Ciberseguridad y preparación en materia de ciberseguridad
¿Qué es la ciberseguridad? La ciberseguridad engloba un conjunto de sistemas, procesos y acciones que protegen a las empresas de los ataques digitales.
¿Qué es la ciberseguridad?
La ciberseguridad consiste en un conjunto de sistemas, procesos y medidas que protegen a las empresas de ataques cibernéticos. También se conoce como seguridad de la tecnología de la información o seguridad de la información electrónica. La utilización de tecnologías y plataformas digitales para realizar actividades comerciales expone a las empresas a actos de ciberdelincuencia, como la usurpación de identidad, el software maligno o el robo de datos o información relativa a la identidad. Para contrarrestar estas amenazas cibernéticas, los encargados de la formulación de políticas pueden desempeñar una función en la optimización de las normas de ciberseguridad y el desarrollo de marcos de reglamentación que mejoran la capacidad de preparación en materia de ciberseguridad de las empresas. La Unión Internacional de Telecomunicaciones (UIT) define la ciberseguridad y las esferas de acción para los encargados de la formulación de políticas en su Recomendación UIT-T X.1205.
¿Por qué es importante la ciberseguridad para las pequeñas empresas?
Un mundo cada vez más interconectado a través de redes digitales ha permitido a las empresas recabar y compartir más información para llegar a nuevos clientes e innovar. Sin embargo, también ha dado lugar a un aumento de las actividades delictivas que se benefician del robo de datos de los clientes y de espiar las prácticas comerciales. En un informe de 2019 se constató que alrededor de 7.900 millones de registros a nivel mundial estaban expuestos a violaciones de datos, lo que representaba un aumento del 112% con respecto a 2018. Las pequeñas empresas sufren a menudo incidentes de seguridad, y representaron más del 40% de los ataques perpetrados en 2019. También hay estudios que muestran que alrededor de dos tercios de las pequeñas empresas que han sido pirateadas cierran dentro de los seis meses siguientes al ataque. Debido a estas vulnerabilidades, las mipymes suelen ser el eslabón débil de las cadenas de valor mundiales. Dado que las pequeñas empresas son tan vulnerables a los ciberataques y pueden conectarse a grandes empresas ancla en las cadenas de valor mundiales, la preparación en materia de ciberseguridad puede ser un criterio para la selección de los proveedores. Teniendo esto presente, los encargados de la formulación de políticas tienen que elaborar estrategias y planes de acción holísticos para mitigar esas amenazas. Por ejemplo, en el informe Cybersecurity Policy Making at a Turning Point de la Organización de Cooperación y Desarrollo Económicos (OCDE) se proponen elementos clave que las estrategias de ciberseguridad pueden incorporar. En un artículo de McKinsey también se han formulado preguntas que pueden ayudar a los encargados de la formulación de políticas a elaborar planes de acción en materia de ciberseguridad.
¿Cuáles son algunos de los riesgos en materia de ciberseguridad a los que se enfrentan las pequeñas empresas?
La creciente utilización de plataformas digitales crea vulnerabilidades de seguridad que los delincuentes cibernéticos a menudo tratan de explotar para obtener beneficios ilícitos. Durante la pandemia de COVID-19, por ejemplo, los delincuentes cibernéticos atacaron en mayor medida a las pequeñas empresas debido a sus menores capacidades y recursos para adoptar sistemas de protección cibernética. En este contexto, la Cámara de Comercio Internacional (CCI) ha determinado cuatro amenazas clave para la ciberseguridad a las que se enfrentan las pequeñas empresas: 1) los ataques de usurpación de identidad y los fraudes que utilizan identidades usurpadas de ejecutivos; 2) la distribución de software maligno utilizando la COVID-19 como cebo; 3) las amenazas relacionadas con el teletrabajo y las cadenas de suministro; y 4) una mayor vulnerabilidad debida a la falta de sensibilización.
¿Por qué la preparación en materia de ciberseguridad es una cuestión comercial?
