A5 Datos sobre vulnerabilidades
A6
A6

Vulnerabilidades de riesgo CNI/CIIP

A7 Uso de la evaluación de riesgos

¿Cuál es el objetivo?

Ayudar a un país a comprender las infraestructuras y los sistemas críticos nacionales que necesita proteger en este momento y la solidez de sus procesos para gestionar el riesgo de esos activos.

¿Por qué hacerlo?

Los países deben ser capaces de identificar y gestionar los riesgos de ciberseguridad a nivel nacional, y utilizar esto para informar sobre las áreas prioritarias para futuras inversiones, que se destacarán en una estrategia nacional.

¿Cuáles son los resultados típicos?

Una lista de infraestructuras nacionales críticas o de información críticas, y un informe, elaborado por el propio gobierno, sobre las medidas de mitigación de riesgos para esta ICN/ICN y su adecuación.

¿Cómo se presta el servicio?

Normalmente, los consultores externos pedirán la participación del gobierno y del sector privado para crear un equipo local. Una vez formado, este equipo local enviará cuestionarios a los propietarios de CNI y juntos interpretarán la información que reciban en respuesta. Los expertos pueden ayudar a dirigir una serie de talleres para explicar el proceso a los interesados y, al final, discutir los resultados.

¿Con qué facilidad puede un país hacerlo por sí solo?

Moderadamente fácil. Se pueden solicitar ejemplos de cuestionarios y metodologías de evaluación a los miembros del GFCE. Sin embargo, los expertos internacionales suelen disponer de herramientas para analizar los datos del cuestionario. También tendrán experiencia en la interpretación de los resultados.

¿Qué orientaciones sobre buenas prácticas hay disponibles?

El Ministerio del Interior del Reino Unido está desarrollando un portal de formación y vídeos que podrán impartirse a la distancia y ayudar a los países a formar a otros.

  • Dedique tiempo al principio a hablar con los propietarios del CNI/CII para ganar su confianza en el proceso.
  • Organice un equipo local de representantes del gobierno y del sector privado que se ocupe de animar a las partes que podrían ser reacias a participar.
  • Si a un país le preocupa la confidencialidad de los datos, puede pedirse que el proyecto se diseñe de forma que nadie más que el gobierno vea los datos sensibles y se almacenen de forma segura en el ministerio principal.
  • Dedique tiempo al proceso de la estrategia para evaluación de riesgos, porque puede llevar seis meses.

Costo

Variado (entre US$40.000 y US$130.000 por país, según la necesidad de viajar).

Duración

De tres a seis meses.

Evaluación nacional de riesgos cibernéticos de Sierra Leone (NCRA)

En 2019, el Ministerio del Interior del Reino Unido se comprometió con el Ministerio de Información y Comunicaciones (MIC) de Sierra Leona como parte de su Programa Cibernético de la Commonwealth. Sierra Leona no había realizado antes una evaluación de riesgos cibernéticos de CNI.

El equipo local de la NCRA (formado por representantes del gobierno y del sector privado) reunió a múltiples sectores de la infraestructura nacional crítica para establecer una línea de referencia del riesgo para su infraestructura de información crítica. El Gobierno del Reino Unido proporcionó orientación experta y formación analítica para crear capacidad dentro de Sierra Leona. El equipo del Reino Unido también apoyó el análisis de los resultados, lo que facilitó la elaboración por el equipo local de una lista de prioridades urgentes para las futuras inversiones.

Este proceso duró cinco meses, de agosto de 2019 a enero de 2020, y el MIC se ha comprometido a repetir el proceso periódicamente; Sierra Leona cuenta ahora con una capacidad nacional. Se elaboró un informe de resultados con una lista acordada de recomendaciones. El equipo local también se comprometió a trabajar con cada sector y organización para compartir y analizar más a fondo los resultados individuales con el fin de llevar adelante las brechas de capacidad priorizadas.

Desde la perspectiva del equipo británico, el resultado clave del proceso fue la mejora de las relaciones entre el gobierno anfitrión y su sector privado. La actividad fue el catalizador que necesitó el gobierno anfitrión para reunir por primera vez a las distintas partes interesadas del sector privado. Como testimonio de la unidad entre las personas y del duro trabajo que realizaron los equipos locales para establecer relaciones, cualquier desencuentro inicial se transformó en relaciones sólidas que se fueron fortaleciendo a medida que avanzaba el proceso. Por ejemplo, una empresa de telecomunicaciones denunció un ciberataque al Gobierno de Sierra Leona, algo que admitió abiertamente que no habría hecho antes del proceso de la NCRA.

La formación de un equipo híbrido demuestra el valor de la NCRA y el modo en que esta reúne a las partes interesadas para establecer relaciones sólidas y de confianza; pero también pone de manifiesto que la ciberseguridad no es solo un problema de la administración; es responsabilidad de todos.

Dentro del método de tres talleres que aplica la NCRA, el equipo del Reino Unido ha incorporado un ejercicio cibernético de inmersión. Se llevó a cabo el ejercicio con la ayuda del equipo local en la reunión informativa sobre los resultados de la NCRA con las partes interesadas del sector, con el fin de destacar la dependencia que hay entre los sectores y la importancia de crear resiliencia.