taller para el desarrollo de una estrategia nacional de...

1

Esta actividad ha sido organizada con el apoyo financiero de

Taller para el Desarrollo de una Estrategia Nacional de Ciberseguridad

24 de enero 2017

Antigua, Guatemala

Los contenidos de este documento no reflejan necesariamente las opiniones o políticas de la Secretaría General de la OEA o de alguno de sus Estados Miembros.

Documento Preparatorio para las Mesas de Trabajo

El taller para el Desarrollo de una Estrategia Nacional de Ciberseguridad en Guatemala será organizado en mesas de trabajo temáticas y se llevará a cabo el 24 de enero de 2017 con el objetivo de reunir representantes de diferentes sectores para dialogar e identificar las necesidades más urgentes del país en materia de ciberseguridad. Se buscará examinar no sólo las debilidades y amenazas, sino que también las fortalezas y oportunidades para mejorar las capacidades de ciberseguridad en el país. Este documento tiene como objetivo orientar a los participantes de las mesas de discusión para que puedan contribuir de manera efectiva en las discusiones. ¡El Programa de Ciberseguridad del Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA) y el equipo del Ministerio de Gobernación les desean a todos los participantes un taller exitoso! Objetivo de las Mesas de Trabajo Las mesas de trabajo tienen como objetivo:

Verificar la información recopilada durante la primera etapa del Desarrollo de una Estrategia Nacional de Ciberseguridad para Guatemala (Anexo 1);

Complementar la información recopilada durante la primera etapa con datos adicionales, de modo que se pueda preparar un diagnóstico efectivo de la ciberseguridad en el país, identificando las debilidades, amenazas, fortalezas y oportunidades en materia de seguridad cibernética;

Formular propuestas de ejes de acción y objetivos que contengan la Estrategia Nacional de Ciberseguridad de Guatemala.

Tópicos para Consideración y Análisis de las Mesas de Trabajo

1. ¿Qué es la ciberseguridad? No hay una definición universal para la ciberseguridad, 1 únicamente existen interpretaciones comunes utilizadas por distintos actores y organizaciones. En general, las políticas nacionales acaban por definir de

1 Por ejemplo, Unión Internacional de Telecomunicaciones define a la ciberseguridad como un conjunto de herramientas y políticas que

buscan proteger los activos y la información de las instituciones y de los usuarios del ciberentorno. Recuperado de: http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx. Además, cabe recalcar que la definición de ciberseguridad va más allá de seguridad de la información.

http://www.itu.int/net/itunews/issues/2010/09/20-es.aspx

2


manera más específica la ciberseguridad y determinar los enfoques que se le darán a nivel nacional. De hecho, una de las preocupaciones destacadas durante la primera etapa para el desarrollo de una estrategia nacional de ciberseguridad fue la falta de una definición para ciberseguridad o seguridad cibernética. Cabe señalar que las estrategias de ciberseguridad suelen incluir un capítulo con definiciones, a fin de que se tenga una claridad acerca de lo que se entiende por ciberseguridad en el ámbito nacional. En este contexto, se recomienda que las mesas de trabajo busquen preparar definiciones no sólo para ciberseguridad, sino que también para otros términos considerados esenciales para el entorno digital en el país.

2. ¿Qué es una estrategia nacional de ciberseguridad? Las estrategias nacionales de ciberseguridad son documentos de alto nivel nacional que buscan establecer una serie de objetivos y prioridades nacionales para un período específico, desarrollando un marco estratégico de largo plazo para la seguridad cibernética del país.

3. ¿Cuál es la importancia de una estrategia nacional de ciberseguridad? Una estrategia nacional de ciberseguridad no solo permite identificar claramente los objetivos estratégicos del país y los recursos disponibles, sino que además proporciona una guía sobre cómo se deben aplicar estos recursos para que se alcancen los objetivos establecidos. Asimismo, una estrategia posibilita una mejor formulación e implementación de políticas públicas integradas y holísticas. Las estrategias nacionales de ciberseguridad generalmente reconocen que el desarrollo socioeconómico necesita del Internet y de las tecnologías de la información y comunicación (TICs), y que las amenazas cibernéticas han aumentado y evolucionado a un ritmo acelerado.

4. ¿Cuáles tópicos deben ser incluidos en una estrategia nacional de ciberseguridad? En general, las estrategias nacionales de ciberseguridad buscan mejorar la coordinación gubernamental a nivel de políticas, aclarar los roles y las responsabilidades de los distintos actores, reforzar la cooperación público-privada, y subrayar la necesidad de respetar principios fundamentales, tales como la privacidad y la libertad de expresión. La cooperación internacional es también un aspecto clave, dado que el ciberespacio no respeta las fronteras nacionales. Sin embargo, cabe señalar que es muy importante tener en cuenta que cada estrategia nacional de ciberseguridad debe adecuarse a las características de cada país, incluyendo el contexto y necesidades específicas. Por ende, el diagnóstico de la situación de ciberseguridad del país es esencial para determinar que tópicos deben incluirse en la estrategia.

5. ¿Cuál es el tiempo de ejecución de una estrategia nacional de ciberseguridad? De manera general, las estrategias incluyen un período de ejecución, medidas de monitoreo y evaluación, y una fase de revisión que ocurre 3, 5 o 10 años después de la aprobación de la estrategia. La duración del periodo de ejecución dependerá de los recursos disponibles y de la viabilidad de las políticas de cada país. Al mismo tiempo, es esencial desarrollar indicadores claves de desempeño con el fin de medir la efectividad de la estrategia a corto, mediano y largo plazo.

