Académique Documents
Professionnel Documents
Culture Documents
2
3
4
Copyright 2017 Organizacin de los Estados Americanos.
Esta obra se encuentra sujeta a una licencia Creative Commons IGO 3.0 Reconocimiento-
NoComercial-SinObrasDerivadas (CC-IGO 3.0 BY-NC-ND) (http://creativecommons.org/
licenses/by-ncnd/3.0/igo/legalcode) y puede ser reproducida para cualquier uso no-
comercial otorgando el reconocimiento respectivo a la OEA y el MINTIC. No se permiten
obras derivadas. Cualquier disputa relacionada con el uso de la obra que no pueda
resolverse amistosamente se someter a arbitraje de conformidad con las reglas de la
CNUDMI (UNCITRAL). El uso del nombre de la OEA y/o de MINTIC para cualquier fin distinto
al reconocimiento respectivo y el uso del logotipo de la OEA y/o del MINTIC, no estn
autorizados por esta licencia CC-IGO y requieren de un acuerdo de licencia adicional de
la organizacin correspondiente. Note que el enlace URL incluye trminos y condiciones
adicionales de esta licencia. Las opiniones expresadas en esta publicacin son de los autores
y no necesariamente reflejan el punto de vista del Organizacin de los Estados Americanos,
ni de los pases que la integran.
5
Crditos
David Luna Equipo Tcnico OEA
Ministro de Tecnologas de la Claudia Paz y Paz
Informacin y las Comunicaciones Alison August Treppel
de Colombia (MINTIC) Belisario Contreras
Brbara Marchiori de Assis
Luis Almagro Kerry-Ann Barrett
Secretario General de la Organizacin Jorge Bejarano
de los Estados Americanos (OEA) Harold Coronado
Colaboradores
Danil Kerimi
Lara Pace
Andres Galindo
Gonzalo Romero
6
Entidades Colaboradoras
7
8
tabla de
contenido
PRINCIPALES CONCLUSIONES Y OBSERVACIONES 13
GUIA DEL LECTOR 21
PRLOGO 25
PARTE 1 - anlisis del sector privado 33
9
tabla de cuadros
CUADRO 1: Mediana del presupuesto anual para la seguridad digital por 60
empresa que asigna recursos para TI (2016)
CUADRO 3: Mediana del costo total por empresa que estim el impacto de 69
los incidentes digitales (2016)
10
Tabla de Grficos
GRFICO 1: Tamao de las empresas 34
GRFICO 2: Sector econmico de los entrevistados 35
GRFICO 3: Nmero de empleados de las empresas 36
GRFICO 4: Porcentaje aproximado del personal de su empresa que tiene acceso a Internet 37
GRFICO 5: Nivel de preparacin para hacer frente a un incidente digital (sector econmico) 39
GRFICO 6: Nivel de preparacin para hacer frente a un incidente digital (tamao de la 40
empresa)
GRFICO 7: Prcticas en Seguridad Digital (sector econmico) 41
GRFICO 8: Prcticas en Seguridad Digital (tamao de la empresa) 42
GRFICO 9: Cargo(s) o rol(es) dedicado(s) a la seguridad digital (tamao y sector econmico 43
de las empresas)
GRFICO 10: Evaluacin del riesgo ciberntico (tamao de las empresas) 44
GRFICO 11: Evaluacin del riesgo ciberntico (sector econmico) 45
GRFICO 12: Datos y activos priorizados por la empresa (2016) 46
GRFICO 13: Porcentaje de empresas que identificaron incidentes digitales, segn el tamao 48
de la empresa (2016)
GRFICO 14: Porcentaje de empresas que identificaron incidentes digitales, segn el sector 49
econmico (2016)
GRFICO 15: Cambio en la gravedad de los incidentes digitales (2016) 51
GRFICO 16: Gravedad de los incidentes digitales (2016) 53
GRFICO 17: Notificacin de incidentes digitales (2016) 56
GRFICO 18: Nmero de incidentes digitales identificados por las empresas (2016) 57
GRFICO 19: Presupuesto Anual para la Seguridad Digital de las empresas que asignan 59
recursos para TI (2016)
GRFICO 20: Empresas que estimaron las consecuencias negativas de los incidentes digitales 63
(2016)
GRFICO 21:Costos de interrupcin de las operaciones incurridos por las empresas que 64
estimaron el impacto de los incidentes digitales (2016)
GRFICO 22: Costos de daos a los activos e infraestructura incurridos por las empresas que 65
estimaron el impacto de los incidentes digitales (2016)
GRFICO 23: Costos de sanciones, multas y gastos legales incurridos por las empresas que 66
estimaron el impacto de los incidentes digitales (2016)
GRFICO 24: Costos de daos a la reputacin incurridos por las empresas que estimaron el 67
impacto de los incidentes digitales (2016)
11
Tabla de Grficos
GRFICO 25: Costos de prdidas de la propiedad intelectual incurridos por las empresas que 68
estimaron el impacto de los incidentes digitales (2016)
GRFICO 26: Inversin en I+D+i 70
GRFICO 27: Rama del poder pblico a que pertenece la entidad 72
GRFICO 28: Orden a que pertenece la entidad 73
GRFICO 29: Regin en la cual se encuentra ubicada la entidad 74
GRFICO 30: Nmero de personas que trabajan en las entidades 75
GRFICO 31: Porcentaje de personal de su entidad que tiene acceso a Internet (2016) 76
GRFICO 32: Nivel de preparacin de la entidad para hacer frente a un incidente digital 77
GRFICO 33: Prcticas de seguridad digital implementadas por las entidades 78
GRFICO 34: Entidades con rea, cargo(s) o rol(es) dedicado(s) a la seguridad digital 79
GRFICO 35: Datos y activos priorizados por las entidades 81
GRFICO 36: Porcentaje de entidades estatales que identificaron incidentes digitales (2016) 83
GRFICO 37: Cambio en la gravedad de los incidentes digitales 85
GRFICO 38:: Gravedad de los incidentes digitales 86
GRFICO 39: Presupuesto para la Seguridad Digital (2016) 88
GRFICO 40: Entidades que estimaron las consecuencias negativas de los incidentes digitales 91
(2016)
GRFICO 41: Costos de interrupcin de la informacin incurridos por las entidades estatales que 92
estimaron el impacto de los incidentes digitales (2016)
GRFICO 42: Costos de daos a los activos e infraestructura incurridos por las entidades 93
estatales que estimaron el impacto de los incidentes digitales (2016)
GRFICO 43: Costos de sanciones, multas y gastos legales incurridos por las entidades estatales 93
que estimaron el impacto de los incidentes digitales (2016)
GRFICO 44: Costos dao a la reputacin incurridos por las entidades estatales que estimaron 94
el impacto de los incidentes digitales (2016)
GRFICO 45: Costos de prdida a la propiedad intelectual y de informacin sensible incurridos 95
por las entidades estatales que estimaron el impacto de los incidentes digitales (2016)
GRFICO 46: Inversin en I+D+i de las entidades que estimaron el impacto de los incidentes 97
digitales (2016)
GRFICO 47: Comparativo de los resultados del CMM (2016 y 2017) 107
12
Principales
conclusiones y
observaciones
13
instituciones tanto pblicas como
privadas y se han utilizado numerosas
herramientas estadsticas para
facilitar al lector la extraccin de sus
Principales
propias conclusiones.
organizaciones colombianas
conclusiones y
Las
que participaron en este estudio
observaciones
presentan, en su mayora, un alto nivel
de conectividad. De las empresas
entrevistadas, 65% indicaron que entre
el 81% y el 100% de su fuerza laboral
contaba con acceso a Internet. En el
sector pblico, 69% de las entidades
e
ste estudio fruto de la colaboracin
participantes indicaron que entre el 81% y
entre el MINTIC, la OEA y el BID
el 100% de sus empleados tenan acceso a
representa una iniciativa pionera
Internet en el trabajo.
