¿Cuál es el objetivo?
El objetivo de una revisión de la capacidad nacional de ciberseguridad es ayudar a un país a comprender su estado actual de capacidad en función de la ciberseguridad a nivel de las políticas y capacidades nacionales. La revisión no es un estudio técnico u operativo, y también es diferente de un sondeo internacional comparativo, que suele dar como resultado un orden de clasificación y no un informe.
¿Por qué hacerlo?
Solo se puede planificar eficazmente si se conocen los puntos de fortaleza y debilidad actuales. Además, repetir una revisión cada algunos años —por ejemplo, al principio y al final de una estrategia— contribuirá a cuantificar los avances.
¿Cuáles son los resultados típicos?
Un informe que incluya las etapas de madurez de varios factores de la capacidad de ciberseguridad y recomendaciones para la actividad de creación de capacidad y de inversión.
¿Cómo se presta el servicio?
Normalmente, los expertos internacionales trabajan con el gobierno para organizar días de talleres de grupos focales con cohortes de personas que conozcan el panorama nacional de ciberseguridad (p. ej., responsables de las políticas, empresas, policía y poder judicial, académicos, sociedad civil, etc.). A continuación, los expertos colaboran con funcionarios del gobierno para redactar o editar un informe de revisión, utilizando las conclusiones de los grupos de discusión y la investigación documental.
¿Con qué facilidad puede hacerlo un país por sí solo?
Algunos gobiernos, especialmente los más avanzados, llevan a cabo el proceso de revisión sin ayuda internacional y utilizando modelos internacionales o de su propio diseño.
¿Qué orientación sobre buenas prácticas hay disponible?
El portal Cybil del GFCE dispone de una serie de modelos que pueden utilizarse, así como de enlaces a estudios publicados.
- Un país puede llevar a cabo una revisión en cualquier momento, pero hay algunas opciones populares a considerar: antes o durante la fase de inicio de una estrategia para crear interés; durante la fase de inventario y análisis para mejorar la comprensión; o durante la fase de seguimiento y evaluación para cuantificar el progreso.
- Muchos gobiernos han optado por publicar sus informes, porque ayudan a que las personas participen en el proceso de la estrategia nacional, es una medida de fomento de la confianza internacional y ayuda a captar y coordinar el desarrollo de capacidades internacionales.
- Repetir la evaluación al cabo de tres a cinco años para vigilar el avance y evaluar las áreas que requieren mayor desarrollo de capacidades.
Costo
El costo de un proyecto suele ser de entre US$65.000 y US$130.000, dependiendo del método utilizado. Si la financiación está a cargo de un donante, el costo para el país beneficiario es casi nulo: los donantes suelen proporcionar espacio para los talleres y se encargan de las invitaciones.
Duración
Una vez que el gobierno haya acordado formalmente con la institución que lleve a cabo el estudio, se necesitan unos seis meses hasta que se realice la revisión y se presente el informe al gobierno.
En 2014, el Ministerio de Desarrollo Económico de Kosovo solicitó asistencia, por intermedio del Banco Mundial, al Centro Global de Capacidades de Ciberseguridad (GCSCC) para efectuar un estudio de la capacidad nacional basado en el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (MMC) del Centro. Gracias al aporte financiero de varios donantes, el GCSCC pudo atender esta solicitud y preparó el proceso de revisión del MMC.
En febrero de 2015, expertos del GCSCC llevaron a cabo diez debates en grupo durante tres días, centrados en las cinco dimensiones del MMC, a saber:
- Política y estrategia de ciberseguridad;
- Cultura y sociedad cibernética;
- Educación, formación y competencias en materia de ciberseguridad;
- Marcos jurídicos y reglamentarios;
- Normas, organizaciones y tecnologías. Cada taller reunió a expertos en ciberseguridad, como los propietarios de infraestructuras críticas, los responsables de las políticas, los círculos académicos, la sociedad civil, representantes del sector judicial, así como expertos del sector privado.
A partir de la información recopilada durante los aludidos grupos de discusión y la investigación de seguimiento con el fin de buscar pruebas de apoyo, el GCSCC redactó un informe que incluía recomendaciones para los próximos pasos, que fue revisado por los expertos en la materia del GCSCC a fin de controlar su calidad antes de enviarlo al Gobierno de Kosovo para comentarios. Tras su aprobación, el informe fue publicado en el sitio web del ministerio.
Kosovo utilizó la revisión del MMC como parte de su proceso de planificación estratégica. Muchas de las recomendaciones de la revisión se incorporaron a los planes oficiales. Un año después de recibir el informe, el gobierno ya había:
- Encargado la coordinación de ciberseguridad a un ministerio: Ministerio del Interior.
- Llevado a cabo un proceso de redacción de la estrategia con múltiples partes interesadas, utilizando la revisión de la capacidad como insumo.
- Adoptado su Estrategia Nacional de Ciberseguridad y su Plan de Acción 2016-2019.
- Establecido el Equipo nacional de respuesta a incidentes informáticos de Kosovo (KOS-CERT).
- Elaborado el documento conceptual para la infraestructura de información crítica y un proyecto de reglamento normativo.
Lea más sobre lo que prosiguió a la revisión CMM aquí.
Cuatro años más tarde, en julio de 2019, el GCSCC regresó a Kosovo para una reevaluación del MMC. Esta labor fue facilitada nuevamente por el Banco Mundial como parte de su Programa de Capacidad de Ciberseguridad Global II. El informe presentó información sobre los aspectos en los que el país mejoró su capacidad desde la primera revisión, pero también identificó áreas que requieren una mayor ampliación de la capacidad y ayuda para adaptar los esfuerzos actuales a la nueva evolución.