El gobierno de Colombia solicit a la Organizacin de los Estados Americanos (OEA) el apoyo para organizar una Comisin de Expertos Internacionales para evaluar el estado de la seguridad ciberntica del pas, lo que refleja el deseo del Seor Presidente de la Repblica de Colombia, S.E. Juan Manuel Santos Caldern, hacer de las tecnologas de informacin y comunicaciones una parte integral del plan de desarrollo del pas. Despus de visitar las instituciones colombianas con responsabilidad en la seguridad ciberntica nacional, de escuchar presentaciones de actores relevantes de seguridad ciberntica en Colombia, y de entablar un intercambio de ideas con expertos colombianos sobre el estado de la seguridad ciberntica en el pas, los expertos internacionales prepararon una serie de recomendaciones para ser tenidas en cuenta por el gobierno de Colombia. La Comisin Internacional de Expertos Internacionales brind su experiencia en polticas de seguridad ciberntica, marcos institucionales, respuesta a incidentes de seguridad ciberntica, investigacin y legislacin de delitos cibernticos, ciberdefensa y cooperacin internacional. Los expertos internacionales que participaron de esta Misin de Asistencia Tcnica, son funcionarios de los gobiernos de Canad, Espaa, Estados Unidos, el Reino Unido, Repblica Dominicana, Estonia, Israel, Repblica de Corea y Uruguay. De igual forma, adems de funcionarios de la OEA, esta Comisin Internacional cont con la participacin de representantes del el Consejo de Europa (COE), el Foro Econmico Mundial (WEF), INTERPOL, Organizacin de las Naciones Unidas (ONU), la Organizacin para la Cooperacin y el Desarrollo Econmico (OCDE), y la Universidad de Oxford. Las recomendaciones de los expertos fueron redactadas en sesiones privadas, garantizando un anlisis equilibrado e imparcial de las necesidades y pasos a seguir que deberan ser considerados por el gobierno colombiano. Aunque la OEA organiz esta Comisin Internacional de Expertos, este documento no refleja posicin u opinin alguna de esta organizacin internacional.
CONTRIBUIDORES
EXPERTOS INTERNACIONALES
ADRI N ACOSTA INTERPOL CLAUDI O PEGUERO POLICA NACIONAL DOMINICANA DARKO LOVRI C FORO ECONMICO MUNDIAL DI RK NONNI NGER DIRECCIN EJECUTIVA DEL COMIT CONTRA EL TERRORISMO DE LA ONU ELVI RA TEJADA FISCALA GENERAL DE ESPAA EREZ KREI NER OFICINA NACIONAL DE ASUNTOS CIBERNTICOS DE ISRAEL ERWI N DOTZAUER UNIVERSIDAD DE OXFORD GWEN BEAUCHEMI N DEPARTAMENTO DE SEGURIDAD PBLICA DE CANAD I AN MABBOTT AGENCIA DE COMERCIO E INVERSIN DEL REINO UNIDO LAURENT BERNAT ORGANIZACIN PARA LA COOPERACIN Y DESARROLLO ECONMICO (OCDE) LAURI LUHT AUTORIDAD DE SISTEMAS DE INFORMACIN DE ESTONIA MANUEL SI CI LI A SAN JOS CENTRO NACIONAL DE PROTECCIN DE INFRAESTRUCTURA CRTICA (CNPIC) DE ESPAA MARCOS SALT CONSEJO DE EUROPA NATHAN DOYEL DEPARTAMENTO DE ESTADO DE LOS ESTADOS UNIDOS ROBERT GORDON DEPARTAMENTO DE SEGURIDAD PBLICA DE CANAD RODOLFO ORJALES REUNIONES DE MINISTROS DE JUSTICIA U OTROS MINISTROS PROCURADORES O FISCALES GENERALES DE LAS AMRICAS (REMJA)
SANTI AGO PAZ AGENCIA DEL GOBIERNO ELECTRNICO Y SEGURIDAD DE LA INFORMACIN (AGESIC) DE URUGUAY YOUNG-JUN KI M AGENCIA DE INTERNET Y SEGURIDAD DE COREA
EXPERTOS NACIONALES