en la regin y poco frecuente
a nivel mundial, ya que releva Cuando se pregunta a las organizaciones
informacin sobre las amenazas colombianas si creen que estn preparadas
para la seguridad digital de un pas y su para hacer frente a un incidente digital, un
capacidad de defenderse ante las mismas promedio simple del 37% de las empresas
que resulta difcil de recolectar. El gobierno que participaron del estudio (empresas
de Colombia se sita as en la vanguardia de de los sectores Servicios, Industria y
la generacin de conocimiento en el rea de Comercio) creen que estaban preparadas
la seguridad digital que facilite el diseo y la para manejar un incidente digital. En
implementacin de polticas que atiendan cuanto al tamao de estas empresas, el
los aspectos ms dbiles del escenario que 70% de las grandes empresas se sienten
muestra este estudio. muy preparadas o preparadas para
gestionar un incidente digital, frente al 45%
La informacin recogida permite tener una
de las microempresas. Cuando se realiza la
visin completa de los ataques que sufren
misma pregunta a las entidades pblicas,
tanto el sector pblico como el privado,
uno de los resultados encontrados es que
as como su nivel de preparacin para
la mayora de las entidades a nivel nacional
defenderse de dichos ataques. El estudio
se sienten preparadas. Los participantes
hace un esfuerzo por presentar la informacin
del estudio en el nivel nacional indicaron que
en funcin de los diferentes perfiles de las
14
el 13% y el 48%, se sentan muy preparados ms grande para asuntos en materia de
o preparados, respectivamente. No seguridad digital.
obstante, cuando se compara con las
Entre las medidas ms importantes que
entidades territoriales de orden municipal
se pudieron identificar para asegurar a
y departamental, los datos muestran que
una organizacin colombiana contra los
tan solo el 28%, a nivel municipal, y el 38%,
incidentes digitales es la identificacin de
a nivel departamental, se sintieron muy
un cargo con dedicacin exclusiva para el
preparados o preparados para manejar
manejo de incidentes digitales. Este cargo
un incidente. Se observa que existe un nivel
es importante ya que les ayudar a las
ms alto de confianza en la preparacin
entidades a detectar, aislar y resolver
a nivel nacional, y que sera interesante
incidentes rpidamente cuando ocurran.
desarrollar iniciativas de poltica pblica
enfocadas al nivel departamental y Entre todos los que respondieron a la
municipal. pregunta Tiene su entidad/empresa un
rea, cargo (s) o rol(es) dedicado(s) a la
El Estudio tambin incluy preguntas
seguridad digital (seguridad digital y/o
especficas sobre las medidas de
de seguridad de la informacin)?, 70%
seguridad digital adoptadas por la
de las grandes empresas respondieron
organizacin, esto con el objetivo de poder
que s comparado con poco ms del 20%
hacer una comparacin con su nivel de
de las microempresas. Entre sectores
percepcin de seguridad. Se observ que,
econmicos, la mayora de empresas del
de manera general, las organizaciones
sector Industria dijo tener un equipo con
colombianas que contestaron que se
dedicacin exclusiva, con un poco ms
sienten preparadas, de hecho, adoptan
del 54% respondiendo positivamente a la
ms medidas de seguridad que las dems
pregunta, frente a solo el 45% y el 42% de
organizaciones. Por ejemplo, las grandes
las empresas de los sectores de Servicios
empresas tienden a adoptar ms medidas
y Comercio, respectivamente. Entre las
de seguridad que una microempresa, as
entidades pblicas, solo el 33% a nivel
como las entidades pblicas nacionales
nacional y el 10% y 17% a nivel municipal y
tienen una preocupacin ms grande con
departamental, respectivamente, tienen
la seguridad digital que las entidades
un rea dedicada a la seguridad digital
de orden territorial. Sin embargo, las
dentro de su organizacin. Se observ que
organizaciones que se sienten ms
existe una tendencia general a transferir
preparadas an necesitan incrementar
la responsabilidad de la respuesta a
sus medidas de seguridad digital, lo que
incidentes y la seguridad digital bajo las
debe incluir una asignacin presupuestal
15
funciones generales de los departamentos 52% de las empresas. Con respecto a
de tecnologa de la informacin. las entidades estatales, el 59% de las
entidades de orden nacional identificaron
Cuando se pregunta, en una escala de incidentes digitales, mientras que un
1-5, lo que los entrevistados creen que 56% de las entidades de orden territorial
son los principales factores que afectaran departamental respondieron de la misma
su capacidad de abordar la seguridad forma. Por otro lado, 42% de las entidades
digital, la falta de personal con dedicacin de orden territorial municipal contestaron
exclusiva al rea y la falta de presupuesto que han identificado los incidentes digitales.
fueron clasificados como ms altos, con
la falta de conciencia de los empleados Se identific una relacin estadsticamente
inmediatamente despus. De hecho, los significativa positiva entre la implementacin
anlisis de la asignacin presupuestal a de medidas tcnicas como pruebas
asuntos de seguridad digital confirmaron de vulnerabilidad y mantenimiento de
esta preocupacin de los entrevistados, la infraestructura de Tecnologas de
como se observa ms abajo. la Informacin y la identificacin de
incidentes digitales por las organizaciones
Tener la capacidad de identificar incidentes pblicas y privadas. As tambin se
es importante para las entidades, ya que aprecia con la variable explicativa relativa
es el primer paso para poder contener a la prctica de evaluacin de riesgo
un ataque malicioso y poder responder. ciberntico. Es decir, organizaciones que
Cuando se pregunta si se han identificado implementan ms medidas de seguridad
incidentes digitales contra su organizacin digital tienden a identificar un nmero
en el ao 2016, ms del 70% de las ms grande de incidentes digitales. Esto
microempresas contestaron que no han significa que muchas organizaciones que
identificado incidentes digitales. Entre las no implementan estas medidas no tienen
pequeas empresas, aproximadamente el conocimiento de que son blancos
el 60% tampoco identificaron incidentes de ataques cibernticos. Asimismo, se
digitales. Sin embargo, entre las medianas observ una relacin estadsticamente
y grandes empresas, la mayora de las positiva al conocer de la Poltica Nacional
empresas contestaran que s identificaron de Seguridad Digital (Documento CONPES
incidentes digitales: 51% y 63%, 3854 de 2016), aprobado el 11 de abril
respectivamente. Al analizar los distintos de 2016, y la identificacin de incidentes
sectores econmicos, solamente en el digitales por las entidades estatales.
sector Industria la mayora de las empresas
identificaron los incidentes digitales:
16
En cuanto a los tipos de incidentes que se presupuesto de la seguridad digital en
estn experimentando, los participantes relacin a las ventas de las empresas fue
del estudio indicaron en su respuesta aproximadamente 0,3% de las ventas
a la pregunta, Qu tipos de incidentes en 2016. Las microempresas tienen
digitales, amenazas cibernticas o ataques presupuestos para la seguridad digital ms
cibernticos ha identificado su entidad/ pequeos en trminos absolutos. Por otro
empresa durante el ao 2016?, que el lado, las empresas del sector de Servicios
malware y el phishing se encontraban entre (principalmente del sector financiero)
los tipos de incidentes ms comunes. Se tienden a asignar un presupuesto ms
observ que, dentro del sector de Servicios, grande a la seguridad digital.
el 50% de los que respondieron notaron un
En las entidades pblicas, la estimacin
aumento en los ataques de malware, 47%
de la mediana del presupuesto
de phishing, 39% de ataques basados en
asignado a la seguridad digital en
web y 18% de ataques de denegacin de
relacin al presupuesto de inversin fue
servicio. En el sector Comercio, se hicieron
aproximadamente 0,05% del total de las
observaciones similares con un 53%
inversiones en 2016.