***

3


Anexo 1

4


DESARROLLO DE UNA ESTRATEGIA NACIONAL DE SEGURIDAD CIBERNÉTICA GUATEMALA

PRIMERA ETAPA: RECOPILACIÓN DE INFORMACIÓN

El Programa de Seguridad Cibernética del Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA), en coordinación con el Ministerio de Gobernación de Guatemala, inició el proceso para la formulación de una Estrategia Nacional de Seguridad Cibernética en el país. Este documento es un resumen de la primera etapa del proceso de desarrollo de una Estrategia Nacional de Seguridad Cibernética, que consiste en la recolección de información sobre el estado de la seguridad cibernética en Guatemala. Es importante destacar que este documento es meramente la consolidación de la información recolectada durante esta primera etapa, a través de mesas de discusiones y el envío de cuestionarios a sectores claves. Asimismo, dicho documento no cuenta con recomendaciones específicas, sino sólo con los puntos de vistas de los entrevistados. Los cuestionarios cubrieron una amplia gama de temas en materia de ciberseguridad, como protección de infraestructuras críticas, educación, sector financiero, sector empresarial, gestión pública, delitos cibernéticos, tecnologías de la información y sociedad de Internet. Los cuestionarios consistían de preguntas cerradas dicotómicas (Sí/No) y de preguntas abiertas. La combinación de estos tipos de preguntas posibilita la obtención de datos directos, por un lado, y de una mayor riqueza de detalles por el otro. Los cuestionarios fueron contestados por 32 actores y sus respuestas han sido incorporadas a este documento. Además de los cuestionarios, se organizó una misión técnica que tuvo lugar entre el 27 y 28 de junio de 2016 en la Ciudad de Guatemala. El objetivo de la misión técnica fue fomentar la colaboración entre las partes interesadas del sector de seguridad cibernética y de tecnologías de la información y comunicación (TICs), con el fin de recolectar información sobre el estado de la seguridad cibernética en Guatemala. El primer día fue dedicado a presentar los diferentes enfoques que existen en el desarrollo de una estrategia nacional de seguridad cibernética, con el fin de que todos los actores adquiriesen una mejor comprensión sobre la importancia de este proceso. Se presentó una estructura modelo de una estrategia nacional de seguridad cibernética, así como temas claves a considerar. La estructura de una estrategia nacional generalmente incluye lo siguiente: (i) declaración de propósitos; (ii) pilares/áreas focales; (iii) objetivos/metas; (iv) plan de implementación/acción; y (v) período de revisión. Se presentaron temas recurrentes de estrategias a nivel mundial, tales como coordinación gubernamental, cooperación público-privada, marco legislativo, cooperación internacional, sensibilización y respuesta a incidentes, entre otros. Durante el segundo día, las consultas con los actores interesados se realizaron siguiendo un estilo de entrevista, donde se animó a cada grupo de interés a compartir su punto de vista y sus recomendaciones para el proceso. Se entrevistó a cada grupo de interés en función de su sector y el

5


debate se centró en los desafíos que enfrentan, al igual que en sus recomendaciones para las áreas de enfoque con respecto a la estrategia de seguridad cibernética propuesta. Además de incluir la consolidación de la información recolectada entre junio y julio de 2016, este documento contiene los resultados obtenidos con la aplicación del modelo de madurez de seguridad cibernética del Centro Global de Capacitación de Seguridad Cibernética de la Universidad de Oxford, publicado en marzo de 2016 en el informe “Ciberseguridad: ¿estamos preparados en América Latina y el Caribe?”,2 preparado por la OEA/CICTE en colaboración con el Banco Interamericano de Desarrollo (BID). Este modelo informa sobre el estado actual del país en relación a la seguridad cibernética a partir de 49 indicadores distribuidos en cinco dimensiones: (i) Política y Estrategia; (ii) Cultura y Sociedad; (iii) Educación; (iv) Marcos Legales; y (v) Tecnologías. Es de destacar que los resultados de los indicadores del modelo de madurez se basaron en la información recogida en 2015. Este documento se divide en dos secciones: (i) resumen de las contribuciones de los encuestados y entrevistados; y (ii) resultados del modelo de madurez en seguridad cibernética.

1. RESUMEN DE LAS CONTRIBUCIONES

Esta sección consiste en un resumen de las contribuciones recibidas por actores de distintos sectores claves de Guatemala a través de cuestionarios y mesas de discusión, así como por investigación documental. Los temas cubiertos incluyen tecnologías de la información y comunicación, cultura y educación en ciberseguridad, marco legal y delitos cibernéticos, gestión pública, respuesta a incidentes cibernéticos, sector financiero, sector privado, y protección de infraestructuras críticas.

1.1 Tecnologías de la Información y Comunicación (TICs)

En términos porcentuales, la penetración de Internet en Guatemala mostró un incremento significativo en los últimos años, dado que aumentó de un 10,5 por ciento en 2010 a un 23,4 por ciento en 2014 –es decir, más de 12,9 puntos porcentuales (Gráfico 1). Sin embargo, el país sigue con una de las tasas más bajas de penetración de la región. El porcentaje de hogares con Internet sería de sólo 15 puntos porcentuales, según datos de la Unión de Telecomunicaciones Internacional (UTI). Según datos del Foro Económico Mundial (WEF, por sus siglas en inglés), Guatemala se encuentra en el puesto 84 de 137 países en términos del costo de la banda ancha fija, y en el puesto 103 de 139 países del Network Readiness Index3 de 2016. Pese a la enorme brecha digital de las tecnologías de la información y comunicación – es decir, la separación que existe entre las personas que utilizan las TICs como una parte rutinaria de su vida diaria y aquellas que no tienen acceso a las mismas –, se destacó en las entrevistas una alta

2 Disponible en: https://publications.iadb.org/handle/11319/7449?locale-attribute=es. Recuperado en el 24 de agosto de

2016. Información disponible también en el Observatorio de Ciberseguridad ( 3 Disponible en: http://reports.weforum.org/global-information-technology-report-2016/economies/#economy=GTM. Recuperado en el 24

de agosto de 2016.

https://publications.iadb.org/handle/11319/7449?locale-attribute=es

http://reports.weforum.org/global-information-technology-report-2016/economies/#economy=GTM

6


aceptación y usabilidad. El acceso a Internet es ofrecido por entidades comerciales, y los Smartphones son de alta utilización en Guatemala. Se destacó que las empresas de telefonía ofrecen paquetes especiales que permiten la utilización de aplicaciones de mensajes instantáneas. Sin embargo, es importante recalcar que existe una brecha digital muy grande entre las zonas urbanas y rurales en términos de conexión.

