Sobre esta fase
El objetivo de esta fase es desarrollar el texto de la estrategia haciendo partícipes a las principales partes interesadas del sector público, el sector privado y la sociedad civil a través de una serie de consultas públicas y grupos de trabajo. Este grupo más amplio de partes interesadas se encargará de contribuir a la visión general y al alcance de la estrategia, de establecer objetivos de alto nivel, de hacer un balance de la situación actual (detallado en la fase II), de priorizar los objetivos en términos de impacto en la sociedad, los ciudadanos y la economía, y de proporcionar los recursos financieros necesarios.
Para obtener consejos sobre esta fase, véase la «Guía para el desarrollo de una estrategia nacional de ciberseguridad» (‘Guide to developing a national cybersecurity strategy‘); Segunda Edición, 2021, p.22.
¿Cuáles son las condiciones previas para esta fase?
La mejor manera de iniciar la fase de producción es mediante una decisión formal de los responsables políticos (es decir, de los ministros). Esto garantiza que la elaboración de la estrategia cuente con el apoyo necesario de los dirigentes políticos y da al producto final una pequeña posibilidad de ser adoptado y aplicado. El funcionario o funcionarios principales necesitarán recursos para producir la estrategia, lo que puede incluir un pequeño equipo de personal y financiación para talleres, encargar más investigación y un evento de lanzamiento.
Antes de que comience la fase de producción, ayudará al funcionario principal a centrar sus esfuerzos en saber qué objetivos nacionales debe apoyar la estrategia y cómo los priorizan los dirigentes políticos. Así se evitará, por ejemplo, que se elabore una estrategia centrada en la defensa nacional y que al final se descubra que los ministros querían una estrategia orientada a la prosperidad económica. Por supuesto, una estrategia nacional de ciberseguridad podría apoyar ambos objetivos nacionales, además de muchos otros. Lo importante es comprender en este momento las prioridades relativas de estos objetivos en relación con la ciberseguridad.
La fase de producción también requiere aportaciones de información que deberían haberse recogido en la fase de inventario y análisis. Esto incluye la identificación de funciones/activos críticos y una evaluación de las medidas de protección actuales, la capacidad cibernética nacional, las amenazas y el panorama. Se puede recopilar y analizar más información durante la fase de producción, pero es mejor reunir toda la información posible antes de entrar en ella.