Coloquio Técnico y Taller de Seguridad Cibernética de la OEA-FIRST Reporte 2015

Tabla de Contenidos

Agradecimientos 3 Introducción 4 Establecer las bases - Una visión general 6 Línea de trabajo 1 – Respuesta a Incidentes 6 Línea de trabajo 2 – Fuerzas del orden 6 Línea de trabajo 3 – Protección de la Infraestructura Critica 6 Ideas clave que se llevan 7 Estrategias de Seguridad Cibernética, Asociaciones y Coordinación Internacional 7 Grupos de Trabajo

10



Respuesta a Incidentes Protección de las infraestructuras críticas Fuerzas del orden

10 12 14

Un enfoque en la Conciencia de Seguridad Cibernética

16

Agradecimientos

La Secretaría Ejecutiva del Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA) desea hacerles extensivo el más sincero agradecimiento a los gobiernos de Canadá, Estonia, el Reino Unido y Estados Unidos por su apoyo financiero a su Programa de Seguridad Cibernética. Además, el CICTE les agradece a todos los expertos e instituciones que participaron en el Coloquio Técnico y Taller de Seguridad Cibernética de la OEA-FIRST por su valiosa contribución al éxito del evento.

Introducción

Así como el Internet ha facilitado que haya una conectividad global como nunca antes, también han proliferado y se han intensificado las amenazas de seguridad cibernética. Desde lugares remotos, delincuentes cibernéticos y otros instigadores de ataques cibernéticos pueden diseñar malware que infecta computadores y dispositivos móviles, lanzar ataques a SCADA y a otra sistemas industriales de control y robarles datos financieros y personales a las empresas y a particulares. Aunque ningún país es inmune a las amenazas cibernéticas, muchos países, especialmente aquellos en vías de desarrollo, luchan por la falta de conciencia sobre cuestiones cibernéticas. A pesar del alto nivel de conectividad en muchos países, frecuentemente es difícil demostrar eficazmente los riesgos cibernéticos a toda la sociedad, dada la naturaleza intangible del Internet. Entre los Estados Miembros de la OEA, a menudo varias agencias comparten cierta responsabilidad por la seguridad cibernética. Sin embargo, en muchos casos estas agencias no funcionan de manera coordinada entre sí, lo que resulta en la pérdida de oportunidades que se derivarían del intercambio de información y lecciones aprendidas. Un marco nacional de seguridad cibernética es una excelente herramienta para definir funciones y responsabilidades, diseñar las normas jurídicas relacionadas con la delincuencia cibernética y fortalecer las capacidades de respuesta a incidentes. Sin embargo, las prioridades y las necesidades de seguridad cibernética de cada país son particulares

y no se pueden abordar de manera única en este nivel estratégico. En este sentido, el Programa de Seguridad Cibernética de la OEA convoca a las partes interesadas de todas las áreas del gobierno, el sector privado, la academia y la sociedad civil para desarrollar una visión estratégica nacional, holística e integral, y establecer metas para abordar las necesidades cibernéticas de su país, a la vez que formula directivas accionables. Hasta la fecha, seis Estados miembros de la OEA (Canadá, Colombia, Jamaica, Panamá, Trinidad y Tobago y Estados Unidos) han publicado estrategias nacionales de seguridad cibernética y varios otros (Las Bahamas, Colombia (segunda versión), Costa Rica, Dominica, Perú, Paraguay y Surinam) están en proceso de desarrollar o revisar una. Con la ayuda financiera de los Estados Miembros y países Observadores Permanentes, el Programa de Seguridad Cibernética de la OEA ha ayudado a establecer, entrenar y equipar a los Equipos Nacionales de Respuesta ante Incidentes de Seguridad Cibernética (CSIRT) en muchos países de las Américas. El Programa de Seguridad Cibernética de la Comisión Interamericana de la OEA contra el Terrorismo (CICTE) sirve como un repositorio de información sobre cuestiones cibernéticas en las Américas y organiza foros para las partes interesadas en todo el hemisferio para discutir los nuevos retos y áreas de cooperación en materia de seguridad cibernética. Como tal, del 29 de septiembre al 2 de octubre de 2015, la OEA organizó, en colaboración con el Foro mundial de Equipos de Respuesta