Gráfico 1: Población Total vs Usuarios de Internet (2010-2014)

Fuente: Indicadores del Desarrollo Mundial (IDM) – Banco Mundial. Recuperado el 10 de agosto de 2016.

La Superintendencia de Telecomunicaciones (SIT)4 es la agencia gubernamental responsable por la conectividad y su gestión en Guatemala. El Gobierno de Guatemala, por medio de la SIT y en coordinación con FONDETEL, SENACYT e INTEL, está desarrollando el Plan Nacional de Conectividad y Banda Ancha – Nación Digital, con el propósito de fomentar la tecnología para el Desarrollo Económico y Social. El Plan Nacional cuenta con cuatro ejes fundamentales: salud, educación, seguridad y emergencias.5 Guatemala aún no cuenta con puntos de interconexión de Internet (IXP, por sus siglas en inglés). Los IXPs permitirían que las redes locales intercambiasen información de manera eficiente en un punto común dentro del país. Durante las entrevistas se mencionaron planes para la implementación de IXP en Guatemala. Hay que destacar también la gestión de los recursos críticos de Internet en Guatemala, como el nombre del dominio nacional “GT”. El “.GT” es el dominio de nivel superior de país (ccTLD, por sus siglas en inglés) asignado a Guatemala, bajo la responsabilidad del Registro de Dominios .GT (https://www.gt/index.php). En 1992, la Autoridad de Números Asignados en Internet (IANA, por sus

4 Disponible em: https://sit.gob.gt/. Recuperado en el 24 de agosto de 2016. 5 Disponible en: https://prezi.com/965jgnz7tqdl/plan-nacional-de-conectividad-y-banda-ancha/. Recuperado en el 24 de agosto de 2016.

https://www.gt/index.php

https://sit.gob.gt/

https://prezi.com/965jgnz7tqdl/plan-nacional-de-conectividad-y-banda-ancha/

7


siglas en inglés) delegó la administración del Dominio de Nivel Superior del código del país “.GT” a la Universidad del Valle de Guatemala (UVG). Con el fin de fomentar el uso de Internet en la educación y el e-Gobierno, a partir del 2 de enero de 2007, los nombres de dominio registrados bajo los subdominios .edu.gt, .gob.gt y .mil.gt quedaron exonerados del pago de tarifas. Al final de julio de 2016, Guatemala contaba con 17.495 dominios registrados.6 Otro recurso crítico de Internet son las direcciones de Protocolo de Internet (IP, por sus siglas en inglés), que consisten en números únicos con los cuales se identifica una computadora en una red. En Guatemala se distribuyeron 71 bloques de dirección IPv4 y 24 bloques de dirección IPv6, la nueva versión del IP que está destinada a sustituir al estándar IPv4, el cual cuenta actualmente con un límite de direcciones en la red.7 En términos de seguridad cibernética, los operadores de telefonía han manifestado que sus redes son redundantes y tienen anillos de fibra dobles. Sin embargo, no es posible verificar apropiadamente esta información.

1.2 Cultura y Educación en Ciberseguridad

Se destacó una preocupación muy grande en relación a las definiciones en seguridad cibernética, con el fin de fomentar una cultura de ciberseguridad entre los distintos sectores y entre la población en general. No hay mucho involucramiento de la sociedad civil en cuestiones de gobernanza de internet, o sensibilización pública sobre la seguridad digital. Los pocos esfuerzos que ha habido han sido unilaterales y aislados, sin una coordinación nacional. Según la información recolectada por cuestionarios y durante las entrevistas, en Guatemala existen cursos que abordan la seguridad informática. La Universidad Galileo,8 por ejemplo, cuenta con un postgrado en seguridad informática.9 La academia destacó la importancia de fomentar una triangulación entre gobierno-academia-sector privado para el desarrollo de políticas de investigación, desarrollo e innovación (I+D+i). Según representantes de la academia, esta alianza sería fundamental para la obtención de recursos y para el desarrollo de centros de investigación dedicados a la temática de la seguridad informática. Existen también programas de la academia de Cisco Systems que tocan el tema de seguridad informática, así como el currículo de Hacker High School. Se mencionaron también iniciativas del Open Web Application Security Project (OWASP). Al mismo tiempo, se destacó que el Instituto Nacional de Administración Pública (INAP) desarrollará un curso para servidores públicos en el 2017. En Guatemala hay algunas becas orientadas a temas de TICs vía la Secretaría de Planificación y

6 Noticias, No 3 – Agosto de 2016. Disponible en: https://www.gt/news.php.Recuperado el 24 de agosto de 2016. 7 Disponible en: http://portalipv6.lacnic.net/reporte-de-terminacion-de-direcciones-ipv4/. Recuperado el 24 de agosto de 2016. 8 Disponible en: http://www.galileo.edu/. Recuperado en el 24 de agosto de 2016. 9 Disponible en: http://www.galileo.edu/fisicc/carrera/psi/. Recuperado en el 24 de agosto de 2016.

https://www.gt/news.php

http://portalipv6.lacnic.net/reporte-de-terminacion-de-direcciones-ipv4/

http://www.galileo.edu/

http://www.galileo.edu/fisicc/carrera/psi/

8


Programación de la Presidencia (SEGEPLAN) que, a su vez, es la entidad responsable por políticas públicas de Estado y directrices generales.10 Las propias universidades también ofrecen becas a los estudiantes al extranjero. Además, se señaló el trabajo del Instituto Técnico de Capacitación y Productividad (INTECAP) en la promoción de la innovación tecnológica en el país.11 Sin embargo, de manera general, faltan cursos para los distintos sectores y segmentos de la sociedad, en particular, para niños y niñas de la educación primaria. A pesar de que existe el Currículo Nacional Base de Guatemala (CNB), en que sería factible introducir un módulo de seguridad cibernética, no hay un currículo oficial de informática y sería esencial dotar a las escuelas de recursos tecnológicos que permitan cubrir las necesidades básicas con respecto a la tecnología. Se mencionó la existencia de algunas iniciativas del Ministerio de Educación para niños y niñas, como los Proyectos INNOVA, que formulan criterios técnicos, pedagógicos y metodológicos en el campo de aplicación de las TICs.12 También se destacaron otras iniciativas apoyadas por el sector privado como parte de su política de responsabilidad social. Finalmente, los entrevistados enfatizaron que no sólo los niños y niñas deben ser capacitados en ciberseguridad, sino que también sus padres y profesores. Se discutió la problemática del analfabetismo digital entre los padres y profesores, así como la importancia de desarrollar políticas para este grupo, a modo de que puedan proteger los niños y las niñas. Se mencionó la importancia de coordinar iniciativas de educación en materia de seguridad cibernética con el Ministerio de Educación, el Consejo Nacional de Ciencia y Tecnología (CONCYT),13 y la Comisión de Información e Informática.