reportando un incremento en el malware,
un 41% report un aumento en el phishing y Es decir, cuando se asign presupuesto
un 21% not un incremento tanto en ataques a la seguridad digital, este presupuesto
basados en web como en ataques de no lleg a 1% de las ventas o inversiones
denegacin de servicio. Curiosamente, sin de las organizaciones en 2016. Adems,
embargo, hubo algunas variaciones dentro se verific que, en promedio simple, la
del sector Industria en esta observacin, mayor parte del presupuesto fue asignado
ya que el 67% report un incremento en la para plataformas y medios tecnolgicos,
gravedad de los ataques basados en web mientras la generacin de capacidades
y el malware y el 59% report un aumento recibi la menor cantidad de recursos
en los ataques de phishing. En trminos tanto en las organizaciones pblicas como
de entidades que identifican realmente no en las privadas. Cabe recalcar que la
solo el aumento en gravedad sino el tipo generacin de capacidades incluye temas
de ataques, los participantes del estudio como capacitacin y concientizacin
indicaron que han visto un mayor aumento de los empleados y funcionarios. Como
en ataques de phishing y malware. se mencion, la falta de personal con
dedicacin exclusiva al rea y la falta de
Al analizar los valores de las empresas que
presupuesto fueron clasificados como
asignaron algn presupuesto a la seguridad
los principales factores que afectaron la
digital, se observ que la mediana del
17
seguridad digital en las organizaciones, Los resultados indican que existe una relacin
siedo la falta de conciencia de los significativa y positiva entre el costo y el nmero
empleados inmediatamente despus. de incidentes. Segn el modelo, se estima que
el incremento de una unidad en el nmero de
Es importante sealar que muchas de las incidentes aumenta en aproximadamente COP
organizaciones no estiman el costo de los $500 mil pesos colombianos el costo incurrido
incidentes digitales: 79% de las empresas por las empresas en Colombia como resultado
afirmaron que no contaban con ningn de incidentes digitales. Es importante tener en
costo estimado, mientras el 85% de las cuenta que este valor es una estimacin a partir
entidades pblicas afirmaron que no de la informacin reportada y que algunos
hacen ningn tipo de estimacin. En este incidentes pueden tener valores ms bajos,
contexto, se realizaron estimaciones en mientras otros ms altos.
base a las organizaciones que s estimaron
el costo de los incidentes digitales. En relacin a las entidades estatales nacionales,
el costo represent aproximadamente 0,5%
Se logra observar que el costo relativo con de la inversin de las entidades pblicas. No
incidentes digitales disminuy a medida obstante, estos datos se refieren a las entidades
que las empresas aumentan de tamao. estatales de orden nacional de la rama ejecutiva
Aunque las grandes empresas tuvieron un o a entes autnomos nacionales. No hubo un
costo absoluto con incidentes digitales muy nmero significativo de entidades territoriales
superiores que los costos incurridos por que respondieran la informacin acerca del costo.
una microempresa, por ejemplo, el costo
relativo con incidentes digitales de una En resumen, se puede concluir que las adopciones
gran empresa fue significativamente ms de medidas de seguridad digital son esenciales
pequeo. Es muy importante notar que no slo para protegerse, sino tambin para tener
hay un nmero ms grande de empresas una mejor comprensin acerca del impacto de
con costos relativos a la prdida de los incidentes digitales en las organizaciones
propiedad intelectual por encima de los colombianas. Aunque muchas organizaciones
$325 millones de pesos colombianos: afirmaron estar preparadas para los incidentes
cerca de 10% de las empresas, siendo digitales, muchas organizaciones no tienen
que 3% presentaron prdidas a la personal dedicado a la seguridad digital, con la
propiedad intelectual de ms de COP tendencia general a transferir la responsabilidad
$4.000.000.000. En este ltimo grupo, de la respuesta a incidentes y la seguridad
la mayora consisti en grandes empresas, digital bajo las funciones generales de los
incluyendo empresas del sector Comercio, departamentos de TI.
y del sector financiero.
18
La asignacin presupuestal a la A partir del anlisis de las distintas
seguridad digital es menos de 1% de las organizaciones colombianas, se pudo
ventas/inversiones de las organizaciones observar que las grandes empresas estn
y, cerca de 10% de este 1% es asignado a ms preparadas y, aunque los costos
temas de capacitacin y concientizacin. absolutos de los incidentes digitales
Esto es preocupante, principalmente son ms altos, sus costos relativos son
cuando se observa que la mayora de ms pequeos que los costos de las
las organizaciones que participan del microempresas. Es decir, se estima que los
estudio tienen cerca de 81% a 100% de sus costos de los incidentes digitales tienen un
empleados y funcionarios conectados al impacto ms grande en las microempresas.
Internet, y con el aumento de la gravedad Con respecto a las entidades estatales, se
de los ataques de phishing y malware, nota la relacin estadsticamente positiva
que pueden tener como blanco cualquier en conocer la Poltica Nacional de Seguridad
persona dentro de la organizacin. Digital (Documento CONPES 3854 de
2016) e identificar incidentes digitales,
Los datos recabados muestran que
principalmente entre las entidades
los ataques cibernticos aumentan en
nacionales. Sera interesante desarrollar
sofisticacin e impacto mientras que la
acciones de poltica de seguridad digital
actualizacin de los recursos humanos
con un enfoque particular en las entidades
y tecnolgicos para defenderse y las
de orden territorial.
dotaciones presupuestarias enfocadas
en la seguridad digital son an pequeas
y crecen con lentitud. La gravedad de
las amenazas y el dao que generan
demandan acciones urgentes en las cuales
el sector pblico y el privado colaboren
estrechamente.
19
20
gua
del
lector
21
permitir identificar cules son los
principales incidentes, amenazas
gua del y ataques contra la seguridad
lector
digital (seguridad ciberntica y/o
seguridad de la informacin) que
estn afectando al pas, reconocer
sus principales blancos u objetivos
E
l propsito de este instrumento y conocer los costos econmicos
elaborado por el Gobierno de que estos representan para los diferentes
Colombia, a travs del Ministerio de sectores de la economa del pas y del
Tecnologas de la Informacin y las Gobierno, entre otros. Por lo tanto, este
Comunicaciones (MINTIC), la Organizacin estudio pretende identificar cmo estn
de los Estados Americanos (OEA) y el afectando los incidentes de seguridad
Banco Interamericano de Desarrollo (BID), digital a las organizaciones colombianas
es obtener informacin sobre las amenazas tanto del sector privado, como del sector
de seguridad digital (seguridad ciberntica pblico y ha tomado como base cifras del
y/o seguridad de la informacin) y su ao 2016.
impacto en el pas.
El estudio se divide en dos partes de la
La Poltica Nacional de Seguridad Digital, siguiente manera:
aprobada el pasado 11 de abril de 2016 por
el Consejo Nacional de Seguridad Digital, Parte 1) Anlisis del Sector Privado: este
mediante la expedicin del Documento anlisis se divide en cinco secciones.
CONPES 3854 de 2016, inform sobre La primera seccin del anlisis ofrece
la necesidad de Crear las condiciones informacin acerca del perfil de las
para que las mltiples partes interesadas empresas colombianas, tal como el
gestionen el riesgo de seguridad digital tamao, el nmero de empleados, el sector
en sus actividades socioeconmicas y se econmico y el porcentaje aproximado del
genere confianza en el uso del entorno personal de la empresa que tiene acceso
digital. En este contexto, este estudio a Internet para desarrollar sus actividades
servir de insumo del gobierno nacional profesionales. Con estos datos, se
para generar instrumentos pertinentes pudo analizar la seguridad digital de las
en relacin al cumplimiento de la poltica empresas teniendo en cuenta sus distintos
definida y la priorizacin del desarrollo perfiles. La segunda seccin del anlisis
de los planes futuros en la materia. presenta informacin sobre las medidas
Ms especficamente, este estudio de seguridad digital adoptadas por las
22
empresas, tal como medidas tcnicas, digital en Colombia, tomando como base los
polticas organizacionales y gestin del resultados del Informe elaborado por la OEA,
riesgo de la seguridad digital. La tercera el BID, y el Centro de Capacidad Global sobre
seccin describe los incidentes digitales Seguridad Ciberntica de la Universidad de
enfrentados por la empresa durante el Oxford, titulado Ciberseguridad: Estamos
perodo de tiempo analizado. La cuarta preparados en Amrica Latina y el Caribe?