Coloquio Técnico y Taller de Seguridad Cibernética // Introducción

5

Margrete Raaum, Chair of FIRST, and OAS Chief of Staff Jacinth Henry-Martin speak during the opening ceremony.

a Incidentes de Seguridad Informática (FIRST), el “Coloquio Técnico y Taller de Seguridad Cibernética de la OEA-FIRST”. Este evento facilitó debates sobre Respuesta a Incidentes, Fuerzas del Orden y la Protección de Infraestructuras Críticas (PIC). Se prestó especial atención al papel de la facilitación y el liderazgo que deberá ser adoptado por los gobiernos en este contexto, teniendo en cuenta las mejores prácticas, infraestructura adecuada, y políticas, legislación y reglamentos pertinentes. El último día

del evento (viernes, 02 de octubre), el Programa de Seguridad Cibernética de la OEA organizó una sesión plenaria conjuntamente con SEGURINFO y la Iniciativa STOP.THINK.CONNECT para lanzar el Mes de Concientización sobre Seguridad Cibernética. El evento permitió un debate sobre el papel de las industrias, organizaciones sin ánimo de lucro y la academia en la sensibilización sobre las cuestiones de seguridad cibernética entre la sociedad y el fomento de una cultura de seguridad cibernética.

Establecer las bases Una visión general

El evento contó con la participación de más de 160 personas entre políticos y legisladores, profesionales de la seguridad cibernética, agentes del orden, operadores de infraestructuras críticas, actores de la sociedad civil, académicos y representantes de la industria de telecomunicaciones de todo el hemisferio que participaron en líneas de trabajo paralelas sobre temas clave de seguridad cibernética. Los oradores, panelistas e instructores, tanto de las sesiones plenarias como de las líneas de trabajo de los grupos de trabajo contaron con la participación de funcionarios nacionales de ministerios de la tecnología de la información y de las comunicaciones (TIC), gerentes de los CSIRT, jefes de la industria de seguridad cibernética y tecnología, agentes del orden y representantes de la academia, las ONG y organizaciones internacionales.

Línea de trabajo 1 Respuesta a Incidentes Esta línea de trabajo brindó la oportunidad de aprender sobre las mejores prácticas de desarrollo y establecimiento de los CSIRT, (también conocido comúnmente como los CERT o CIRT) y proporcionó una mejor comprensión de su funcionamiento y gestión. Además, se hizo mención especial de los mecanismos para mejorar la comunicación y coordinación entre distintos CSIRT al nivel nacional como internacional, incluyendo herramientas para compartir información.

Línea de trabajo 2 Fuerzas del orden Diseñado para los agentes encargados de hacer cumplir la ley responsables de la elaboración e implementación de políticas de seguridad cibernética, esta línea de trabajo se centró en los estudios de casos y discusiones sobre investigación de los delitos informáticos, investigaciones basadas en el estado de derecho, marcos jurídicos, adquisición de imágenes forenses, así como, análisis forense de redes, fraude y delitos financieros. La sesión también se centró en el aumento del nivel de sensibilización sobre la importancia de las consideraciones de seguridad cibernética para los agentes de las fuerzas del orden.

Línea de trabajo 3 Protección de la Infraestructura Critica Esta línea de trabajo proporcionó orientación sobre aplicaciones de la protección de infraestructuras críticas (CI) y los Sistemas de Control Industrial (ICS) que incluyen herramientas de monitoreo y técnicas para la detección de intrusiones de red ICS y la identificación de cómo se explotan vulnerabilidades. Además, la sesión alentó a los participantes a compartir sus puntos de vista e ideas sobre estrategias de gestión que se pueden emplear en la protección de CI y de ICS.