MINISTERIO DE DEFENSA SONI A JULI ANA GARC A VARGAS OSCAR JAVI ER ARI AS ARI AS WI LSON PRI ETO CORONEL FREDDY BAUTI STA MAYOR LUI S ATUESTA MAYOR ALEX DURAN TENI ENTE JHON GUEVARA CF. WI LLI AM HERNANDEZ C. MI LENA REALPE M. DI DI ER SUAREZ MAYOR DANI EL UCRS JAI RO BECERRA GUI LLERMO MENDOZA YANETH YATE HURTADO WI LSON FERNANDO CARVAJAL JAVI ER PABON RI VAS MANUEL D AZ HOYOS CORONEL MARTHA LI LI ANA SANCHEZ CR. JAI RO ANDRS CSERES CF. CONSTANZA BERMUDEZ CF. GERMN GARZN TE. ZABALA LOPEZ TE. PI NTO ANDREA TE. ANDRS FELI PE CAMPOS TC. JAVI ER BARRERA
MINISTERIO DE TIC MAR A I SABEL MEJ A JORGE FERNANDO BEJARANO LUI S ALEJANDRO BECERRA HUGO SI N TRI ANA ALEJANDRO DELGADO LUCI A ALEMAY JULI AN DAVI D ZULUAGA CLAUDI A HURTADO
MINISTERIO DE JUSTICIA Y EL DERECHO AUGUSTO I BAEZ ORLANDO SARMI ENTO PAULA GALLO CAI CEDO MARI A FERNANDA FUENTES
RAMA JUDICIAL ALEXANDER D AZ
SECTOR PRIVADO Y ACADEMIA DI EGO ZULUAGA JEI MY CANO JOS MONTOYA MANUEL SANTANDER ANDRES GALI NDO GONZALO ROMERO JOS MI GUEL DE LA CALLE CLAUDI A BUSTAMANTE MANUEL DVI LA BI ATRI Z CAI CEDO JUAN DI EGO JI MENEZ ANDRS GUZMAN
ORGANIZACIN DE LOS ESTADOS AMERICANOS (OEA)
NEI L KLOPFENSTEI N SECRETARIO EJECUTIVO COMIT INTERAMERICANO CONTRA EL TERRORISMO (CICTE)
PABLO MARTI NEZ GERENTE DE PROGRAMA PRINCIPAL Y COORDINADOR DE PROGRAMAS, OEA/CICTE
BELI SARI O CONTRERAS GERENTE DE PROGRAMA DE SEGURIDAD CIBERNTICA, OEA/CICTE
BRI AN DI TO GERENTE ASISTENTE DE PROGRAMA DE SEGURIDAD CIBERNTICA, OEA/CICTE MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA 1 - FORTALECIMIENTO DE LAS CAPACIDADES INSTITUCIONALES DE CIBERSEGURIDAD Y CIBERDEFENSA
Las siguientes recomendaciones se centran en las cinco reas que se consideran que son las ms fundamentales. Se reconoce que puede haber otros aspectos que merecen tenerse en cuenta, como la sensibilizacin del pblico, desarrollo de habilidades, etc.
En este documento, el trmino ciberseguridad incluye los conceptos de ciberseguridad y ciberdefensa como se define en el CONPES 3701.
Las siguientes recomendaciones tienen en cuenta los problemas especficos de la seguridad nacional que enfrenta Colombia y el papel fundamental desempeado por el Ministerio de Defensa, y ese papel debe continuar. Nuestras recomendaciones reconocen la necesidad de preservar la capacidad de los organismos de seguridad de Colombia.
Desaf o 1. Los esfuerzos de Col ombi a para abordar l a ci berseguri dad estn l i mi tados por l a fal ta de una vi si n general cl ara.
La seguridad no es un fin en s mismo. Es un medio de soporte de objetivos de ms alto nivel.
Aunque el CONPES 3701 representa un importante paso adelante, no aborda los problemas a un alto nivel de forma que proporcione una visin estratgica clara. En la etapa actual, la comprensin del Gobierno sobre ese tema (por ejemplo, definicin de ciberseguridad y ciberdefensa) y los objetivos generales parecen ms bien estar motivados por consideraciones e intereses institucionales ms que por una visin clara para el pas que trascienda estas consideraciones. Aunque los asuntos institucionales son esenciales para poner en prctica una visin estratgica, estos solo cubren un aspecto. Deben ser el resultado de la visin y no al revs.
Recomendaci n 1: desarrol l ar una vi si n gl obal (l a vi si n) para l a ci berseguri dad.