1.3 Marco Legal y Delitos Cibernéticos

En Guatemala no existen leyes específicas que aborden los delitos informáticos y la protección de datos personales. Algunas disposiciones en el Código Penal, como en el tema de la pornografía y robo de información, podrían ayudar a la policía en la investigación de delitos relacionados con la informática. Sin embargo, otras tipologías, como por ejemplo el robo de identidad, no existen. Sin la tipificación del delito, las cortes no pueden sancionar. Se realizó recientemente un estudio acerca del marco jurídico de Guatemala en relación a los delitos cibernéticos, en el que se concluyó que es muy importante que el país se adhiera al Convenio de Budapest. Cabe señalar que el gobierno ya expresó el interés de adherirse al Convenio de Budapest, lo que está siendo manejado por el Ministerio de Relaciones Exteriores. Los entrevistados destacaron la importancia de una ley de ciberdelitos y de la adhesión al Convenio de Budapest, así como de fomentar una cultura de prevención de delitos informáticos a nivel estudiantil y judicial.

10 Disponible en: http://becas.segeplan.gob.gt/becas/sistema.php?no_pager=1. Recuperado en el 24 de agosto de 2016. 11 Disponible en: http://www.intecap.edu.gt/. Recuperado en el 24 de agosto de 2014. 12 Disponible en: http://www.mineduc.edu.gt/portaleducativo/index.php/9-proyectos-innova/15-escuelas-demostrativas-del-futuro-edf.

Recuperado en el 24 de agosto de 2016. 13 Disponible en: http://senacyt.concyt.gob.gt/portal/. Recuperado en el 24 de agosto de 2016.

http://becas.segeplan.gob.gt/becas/sistema.php?no_pager=1

http://www.intecap.edu.gt/

http://www.mineduc.edu.gt/portaleducativo/index.php/9-proyectos-innova/15-escuelas-demostrativas-del-futuro-edf

http://senacyt.concyt.gob.gt/portal/

9


Se mencionó en las entrevistas y cuestionarios que a pesar de que ya han ocurrido investigaciones y enjuiciamientos por delitos informáticos, estos han sido enfocados en el tema de derecho de propiedad intelectual y de pornografía infantil. En cuanto a estadísticas sobre delitos informáticos, un grupo de peritos forenses digitales está trabajando en Guatemala para desarrollar el “Observatorio Guatemalteco de Delitos Informático” (OGDI): www.ogdi.org y www.ciberdelitos.org. Las organizaciones no gubernamentales (ONG) están trabajando para agrupar la información, pero falta la información, en particular del sector privado. Según reciente reporte del Grupo de Trabajo Anti-Phishing (APWG, por sus siglas en inglés), en el cuarto trimestre de 2015, Guatemala se encontraba en el puesto 5º entre los países más infectados por malware, con una tasa de infección de 38,01 por ciento.14 En términos de capacitación para la investigación de delitos informáticos, se destacó la falta de conocimiento de las autoridades sobre la aplicación de la ley acerca de una prueba digital, así como de la cadena de custodia digital, el traslado y la sustracción de la evidencia sobre el ISO 27037.15 Asimismo, las salas de audiencia no solo no estarían equipadas para recibir evidencia digital, sino que también faltarían instrumentos para la adecuada recolección, preservación, transporte y análisis de la evidencia digital (ej. bolsas de Faraday utilizadas para preservar dispositivos móviles como evidencia). Actualmente existe una unidad en la Policía Nacional Civil (PNC) encargada de la investigación de delitos informáticos. También se destacó la necesidad de reforzar e impulsar la unidad científica de peritaje forense del Instituto Nacional de Ciencias Forenses de Guatemala (INACIF). Impulsar las actividades de INACIF y promover la obtención de certificaciones independientes por los peritos sería crítico, según los entrevistados. El INACIF inauguró recientemente su unidad de delitos cibernéticos. Los entrevistados enfatizaron la importancia del Ministerio Público formalizar una unidad de delitos cibernéticos. Se mencionó que la institución enfrenta problemas de rotación de personal. Se señaló durante las entrevistas que hay en el país existen instituciones que pueden facilitar la capacitación de las autoridades sobre delitos relacionados con la informática y en el manejo de evidencias electrónicas, como la Red Latinoamericana de Informática Forense en Guatemala (www.redlifguatemala.org) y la consultoría INFOGTM (www.infogtm.com). Asimismo, se discutió la importancia de ofrecer capacitaciones a los profesionales de derecho, no sólo a las autoridades. En las entrevistas, los proveedores de Internet apoyarían a la policía en las investigaciones para determinar la fuente de un ataque cibernético si hubiera una reglamentación. Sin una reglamentación o legislación clara, este tipo de cooperación sería muy complejo, dado que podría afectar la relación de los proveedores con sus clientes. De hecho, se mencionó que algunos clientes más grandes exigen cláusulas de confidencialidad en sus contractos, lo cual podría impedir que el proveedor brindara la colaboración requerida por la policía. De manera similar, sería necesaria una reglamentación para que

14 APWG. “Phishing Activity Trends Reports” (2016). Disponible en: https://docs.apwg.org/reports/apwg_trends_report_q1_2016.pdf.