seccin estima el presupuesto asignado Los niveles de madurez descritos en ese
por la empresa a asuntos de seguridad Informe cubren cinco dimensiones: (1)
digital y, finalmente, la ltima seccin busca Poltica y Estrategia; (2) Cultura y Sociedad;
identificar los costos generados por las (3) Educacin; (4) Marcos Legales; y (5)
consecuencias de los incidentes digitales. Tecnologas. El anlisis situacional tambin
proporciona informacin sobre los avances
Parte 2) Anlisis de Entidades del Sector realizados en relacin con la seguridad digital
Pblico: de manera similar al anlisis del y otras actividades relacionadas con el campo
sector privado, este anlisis se divide en de la seguridad digital.
cinco secciones. La primera proporciona
un resumen del perfil las entidades Anexo 2) Metodologa: describe la metodologa
pblicas colombianas entrevistadas, e adoptada para este Estudio. Incluye la lgica
incluye informacin acerca del orden a que para el desarrollo de las preguntas planteadas
pertenece la entidad, nmero de personal, en el instrumento de recoleccin de informacin
y porcentaje del personal de la entidad utilizado, as como la metodologa de distribucin
con acceso a Internet. La segunda seccin adoptada.
describe las medidas de seguridad digital
adoptadas por las distintas entidades, Anexo 3) Anlisis estadstico complementario:
mientras la tercera ofrece una descripcin presenta los resultados de las regresiones
de los tipos de incidentes vividos durante lineales conducidas en este Estudio, as
el periodo de tiempo analizado por las como las estimaciones de los modelos LOGIT
entidades entrevistadas. La cuarta seccin adoptados.
describe la asignacin presupuestal, y la
ltima parte analiza los costos generados
debido a los incidentes digitales.
Anexo 1) Anlisis Situacional: ofrece una
visin general del panorama de seguridad
digital de Colombia e incluye un anlisis de
la situacin de la capacidad de seguridad
23
24
prlogo
25
el Estado Social de Derecho, el ejercicio de los
derechos fundamentales, la seguridad nacional,
la defensa nacional y la soberana.
david
participacin de los colombianos a travs de
canales electrnicos.
26
Organizacin de Estados Americanos (OEA), El gobierno nacional de Colombia est
la Unin Internacional de Telecomunicaciones convencido de que la gestin de riesgos de
(UIT) y la Organizacin del Tratado del Atlntico seguridad digital es requisito fundamental
Norte (OTAN). para los procesos de digitalizacin sectorial
y transformacin digital del pas, y se
La Poltica articula una visin estratgica constituye en una valiosa herramienta para
que busca que el gobierno nacional y los el afianzamiento de la paz, el fortalecimiento
territoriales, las organizaciones pblicas y de la confianza, la masificacin del Internet, la
privadas, la Fuerza Pblica, los propietarios reduccin de la pobreza y la consolidacin de la
u operadores de las infraestructuras crticas economa digital.
cibernticas nacionales, la academia y la
sociedad civil hagan un uso responsable del Por esta razn, y a partir de los resultados
entorno digital y fortalezcan sus capacidades presentados en este estudio, es necesario
para identificar, gestionar, tratar y mitigar los que los lderes de las organizaciones pblicas
riesgos de seguridad digital en sus actividades y privadas de Colombia y de la regin revisen
socioeconmicas en el entorno digital, en en detalle las medidas de seguridad digital
un marco de cooperacin, colaboracin y implementadas hasta hoy y su nivel de
asistencia. inversin, con el fin de adaptar sus modelos
de administracin y negocio para maximizar
Con el fin de contar con insumos fundamentales las oportunidades en el desarrollo de las
para generar documentos estratgicos y actividades socioeconmicas en el entorno
priorizar las acciones por parte del gobierno digital.
nacional, el Ministerio TIC de Colombia, la
OEA y el Banco Interamericano de Desarrollo,
en conjunto con expertos nacionales e 1 En Colombia se multiplic por 11 el nmero de conexiones a Internet,
pasando de 2,6 millones en 2010 a 28,7 millones en 2017. Con 15,6
internacionales en la materia, han adelantado millones de conexiones de Internet de Banda Ancha en 2017, el
este estudio titulado Impacto de los incidentes, pas logr un incremento del 609 % frente al 2010, acercndose a
niveles de acceso similares a pases que pertenecen a la OCDE,
amenazas y ataques cibernticos en Colombia, como Portugal, Turqua e Israel, y muy por encima del promedio de
el cual presenta un panorama actual de la crecimiento de los pases de Amrica Latina y el Caribe.
seguridad digital (seguridad ciberntica y/o
2 El pas cuenta con una red nacional de fibra ptica y se avanza en
seguridad de la informacin) en Colombia; la conexin de zonas apartadas del territorio nacional, a travs de la
identifica los principales tipos de incidentes, red de alta velocidad. Actualmente, ms de 160 mil hogares cuentan
con Internet a tarifas sociales y se han instalado ms de 1.300
amenazas y ataques contra la misma que nuevos Kioscos Vive Digital en zonas rurales, 37 laboratorios para
afectan a entidades del sector pblico y a desarrollar videojuegos, aplicaciones y contenidos digitales y ms de
750 zonas WiFi gratis.
empresas; reconoce sus principales blancos u
objetivos, y estima, de manera general, algunos 3 Se estima que el 26 % de las micro, medianas y pequeas
empresas (MiPyme) colombianas compran en lnea y el 8 % venden
costos econmicos que estos representan por Internet.
para los diferentes sectores de la economa
del pas.
27
en productos y servicios de seguridad
de la informacin llegar a USD $86.400
millones en 2017, un incremento del 7 por
ciento desde 2016, con un gasto esperado
de USD $93.000millones en 2018. Ms
alarmante es el hecho de que se prev que
el gasto mundial en productos y servicios de
seguridad digital exceda USD $1 billn en los
prximos cinco aos, 2017-2021.
Paz y Paz
cibernticos en las organizaciones
colombianas.
29
ms de la mitad de la poblacin se conecta
a internet regularmente. Sin embargo,
no estamos llevando a cabo las polticas
de seguridad digital que garanticen que
nuestros ciudadanos y nuestras empresas
pueden operar en el ciberespacio sin correr
el peligro de que su identidad sea robada,
su patrimonio daado o su integridad fsica
puesta en peligro.
30
la microempresa, para los cuales es necesario
llevar a cabo acciones de sensibilizacin y
capacitacin que disminuyan el riesgo de que
sean vctimas de un ataque ciberntico.
31
32
PARTE 1
Anlisis
del Sector
Privado
33
Perfil de las Empresas
A
los efectos de este estudio, Cul es el tamao de su empresa?,
una empresa es empresa el 44% de los entrevistados indic que
colombiana: i) del sector privado correspondan a microempresas, el 23%
o ii) de economa mixta en la que a pequeas empresas y el 12% y el 21%
el Estado tenga participacin inferior al informaron que eran medianas y grandes
50%. En respuesta a la pregunta: empresas, respectivamente, como se
demuestra en el siguiente diagrama:
34
Entre las Empresas entrevistadas, el 84% entrevistadas, el 69% pertenece al sector
inform que el 100% era de propiedad de Servicios, o que incluye, por ejemplo, el
privada, mientras que el 16% era i) de sector financiero, el 20% al sector Comercio
propiedad pblica o ii) de propiedad y el 11% al sector Industria.
pblica y privada (mixta). De las Empresas
35
En cuanto al nmero de las Empresas entre 4 y 799 empleados, y 11% de las
entrevistadas en funcin del tamao, el empresas tienen mayor a 800 empleados.