La visin debe: Formular claramente los objetivos amplios y de alto nivel que se buscan y articular por qu son esenciales para la nacin. Distinguir claramente los objetivos de: 1. la prosperidad econmica y social, 2. la defensa del pas (por ejemplo, militar, de inteligencia, etc.), y 3. la lucha contra el cibercrimen. MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA La naturaleza de estos 3 objetivos es diferente y se deben abordar por separado. Sin embargo, tambin se superponen en algunas reas. Esta superposicin debe abordarse especficamente (por ejemplo, a travs de mecanismos de coordinacin adecuados) en vez de volverse la gua de toda la visin. Reconocer la necesidad de respetar los valores establecidos en la Constitucin. Ser liderada por el ms alto nivel del gobierno. Esto se asegurar de que: o La visin sea entendida y seguida por todos al interior del gobierno, y en aspectos econmicos y de la sociedad. o Los tres objetivos anteriores, a veces contradictorios y que compiten entre s, se equilibran para el mejor beneficio de la nacin. Incluir la cooperacin internacional. El entorno digital es inherentemente global. La mayora de los aspectos de la gestin del riesgo de la ciberseguridad tienen un carcter internacional.
Desaf o 2. El enfoque gl obal de l a ci berseguri dad no se basa en l a gesti n de ri esgos.
Se estn adoptando medidas de seguridad sin que sean el resultado de una evaluacin o gestin sistemtica del riesgo. El enfoque actual tiene como objetivo lograr la seguridad en lugar de gestionar los riesgos. Un enfoque de gestin de riesgos tiene como objetivo obtener los beneficios de un entorno digital para lograr la prosperidad econmica y social. Como Colombia es cada vez ms digital, un enfoque de seguridad (es decir, no basado en la gestin de riesgos) ser cada vez ms insostenible y costoso sin que efectivamente se proteja la economa y la sociedad. Esto ser especialmente claro con respecto a la proteccin de infraestructuras crticas.
Desde una perspectiva organizacional, existen dos cuestiones principales: 1) El nivel ms alto de gobierno no cuenta con una evaluacin exhaustiva de la situacin de riesgo global de ciberseguridad en todo el pas y por lo tanto no puede tomar decisiones basadas en el riesgo, 2) Las actividades en los niveles inferiores no se basan en la gestin del riesgo.
Recomendaci n 2: Adoptar un enfoque gl obal de l a gesti n de ri esgos de ci berseguri dad.
Basar la visin global en un enfoque de gestin de riesgos. Establecer un programa nacional de gestin de riesgos (incluida la evaluacin, el tratamiento, la seleccin de medidas de seguridad, la preparacin, la recuperacin), y la metodologa para que todos los actores evalen y gestionen los riesgos de ciberseguridad, incluida la sensibilizacin, la formacin, etc. Establecer una capacidad para desarrollar una evaluacin integral de riesgos de ciberseguridad nacional. MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA Desaf o 3. La responsabi l i dad no est di stri bui da cl aramente en todo el gobi erno y al gunas i nsti tuci ones ti enen l a responsabi l i dad pero si n l a autori dad o recursos para actuar.
El marco institucional es complejo y no es claro quin es responsable de qu. La impresin que deja es que la responsabilidad es vaga, la coordinacin es compleja y no existen mecanismos claros. La asignacin y planificacin de los recursos no estn claras y no son el resultado de una evaluacin exhaustiva de la situacin de riesgo general de ciberseguridad en todo el pas, que cubra los 3 objetivos identificados anteriormente.
La ausencia de una autoridad responsable de coordinacin general conduce a una posible duplicacin de esfuerzos y menor eficiencia. La dinmica institucional existente parece estar motivada por la asignacin de recursos en lugar de los objetivos de gestin de riesgos de ciberseguridad.
Recomendaci n 3: establ ecer un marco i nsti tuci onal cl aro.
Este marco debera: ! Establecer un rgano de coordinacin permanente (organismo coordinador) con un rol que se extienda por todo el gobierno. Este organismo debera responder directamente al Presidente. ! Asignarle a la instancia de coordinacin: La autoridad y responsabilidad legal para actuar, que incluya recursos presupuestales para poder responder a la visin. La responsabilidad de dirigir la formulacin de la poltica pblica para asegurar un enfoque de conjunto gubernamental coherente. El establecimiento de un programa nacional de gestin de riesgos mencionado. ! Proporcionarle al organismo de coordinacin la capacidad de desarrollar una evaluacin integral de los riesgos de ciberseguridad nacional.