Recuperado en el 24 de agosto de 2016. 15 Disponible en: http://www.iso.org/iso/catalogue_detail?csnumber=44381. Recuperado en el 24 de agosto de 2016.

http://www.ogdi.org/

http://www.ciberdelitos.org/

http://www.redlifguatemala.org/

http://www.infogtm.com/

https://docs.apwg.org/reports/apwg_trends_report_q1_2016.pdf

http://www.iso.org/iso/catalogue_detail?csnumber=44381

10


las empresas del sector privado compartieran información acerca de la vulnerabilidad de su red y sistemas, así como información acerca de la vulnerabilidad de sus clientes. De manera general, los ataques contra las empresas se resuelven internamente o con contrataciones externas, pero no hay una comunicación con autoridades de la aplicación de la ley. En resumen, el incidente cibernético es solucionado, pero muchas veces no hay una prosecución por la falta de mecanismos de preservación de la evidencia digital, como se discutió anteriormente. Con respecto a la remoción de contenidos ilegales del Internet (takedown), esto sería posible solo si la orden es válida y proviene de un juez competente. Sin embargo, se señaló que no existe una legislación y definición clara acerca de cuáles serían estos contenidos ilegales y sobre la remoción de dichos contenidos en línea. En este contexto, durante las reuniones y en los cuestionarios se destacó la necesidad de revisar la Ley de Cibercrimen, así como de generar leyes que tengan coherencia y métodos que sean aplicables en el presente y en el futuro. En otras palabras, es fundamental considerar la temporalidad de las leyes.

1.4 Gestión Pública

El gobierno de Guatemala adopta algunos programas de TICs y Gobierno Electrónico por medio de organismos como la Alianza Nacional por la Transparencia, integrada por la Procuraduría de Derechos Humanos, Contraloría General de Cuentas, Acción Ciudadana y el Ministerio Público. El Registro Nacional de las Personas (RENAP)16 también implementa algunas iniciativas en este sentido, en particular por medio de la Dirección de Informática y Estadística.17 Se destacó que no existe una gestión centralizada en el gobierno para la compra de tecnologías de la información (TI) y ciberseguridad, ya que cada institución está encargada de hacer sus propias compras. En este sentido, los esfuerzos de seguridad de la información se dan a nivel de cada institución, es decir, sin una entidad que los coordine. La redundancia en la red también varía en función de la entidad gubernamental. Según datos recolectados por los cuestionarios, la gran mayoría de las instituciones no tiene redundancia. Sin embargo, ministerios con gran cantidad de transacciones, tal como el Ministerio de Gobernación, el Ministerio de Finanzas, el Ministerio de Educación, el Ministerio de Salud, entre otros, tienen sus respectivos enlaces de redundancia.

1.5 Respuesta a Incidentes Cibernéticos

El Gobierno contaba con un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-gt), un equipo ad hoc que históricamente operaba bajo el Ministerio de Defensa. Actualmente, el Ministerio

16 Disponible en: https://www.renap.gob.gt/. Recuperado en el 24 de agosto de 2016. 17 Disponible en: https://www.renap.gob.gt/publicaciones-informatica/. Recuperado en el 24 de agosto de 2016.

https://www.renap.gob.gt/

https://www.renap.gob.gt/publicaciones-informatica/

11


de Gobernación está trabajando para implementar un SOC/CSIRT nacional permanente que buscará generar conocimiento sobre ataques cibernéticos en Guatemala, al igual que capacitar a las personas.18

1.6 Sector Financiero

La Superintendencia de Bancos es la entidad encargada de reglamentar la actividad bancaria en Guatemala, incluso en términos de seguridad cibernética. Se informó la existencia de una resolución de la Superintendencia de Banco con normas de TICs para las redes bancarias. Sin embargo, esta resolución necesita ser actualizada. A pesar de que la Asociación Bancaria de Guatemala (ABG) cuente con un grupo de seguridad colaborativo, las acciones son ad hoc y no hay acciones permanentes. Por ejemplo, los bancos implementan las normas emitidas por la Superintendencia de Bancos, pero de manera aislada. De igual forma, existe un intercambio de información sobre incidentes cibernéticos entre los bancos, pero éste no es institucionalizado. El sector financiero es el blanco de ataques de denegación de servicio (DDoS, por sus siglas en inglés). Generalmente los ataques contra los sistemas financieros y otras empresas se resuelven recorriendo a los proveedores de servicios de telecomunicaciones, y no existe una comunicación con autoridades de aplicación de la ley. Se señaló la importancia de un mayor acercamiento entre el gobierno y las entidades bancarias para una mejor coordinación en relación a los esfuerzos en ciberseguridad. Se destacó también la necesidad de concientizar a los empleados y clientes sobre buenas prácticas en ciberseguridad. Según la información obtenida en las entrevistas, muchos de los problemas de seguridad cibernética enfrentados por los bancos son en razón de amenazas internas. Con respecto a sus clientes, los bancos hacen controles y alertas de riesgo para algunas cuentas de sus clientes. Sin embargo, se discutió la vulnerabilidad de los usuarios y la importancia de capacitar a los clientes en buenas prácticas de seguridad cibernética.

1.7 Sector Privado

Con respecto a la gestión de incidentes cibernéticos, no existe una norma o gestión nacional. Por ende, las redes privadas implementan sus propios métodos de respuesta y gestión de incidentes cibernéticos. Algunos entrevistados mencionaron que sus instituciones cuentan con un sistema de prevención de intrusos (IPS, por sus siglas en inglés), el cual provee un monitoreo de sus accesos a la red. Se mencionó también que algunas empresas implementan medidas de seguridad en sus redes y sistemas en base a estándares requeridos por entes internacionales. Cabe destacar que las empresas no comparten información acerca de amenazas cibernéticas y vulnerabilidades con el Gobierno, y que este intercambio de información sería posible solo medio de reglamentación.

18 Disponible en: http://soc.mingob.gob.gt/users/login. Recuperado en el 24 de agosto de 2016.

http://soc.mingob.gob.gt/users/login

12


En las entrevistas se destacó la importancia de crear una cultura de informática y seguridad a nivel nacional, para que sea posible una gestión de incidentes cibernéticos. Representantes de las empresas de informática enfatizaron la importancia de la concientización de los empresarios sobre la seguridad informática, ya que el sector privado se ve muy afectado por incidentes/delitos cibernéticos, tales como phishing y ransomware. Se mencionó también la importancia de crear alianzas público-privadas, con una mayor participación del sector privado en el debate para el desarrollo de políticas de seguridad cibernética.