28% tenan menos de 4 empleados, 60%
36
En relacin con las Empresas que acceso al 61%-80% de sus empleados
participaron de este estudio, el 65% y un 26% le daba entre 0 y 60% de sus
indicaron que entre el 81% y el 100% de empleados.
su fuerza laboral contaba con acceso a
Internet, el 9% respondi que le daban
37
Cuando se formul la pregunta La En general, se podra concluir que el
Empresa APLICA una Poltica de Trae tu perfil general de quienes participan de
propio Dispositivo (en ingls, bring your este estudio son Microempresas, siendo
own device -BYOD-)?, el 40% de los la mayora del sector de Servicios. Sin
entrevistados indicaron que tenan una embargo, es importante tener en cuenta
poltica BYOD frente al 60% que indicaron que el 21% de los entrevistados pertenecen
que no la tenan. a grandes empresas y el 34% de los
entrevistados contaban con un mnimo de
99 empleados o ms.
Prcticas de seguridad
digital en las empresas
Como parte del estudio, se realizaron los entrevistados de los tres sectores creen
una serie de preguntas con respecto a que estaban preparados para manejar un
las prcticas de seguridad digital. Estas incidente ciberntico. Aproximadamente
preguntas se formularon con el propsito el 30% de los entrevistados del sector
de evaluar cmo sus prcticas impactaron Comercio consideraron que no estaban
el nivel de ataques experimentados y el preparados o no estaban totalmente
impacto final que estas prcticas pueden preparados para un incidente ciberntico.
tener en los costos reales incurridos como
resultado de un ataque.
En respuesta a la pregunta Mi entidad/
empresa est preparada para hacer
frente a un incidente digital, los datos
fueron analizados teniendo en cuenta tanto
al sector como el tamao de las mismas.
Entre los sectores: Servicios, Industria y
Comercio, un promedio simple del 37% de
38
Grfico 5: Nivel de preparacin para hacer frente a
un incidente digital (sector econmico)
En cuanto al tamao de estas empresas, el 70% de las grandes empresas se sienten muy
preparadas o preparadas para un incidente digital, frente al 45% de las microempresas.
De los resultados se desprende que un promedio simple de alrededor del 22% de las
empresas de todos los tamaos contestaron que estaban ni de acuerdo ni en desacuerdo
con la afirmacin Mi empresa est preparada para hacer frente a un incidente digital.
39
Grfico 6: Nivel de preparacin para hacer frente a un incidente digital (tamao de la empresa)
Si se compara por tamao, resulta evidente Entre las empresas ms grandes, una
que la mayora de los entrevistados tambin observacin de inters fue que el 88%
dieron un mayor peso a la aplicacin de las implement medidas de polticas, pero solo
polticas como una medida de seguridad el 45% de las empresas que participan de
digital. Entre las microempresas, 44% de este estudio mencionan que adoptaron
ellas han implementado polticas, 37% estndares. Entre todos los entrevistados,
medidas tcnicas y 34% normas y medidas la implementacin de medidas y estndares
organizativas. organizacionales fue identificada como la
prctica de ms baja prioridad. Vase los
grficos a continuacin.
41
Grfico 8: Prcticas en Seguridad Digital (tamao de la empresa)
43
embargo, esta tendencia de reorientar Esto demuestra an ms la conclusin de
los departamentos de tecnologa de la que si bien las empresas han reconocido
informacin para manejar la seguridad la importancia de abordar los incidentes
digital y la respuesta a incidentes, a largo cibernticos, no han invertido en las reas
plazo, puede conducir a tener un equipo de de organizacin de sus empresas para
personas que no poseen las habilidades hacer frente a esto.
necesarias para responder a incidentes
ms sofisticados1. Por ltimo, en relacin con las prcticas
organizacionales, cuando se les pregunt
Cuando se les pregunt a los entrevistados, si su organizacin emprenda o no la
Cuntas personas conforman el equipo evaluacin del riesgo de la seguridad digital,
o rea que tiene a cargo la seguridad la mayora de los entrevistados indicaron
digital (seguridad digital y/o seguridad que no lo hicieron. Esto, en trminos de
de la informacin) en su empresa?, el tamao de las empresas, se desglos
55% respondi que tenan 1-2 personas como sigue:
dedicadas, el 27% respondi 3-5 personas
y solo el 18% indic ms de 5 personas.
44
En relacin a los sectores econmicos, de las mejores prcticas de la industria es
el 50% de los entrevistados del sector el Marco de Seguridad Digital del Instituto
Industria indicaron que no lo hicieron, en Nacional de Estndares y Tecnologa (NIST,
comparacin con solo el 32% y el 45% de por sus siglas en ingls)2, que pone de
los sectores Comercio y de Servicios que relieve que el objetivo de una evaluacin de
s realizaron una evaluacin del riesgo de riesgos es que una organizacin entienda
seguridad digital. el riesgo de seguridad digital para las
operaciones organizacionales (incluyendo
misin, funciones, imagen o reputacin),
Grfico 11: Evaluacin del riesgo activos de la organizacin y los individuos.
ciberntico (sector econmico) Segn lo establecido por el NIST, la
realizacin de una evaluacin de riesgos
tpicamente incluye los siguientes seis
pasos:
1. Identificar y documentar
vulnerabilidades de los Activos.
2. Identificar y documentar las
amenazas internas y externas.
3. Adquirir informacin sobre
amenazas y vulnerabilidades de
fuentes externas.
4. Identificar posibles impactos
comerciales y probabilidades.
5. Determinar el riesgo empresarial
Nmero de observaciones: 439 revisando amenazas,
vulnerabilidades, probabilidades e
impactos.
Este resultado lleva a hacer unas 6. Identificar y priorizar las
observaciones significativas ya que el respuestas de riesgo.
propsito para la realizacin de una En este sentido, se puede inferir que
evaluacin de riesgos para cualquier muchos de los entrevistados no aprecian
organizacin es ayudarle a la misma a plenamente el valor que las mejores
desarrollar recomendaciones ejecutables
para mejorar la seguridad e implementar 2 Marco de Seguridad Ciberntica NIST, Accedido en:
https://www.nist.gov/cyberframework; ltimo acceso: 29
las mejores prcticas de la industria. Una de agosto de 2017
45
prcticas les podran dar a sus operaciones en Marca, Propiedad intelectual/secretos
comerciales. Por ejemplo, cuando se industriales y Reputacin.
les pregunt: A la hora de protegerse
frente a incidentes digitales, amenazas Curiosamente, cuando se compararon los
cibernticas y/o ataques cibernticos, datos por tamao de las organizaciones,
cules de estos datos y/o activos de los resultados fueron casi exactamente
informacin son priorizados por su los mismos en trminos de niveles de
entidad/empresa? Por favor marque prioridades. Esto es significativo, ya que
las opciones que apliquen, casi todos una de las mejores prcticas para la
los entrevistados a travs de sectores gestin del riesgo ciberntico es que las
y tamaos indicaron que les daran entidades sean proactivas en lugar de
prioridad a Datos de acceso a sistemas reactivas y, como tal, es importante revisar
de informacin (p. ej.: contraseas, las amenazas, identificar vulnerabilidades y
tokens, credenciales) y Datos de clientes. consecuencias y es evidente que la mayora
En cuanto a los sectores econmicos, las de las organizaciones vean los datos como
empresas de los tres (Comercio, Industria un activo significativo por proteger. Los
y Servicios) colocaron la menor prioridad siguientes grficos muestran el resumen
de los resultados por sector:
Por lo tanto, cuando se pregunta, en una los recursos humanos y financieros con
escala de 1-5, lo que los entrevistados dedicacin exclusiva todava no estn
creen que son los principales factores siendo priorizados.
que afectaran su capacidad de abordar
la seguridad digital, la falta de personal
con dedicacin exclusiva al rea y la falta
de presupuesto fueron clasificados como
ms altos, con la falta de conciencia de
los empleados inmediatamente despus.
