¿Cuál es el objetivo?
Ayudar a los países a utilizar la información de sus informes de evaluación de capacidades y riesgos, para guiar el diseño y el contenido de una ciberestrategia nacional.
¿Por qué hacerlo?
En la fase de inventario y análisis, los países deben reunir las pruebas que han recopilado, compararlas y confirmar su validez. Deben interpretar esa información, identificando los temas y cuestiones de importancia clave que fundamentarán la estrategia. Este es también un momento propicio para establecer los niveles de tolerancia al riesgo.
¿Cuáles son los resultados típicos?
Un conjunto acordado de hechos y supuestos basados en pruebas que justifiquen la identificación y la priorización de los sectores, procesos y riesgos críticos. Por ejemplo, «partimos de la base de que la expansión económica seguirá siendo una de las principales prioridades nacionales; las vulnerabilidades del sector de los servicios financieros representan el mayor riesgo cibernético para esta prioridad; y el mayor peligro para los servicios financieros es la ciberdelincuencia organizada dirigida a nuestros bancos nacionales.» Un segundo resultado podría ser una evaluación de referencia de la eficacia de las actuales medidas de mitigación de riesgos en las áreas prioritarias.
¿Cómo se presta el servicio?
Talleres, debates facilitados y ejercicios.
¿Con qué facilidad puede hacerlo un país por sí solo?
Muchos países pueden aplicar un proceso para validar los informes de riesgo y establecer prioridades. La asistencia externa puede ayudar a verificar que nada se haya pasado por alto, aportar experiencia externa, desarticular los límites departamentales y adoptar un enfoque de múltiples partes interesadas.
¿Qué orientaciones sobre buenas prácticas existen?
La mejor fuente es la de aquellos grupos que antes lo han hecho. Véase también el material de las guías de: ENISA; OCDE; GCSCC (CMM); y MITRE (NCSDI).
- Recolectar información y pruebas desde el principio (Actividad 1).
- Los hechos y los supuestos sobre la priorización de los riesgos y los sectores deben comunicarse a los altos ejecutivos gubernamentales y políticos, a los principales representantes de la industria (especialmente de los sectores críticos priorizados) y a entidades de la sociedad civil para su revisión y concurrencia.
- Considerar las prioridades del riesgo digital en el contexto de otros riesgos nacionales, que son fundamentalmente decisiones políticas.
- En esta etapa conviene usar un enfoque de múltiples partes interesadas. Utilícelo para conseguir la adhesión.
- Pida información y asistencia a otros que hayan hecho antes este trabajo o en otros países.
Duración
Uno a tres meses. La duración puede reducirse si la validación del riesgo se realiza mediante revisiones periódicas durante el curso de la evaluación del riesgo.
Hace varios años, la MITRE Corporation colaboró en la elaboración de la estrategia cibernética nacional de un país africano.
La asistencia comenzó con la facilitación por parte de MITRE de una revisión exhaustiva de varias áreas clave de creación de capacidades nacionales que son fundamentales para el diseño de una estrategia cibernética nacional, incluida la identificación de alianzas esenciales, la capacidad de desarrollar una fuerza de trabajo cibernética, los mecanismos de gobernanza del ciberespacio y los métodos de gestión de riesgos. Estas evaluaciones ayudaron a identificar los beneficios que el país esperaba lograr a través de la estrategia cibernética, incluidos el beneficio socioeconómico y una mayor resiliencia. Además, el país pretendía crear una infraestructura de TIC segura para atraer al país a más empresas basadas en el conocimiento.
Se llevaron a cabo evaluaciones de gestión de riesgos con la ayuda de MITRE que implicaron la identificación de amenazas y vulnerabilidades de las TIC que podrían condicionar las metas y los objetivos estratégicos.
Los resultados de las evaluaciones de riesgo se incluyeron en la redacción de la estrategia para justificar los planteamientos estratégicos del país dentro del gobierno, así como con el sector privado y la ciudadanía. El desarrollo de esta estrategia incluyó a las partes interesadas públicas, privadas y académicas, y estableció una gobernanza de implementación que dio lugar a la creación de un organismo coordinador público-privado permanente. MITRE también asesoró sobre las prioridades y los métodos de implementación. El compromiso de las partes interesadas públicas y privadas y la asistencia externa en áreas limitadas, pero decisivas, como la gestión de riesgos, dieron como resultado una estrategia cibernética nacional completa, factible y asequible.