1.8 Protección de Infraestructuras Críticas

En Guatemala, algunas infraestructuras críticas19 en Guatemala son propiedad del Estado, mientras que otras pertenecen al sector privado. En las entrevistas y cuestionarios, se mencionó que falta un listado claro de las infraestructuras críticas nacionales y de los sistemas de información críticos. Tampoco existen normas que obliguen la adherencia a buenas prácticas de seguridad de la información. Cabe señalar que el Decreto No 18-200820 creó el Sistema Nacional de Seguridad, “consiste en el marco institucional, instrumental y funcional del que dispone el Estado para hacer frente a los desafíos que se le presenten en materia de seguridad, mediante acciones de coordinación interinstitucional al más alto nivel y sujeta a controles democráticos. Comprende los ámbitos de seguridad interior y exterior” (artículo 3). El Sistema de Seguridad Nacional tiene como propósito el fortalecimiento de las instituciones del Estado, la prevención de los riesgos, el control de las amenazas y la reducción de las vulnerabilidades que impidan al Estado cumplir con sus fines. Tales actividades tienen como contribuir a la seguridad y defensa de la Nación, la protección de la persona humana y el bien común (artículo 4). El Sistema Nacional de Seguridad es integrado por: (i) Presidencia de la República; (ii) Ministerio de Relaciones Exteriores; (iii) Ministerio de Gobernación; (iv) Ministerio de la Defensa Nacional; (v) Procuraduría General de la Nación; (vi) Coordinadora Nacional para la Reducción de Desastres (CONRED); (vii) Secretaría de Inteligencia Estratégica del Estado (SIE); y (viii) Secretaría de Asuntos Administrativos y de Seguridad de la Presidencia de la República (SAAS). El Sistema Nacional de Seguridad es coordinado por el Consejo Nacional de Seguridad, que es presidido por el Presidente de la República e integrado por el Vicepresidente de la República, el Ministro de Relaciones Exteriores, Ministro de Gobernación, Ministro de la Defensa Nacional, Secretario de Inteligencia Estratégica del Estado, y Procurador General de la Nación. En este contexto, el Consejo Nacional de Seguridad define políticas y estrategias para la seguridad, incluyendo la

19 Las infraestructuras críticas nacionales consisten en sistemas y activos, físicos o virtuales, esenciales para el mantenimiento de

funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población, y cuya

perturbación o destrucción tendría un impacto debilitante en la seguridad nacional, generando una cascada de efectos negativos que

afectarían gravemente al país. 20 Disponible en: http://www.mindef.mil.gt/leyes_reglamentos/leyes_y_reglamentos/ley_marco_d018-2008.pdf. Recuperado en el 24 de

agosto de 2016.

http://www.mindef.mil.gt/leyes_reglamentos/leyes_y_reglamentos/ley_marco_d018-2008.pdf

13


protección de infraestructuras críticas. Entre sus funciones, está la definición y aprobación del Plan Estratégico de Seguridad Nacional, una Agenda Estratégica de Seguridad Nacional y la Política Nacional de Seguridad. Uno de los desafíos a la seguridad de la nación, según el Plan Estratégico de Seguridad de la Nación 2016-2020,21 es la optimización de la gestión de riesgo, que buscará articular las instituciones públicas y privadas para desarrollar resilientes, así como desarrollar la Defensa Civil y la protección de infraestructuras críticas. Cabe señalar que el Plan Estratégico propone reformas legislativas, como una Ley de tecnología y seguridad cibernética. Aunque el Plan Estratégico contiene aspectos importantes acerca de la gestión de riesgo e identificación de vulnerabilidades, el Plan no se profundiza en el tema de seguridad cibernética. La Coordinadora Nacional para la Reducción de Desastres (CONRED)22 ha desarrollado un plan para la recuperación de desastres naturales, y en Guatemala se llevan a cabo ejercicios para la gestión de crisis. Sin embargo, no hay ejercicios o planes específicos para la gestión de incidentes o ataques cibernéticos contra la infraestructura crítica nacional. El reporte de incidentes cibernéticos críticos no es mandatorio para los operadores de las infraestructuras críticas nacionales. Durante las entrevistas y cuestionarios se destacó la importancia de reglamentar esta práctica, ya que políticas voluntarias de informe de incidentes cibernéticos serían de difíciles de implementar.

2. MADUREZ DE LA SEGURIDAD CIBERNÉTICA EN GUATEMALA

Se presenta una visión general del estado actual de la seguridad cibernética en Guatemala sobre la base de información del modelo de madurez en seguridad cibernética publicado en el informe “Ciberseguridad: ¿estamos preparados en América Latina y el Caribe?” y disponible en el Observatorio de Cibserguridad (www.observatoriociberseguridad.com). Este modelo informa el actual estado del país en cibserguridad a partir de cinco dimensiones: (i) Política y Estrategia; (ii) Sociedad y Cultura; (iii) Educación; (iv) Marcos Legales; y (v) Tecnologías. Cabe señalar que hay cinco niveles de madurez para cada indicador, del 1 al 5. Mientras el nivel 1 es de naturaleza muy embrionaria, el nivel 5 es más avanzado y cuenta con mecanismos claros para la adaptación rápida y eficaz de las políticas de seguridad cibernéticas según los cambios del entorno. Es importante tener en cuenta que solamente es posible pasar para el siguiente nivel de madurez si el país cumple con todos los requisitos del próximo nivel. El gráfico 2 presenta un resumen de la situación de Guatemala considerando las cinco dimensiones y los cinco niveles de madurez. Es de destacar que los resultados se basaron en la información recogida en 2015.