Coloquio Técnico y Taller de Seguridad Cibernética // Establecer las bases - Una visión general

7

Ideas clave que se llevan

Estrategias de Seguridad Cibernética, Asociaciones y Coordinación Internacional El primer día del Coloquio Técnico de Seguridad Cibernética se dedicó a una sesión plenaria, donde los expertos internacionales y funcionarios gubernamentales hicieron presentaciones de alto nivel sobre una variedad de temas relacionados con las estrategias de seguridad cibernética, las alianzas y la cooperación internacional. El Ministro de Tecnologías de la Información y las Comunicaciones de Colombia, David Luna, lo instaló con una presentación sobre el proceso de Colombia del establecimiento de una estrategia de seguridad cibernética nacional. Después, la directora del Canadian Cyber Incident Response, de Seguridad Pública de Canadá, Gwen Beauchemin, describió la Estrategia de Seguridad Cibernética del Canadá y las gestiones para obtener el apoyo de múltiples partes interesadas. Matthew Noyes, Asesor de Políticas Cibernéticas del Servicio Secreto de los Estados Unidos, presentó un panorama general de las “amenazas cibernéticas modernas transnacionales”, mientras que Andrés Velázquez, presidente y fundador de MaTTica, la empresa informática forense basada en México, habló sobre la necesidad de los países de construir su infraestructura forense digital y utilizar las últimas herramientas y metodologías para el análisis de la prueba electrónica en su presentación sobre “Cómo perfilar a un delincuente cibernético”.

David Luna, Ministro de TIC de Colombia, es entrevistado después de su presentación sobre la Estrategia Nacional de Ciberseguridad de Colombia.

La segunda mitad del día incluyó mesas redondas sobre el “Mejoramiento de la Coordinación Internacional”, con la presencia del Sub-Secretario de la CIP y la seguridad cibernética de Argentina, Emiliano Ogando, la Presidenta de FIRST, Margrete Raaum y el Representante para América del Sur de la Unión Internacional de Telecomunicaciones (UIT), Sergio Scarabino; y “CSIRT, Comandos Cibernéticos y Unidades de Fuerzas del Orden”, con la participación del director del equipo de respuesta

8

Establecer las bases- Una visión general // Coloquio Técnico y Taller de Seguridad Cibernética

Gwen Beauchemin, Directora del Canadian Cyber Incident Response, Seguridad Pública de Canadá, analiza la Estrategia Nacional de Ciberseguridad de Canadá y las asociaciones público-privadas.

Asesor de Políticas Cibernéticas del Servicio Secreto de los Estados Unidos, presenta un panorama general de las “amenazas cibernéticas modernas transnacionales”.

nacional de incidente del Uruguay (CERTuy), Santiago Paz, Michael D. Donahue del Centro Conjunto de Cibernética del Comando Sur de Estados Unidos, Adrian Acosta de INTERPOL y Monika Josi de la Red de Asesores de Seguridad Cibernética.

cibernéticos en los ciudadanos del común y las necesidades cibernéticas de la sociedad en general. El Internet es crucial para el desarrollo económico y social de un país a nivel local así como a nivel nacional. Las estrategias deben dar especial atención a los millones de usuarios finales cotidianos que dependen del Internet para su sustento. Una parte del desarrollo de una estrategia nacional integral es el abordaje del tema desde múltiples perspectivas con una visión nacional común. El compromiso del

Aunque la sesión plenaria abarcó muchos temas, surgieron muchos temas clave. En primer lugar, una estrategia eficaz de seguridad cibernética deberá centrarse en el impacto de los incidentes

Coloquio Técnico y Taller de Seguridad Cibernética // Establecer las bases- Una visión general

9

sector público y privado es crucial para lograr esto. Los grupos de trabajo que diseñan una estrategia deben recibir información constante de los actores que representan a diversos sectores, que pueden definir de manera más articulada sus necesidades y desafíos de seguridad cibernética. La elaboración de una estrategia de seguridad cibernética nacional tiene que ser un proceso incluyente, con la participación conjunta de las partes interesadas del sector privado, la sociedad civil, entidades gubernamentales y usuarios finales para definir una configuración óptima del régimen de la seguridad cibernética del país. Por último, la transparencia debe ser el sello distintivo de cualquier política o estrategia cibernética. Para que las empresas y los ciudadanos sean conscientes y se apersonen de su parte en el complejo ecosistema cibernético, deben sentir que contribuyen en los avances. Esto también generará confianza entre los grupos constituyentes. Aunque inevitablemente habrá agencias líderes en temas cibernéticos, su importancia como cuestión política, de seguridad, económica y social debe posicionarla como parte de la agenda nacional más amplia.

Andrés Velásquez, Presidente y Fundador de MaTTica en su presentación “Cómo perfilar a un delincuente cibernético”.