La preparación en materia de ciberseguridad y la ciberseguridad son importantes para el comercio internacional, especialmente el comercio digital. El comercio depende de la confianza, y las amenazas a la ciberseguridad socavan la confianza en el comercio y las transacciones digitales y hacen que los vendedores y los consumidores lo piensen dos veces antes de utilizar estas opciones. Las empresas reconocen este hecho, pero tienen que cumplir las reglamentaciones nacionales. Si esos reglamentos no siguen un enfoque normalizado y basado en el riesgo, los posibles comerciantes quedan en una situación de desventaja. Además, la diversidad de prescripciones añade complejidad y puede aumentar considerablemente los costos para las mipymes, reduciendo al mismo tiempo la seguridad.
¿Qué pueden hacer los encargados de la formulación de políticas para apoyar la preparación en materia de ciberseguridad?
Los encargados de la formulación de políticas deberían tratar de armonizar los enfoques de ciberseguridad, entre otras cosas mediante la utilización coherente de las normas, a fin de reducir la complejidad y apoyar a las mipymes. También pueden desempeñar un papel en la sensibilización sobre la importancia de que las mipymes estén preparadas en materia de ciberseguridad, mediante programas de educación, sistemas de certificación y conjuntos de herramientas para mitigar los posibles riesgos cibernéticos. Por ejemplo, el Centro Nacional para la Ciberseguridad del Reino Unido (NCSC) ofrece un programa de formación para certificar a las empresas y los profesionales respecto de competencias en materia de ciberseguridad, para que los participantes se sensibilicen, adquieran conocimientos prácticos o mejoren sus conocimientos especializados sobre la preparación en materia de ciberseguridad. Para obtener más información, consulte el sitio web del NCSC.
¿Dónde pueden los encargados de la formulación de políticas consultar directrices, marcos y actividades de formación en materia de políticas?
- Guía para la elaboración de una estrategia nacional de ciberseguridad de la UIT: Este recurso proporciona orientaciones útiles para que los encargados de la formulación de políticas puedan adquirir conocimientos globales sobre los objetivos y los contenidos relacionados con la elaboración de una estrategia nacional de ciberseguridad. Consulte el sitio web de la UIT.
- Índice mundial de ciberseguridad de la UIT: Es un instrumento de medición que sigue el avance de los países respecto de los compromisos en materia de ciberseguridad en función del desarrollo de la capacidad, la cooperación y las medidas de reglamentación. Consulte el sitio web de la UIT.
- Formación en materia de ciberseguridad de la UIT: Esta formación tiene por objeto ayudar a los encargados de la formulación de políticas a adquirir conocimientos sobre los ciclos de vida, los principios y las buenas prácticas de las estrategias de ciberseguridad a nivel nacional. Consulte la Academia de la UIT.
¿Dónde pueden los encargados de la formulación de políticas consultar buenas prácticas y ejemplos en la esfera nacional?
- Plan de Acción Nacional de Ciberseguridad del Canadá (2019-2024): Este Plan se elaboró después de un amplio examen de la ciberseguridad realizado en 2016, que dio como resultado la creación de un programa de evaluación y certificación de la ciberseguridad para las pymes. Consulte el sitio web del Gobierno del Canadá.
- Repositorio de Estrategias Nacionales de Ciberseguridad de la UIT: Este recurso recopila las políticas, los planes de acción y otros recursos pertinentes a nivel nacional facilitados por encargados de la formulación de políticas de todo el mundo. Consulte el sitio web de la UIT.
- Ciberdefensa Activa del Reino Unido: Este recurso se puso en marcha en 2017 para contrarrestar los ciberataques, y llevó a la creación del Centro Nacional para la Ciberseguridad y de diferentes programas. En un estudio reciente se constató que en los 18 meses siguientes a la adopción de la estrategia hubo una reducción del 20% en los ataques de usurpación de identidad en el Reino Unido. Consulte el sitio web del Gobierno del Reino Unido.
- Centro Nacional para la Ciberseguridad del Reino Unido (NCSC): Ofrece formación certificada en materia de ciberseguridad para empresas y profesionales, junto con asesoramiento y orientación sobre el tema. Consulte el sitio web del NCSC.
- Modelo de Certificación de la Madurez de la Ciberseguridad de los Estados Unidos (CMMC): En virtud de este marco se fomenta la asequibilidad de la acreditación para las pequeñas empresas a fin de reducir sus riesgos de sufrir determinadas amenazas cibernéticas. Consulte el sitio web del CMMC de los Estados Unidos.