21 Disponible en: http://stcns.gob.gt/docs/2016/Plan_Estrategico/PESN%202016-2020.pdf. Recuperado en: 24 de agosto de 2016. 22 Disponible en: http://conred.gob.gt/site/index.php. Recuperado en el: 26 de agosto de 2016.

http://www.observatoriociberseguridad.com/

http://stcns.gob.gt/docs/2016/Plan_Estrategico/PESN%202016-2020.pdf

http://conred.gob.gt/site/index.php

14


Gráfico 2: Madurez Cibernética en Guatemala

Fuente: Elaboración propia según “Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe?” (2016)

2.1. Dimensión 1: Política y Estrategia

Estrategia nacional de seguridad cibernética oficial o documentada Desarrollo de la estrategia (nivel 1): No hay evidencia de la existencia de una estrategia nacional de seguridad cibernética; si existe un componente cibernético, puede ser la responsabilidad de uno o más departamentos del gobierno; ha comenzado un proceso para el desarrollo sin consulta a los interesados.

15


Organización (nivel 1): No existe una entidad global para la coordinación de la seguridad cibernética; si hay los presupuestos, existen en oficinas públicas no relacionadas. Contenido (nivel 1): Puede no existir ninguno o puede haber varias estrategias nacionales con una referencia a la seguridad cibernética; si es que existen, el contenido es genérico, no necesariamente alineado con los objetivos nacionales y no proporciona directrices recurribles. Defensa Cibernética Estrategia (nivel1): Existe una política nacional de seguridad y estrategia de defensa nacional y puede contener un componente de seguridad de la información o digital, pero no existe ninguna política o estrategia de defensa cibernética. Organización (nivel 1): No hay gestión de la defensa cibernética; si es que existe puede ser distribuida entre las fuerzas armadas y/o algunas otras organizaciones gubernamentales; no hay una estructura de mando clara para la seguridad cibernética en las fuerzas armadas. Coordinación (nivel 1): Las fuerzas armadas nacionales no tiene capacidad, o es limitada, de resiliencia cibernética, destinado a reducir las vulnerabilidades de los intereses de seguridad nacional e infraestructura de red de defensa.

2.2. Dimensión 2: Cultura y Sociedad

16


Mentalidad de seguridad cibernética En el gobierno (nivel 1): No existe o se reconoce mínimamente una mentalidad de seguridad cibernética dentro de las agencias gubernamentales. En el sector privado (nivel 2): Empresas líderes han comenzado a darle prioridad a una mentalidad de seguridad cibernética mediante la identificación de prácticas de alto riesgo. En la sociedad (nivel 1): La sociedad desconoce las amenazas cibernéticas y no puede tomar medidas concretas de seguridad cibernética o la sociedad es consciente de las amenazas cibernéticas, pero no toma medidas proactivas para mejorar su seguridad cibernética. Conciencia de seguridad cibernética Sensibilización (nivel 1): La necesidad de tomar conciencia de las amenazas y vulnerabilidades de seguridad cibernética en el sector público y privado no es reconocido o se encuentra en una fase inicial de discusión. Confianza en el uso de Internet En los servicios en línea (nivel 2): La confianza en los servicios en línea se identifica como una preocupación; los operadores de infraestructuras toman en consideración medidas para fomentar la confianza en los servicios en línea, sin embargo, sin embargo, no se establecen medidas. En el gobierno electrónico (nivel 1): El gobierno no ofrece servicios electrónicos o los que ofrece son mínimos; si se ofrecen servicios electrónicos mínimos, el gobierno no ha promovido públicamente el entorno seguro necesario. En el comercio electrónico (nivel 2): Los servicios de comercio electrónico son mínimos y no totalmente organizados; las partes interesadas y los usuarios reconocen la necesidad de seguridad en servicios electrónicos y ha comenzado el análisis de inversión entre los proveedores de servicios. Privacidad en línea Normas de privacidad (nivel 2): Se consideran las leyes y políticas que promueven el acceso a datos personales recogidos y almacenados por todo el gobierno y otras instituciones públicas. Privacidad del empleado (nivel 1): No hay debate, o es mínimo, entre los líderes del sector privado con respecto a las cuestiones de privacidad en el lugar de trabajo.

17


2.3. Dimensión 3: Educación

Disponibilidad nacional de la educación y formación cibernéticas Educación (nivel 2): Existe mercado para la educación y la formación en seguridad de la información con evidencia de asimilación; las iniciativas de los profesionales están dirigidas a incrementar el atractivo de las carreras en seguridad cibernética y la pertinencia de roles de liderazgo más amplias. Formación (nivel 2): Existe capacitación en seguridad de la información, pero es ad-hoc y sin coordinación; cursos de formación, seminarios y recursos en línea pueden estar disponibles para los datos demográficos específicos, pero no existen medidas de efectividad. Desarrollo nacional de la educación de seguridad cibernética Desarrollo nacional de la educación (nivel 1): No existen, o son pocos, instructores profesionales en seguridad cibernética; no existe un programa para capacitar a instructores en seguridad cibernética; o no existe o apenas está siendo discutida la justificación del presupuesto para la educación y la investigación. Formación e iniciativas educativas públicas y privadas Capacitación de los empleados (nivel 2): No hay transferencia de conocimientos por parte de los empleados de seguridad cibernética capacitados; debido a una formación limitada, solo hay uso informal de herramientas, modelos o plantillas existentes para la planeación de la seguridad cibernética de la organización, sin la integración automatizada de datos.

18


Gobernanza corporativa, conocimiento y normas En las empresas estatales y privadas (nivel 2): Las juntas directivas tienen algún conocimiento de cuestiones de seguridad cibernética, pero no de la forma en que estas podrían afectar a la organización, o cuáles serían las amenazas directas que pudieran enfrentar.