Por último, la coordinación internacional entre los gobiernos y los actores no gubernamentales ayudará a los países a fortalecer sus capacidades de seguridad cibernética, establecer normas legales y construir políticas sólidas. Las diferencias en conciencia técnica, reglas de compromiso a veces poco claras y diferencias de lenguaje pueden ser algunos de los obstáculos para la coordinación internacional. Plataformas multilaterales como FIRSTA, la UIT, la ICANN y la Red Hemisférica de la OEA de CSIRT están en condiciones de ayudar a las

partes interesadas a superar estos obstáculos. Como los ataques cibernéticos y la delincuencia cibernética no respetan la soberanía nacional, la coordinación internacional es vital para hacer que el ciberespacio sea más seguro. Como comentó Margrete Raaum, Presidenta de FIRST: “Vemos las mismas amenazas, tenemos las mismas vulnerabilidades y vemos solo un pequeño porcentaje de todos los ataques cibernéticos. La coordinación nos ayudará a ver un panorama más amplio del paisaje cibernético”.



Grupos de Trabajo

En el segundo y tercer día, los asistentes participaron en tres líneas de trabajo paralelas centradas en temas cibernéticos específicos:

Respuesta a Incidentes

Los Equipos de Respuesta ante Incidentes de Seguridad Cibernética son actores clave en la respuesta nacional a los ataques cibernéticos e incidentes cibernéticos. Son responsables de una serie de tareas, incluyendo el análisis de amenazas, la respuesta y mitigación de ataques, la ayuda a restaurar los sistemas caídos, la emisión de alertas y la investigación de las tendencias de los ataques cibernéticos. Además, los CSIRT suelen compartir información y mejores prácticas entre ellos a través de redes, tales como el Foro de Equipos de Respuesta a Incidentes y la Red Hemisférica de la OEA de CSIRT. La línea de trabajo de Respuesta a Incidentes abordó temas como las amenazas persistentes avanzadas (APT), el intercambio de información y el Protocolo de Semáforo (TLP), metodologías para la evaluación de la seguridad en el equipo local del cliente, la relación entre los CSIRT y las fuerzas del orden, Robo de Información Personalmente Identificable a granel, ingeniería social, participación del sector privado y estudios de caso de las experiencias de cada país relacionados con la respuesta a incidentes. Las

sesiones contaron con la participación de Klaid Mägi, Jefe del CERT-EE, Autoridad del Sistema de Información de Estonia (RIA); Jeimy J. Cano M., Ph.D., Profesor e Investigador de la Universidad de los Andes; Patrick Cain del Grupo de Trabajo AntiPhishing (APWG); Oliver González, Director General de CERTMX, Policía Federal de México; el Director del CERT Polska, Piotr Kijewski; Rajendra Sigh del Banco Mundial; Fernando Nikitin del Banco Interamericano de Desarrollo (BID); Sean Fouche, Gerente de Tecnología de la Información para la Agencia de Implementación de la Comunidad del Caribe sobre el Crimen y la Seguridad (CARICOMIMPACS); David Van Duren, Jefe de la oficina del Foro Global sobre Experiencia cibernética; y el Gerente del Programa de Seguridad Cibernética de la OEA, Belisario Contreras. Los debates evidenciaron que los ataques cibernéticos continuarán aumentando; por lo tanto, es importante que el personal de respuesta a incidentes pueda realizar el triage y priorice las mayores amenazas. Esto requiere un cierto nivel de capacidad analítica. Una forma en que un CSIRT puede mejorar su capacidad de análisis es disponer a mitad del equipo en respuesta a incidentes 24/7 y a la otra mitad en estudio e investigación. Ciertos ataques cibernéticos, como las campañas de suplantación de identidad (phishing), son cada vez más difíciles de distinguir de los sitios web normales. Una vez que se descarga el malware a un computador, a menudo puede darles a los usuarios una falsa sensación de seguridad,

Coloquio Técnico y Taller de Seguridad Cibernética // Grupos de Trabajo

11

Participantes de la línea de trabajo “Respuesta a Incidentes” asisten a un taller sobre las amenazas persistentes avanzadas (APT) expuesto por Jeimy Cano, PhD de la Universidad de los Andes.