A este respecto, se puede inferir que, si
bien la mayora de las empresas ven la
necesidad de abordar la seguridad digital,
47
Incidentes digitales
en las empresas
49
Dentro de las variables explicativas4, se Tambin se incluyeron otras variables
incluy un conjunto de variables dicotmicas5 explicativas, como el nmero de empleados
que capturaron factores especficos de de la empresa, el porcentaje aproximado
las empresas, tal como el tamao de la del personal de la empresa que tiene
empresa y el sector econmico. Es decir, acceso a Internet para desarrollar sus
grande, mediana, pequea o micro, as actividades profesionales, el porcentaje
como si la empresa pertenece al sector del capital social de la empresa que es
Industria, Comercio o de Servicios. Otras extranjero, el valor aproximado (en pesos
variables dicotmicas incluyeron: (i) si colombianos) de las ventas de la empresa
la empresa implementa polticas de durante el ao de 2016, as como el valor
seguridad digital (por ejemplo, poltica de aproximado de presupuesto designado
acceso al sistema, poltica de actualizacin por la empresa para asuntos de seguridad
de contraseas, concientizacin); (ii) si la digital.
empresa implementa medidas tcnicas
(por ejemplo, pruebas de vulnerabilidad, Dada la naturaleza binaria de la variable
mantenimiento de la infraestructura de TI); dependiente, se utiliza un modelo
(iii) si la empresa implementa estndares de estimacin logit6 (Anexo 3). Los
(por ejemplo, ISO 27001, otros estndares resultados indican que hay una relacin
internacionales); (iv) si la empresa tiene un estadsticamente significativa positiva
rea, cargo(s) o rol(es) dedicado(s) a la entre la implementacin de medidas
seguridad digital; (vi) si la empresa conoce tcnicas - como pruebas de vulnerabilidad
alguna reglamentacin y/o legislacin y mantenimiento de la infraestructura
nacional o territorial que requiera las de TI - y la identificacin de incidentes
empresas de su sector implementen digitales. As tambin se aprecia con la
prcticas de gestin de riesgo ciberntico; variable explicativa relativa a la prctica
y (vii) si la empresa hace alguna evaluacin de evaluacin de riesgo ciberntico. Ms
de riesgo ciberntico. especficamente, los resultados indican
que la probabilidad que una empresa en
Colombia identifique incidentes digitales
aumenta para aquellas empresas que
4 La variable explicativa, o independiente, es implementan medidas tcnicas de
aquella que explica los cambios en la variable
dependiente. 6 Este modelo asume que los efectos individuales
5 La variable dicotmica o binaria es aquella que han sido promediados, lo que facilita el clculo y la
tiene solo dos formas de presentarse. Es decir, interpretacin de los efectos marginales que, a su
una variable que puede asumir solo dos valores vez, miden el efecto de un cambio en uno de los
posibles, como s o no. regresores sobre la variable dependiente.
50
seguridad y que hacen evaluacin de ha notado un cambio en la gravedad (o
riesgo. Igualmente existe una relacin criticidad) de los ataques cibernticos
estadsticamente significativa positiva entre durante el ao 2016?, el 70% del sector
la identificacin de incidentes y el nmero Industria respondi que haba notado un
de empleados de una empresa. Por otro cambio en la gravedad de los ataques en
lado, los resultados indican una relacin comparacin con el resto de la poblacin.
estadsticamente significativa negativa El 35% del sector Comercio y el 46% del
entre la identificacin de incidentes y las sector de Servicios indicaron que los niveles
microempresas. de ataques seguan siendo los mismos.
En trminos de tamao de la empresa,
Tener la capacidad de identificar incidentes se observ entre las respuestas que un
es importante para las entidades, ya que mayor nmero de pequeas empresas
es el primer paso para poder contener respondieron haber visto un aumento en la
un ataque malicioso y poder responder. gravedad. Vase los grficos comparativos
Cuando se pregunta, Su entidad/empresa a continuacin:
Gran
Mediana
Pequea
Micro
0% 25 % 50 % 75 %1 00 %
Servicios
Industria
Comercio
0% 25 % 50 %7 5 %1 00 %
52
Grfico 16: Gravedad de los incidentes digitales (2016)
53
Nmero de observaciones: 178
54
Al comparar estos datos con el Informe del 114.4% en ataques de malware en el
del mes de agosto de 2017 del Centro pas, en relacin al 2015 (153 incidentes
Ciberntico Policial (CCP) de Colombia, reportados en el 2015, 328 incidentes
tambin se ha producido un incremento reportados en el 2016).
anual de denuncias cibernticas bajo
Sin embargo, sigue siendo necesario
Denuncias Ley 1273-Delitos Informticos
aumentar el nivel de denuncias de los
en Colombia, para estos propsitos
incidentes digitales, como cuando se les
especialmente en relacin al Articulo
pidi a los entrevistados que respondieran
269E: Uso de software malicioso y
a este instrumento, En la ocurrencia de
Articulo 269G: Suplantacin de sitos
un incidente digital, amenaza ciberntica
web para capturar datos personales.
y/o un ataque ciberntico, quines son
Por su parte, el informe de marzo de 2017,
notificados en su entidad/empresa?
Informe: Amenazas del Cibercrimen en
Por favor marque las opciones que
Colombia 2016-20177, concluy que el
apliquen, el 87% inform que no notific
nivel de informacin del sector empresarial
sobre incidentes digitales a una Autoridad
aument del 5% al 28% en el nmero
Nacional, comparado con el 80% que
de informes recibidos. El informe revel
respondi que lo reportaron a los directores
algunos hechos interesantes como que
de la organizacin.
durante el 2016 hubo un incremento
55
Grfico 17: Notificacin de incidentes digitales (2016)
.
Nmero de observaciones: 439
56
Grfico 18: Nmero de incidentes digitales
identificados por las empresas (2016)
57
(por ejemplo, poltica de acceso al sistema, poltica de actualizacin de contraseas,
concientizacin); (iv) si la empresa implementa estndares (por ejemplo, ISO 27001, otros
estndares internacionales); (v) si la empresa hace alguna evaluacin de riesgo ciberntico;
y (vi) si la empresa conoce alguna reglamentacin y/o legislacin nacional o territorial que
requiera las empresas de su sector implementen prcticas de gestin de riesgo ciberntico.
Adems, el modelo cuenta con variables dicotmicas que identifican el sector econmico
a lo cual pertenece la empresa, tal como Industria, Comercio y Servicios, y el tamao de la
empresa.
Los resultados indican que hay una relacin positiva y estadsticamente significativa entre el
presupuesto designado por la empresa para seguridad digital con el nmero de incidentes.
Con respecto a prcticas de seguridad digital, igualmente se verific una relacin significativa
y positiva entre las empresas que implementan medidas tcnicas de seguridad, que hacen
evaluacin de riesgo y que adoptan estndares. Es decir, empresas que implementan ms
medidas de seguridad digital tienden a identificar un nmero ms grande de incidentes
digitales. Esto significa que muchas empresas que no implementan estas medidas ni tienen
el conocimiento que son blancos de ataques cibernticos.
58
Grfico 19: Presupuesto Anual para la Seguridad Digital
de las empresas que asignan recursos para TI (2016)
59
Cuadro 1: Mediana del Presupuesto Anual para la Seguridad
Digital por empresa que asigna recursos para TI (2016)
Al analizar los valores de las empresas colombianas que asignaron algn presupuesto a
la seguridad digital, se observ que la mediana del presupuesto de la seguridad digital
en relacin a las ventas de las empresas fue aproximadamente 0,3% del as ventas en
2016. Es decir, cuando se asign presupuesto a la seguridad digital, este presupuesto no
lleg al 1% de las ventas de la empresa en 2016.
Adems, se verific que, en promedio simple, la mayor parte del presupuesto fue asignado
para plataformas y medios tecnolgicos, mientras la generacin de capacidades recibi la
menor cantidad de recursos. Aproximadamente 47% del presupuesto de seguridad digital
fue asignado a plataformas y medios electrnicos, y 11% a generacin de capacidades que,
60
a su vez, incluye temas como capacitacin y concientizacin. Es interesante observar que,
en el captulo sobre prcticas de seguridad digital en las empresas, se observ que la falta
de conciencia y conocimiento por parte de los empleados estuvo entre las fallas que ms
afectaron la capacidad de las empresas en materia de seguridad digital en 2016.