Debera considerarse la posibilidad de localizar el CERT nacional (actualmente el colCERT), al interior del rgano coordinador. Este rgano de coordinacin debe garantizar la independencia de las entidades constitucionalmente establecidas para ejercer funciones judiciales.
MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA Desaf o 4. El mecani smo para el v ncul o i ntegral con todas l as partes i nteresadas (i ncl ui do el sector pri vado, l a academi a, l a soci edad ci vi l , y enti dades i nternaci onal es) no est l o sufi ci entemente desarrol l ado 1 .
Se ha iniciado un dilogo pblico-privado. Sin embargo, para llegar al siguiente nivel de madurez para gestionar el riesgo de la ciberseguridad, este debe ser mejorado significativamente y deben participar todos los actores de la economa y la sociedad. Todas las partes interesadas tienen la responsabilidad de la gestin de los riesgos de ciberseguridad, de acuerdo con su funcin. Por lo tanto, la implementacin de la visin se basa en su compromiso completo. Es esencial involucrar a todos los actores (pblicos y privados) en el desarrollo de la visin, las polticas y en su implementacin, para maximizar su compromiso.
Recomendaci n 4: establ ecer un proceso si stemti co para i nvol ucrar a todos l os i nteresados en el desarrol l o de l a estrategi a y su i mpl ementaci n.
Consultar con todas las partes interesadas sobre la forma de organizar el dilogo sistemtico entre todas las partes interesadas Establecer reglas para consultar sistemticamente a todas las partes interesadas en la fase inicial y a lo largo de la elaboracin de polticas Sobre la base de los esfuerzos existentes, crear foros para que todos los interesados participen en la ejecucin de la visin Desarrollar un plan a corto, mediano y largo plazo para llegar progresivamente a todos los actores gubernamentales y no gubernamentales
Desaf o 5. Es l i mi tado el enfoque del gobi erno en rel aci n con l a protecci n de l a i nfraestructura cr ti ca
La poltica de infraestructura crtica est en la agenda del gobierno y ya se inici un proceso de identificacin de las infraestructuras crticas y asuntos relacionados (por ejemplo, relacionados con la cadena de oferta). Sin embargo, an no se ha desarrollado una definicin de lo que es la infraestructura crtica y por lo tanto se desconoce lo que hay que proteger. Colombia est en la etapa temprana de la formulacin de la poltica de infraestructura crtica. La mayora de la infraestructura crtica es propiedad y est operada por el sector privado y, por tanto, debe estar en el centro del desarrollo de la poltica de proteccin de infraestructura crtica. Sin embargo, ese no parece ser el caso en la poltica de proteccin de la infraestructura crtica que se planea.
$ %& '(&)& *+,-(./01 (,0 +12&,/0*23, 0)2*2+,0. -+41& &-/& /&50 &, .0- 1&*+5&,)0*2+,&- )& .0- -&**2+,&- )& 6501*+- .&70.&-8 9 6*++'&10*23, 2,/&1,0*2+,0.8: MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA Recomendaci n 5. El gobi erno debe adoptar una pol ti ca para l a protecci n de l a i nfraestructura cr ti ca, teni endo en cuenta l os aspectos de personal , f si cos y l gi cos.
Los aspectos digitales de la poltica de proteccin de la infraestructura crtica debe ser parte de la visin. El aspecto digital (o ciber) de proteccin de la infraestructura crtica debe ser un subgrupo del enfoque global de la proteccin de la infraestructura crtica. La poltica de la infraestructura crtica contribuye tanto a la prosperidad econmica y social del pas, como a su defensa. Por lo tanto, la entidad de coordinacin debe liderar este proceso de formulacin de polticas para asegurar que los objetivos que a veces compiten entre s se equilibren adecuadamente, para el mximo beneficio del pas. La descripcin de la funcin del colCERT en el CONPES 3701 (Esquema relacional del colCERT, en el grfico 6) refleja un enfoque apropiado para la proteccin de la infraestructura crtica con respecto a la aplicacin de la visin en el mbito de la proteccin de la infraestructura crtica. Sin embargo, dado que la poltica de la infraestructura crtica se sobrepone a la prosperidad econmica y social y a la defensa del pas, esta funcin debe ubicarse como parte del rgano de coordinacin (y no debera llamarse un CERT).
MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA 2 - ESTABLECIMIENTO Y MEJORA DE LOS MARCOS LEGALES EN CIBERSEGURIDAD
1. Se recomienda al gobierno de Colombia, de conformidad con el planteamiento del Grupo de Expertos en Delitos Informticos de la REMJA (OEA), que reforme su legislacin armonizndola con la Convencin de Budapest, especialmente en lo referido a las cuestiones de Derecho Procesal Penal, para posteriormente adherirse a la citada Convencin del Consejo de Europa. Adicionalmente, se recomienda tomar en cuenta legislaciones cibernticas exitosas tales como la Ley 53-07 de la Republica Dominicana y la Ley 109/2009 del 15 de Septiembre de Portugal. A los fines de la redaccin de los tipos penales, se recomienda tomar en cuenta la importancia de la utilizacin de trminos tecnolgicamente neutrales, a fin de facilitar la interpretacin y aplicacin de la Ley Penal.
2. Las cuestiones que tienen que ver con la persecucin de los delitos informticos deben ser adecuadamente separados de las cuestiones de Ciberdefensa y Ciberguerra, definiendo la unidad policial que se va encargar especficamente de la prevencin, investigacin y persecucin de los delitos informticos. Todo ello sin perjuicio de la colaboracin interinstitucional oportuna.
3. Establecer un rgimen rpido y eficiente para asegurar la cooperacin internacional en la prevencin, investigacin y persecucin penal de los delitos informticos. Entre ellas, especficamente se recomienda establecer un punto de contacto para La Red 24 / 7, disponible las 24 horas del da, 7 das a la semana, con la finalidad de garantizar la prestacin de ayuda inmediata para los fines de las investigaciones o procedimientos relacionados con delitos vinculados a sistemas y datos informticos, o para la obtencin de pruebas electrnicas de un delito.
4. Adoptar medidas que prevean la responsabilidad de las personas jurdicas conforme a lo establecido en el Artculo 12 de la Convencin Europea de Budapest.
5. En toda la regulacin referida a los poderes procesales para la investigacin de delitos informticos se debe tomar especialmente en cuenta la necesidad de un adecuado balance entre eficiencia de la investigacin y la proteccin de garantas individuales, especialmente en lo que se refiere a la intimidad y al derecho a la proteccin de datos.
6. Reconociendo que la evidencia digital requiere de una atencin rpida e inmediata, teniendo en cuenta el carcter voltil de la evidencia digital, se recomienda promover medidas y poderes procesales para posibilitar la preservacin especifica de datos, de acuerdo a lo previsto en el artculo 16 y 17 de la Convencin de Budapest. MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA 7. Implementar legislativamente en Colombia la retencin mandatoria de datos de trfico por un trmino mnimo de un ao, garantizando los derechos constitucionales del pas, en particular los derechos a la privacidad y proteccin de datos personales, as como los pactos internacionales suscritos por Colombia.
8. Solicitar de los gobiernos en los que se encuentran las principales empresas proveedoras de servicios de internet, que albergan servidores con datos de ciudadanos de Colombia, que revisen los mecanismos de cooperacin en materia penal, a fin de posibilitar que estas compaas respondan en tiempo las solicitudes de asistencia en materia penal.
9. Aconsejar la creacin de unidades nacionales especializadas de Fiscales con preparacin especifica para la investigacin y el ejercicio de la accin penal, respecto de los ciberdelitos y de los delitos en los que estn implicados evidencias electrnicas.
10. Se recomienda especialmente la organizacin de cursos de capacitacin para jueces, fiscales y policas tanto en materia de delitos informticos como en los aspectos tcnicos y jurdicos de la obtencin de evidencia digital, en la legalidad y constitucionalidad de la extraccin de la evidencia digital.
11. Promover, con la participacin del sector privado, leyes y reglamentaciones que regulen las obligaciones para las empresas que tienen bajo su control infraestructura critica, de reportar los incidentes de seguridad ciberntica en un plazo no mayor a 48 horas, bajo garanta de confidencialidad.
Para la aplicacin de las recomendaciones anteriores, entendemos que resulta de fundamental importancia tomar en consideracin las opiniones de los operadores del Sistema Penal, del Sector Acadmico y de la Sociedad Civil.
MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA 3 - GENERACIN DE CAPACIDADES DE CIBERSEGURIDAD Y CIBERDEFENSA
1. Establecer una capacidad nacional de ciberseguridad civil que incluya un Centro de Respuesta a Incidentes de Seguridad Ciberntica y un centro nacional de operaciones de seguridad civil al interior del rgano de coordinacin permanente mencionado anteriormente. Tomar tiempo establecer la madurez de la ciberseguridad y se debe considerar la posibilidad de establecer un programa de transformacin para asegurar que este se lleve a cabo de manera oportuna y coordinada.
2. Establecer canales de intercambio bidireccional de informacin. El centro de respuesta a incidentes informticos (el Centro) necesita recibir informacin sobre incidentes por parte de todos los actores (elementos de infraestructura crtica, centros de operaciones de seguridad del sector pblico y privado, y entidades gubernamentales, incluyendo polticas, militar e internacional). El Centro servir de orientacin y apoyo a las infraestructuras crticas, que incluye el asesoramiento sobre las normas de ciberseguridad aplicables u obligatorias. El Centro informara a los actores afectados acerca de los incidentes operacionales que requieran accin.
3. El Centro, los centros de operaciones de seguridad y otras autoridades deben establecer una slida capacidad analtica y tcnica. Se debern adquirir las herramientas de anlisis y la capacitacin requerida para utilizarlas de manera que se puedan estudiar las tendencias en el mbito de amenazas nacional, incluidas las capacidades de ingeniera inversa para lograr un profundo trabajo tcnico en anlisis de malware, asuntos cibernticos emergentes, tecnologa mvil, seguimiento de las nuevas infraestructuras de banda ancha nacional, analtica de grandes volmenes de datos, sistemas de control de procesos, desarrollo de herramientas avanzadas de visualizacin y automatizacin, entre otros.
4. Para abordar la ciberseguridad en Colombia, se requieren recursos humanos y financieros suficientes para cumplir sus mandatos nacionales de ciberseguridad. El gobierno deber establecer una academia de ciberntica profesional para capacitar a profesionales de la ciberseguridad y promover la acreditacin y la certificacin de otro tipo de educacin ciberntica en el pas. Del mismo modo, el rgano de coordinacin debe identificar las descripciones de los puestos de trabajo cibernticos y los conocimientos, habilidades y antecedentes necesarios. Se debe sensibilizar a la poblacin con respecto a carreras en ciberseguridad y agencias cibernticas para atraer y retener a trabajadores talentosos, que incluye el intercambio de profesionales.
5. El rgano coordinador deber garantizar que los servicios profesionales clave estn certificados, como las pruebas de penetracin, ejercicios de simulacro con equipos opuestos, y otros.
MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
" # Programa de Seguridad Ciberntica de la OEA 6. Se deben establecer centros de innovacin donde los colombianos puedan buscar iniciativas empresariales en ciberseguridad. Se le debe dar relevancia a las pequeas y medianas empresas, que son fuentes importantes de innovacin.
7. Se debe tener en cuenta la carga financiera de las pequeas y medianas empresas, y sectores con pocos recursos financieros para desarrollar capacidades de ciberseguridad, a travs de incentivos fiscales, subvenciones u otros mecanismos.
8. El rgano de coordinacin deber ser un repositorio de mejores prcticas de ciberseguridad en Colombia, incluida la orientacin y el asesoramiento sobre las normas y marcos para la acreditacin y la certificacin.
MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
10 | Programa de Seguridad Ciberntica de la OEA 4 - COOPERACIN INTERNACIONAL Y COOPERACIN ENTRE MULTIPLES PARTES INTERESADAS
La ciberseguridad es un tema que involucra mltiples partes interesadas. Una labor eficaz en este campo requiere una cooperacin profunda y sostenida con el sector privado (nacional e internacional), as como con los gobiernos extranjeros, organizaciones internacionales y expertos acadmicos.
Las recomendaciones descritas aqu deben ser adoptadas por las instituciones respectivas al interior del gobierno de Colombia, y deben incluir una amplia consulta con el sector privado.
1. Desarrollar una estrategia escrita para la cooperacin internacional que aborde la ciberseguridad y el cibercrimen, en donde se identifiquen prioridades, socios internacionales y objetivos. Todas las reas del gobierno involucradas con cibercrimen y ciberseguridad debern participar en el desarrollo del mismo, y el documento deber ser aprobado por los ms altos niveles del gobierno. La estrategia deber integrarse en las estrategias ms amplias del gobierno sobre poltica exterior, documentos de planificacin, y solicitudes de recursos.