ya que funciona en segundo plano. Un atacante puede crear un mundo virtual en torno a su víctima y manipular el comportamiento del usuario en esta falsa realidad. Por ejemplo, los atacantes pueden interceptar y manipular la información procedente del banco de una persona, haciendo que la víctima ingrese sus credenciales, en la creencia de que la solicitud proviene de una fuente legítima. Dada la creciente sofisticación de este tipo de ataques, los CSIRT pueden asumir la responsabilidad de crear

conciencia social sobre la manera de detectarlos. Por último, los CSIRT deben comprometerse con el sector privado y la sociedad civil para construir la cooperación de cara a los ataques cibernéticos. Al incentivar la cooperación, se facilita la creación de asociaciones público-privadas. Ofrecerles capacitación y educación a las empresas sobre las amenazas cibernéticas es un ejemplo de cómo se puede hacer esto. El abordaje de los incidentes

12

Grupos de Trabajo // Coloquio Técnico y Taller de Seguridad Cibernética

cibernéticos también es una responsabilidad compartida. Todos los sectores deben trabajar conjuntamente para mitigar los daños causados por los ataques cibernéticos y ayudarles a los ciudadanos a defenderse mejor de esas amenazas.

Protección de las Infraestructuras Críticas

El primer paso para la protección de las infraestructuras críticas (PIC) consiste en la definición de lo que constituye una “infraestructura crítica” de un país. El Departamento de Seguridad Nacional de Estados Unidos (DHS) define 16 sectores como activos vitales para una economía y una sociedad funcional: Químico, Instalaciones Comerciales, Comunicaciones, Manufactura Crítica, Represas, Base Industrial de Defensa, Servicios de Emergencia, Energía, Servicios Financieros, Agricultura y Alimentación, Instalaciones del Gobierno, Servicios de Salud y Salud Pública, Informática, Reactores Nucleares, Materiales y Residuos, Sistemas de Transporte, y Sistemas de Agua y Aguas Residuales. Aunque solo uno de estos sectores está relacionado de manera explícita con la seguridad cibernética, todos los demás sectores se han vuelto cada vez más automatizados y son operados por computador; por lo tanto, todas las infraestructuras críticas están en riesgo de ataques cibernéticos y requieren medidas eficaces de seguridad cibernética. Dado que las infraestructuras críticas a menudo son parcial o totalmente operadas por la industria privada, es importante que el gobierno y el sector privado se

asocien en relación a los estándares, tecnologías y medidas de seguridad. La línea de trabajo de Protección de Infraestructuras Críticas abordó temas tales como: amenazas a la infraestructura crítica, los esfuerzos de asociación con la industria, la seguridad de los sistemas SCADA, análisis forense de la infraestructura crítica y ejercicios de gestión de riesgos. Se contó con la participación de los presentadores e instructores Juan Pablo Castro de TrendMicro; Elke Sobieraj y Michael Chaney del ICS-CERT de US DHS; Kevin Coleman, de Industry Engagement and Resilience (IER) y Stakeholder Engagement and Cyber Infrastructure Resilience (SECIR) de US DHS; Eduardo Carozo Blumstein de la ITC-Antel; Javier Berciano del CERT-SI (España); Gustavo Presman de Informática Forense; y Jeffrey H. Wright, Director Senior de Seguridad Cibernética para Aveshka. Cada software y aplicación es vulnerable a los ataques cibernéticos, que pueden tener un impacto muy negativo en los sistemas de control industrial. Para agravar este problema, los usuarios de la red, incluidos los operadores de infraestructura crítica, frecuentemente no actualizan su software ni implementan parches de forma sistemática. Especialmente en el sector privado, comúnmente las industrias no se consideran conectadas a las otras. Como tal, aun cuando las empresas privilegian la seguridad cibernética, estas implementan centros de operaciones de seguridad individuales y específicas, en lugar de trabajar juntas de manera más eficiente. Las asociaciones entre el sector privado y el gobierno son una forma útil para que las empresas reciban asistencia en

Coloquio Técnico y Taller de Seguridad Cibernética // Grupos de Trabajo

13

Participantes asisten a la línea de trabajo “Protección de las Infraestructuras Críticas (PIC)”.

seguridad cibernética y analicen las necesidades de seguridad cibernética de las industrias más importantes y críticas. Para lograrlo, las entidades del sector privado que informan sobre los ataques cibernéticos no deben ser castigadas sino más bien recompensadas por su cooperación. La seguridad cibernética no es simplemente una cuestión de tecnología; es crucial para la competitividad económica y la seguridad ciudadana.