61
El modelo tambin cuenta con variables Con respecto a prcticas de seguridad
dicotmicas que identifican el sector digital, igualmente se verific una relacin
econmico al cual pertenece la empresa, significativa y positiva entre el presupuesto
tal como Industria, Comercio y Servicios, para la seguridad digital y las siguientes
y el tamao de la empresa. Igualmente variables dicotmicas: existencia de un
se incluyen las siguientes variables cargo o rol dedicado a la seguridad digital,
dicotmicas: (i) si la empresa tiene un medidas tcnicas, polticas de seguridad
rea, cargo(s) o rol(es) dedicado(s) a digital, estndares, y evaluacin de
la seguridad digital; (ii) si la empresa riesgo. En otras palabras, las empresas
implementa medidas tcnicas de seguridad que implementan estas prcticas de
(por ejemplo, pruebas de vulnerabilidad, seguridad digital asignan un presupuesto
mantenimiento de la infraestructura de ms grande para la seguridad digital
TI); (iii) si la empresa adopta polticas de que las empresas que no adoptan estas
seguridad digital (por ejemplo, poltica de prcticas. Finalmente, cabe destacar la
acceso al sistema, poltica de actualizacin relacin negativamente significativa entre
de contraseas, concientizacin); (iv) si las microempresas y el presupuesto para
la empresa implementa estndares (por la seguridad digital. En otras palabras,
ejemplo, ISO 27001, otros estndares las microempresas tienen presupuestos
internacionales); (v) si la empresa hace para la seguridad digital ms pequeos
alguna evaluacin de riesgo ciberntico; en trminos absolutos. Por otro lado,
y (vi) si la empresa conoce alguna las empresas del sector de Servicios
reglamentacin y/o legislacin nacional o (principalmente del sector financiero)
territorial que requiera las empresas de su tienden a asignar un presupuesto ms
sector implementen prcticas de gestin grande a la seguridad digital.
de riesgo ciberntico.
Es importante tener en cuenta que el
Los resultados indican que hay una relacin presupuesto para la seguridad digital es un
positiva y estadsticamente significativa costo de prevencin de incidentes digitales.
entre el nmero de empleados, las ventas Es decir, son los recursos utilizados para
de la empresa y el presupuesto para la cubrir los costos incurridos con las prcticas
seguridad digital. En otras palabras, a de seguridad digital. En la prxima seccin,
mayor sea el nmero de empleados y las sern analizados los costos incurridos
ventas de las empresas, ms grande ser como consecuencia de un incidente digital.
el presupuesto asignado a la seguridad
digital.
62
Costo de los distribucin de los costos con el nmero
incidentes digitales de incidentes digitales incurridos por las
para las empresas empresas segn cinco categoras de
costos: (i) interrupcin de las operaciones
normales de la empresa; (ii) dao a activos
Cuando las empresas fueron preguntadas e infraestructura; (iii) sanciones, multas y
sobre la estimacin de los costos derivados gastos legales; (iv) dao a la reputacin y
de las consecuencias negativas causadas la imagen del mercado; y (v) prdida de la
por la ocurrencia de incidentes digitales, propiedad intelectual o de otra informacin
79% de las empresas afirmaron que no empresarial sensible comercialmente.
contaban con ningn estimativo, como se
En contraste con los costos de prevencin
observa en el Grfico 20 a continuacin:
de incidentes digitales, descritos en la
Grfico 20: Empresas que estimaron seccin sobre presupuesto a la seguridad
las consecuencias negativas de los digital, estas cinco categoras se refieren
incidentes digitales (2016) a la estimacin del costo como una
consecuencia de un incidente digital. Por
ejemplo, un incidente digital puede llevar
a la interrupcin de la produccin de los
productos o de la prestacin del servicio
de la empresa, afectando sus actividades
regulares. Un incidente digital tambin
puede resultar en el robo de datos de
la empresa, tal como datos sensibles
comercialmente y de su propiedad
intelectual. Algunos incidentes buscan
atacar la infraestructura tecnolgica de
las empresas y causar daos a su red y
sistemas. Igualmente, un incidente digital
puede generar gastos legales, tal como
Nmero de observaciones: 429
multas reglamentarias y compensaciones
a clientes. Asimismo, se busc incluir los
Teniendo en cuenta las empresas que
costos a la reputacin de la empresa, que
estimaron los costos incurridos como
puede resultar en la prdida de confianza
resultado de los incidentes digitales, los
de los clientes y, como consecuencia,
grficos a continuacin presentan la
afectar sus ventas.
63
Grfico 21: Costos de interrupcin de las operaciones
incurridos por las empresas que estimaron el impacto de
los incidentes digitales (2016)
Nmero de observaciones: 58
64
Grfico 22: Costos de daos a los activos e
infraestructura incurridos por las empresas que
estimaron el impacto de los incidentes digitales (2016)
Nmero de observaciones: 58
Con respecto al dao a los activos e infraestructura de la empresa, ms del 60% de las
empresas tuvieron un costo ms pequeo que COP $1.000.001, aproximadamente 20%
tuvieron un costo entre COP $1.000.001 COP $15.000.000, y aproximadamente 15% entre
COP $15.000.001 COP $235.000.000. Cerca del 5% de las empresas presentaron valores
extremos que se alejan del conjunto de datos, llegando a ms de COP $4.000.000.000.
Adems, las empresas con valores extremos son todas grandes empresas.
65
Grfico 23: Costos de sanciones, multas y gastos legales
incurridos por las empresas que estimaron el impacto de los
incidentes digitales (2016)
Nmero de observaciones: 58
Con respecto a sanciones, multas y gastos legales, ms de 75% de las empresas tuvieron
un costo ms pequeo que COP $1.000.001, aproximadamente 12% tuvieron un costo entre
COP $1.000.001 COP $15.000.000, y aproximadamente 10% entre COP $15.000.001
COP $235.000.000. Cerca de 3% de las empresas presentaron valores extremos que se
alejan del conjunto de datos, llegando a ms de COP $4.000.000.000 mil millones de pesos
colombianos. Cabe remarcar que las empresas con valores extremos eran todas grandes
empresas.
66
Grfico 24: Costos de daos a la reputacin incurridos por las empresas
que estimaron el impacto de los incidentes digitales (2016)
Nmero de observaciones: 58
67
Grfico 25: Costos de prdidas de la propiedad intelectual incurridos por las
empresas que estimaron el impacto de los incidentes digitales (2016)
Nmero de observaciones: 58
68
Cuadro 3: Mediana del Costo Total Cuadro 4: Costo Total por Ventas de
por Empresa que estim el impacto la Empresa (2016)
de los incidentes digitales (2016)
69
Finalmente, se estim el costo en relacin
al nmero de incidentes digitales. Se
realiz una regresin lineal en la cual el
costo de los incidentes digitales en 2016 Grfico 26: Inversin en I+D+i
fue la variable dependiente y el nmero de
incidentes fue la variable explicativa. Los
resultados indican que existe una relacin
significativa y positiva entre el costo y el
nmero de incidentes. Segn el modelo, se
estima que el incremento de una unidad
en el nmero de incidentes aumenta
en aproximadamente $500 mil pesos
colombianos el costo incurrido por las
empresas en Colombia como resultado de
incidentes digitales. Es importante tener
en cuenta que este valor es una estimacin
y que algunos incidentes pueden tener
valores ms bajos, mientras otros ms
altos.
Finalmente, se busc analizar cmo el costo
incurridos debido a incidentes digitales en
2016 impactaron las inversiones de las
empresas en investigacin, desarrollo e Nmero de observaciones: 58
innovacin (I+D+i), dada la importancia de
I+D+i para el desarrollo de una economa
Entre las empresas que afirmaron que
digital, as como en el avance de medidas
sus inversiones en I+D+i aumentaron como
de seguridad digital. Como se muestra
resultado de incidentes digitales, 36% de
en el Grfico 26 a continuacin, entre las
estas empresas respondieron que sus
empresas entrevistadas, 42% afirm que
inversiones aumentaron en ms de 15%
han aumentado sus inversiones en I+D+i.
en 2016. Se nota que la conciencia acerca
del impacto causado con los incidentes
digitales en las empresas est llevndolas
a invertir ms en I+D+i.
