Claves para fortalecer políticas públicas de ciberseguridad en la región
Fluid Attacks, compañía especializada en el desarrollo de soluciones de ciberseguridad, explica que ante la poca efectividad de las estrategias que las organizaciones implementan por cuenta propia contra los riesgos en ciberseguridad, los gobiernos de países desarrollados como Estados Unidos se han visto en la necesidad de intervenir, generando nuevas regulaciones.
Existe la misma dificultad en países en desarrollo, aunque con un agravante: la inversión en estrategias puede ser más baja. Por ello, algunas entidades comienzan a sugerir que sus gobiernos adopten una postura similar. En este contexto, Fluid Attacks describe algunas medidas que Latinoamérica debería tomar para fortalecer sus políticas públicas enfocadas a la ciberseguridad.
“Latinoamérica se ha convertido en un objetivo cada vez más atractivo para los ciberdelincuentes debido a la ausencia de regulaciones sólidas en ciberseguridad”, dijo Felipe Gómez, director regional de Fluid Attacks.
De acuerdo con el informe LATAM CISO 2023, en la región ocurren 1600 ciberataques por segundo y reveló que el 11,3% de las organizaciones encuestadas no evalúan sus riesgos en ciberseguridad y que alrededor de un tercio tan solo lo hacen una vez al año.
En este sentido, Fluid Attacks comparte cinco puntos que se deben considerar:
- Ir más allá de la protección de infraestructura crítica: es cierto que las regulaciones deberían dirigirse primeramente a las organizaciones dentro de la categoría de “infraestructura crítica”, pero además deberían extenderse fuera de esta categoría, pues cada vez son más las compañías que ofrecen sus productos o servicios a través de tecnologías de la información y manejan datos sensibles de usuarios que también deben protegerse.
- Establecer requisitos mínimos de ciberseguridad: deberían plantearse directrices enfocadas a la implementación de medidas preventivas, lo que implicaría la exigencia de buenas prácticas como requisitos mínimos en el desarrollo y despliegue de tecnología. Entre estas prácticas deberían figurar las siguientes: emplear pruebas continuas para la detección de vulnerabilidades, remediar estas últimas prontamente y notificar de ellas a los usuarios, a quienes también se les debería informar sobre el buen uso de la tecnología.
- Requerir la divulgación de incidentes y de la estrategia de ciberseguridad: debería pedirse a las organizaciones que hagan públicos los incidentes de ciberseguridad que lleguen a sufrir. Además, estas deberían divulgar sus estrategias de gestión del riesgo y gobernanza, y declarar, por ejemplo, qué pericia tienen en ciberseguridad los miembros de sus juntas directivas.
- Crear entidades para contrarrestar el cibercrimen: el Estado debería considerar la creación de entidades dedicadas a investigar, perseguir, interrumpir, sancionar y desmantelar grupos de actores maliciosos. Esto podría llevar a entablar alianzas entre organizaciones públicas nacionales e internacionales.
- Disuadir del desarrollo de tecnología insegura: es necesario establecer leyes que sancionen a aquellas compañías de tecnología (sin importar su alto poder o reputación dentro del mercado) que entreguen productos básicos vulnerables, afectando la seguridad de organizaciones y usuarios que hacen uso de ellos.
“No podemos esperar a ser víctimas de ciberataques para reconocer la importancia de la ciberseguridad. Confiar únicamente en la autorregulación de organizaciones públicas y privadas no es suficiente. Es el momento de que los gobiernos dirijan políticas públicas sólidas que fomenten la prevención y mitigación de riesgos. En Fluid Attacks estamos comprometidos con brindar apoyo y experiencia, colaborando en la construcción integral e implementación de prácticas preventivas como parte de la estrategia de seguridad en Latinoamérica”, concluyó Felipe Gómez.