Los operadores de infraestructuras críticas deben incorporar el riesgo cibernético en los marcos de gestión de riesgos; invertir en las personas, procesos y tecnología; proporcionar liderazgo; e impulsar la cooperación entre las operaciones, TI y seguridad. Por último, los organismos reguladores independientes desempeñan un papel vital en este área, ya que pueden asegurar que los operadores de CNI estén cumpliendo con las leyes y reglamentos nacionales. Los operadores deben fomentar una

14

Grupos de Trabajo // Coloquio Técnico y Taller de Seguridad Cibernética

relación de confianza y transparente con las agencias reguladoras.

Fuerzas del orden

La delincuencia cibernética es increíblemente lucrativa. Según un informe de Kaspersky Lab, los delincuentes cibernéticos logran enormes réditos de sus herramientas y aprovechamientos. El mal uso de Internet es un factor debilitante en la capacidad de los gobiernos y las empresas privadas de innovar y ofrecer servicios de una manera segura. Hay también una amenaza para la sostenibilidad de las infraestructuras conectadas a Internet, que afectaría el desarrollo económico y humano de todos los países, cuando los delincuentes cibernéticos se aseguran de sacar provecho de las vulnerabilidades del sistema. Oficiales de la policía decidieron adquirir conocimientos en informática forense, así como aprender sobre los riesgos cibernéticos y los mecanismos de defensa en el sector financiero. Se contó con la participación de los instructores y presentadores David Piscitello, vicepresidente de Seguridad y Coordinador de las TIC en la Corporación de Internet para Nombres y Números Asignados (ICANN), Andrés Velázquez de MaTTica, Director de Informática Forense Gustavo Presman, Raúl Alvarez de Fortinet Technologies, Mara Misto Macias del Banco Central de la República Argentina y Warren Williams, ingeniero de Telecomunicaciones de la Policía de Jamaica.

Los debates pusieron de relieve que la policía y el poder judicial deben privilegiar la investigación proactiva en vez de reactiva. El estudio del comportamiento del delincuente cibernético les ayudará a los gobiernos y operadores de infraestructuras críticas a entender las principales amenazas que estas significan y a ser más eficaces en la implementación de medidas preventivas y de mitigación. Esto implica la conciencia sobre redes delincuenciales en la web profunda y la interconexión entre las transacciones en línea y fuera de línea, entre otras áreas. Hay una gran cantidad de nuevas herramientas para el análisis forense digital, algunos de los cuales son gratuitos y están disponibles para su descarga. El saber cómo crear una imagen forense digital del disco duro de una computadora y poder investigar los sistemas de nombres de dominio (DNS) son algunas de las técnicas que deberían conocer bien las fuerzas del orden. La repetición es la clave para el buen aprendizaje de las nuevas herramientas de investigación. Los investigadores deben tener en mente las zonas horarias, ya que conocer la hora de un evento que sucedió es crucial para la atribución, así como las carpetas de basura para la localización de las contraseñas en el análisis de las pruebas. Los investigadores también deben recordar que nunca deben realizar procedimientos directos en el análisis de los sitios de dudosa reputación, sino más bien crear una imagen virtual. Las fuerzas del orden deben estar bien informados sobre la legislación nacional en relación con la recopilación de pruebas, ya que a

Coloquio Técnico y Taller de Seguridad Cibernética // Grupos de Trabajo

15

Participantes de la línea de trabajo “Fuerzas del orden” asisten a un taller dirigido por David Piscitello de ICANN.

menudo es inadmisible la evidencia digital obtenida por medios extralegales. Los investigadores también deben poder emplear medidas correctivas cuando sale mal una investigación. Por último, la policía debe tener en mente la perspectiva de la comunidad, hacer lo que pueda para ayudar a los perjudicados por el delito cibernético y educar al público sobre cómo protegerse mejor y proteger su información personal.

