunto con el equipo técnico de Amazon Web Services (AWS) han publicado recientemente un documento que ofrece una guía sucinta y concreta para gobiernos y otros sectores, sugiriendo medidas a corto y mediano plazo que deberían ser tomadas para contrarrestar las posibles amenazas provenientes desde el ciberespacio.

Las medidas recomendadas en 8 áreas

El documento es relativamente breve, pero es muy detallado y apropiado en sus recomendaciones. Parte de que deben involucrarse y considerarse los tres pilares de la ciberseguridad: personas, procesos y tecnologías. Define una serie de pasos relevantes en el camino de la definición de una mejor infraestructura de prevención, defensa y reacción ante posibles ataques y amenazas en el ciberespacio. Estas son las acciones concretas que se sugieren en el documento:

Acciones para el ciudadano y el sector privado

1. Campañas de comunicación en los medios dirigidas a ciudadanos y a la pequeña y mediana empresa (PyME), para fomentar el uso seguro de Internet, promoviendo la adopción de herramientas y difundiendo prácticas “ciber higiénicas”.
2. Programas de concienciación y de educación en colaboración con agentes del sector público y privado, buscando la coordinación y la racionalización de esfuerzos.
3. Desarrollar módulos educativos dirigidos a todos los niveles de la enseñanza.
4. Generando o fomentando el desarrollo de eventos a nivel nacional, regional o municipal, donde que incluyan talleres para fomentar las buenas prácticas en todos los usuarios y en colectivos específicos como el de padres, educadores y menores.
5. Desarrollando y compartiendo contenidos multimedia atractivos y herramientas educativas basadas en “gamificación”.
6. Facilitar la utilización de soluciones para el intercambio de información sobre amenazas, vulnerabilidades e incidentes entre compañías del mismo o destino sector.
7. Desarrollar códigos de buenas prácticas y apoyar el desarrollo de estándares de certificación.
8. Promover ciberejercicios para probar los mecanismos de coordinación entre las distintas compañías y con los organismos públicos y mejorar la eficacia en la respuesta ante los incidentes.
9. Desarrollar estudios comparativos entre entidades del mismo sector y de distritos sectores, con el objetivo de definir líneas base y de “benchmarking”.
10. El CERT (Centro de Respuestas a Incidentes cibernéticos) es un organismo de extrema importancia para la seguridad y la defensa nacional.
11. Servicios de valor para la ciberseguridad nacional, que no estén siendo cubiertos por el sector privado al ser de baja demanda o por no ser rentables.

Acciones para los operadores de infraestructura crítica

1. Definir e identificar sectores críticos. El gobierno debería determinar los sectores críticos de los que depende su funcionamiento como nación y cuya no disponibilidad podría generar graves consecuencias.
2. Desarrollar un método para identificar y valorar las infraestructuras críticas, de forma que estos criterios sean uniformes y repetibles en el tiempo.
3. Para cada uno de los sectores estratégicos, el gobierno podría definir: el catálogo de amenazas, los criterios específicos para considerar que los servicios que presta una determinada organización deber ser considerados críticos y el catálogo de los operadores y de las infraestructuras críticas.
4. Los requisitos mínimos de seguridad que los operadores críticos deben implantar, el modelo de evaluación de riesgos y de gobierno y gestión de la ciberseguridad.
5. Facilitar mecanismos para el intercambio de información sobre incidentes y amenazas entre los operadores.
6. Definir, para el CERT o CERTs nacionales, un catálogo de servicios específico para los operadores críticos.
7. Promover ciber ejercicios sectoriales para mejorar el grado de preparación de los operadores ante ciberataques sistémicos.
8. Impulsar eventos y otros foros que faciliten el conocimiento e intercambio de experiencias entre los responsables de ciberseguridad.
9. Conocer las necesidades específicas de productos y servicios que tengan los operadores de sectores estratégicos es de gran utilidad para determinar si la oferta actual que ofrece el mercado es adecuada.

Acciones para el gobierno e instituciones públicas

1. La búsqueda de una mayor eficacia en el funcionamiento de los servicios públicos y de una mayor cercanía a los ciudadanos ha impulsado a muchos gobiernos a adoptar procesos de transformación digital en las administraciones públicas, en la que se ha venido llamando la e-Administración. Sin confianza digital la e-Administracion no es viable.
2. Las instituciones públicas procesan y almacenan datos de carácter personal de los ciudadanos y para ello, necesitan almacenar esta información en grandes bases de datos que van a ser objeto de interés para los cibercriminales.
3. Además de información de carácter personal, el gobierno maneja información clasificada de alto valor estratégico para los intereses nacionales que requiere de medidas de protección adicionales.

