¿Cuál es el objetivo?
Ayudar al país a evaluar las necesidades de ampliación de su capacidad nacional de respuesta a incidentes con mayor profundidad que la que se deriva de una evaluación de la capacidad cibernética nacional.
¿Por qué hacerlo?
No es esencial hacer esta labor como parte del proceso de la estrategia, pero en el caso de un país cuya capacidad nacional de respuesta a incidentes sea menor puede ser útil llevar a cabo esta revisión mientras se redacta la estrategia, porque una de las preguntas clave para la estrategia puede ser si el país quiere tener un CSIRT nacional y, si así lo desea, determinar qué ministerio o entidad debería encargarse de ello.
¿Cuáles son los resultados típicos?
La preparación de un informe sobre la actual capacidad nacional de respuesta a incidentes con recomendaciones de mejora.
¿Cómo se presta el servicio?
Un pequeño equipo de expertos internacionales realizará una o dos visitas breves para entrevistar a los principales ejecutivos, funcionarios y otras partes interesadas. A continuación, redactará un informe.
¿Con qué facilidad puede hacerlo un país por sí solo?
El proceso de entrevista y redacción del informe podría ser realizado fácilmente por un equipo gubernamental. El valor agregado que implica recurrir a expertos internacionales es que ellos pueden asesorar durante el proceso, y en su informe, basarse en la experiencia de haber trabajado con muchos países en la creación o el fortalecimiento de las capacidades nacionales de respuesta a incidentes. Un informe de un organismo internacional también puede ayudar a elevar el perfil de la cuestión a nivel local. Además, puede evitar retrasos si no hay un ministerio u organismo principal designado para redactar el informe.
¿Qué orientación sobre buenas prácticas hay disponible?
Lecciones aprendidas sobre la creación de capacidades de gestión de incidentes cibernéticos (Lessons Learned on Cyber Incident Management Capacity Building) del WG B del GFCE. En el estudio de caso se mencionan tres documentos de referencia útiles. Otros documentos están disponibles en el Portal de Cybil.
- Para obtener los mejores resultados de la evaluación, deben participar auditores experimentados.
- La atención debe centrarse en resultados mensurables y en un enfoque orientado a los resultados, es decir, las actividades de la hoja de ruta creada deben ser procesables y generar resultados mensurables definidos.
- Las evaluaciones deben ir acompañadas de presupuestos y recursos humanos disponibles para la implementación de las mejoras.
Costo
Por lo general, va desde US$25.000 hasta US$75.000, dependiendo del alcance y los viajes a efectuarse.
Duración
Una vez que un gobierno haya solicitado el estudio, normalmente se cuenta un mes para preparar las consultas in situ, una semana para llevarlas a cabo y luego un mes para redactar el informe y finalizarlo con el gobierno.
En 2019, el Banco Interamericano de Desarrollo (BID) puso en marcha un proyecto destinado a apoyar la creación de la política nacional de ciberseguridad de Ecuador como parte del objetivo más amplio de aumentar la comprensión holística de la ciberseguridad por parte de los responsables de las políticas en América Latina y el Caribe. La empresa NRD Cyber Security fue seleccionada para implementar este proyecto y apoyar la formación de la política nacional de ciberseguridad de Ecuador mediante:
- Evaluación de la situación actual, las brechas y los desafíos en materia de ciberseguridad en el país;
- Planificación de mejoras específicas para el grado de preparación de la ciberseguridad por parte del gobierno; y
- Apoyo al proceso de formulación de la Estrategia Nacional de Ciberseguridad.
Uno de los primeros pasos fue llevar a cabo un estudio de la capacidad nacional de respuesta a incidentes con miras a articular recomendaciones adaptadas en cuanto al sentido en el que debería evolucionar la capacidad de respuesta a incidentes en Ecuador.
Dos expertos en ciberseguridad de NRD visitaron Quito y durante cuatro días mantuvieron consultas con instituciones públicas, privadas y académicas ecuatorianas de respuesta a incidentes. El objetivo de las consultas fue identificar las brechas de madurez detectadas en el manejo de ciberincidentes en el país, los servicios más pertinentes y necesarios para mejorar la seguridad de los servicios gubernamentales, la capacidad y la tecnología que garantizarían la adecuada implementación de esos servicios y la evaluación de si el entorno legal, organizacional y operativo garantizaría la adecuada mejora de la capacidad de respuesta a incidentes. Los expertos utilizaron tres metodologías específicas para identificar las brechas de madurez y capacidad de respuesta a los ciberincidentes, a saber:
- la metodología SIM3 para identificar las deficiencias de madurez en términos de organización, personal, herramientas y procesos de los equipos nacionales de respuesta a incidentes;
- el marco de servicios de FIRST.Org para facilitar la identificación de los posibles servicios adicionales que debería proporcionar el equipo nacional de respuesta a incidentes en el país; y
- la metodología SOC-CMM para priorizar los servicios de respuesta del gobierno nacional a incidentes y las tecnologías necesarias para implementar los servicios requeridos.
Como resultado de las consultas, los expertos en ciberseguridad de NRD redactaron un informe para el Gobierno de Ecuador con la evaluación de las capacidades actuales de respuesta a incidentes cibernéticos ocurridos en el país a nivel nacional, gubernamental, sectorial y empresarial. También formularon recomendaciones sobre cómo se podría mejorar la capacidad de respuesta del gobierno frente a los incidentes, aprovechando las capacidades ya existentes.
Las evaluaciones de la capacidad de respuesta a incidentes cibernéticos y las recomendaciones se integraron en el plan de mejora de la ciberseguridad de Ecuador. Se preparó una hoja de ruta independiente para establecer un Centro de Operaciones de Seguridad en el ámbito gubernamental.