“Hay también una amenaza para la sostenibilidad de las infraestructuras conectadas a Internet, que afectaría el desarrollo económico y humano de todos los países, cuando los delincuentes cibernéticos se aseguran de sacar provecho de las vulnerabilidades del sistema”.

Un enfoque en la Conciencia de Seguridad Cibernética

Si bien son cruciales las estrategias y políticas de seguridad cibernética nacionales, así como contar con equipos de respuesta cualificados, la seguridad cibernética realmente comienza a una nivel más granular: el individuo. Más de la mitad de todos los sitios web funcionan con vulnerabilidades de seguridad conocidas y muchas de estas vulnerabilidades son hechas por el hombre, ya sea el resultado de contraseñas débiles, software de seguridad inadecuada u obsoleta o la falta de conciencia sobre los riesgos en línea. La necesidad de realizar gestiones de sensibilización es especialmente importante en América Latina y el Caribe, donde más de la mitad de la población está ahora en línea y la tasa de crecimiento de los usuarios de Internet se encuentra entre las más altas del mundo. Por estas razones, era importante llamar la atención sobre el Mes de Concientización de Seguridad Cibernética con el lanzamiento de este mes como un tema clave del Coloquio. El Secretario General Adjunto de la OEA, Néstor Méndez instaló la ceremonia, destacando que “La colaboración y responsabilidad compartida resultarán esenciales para el éxito continuo de las gestiones en seguridad cibernética en el futuro”. El evento contó con una serie de voces importantes en la concienciación sobre la seguridad cibernética, incluyendo el Asistente Especial del Presidente de Estados Unidos y Coordinador de Seguridad Cibernética J. Michael Daniel, Phyllis Schneck, del Departamento de Seguridad Nacional de Estados Unidos, Ministro de TIC de Paraguay, David Ocampos, Jacquelyn Beauchere de Microsoft, Oliver González, de la Policía

Federal de México, Chris Boyer de AT&T y la Alianza Nacional de Seguridad Cibernética (NCSA), Andy Ozment de Seguridad Cibernética y Comunicaciones de DHS, el Presidente de Telefónica-Eleven Paths Chema Alonso, Jorge Bejarano del Ministerio de TIC de Colombia, Peter Cassidy del Grupo de Trabajo Anti-Phishing (APWG), Liliana Velásquez Solha de la Red Académica y de Investigación de Brasil, la Directora Internacional de los Derechos de la Electronic Frontier Foundation, Katitza Rodríguez, el Consejero de Economía Digital de la Delegación de la UE a EE.UU. Andrea Glorioso, el Coordinador para Asuntos Cibernéticos del Departamento de Estado de Estados Unidos (DOS) Christopher Painter y muchos otros. Un punto destacado del evento fue un discurso de apertura pronunciado por Toomas Hendrik Ilves, presidente de Estonia. Como jefe de Estado de uno de los líderes mundiales en la seguridad cibernética, el presidente Ilves presentó una perspectiva particular sobre la sensibilización de seguridad cibernética. Describió dos culturas, o conversaciones, cuando se trata de grupos de interés de seguridad cibernética: la parte técnica y la parte política. Según el presidente Ilves, cada parte debe valorar el papel de la otra y entablar un diálogo sobre la mejor manera de combinar sus respectivas habilidades. También habló de la importancia que le otorga el régimen de seguridad cibernética de Estonia a la protección de datos y la integridad de los datos. La seguridad cibernética es un problema que afecta a toda la sociedad. Se debe aplicar a

Coloquio Técnico y Taller de Seguridad Cibernética // Un enfoque en la Conciencia de Seguridad Cibernética

17

Toomas Hendrik Ilves, presidente de Estonia ofrece un discurso de apertura en el lanzamiento oficial del Mes de Concientización de Seguridad Cibernética.

todos y debe ser entendida por todos, ya que ningún usuario de Internet está completamente a salvo de riesgos cibernéticos. Crear conciencia de seguridad cibernética en la población general es un reto que requiere una atención constante. El cambio de comportamiento es un proceso largo y los países deben prever que es un proceso que tomará muchos años, incluso muchas décadas, para enseñarle a la gente cómo utilizar Internet de forma segura. Las gestiones de concientización de seguridad

cibernética deben dirigirse a todos los sectores de la sociedad, incluidos los maestros, los padres, los niños, los gobiernos, las empresas y las pequeñas y medianas empresas (PYME), que no tienen los medios para contratar a un gran personal de seguridad cibernética. La seguridad cibernética debe enseñarse desde muy temprano en las escuelas, ya que las generaciones futuras serán cada vez más conocedores de la tecnología.