Protección de las tecnologías públicas

1. Establecer un marco nacional de ciberseguridad para las administraciones públicas que sirva de referencia para todas ellas y que permita unificar criterios entre el gobierno de la nación, los gobiernos regionales o estatales y los ayuntamientos y administraciones locales.
2. Desarrollar acuerdos multinacionales o acuerdos comerciales que faciliten el intercambio y la coordinación / cooperación de los países que luchan contra las amenazas cibernéticas.
3. Desarrollar planes de formación y concienciación dirigidos a los funcionarios públicos con el objetivo de mostrarles cuales son las amenazas específicas que pueden afectar a la ciberseguridad de los servicios públicos.
4. Desarrollar e implantar capacidades horizontales de ciberseguridad que unifiquen al máximo la prevención, detección y la respuesta ante los ciber incidentes en el ámbito de las administraciones centrales, regionales y locales.
5. Desarrollar un esquema de ciberseguridad que facilite la evaluación formal y la certificación para los productos y sistemas que vayan a formar parte de las infraestructuras tecnológicas que se soportan los servicios esenciales de la administración.
6. Adicionalmente a estas actividades para defender las redes y sistemas en los que se apoyan los servicios públicos, los gobiernos deberían actuar para desarrollar sus capacidades para la ciberdefensa y para la lucha contra el cibercrimen.

Ciberdefensa

1. Desarrollar planes específicos de especialización y entrenamiento en la materia, que permita que los ejércitos cuenten con los efectivos necesarios.
2. Definir un modelo de colaboración con empresas especializadas y con expertos en ciberseguridad para reforzar las capacidades de las fuerzas armadas en los casos que se determinen.
3. Promover ciberejercicios periódicos que faciliten el entrenamiento continuo sobre escenarios reales.
4. Desarrollar conocimiento y experiencia sobre amenazas y vulnerabilidades relacionadas con la ciberdefensa y también métodos de ataque, a través del intercambio de información a nivel nacional e internacional.
5. Establecer una cooperación con las principales instituciones académicas y de I + D para el desarrollo de necesidades específicas en el ámbito de la ciberdefensa.

Lucha contra el cibercrimen

1. En el sector Legal, crear leyes específicas y adaptando las existentes para permitir la persecución del cibercrimen.
2. Desarrollando capacidades y dotando de recursos especializados a las instituciones encargadas de vigilar el cumplimiento de la ley: jueces, fiscales y unidades de investigación policial.
3. Adaptar el marco legal nacional a los nuevos tipos de delitos y adaptar los tipos ya existentes a la realidad digital.
4. Participar internacionalmente en la elaboración de acuerdos y tratados para la persecución del ciberdelito, ratificándolos una vez aprobados.
5. Crear unidades especializadas en ciberdelincuencia (policiales y judiciales) y desarrollar planes de formación y capacitación continua.
6. Mejorar las capacidades de los organismos competentes y asegurar la coordinación a través del intercambio de información e inteligencia.
7. Fortalecer la cooperación policial internacional y la presencia en foros y organizaciones internacionales centrados en la lucha contra el ciber crimen.
8. Desarrollar conocimiento y experiencia sobre amenazas y vulnerabilidades relacionadas con la delincuencia cibernética.
9. Establecer una cooperación con las principales instituciones académicas y de I + D sobre las nuevas técnicas de investigación policial.
10. Establecer la cooperación entre las partes interesadas del sector público y privado para identificar rápidamente y responder a cuestiones relacionadas con el delito cibernético.
11. Crear un canal especializado para ciudadanos y para empresas para denunciar los posibles ciberdelitos.
12. Desarrollar e implantar acciones específicas de detección y persecución de ciber delitos que afecten a menores.

Fomentar el talento

1. Determinar las necesidades de profesionales que tiene el sector privado y el público, y los requisitos de conocimientos y especialización.
2. Definir un catálogo general de roles profesionales que incluyan las capacidades y competencias que se adapten a la innovación tecnológica.
3. Participar en el diálogo con universidades y otras instituciones educativas para desarrollar nuevos programas o adaptarlos a las necesidades del mercado laboral.
4. Promover en colegios y centros de enseñanza talleres y otras actividades que estimulen el  interés y la curiosidad por la ciberseguridad.
5. Organizar eventos de ciberseguridad que ayuden a identificar expertos nacionales.

Fomentar el emprendimiento

1. La demanda sofisticada, entendida por aquellos sectores (gobierno, banca, energía…) que bien por el grado de penetración digital en sus negocios, bien por la tipología de las amenazas que les afecta, requieren de soluciones novedosas.
2. Las universidades y centros de innovación, que son las organizaciones que dedican recursos a la investigación técnico-científica.
3. Los emprendedores y “start ups”, que cuentan con ideas y proyectos, que pueden contribuir a dar respuesta a estas necesidades.
4. A través de foros y grupos de trabajo, determinar con la demanda sofisticada las necesidades presentes y futuras de productos y servicios de ciberseguridad.
5. Crear un plan de investigación para evitar solapamientos entre las actividades de investigación emprendidas por diferentes instituciones.
6. Establecer fondos específicos que soporten los programas de investigación en ciberseguridad.
7. Habilitar mecanismos para garantizar la transferencia a la industria.
8. Fomentar entre los jóvenes la cultura de emprendimiento mediante un plan de actuación que incluya actividades que faciliten la educación y orientación.
9. En línea con la agenda de investigación, crear concursos de ideas donde los jóvenes emprendedores presenten proyectos o prototipos que puedan dar solución a los problemas planteados.
10. Crear fondos públicos que ayuden a los emprendedores en las fases tempranas del ciclo de emprendimiento.
11. Crear eventos que faciliten el contacto entre los emprendedores y la inversión privada.
12. Promover la implantación de programas de incubación y aceleración de startups (empresas emergentes y con potencial de crecimiento).