2. Ampliar el papel del Ministerio de Relaciones Exteriores en la cooperacin internacional en relacin con la ciberseguridad. Fortalecer la capacidad de la Cancillera para adelantar la cooperacin internacional requerida.
3. Estudiar la posibilidad de crear la posicin de Coordinador de Poltica Ciberntica Internacional, cuya responsabilidad principal ser la implementacin de la estrategia de cooperacin internacional. Al mismo tiempo, esta persona deber mantener una relacin fuerte y establecer una retroalimentacin con los funcionarios que toman decisiones y desarrollan polticas internas y con los expertos tcnicos, para que todos las partes interesadas tengan una visin integral de las polticas de ciberseguridad.
4. Establecer cooperacin entre el sector pblico y privado, nacional e internacional, en el rea de ciberseguridad mediante la creacin de un mecanismo formal entre el gobierno y el sector privado, que sea seguro y disponible, para el intercambio de informacin de incidentes de ciberseguridad nacional e internacional. Este mecanismo deber permitir compartir la informacin de forma bidireccional 2 entre el gobierno y el sector privado y deber incluir el intercambio activo de informacin respecto a las polticas de ciberseguridad y permitir un intercambio mutuo de ideas entre el gobierno y un mbito ms amplio del sector privado.
2 lnLercamblo de lnformacln bldlrecclonal: Ll mecanlsmo deber permlLlr una relacln de ganancla muLua, en el que el goblerno reclbe lnformacln sobre lncldenLes de segurldad y el secLor prlvado reclbe producLos uLlles como alerLas Lempranas y evaluacln de amenazas. MISIN DE ASISTENCIA TCNICA EN SEGURI DAD CI BERNTI CA
"" # Programa de Seguridad Ciberntica de la OEA
5. Invertir en un plan de capacitacin internacional apoyado por los altos niveles de gobierno con el objetivo de disminuir la brecha de conocimiento. El plan puede incluir programas de intercambio de corto, mediano y largo plazo con organismos relevantes en ciberseguridad, evaluaciones tcnicas de y hacia otros pases, y mayor cooperacin con expertos internacionales. El plan de formacin deber incluir las necesidades de los funcionarios de todas las reas del gobierno involucradas en la ciberseguridad y el cibercrimen, as como fiscales, jueces y todo otro funcionario encargado de la aplicacin de la ley. Esta iniciativa deber ser acompaada por informes ejecutivos frecuentes para los funcionarios de alto nivel para que permanezcan informados acerca de los desarrollos en el mbito de la ciberseguridad y cibercrimen.
6. Iniciar un proyecto y hacer uso de las relaciones existentes para facilitar el intercambio de datos con respecto a incidentes de ciberseguridad. Colombia deber aplicar lo anterior a travs de entidades regionales o internacionales pertinentes, por ejemplo, el International Watch and Warning Network, el Forum for Incident Response y Equipos de Seguridad.
7. Con el fin de facilitar el intercambio rpido de datos relacionados con la ciberseguridad y cibercrimen, Colombia deber adherir al sistema I-24/7 de INTERPOL para todas las unidades de las fuerzas de seguridad de cibercrimen de Colombia.
8. Fortalecer conocimientos acadmicos existentes a travs de la cooperacin internacional por medio del desarrollo conjunto de cursos, visitas de profesores extranjeros, y programas de intercambio para estudiantes que aborden contenido de gestin de riesgos de ciberseguridad, gestin de incidentes, defensa de redes, anlisis forense, nuevas tecnologas, etc.
9. Establecer un marco para facilitar el intercambio directo de informacin entre equipos de respuesta a incidentes cibernticos de otros pases.
10. Identificar las contrapartes en la regin en las que la cooperacin y la creacin de medidas de generacin de confianza seran de mutuo beneficio.
11. Participar activamente en los foros internacionales de ciberseguridad para avanzar en los objetivos identificados en la estrategia de cooperacin internacional. Fomentar activamente la creacin y participacin en ejercicios tcnicos a nivel regional y global de manera frecuente.
12. Asegurarse de que todas las actividades internacionales que involucran el intercambio de datos personales respeten las leyes internacionales de derechos humanos, incluido el derecho a la privacidad.