18

Un enfoque en la Conciencia de Seguridad Cibernética // Coloquio Técnico y Taller de Seguridad Cibernética

Jacquelyn Beauchere, directora de la Oficina de Seguridad en línea de Microsoft, habla de los esfuerzos en la concientización de seguridad cibernética.

Chema Alonso, CEO de Telefónica-Eleven Paths, ofrece una presentación sobre nuevos métodos para identificar las amenazas cibernéticas.

Algunos de los presentadores hicieron énfasis en que los gobiernos comúnmente experimentan dificultades para contactar y cooperar con algunos sectores de su población, que es una brecha que se puede llenar con la sociedad civil y las organizaciones sin ánimo de lucro. Es fundamental crear grupos de interés que abarcan todos los sectores de la sociedad para asegurar que las gestiones beneficien a todos los usuarios de tecnología que tienen diversos intereses. Esto significa que los mensajes para elevar

el nivel de conciencia tienen que ser adaptables. Antes de montar una campaña de sensibilización, los gobiernos deben entender objetivamente los niveles de conciencia actuales, los grupos de mayor riesgo y lo que los usuarios de Internet saben y practican. Esto se podría obtener de encuestas o de los datos técnicos producidos por un CSIRT u otro. Es necesario adaptar las campañas al público de una manera que los atrape. Las campañas de sensibilización funcionan

Coloquio Técnico y Taller de Seguridad Cibernética // Un enfoque en la Conciencia de Seguridad Cibernética

19

Christopher Painter, Coordinador de Asuntos Cibernéticos para el Departamento de Estado, Estados Unidos, brinda un discurso para finalizar el lanzamiento oficial del Mes de Concientización de Seguridad Cibernética.

mejor cuando se llevan a cabo de manera coordinada. Con la celebración de múltiples eventos en torno a un tema común, un país puede tener un efecto duplicador en la conciencia de seguridad cibernética. Además, las campañas que transmiten mensajes positivos son más eficaces para motivar el cambio que campañas basadas en amenazas atemorizantes. Por último, aunque el proceso de desarrollo de la conciencia de seguridad cibernética será diferente para cada país, la cooperación internacional es una

forma útil de combinar esfuerzos y apoyar iniciativas. Finalmente, en las palabras de Christopher Painter, “Para lograr que funcione la cooperación internacional, es necesario tener respeto.” En el mundo de TI, esto no siempre es así; por lo tanto, los actores internacionales involucrados en la concienciación sobre la seguridad cibernética deben estar preparados para escuchar y entender la relación que tiene cada país con la tecnología de la información y la comunicación.

20

Un enfoque en la Conciencia de Seguridad Cibernética // Coloquio Técnico y Taller de Seguridad Cibernética

Algunos participantes del Coloquio Técnico y Taller de Seguridad Cibernética de la OEA-FIRST 2015, Washington, DC

Organization of Organización de los American States Estados Americanos

Secretario General

Luis Almagro Lemes

Secretario General Adjunto de la OEA

Nestor Mendez

Todos los derechos reservados

Descargo de responsabilidad El contenido de esta publicación no refleja necesariamente las opiniones o políticas de la OEA o de las organizaciones contribuyentes.

Informe del Coloquio Técnico y Taller de Ciberseguridad de la OEA-FIRST 2015 Secretario Ejecutivo del Comité Interamericano contra el Terrorismo Alfred Schandlbauer

Noviembre de 2015

© OAS Secretaría de Seguridad Multidimensional 1889 F Street, N.W., Washington, D.C., 20006 Estados Unidos de América

www.oas.org/cyber/

Editores

Pablo Martinez Belisario Contreras Kerry-Ann Barrett Robert Fain

Contribuidores

Barbara Marchiori de Assis Catalina Lillo Diego Subero Emmanuelle Pelletier Gonzalo García-Belenguer Jessica Baptista