2.4. Dimensión 4: Marcos Legales

Marcos jurídicos de seguridad cibernética Para la seguridad de las TIC (nivel 1): La legislación relativa a la seguridad de las TIC aún no existe o está en el proceso de desarrollo; si está en proceso, se han hecho los esfuerzos para llamar la atención sobre la necesidad de crear un marco jurídico sobre la seguridad cibernética y pueden incluir la necesidad de un análisis de deficiencias. Privacidad, protección de datos y otros derechos humanos (nivel 2): Existe legislación parcial respecto a la privacidad, protección de datos y libertad de expresión. Derecho sustantivo de delincuencia cibernética (nivel 2): Existe una legislación parcial en el derecho penal sustantivo que aplica los marcos legales y regulatorios a algunos aspectos de los delitos cibernéticos; está siendo discutido el derecho penal sustantivo para la delincuencia cibernética entre los legisladores, pero ha comenzado el desarrollo de la ley. Derecho procesal de delincuencia cibernética (nivel 1): No existe el derecho penal procesal adecuado para la delincuencia cibernética y el uso de la prueba electrónica en otros crímenes, o existe el

19


derecho penal procesal general y se aplica ad-hoc a la delincuencia cibernética y al uso de la prueba electrónica en otros crímenes. Investigación jurídica Cumplimiento de la ley (nivel 2): Existe alguna capacidad de investigación para investigar los delitos relacionados con las pruebas electrónicas y obtener pruebas electrónicas, de conformidad con el derecho interno, sin embargo, esta es mínima. Fiscalía (nivel 1): Los fiscales no están entrenados adecuadamente y no tienen la capacidad para enjuiciar los delitos relacionados con la informática; no existen recursos para comprender o revisar las pruebas electrónicas. Tribunales (nivel 2): Un número limitado de jueces tiene capacidad para presidir un caso sobre el delito cibernético, pero esta capacidad es en gran medida ad-hoc y no sistemática; no existen recursos judiciales o de formación en delincuencia cibernética. Divulgación responsable de la información Divulgación responsable de la información (nivel 1): No se reconoce la necesidad de una política de divulgación responsable en las organizaciones del sector público y privado.

20


2.5. Dimensión 5: Tecnologías

21


22


Adhesión a las normas Aplicación de las normas y prácticas mínimas aceptables (nivel 1): O bien no se han identificado normas o prácticas para la seguridad de la información o la identificación es ad-hoc y carece de un esfuerzo concertado para aplicar esas normas. Adquisiciones (nivel 1): No hay evidencia de uso de las normas relacionadas con la seguridad cibernética en la orientación de los procesos de adquisición, o está disponible algún reconocimiento de la orientación, pero no existe ningún esfuerzo para utilizarlo. Desarrollo de software (nivel 1): No hay identificación de las normas de desarrollo de software en el sector público y privado, o hay alguna identificación, pero solo hay una evidencia limitada de asimilación. Organizaciones de coordinación de seguridad cibernética Centro de mando y control (nivel 1): No existe un centro de mando y control de la seguridad cibernética o se está considerando a nivel nacional. Capacidad de respuesta a incidentes (nivel 1): La capacidad de respuesta de incidentes no es coordinada y se lleva a cabo de manera ad-hoc. Respuesta a incidentes Identificación y designación (nivel 2): Se han clasificado ciertos eventos cibernéticos o amenazas y se han registrado como incidentes o desafíos a nivel nacional. Organización (nivel 1): La respuesta a incidentes nacional es limitada o inexistente; la respuesta, si la hay, es reactiva y ad-hoc. Coordinación (nivel 1): La responsabilidad de la respuesta a incidentes puede haber sido asignada, o no, de manera informal a un miembro del personal dentro de cada agencia y ministerio del gobierno. Resiliencia de la infraestructura nacional Infraestructura tecnológica (nivel 2): Se realiza el despliegue no estratégico de la tecnología y los procesos en los sectores público y privado; están disponibles en línea servicios públicos en línea, información y contenidos digitales, pero son limitadas la implementación y el proceso. Resiliencia nacional (nivel 1): El gobierno tiene un control mínimo, o ninguno, de infraestructura tecnológica; las redes y sistemas son tercerizados, con potencial de adopción por parte de mercados de terceros poco fiables; puede haber una dependencia de otros países en tecnología de la seguridad cibernética.

23


Protección de infraestructura crítica nacional (ICN) Identificación (nivel 1): Se entiende poco o nada de los activos y las vulnerabilidades del CNI, pero no han sido identificadas las vulnerabilidades o categorización formal. Organización (nivel 1): Hay poca o ninguna interacción entre los ministerios gubernamentales y los propietarios de los activos críticos; no existe un mecanismo de colaboración formal. Planeación de respuesta (nivel 1): La planeación de la respuesta a un ataque a los activos críticos puede haber sido discutida ampliamente, pero no existe un plan formal. Coordinación (nivel 1): Los procedimientos informales de diálogo entre el sector público y privado pueden estar desarrollados, pero hacen falta parámetros de intercambio de información y generalmente o son de forma individual o no estructurada, o son inexistentes. Gestión de Riesgo (nivel 1): La sensibilización de amenazas por los operadores de CNI existe mínimamente, o no existe en absoluto; las habilidades y comprensión básicas de gestión de riesgos pueden ser incorporadas en las prácticas empresariales, pero la seguridad cibernética está supeditada a las TI y el riesgo de protección de datos y no se reconoce más ampliamente. Gestión de crisis Planeación (nivel 1): No hay entendimiento, o es mínimo, de que la gestión de crisis es necesaria para la seguridad nacional; se ha asignado en principio la autoridad de planeación y diseño del ejercicio, pero no se ha esbozado la planeación. Evaluación (nivel 1): No se ha realizado ninguna evaluación de los protocolos y procedimientos de gestión de crisis; los resultados de los ejercicios no informan a la gestión global de crisis. Redundancia digital Planeación (nivel 1): Las medidas de redundancia digitales pueden ser, o no, consideradas. Organización (nivel 1): Los activos de respuesta de emergencia actuales no han sido identificados; si se identifican, carecen de cualquier nivel de integración. Mercado de la ciberseguridad Tecnologías de seguridad cibernética (nivel 1): Poca o ninguna tecnología se produce en el país; pueden estar restringidas las ofertas internacionales o son vendidas con un sobreprecio. Seguros de delincuencia cibernética (nivel 1): La necesidad de un mercado en seguro de la delincuencia informática no ha sido identificada; a través de la evaluación de riesgos financieros para el sector público y privado.

***

taller para el desarrollo de una estrategia nacional de...

Documents