70
PARTE 2
Anlisis de
entidades
del sector
pblico
71
Perfil de las Entidades
E
n relacin a las entidades pblicas De este nmero de las Entidades del
colombianas, el 64% de los sector pblico, el 52% de los entrevistados
entrevistados eran de la Rama pertenecan al nivel Territorial-Municipal,
Ejecutiva, mientras que el 23% eran frente a un total de 36% de las respuestas
Entes Autnomos. Los otros entrevistados pertenecientes a entidades nacionales y
que constituyeron el otro 13% eran del 12% del Territorial-Departamental.
Organismo Electoral, las Rama Judicial
y Legislativa, y Organismos de Control y
Vigilancia.
72
Grfico 28: Orden a que pertenece la entidad
En cuanto a la distribucin regional de los entrevistados del orden territorial (es decir,
departamental o municipal), el 41% eran de la Regin Central, el 19% de la Regin Oriental, el
14% de la Regin Pacfica, el 13% de la Regin Atlntica, el 7% Bogot y el restante 6% de la
Regin de los Antiguos Territorios Nacionales.
73
Grfico 29: Regin en la cual se
encuentra ubicada la entidad
Las Entidades del sector pblico variaron entre 201-500 empleados y 11% que
con un rango justo para los propsitos de tenan entre 501-1000 empleados. La otra
este estudio en trminos de entidades respuesta significativa fue que el 26% de
pequeas y grandes. Al responder a la los entrevistados indicaron que tenan ms
pregunta, Cuntas Personas trabajan en de 1.000 empleados.
su entidad? (Escoja slo una respuesta),
18% indicaron que tenan menos de 50
empleados, 36% indicaron que tenan
entre 51-200 empleados, 9% que tenan
74
Grfico 30: Nmero de personas que trabajan en las entidades
75
Grfico 31: Porcentaje de personal de su entidad que tiene acceso a Internet (2016)
76
est implementando el Gobierno nacional en el desarrollo de una economa digital segura.
Por otro lado, tambin indica que es necesario desarrollar estas iniciativas a nivel municipal
y departamental. Vase a continuacin el grfico:
77
Grfico 33: Prcticas de seguridad digital implementadas por las entidades
78
Grfico 34: Entidades con rea, cargo(s) o rol(es)
dedicado(s) a la seguridad digital
79
y departamental8. Por ejemplo, los Adems, en la identificacin de riesgos y la
equipos de seguridad a menudo no forman implementacin de medidas de mitigacin
parte de los procesos de planificacin en del riesgo, las entidades estatales deben
los departamentos de RR.HH., Marketing e considerar qu activos creen que deberan
I+D, ni se les da la oportunidad de revisar ser priorizados para su proteccin. En
las inversiones antes de que se hagan. respuesta a la pregunta, A la hora de
Como resultado, los equipos de seguridad protegerse frente a incidentes digitales,
se incorporan despus del hecho, y esto amenazas cibernticas y/o ataques
puede afectar el presupuesto final ya que cibernticos, cules de estos datos y/o
las entidades pueden terminar gastando activos de informacin son priorizados
ms en recuperacin en lugar de invertir por su entidad?, a nivel nacional, el acceso
en el inicio en una solucin de seguridad a los datos en el sistema de informacin
proactiva. Sin embargo, si se les da un rol y el acceso a los sistemas de informacin
ms prominente dentro de la organizacin, tenan la mayor prioridad en relacin con
los equipos de seguridad podran asesorar los datos personales y despus de estos,
a su organizacin de manera proactiva, los datos de clientes, en trminos de
reduciendo as los riesgos de manera prioridad. A nivel municipal y departamental
significativa. se observaron resultados similares. Esto
es importante ya que, sobre la base de lo
que prioriza una entidad, podra ser una
indicacin de dnde invertir en trminos
8 Forbes (julio de 2015) Why Its Worth
de seguridad digital. Vase los grficos
Divorcing Information Security From IT, abajo:
accedida en: https://www.forbes.com/sites/
frontline/2015/06/22/why-its-worth-divorcing-
information-security-from-it/#3ecd98c342a3,
ltima entrada: 30 de agosto de 2017
80
Grfico 35: Datos y activos priorizados por las entidades
81
Posteriormente, cuando se pregunt La gestin de riesgo de su entidad / empresa
est alienada con estndares internacionales, es interesante observar que el 87% a
nivel nacional respondi positivamente, comparado con el 43% del nivel municipal y el 59%
del nivel departamental. El examen de estas prcticas es importante, dado a que, si una
entidad toma medidas proactivas como la evaluacin de riesgos y la aplicacin de normas
internacionales, se crea un entorno para la gestin y mitigacin de riesgos.
82
Grfico 36: Porcentaje de
entidades estatales que
identificaron incidentes
digitales (2016)
83
de riesgo ciberntico. Adems, se incluyen conocimiento acerca de la Poltica
variables dicotmicas acerca del orden Nacional de Seguridad Digital (Documento
de la entidad. Es decir, nacional, territorial CONPES 3854 de 2016), aprobado el 11
departamental, o territorial municipal. de abril de 2016. Tambin hay una relacin
estadsticamente significativa positiva
Tambin se incluyeron otras variables entre la implementacin de medidas
explicativas, como el presupuesto total tcnicas, las prcticas de evaluacin de
de inversin en pesos colombianos de la riesgo y la identificacin de incidentes
entidad durante el ao de 2016, el nmero digitales. Igualmente existe una relacin
de personas que trabajan en la entidad, el estadsticamente significativa positiva
porcentaje aproximado de personal de la entre la identificacin de incidentes y las
entidad que tiene acceso a Internet para siguientes variables explicativas: el valor
desarrollar sus actividades profesionales, aproximado de presupuesto designado
as como el valor aproximado de por la entidad para la seguridad digital,
presupuesto designado por la entidad para el nmero de personas que trabajan en
la seguridad digital. Dada la naturaleza la entidad, el porcentaje de personal que
binaria de la variable dependiente, se utiliza tiene acceso a Internet.
un modelo de estimacin LOGIT.9
Otra rea examinada por el estudio fue
Los resultados muestran que hay una la experiencia de entidades estatales con
relacin estadsticamente significativa incidentes de seguridad digital. En respuesta
positiva entre el conocimiento de alguna a la pregunta, Su entidad/empresa
reglamentacin y/o legislacin sobre ha notado un cambio en la gravedad (o
prcticas de gestin de riesgo y la criticidad) de los ataques cibernticos
identificacin de incidentes digitales. De durante el ao 2016, la mayora de los
hecho, las entidades que identificaron entrevistados (50% Nacional, 56% Municipal
incidentes digitales destacaron su y 57% Departamental) indicaron que la
gravedad de los ataques cibernticos
9 Este modelo asume que los efectos individuales sigue siendo la misma. Solo el 30% a nivel
han sido promediados, lo que facilita el clculo y la
interpretacin de los efectos marginales que, a su nacional, el 28% a nivel municipal y el 39%
vez, miden el efecto de un cambio en uno de los a nivel departamental, informaron que
regresores sobre la variable dependiente. haban observado un cambio.
84
Grfico 37: Cambio en la gravedad de los incidentes digitales
85
Grfico 38: Gravedad de los incidentes digitales
86
nacional, el 68% a nivel municipal y el 57% a Es importante tomar nota de dnde se
nivel departamental, indica que pertenece denuncian los incidentes cibernticos y en
en el nivel operativo. En comparacin con qu nivel se ubica la seguridad digital, ya que
el nivel jerrquico (o directivo), el 27% a proporciona informacin sobre cmo una
nivel nacional, el 16% a nivel municipal y el entidad podra abordar estratgicamente
29% a nivel departamental indicaron que incidentes y presupuestos relacionados
pertenece all. Lo que se podra inferir de a este respecto. Cuando se les pregunt:
estos resultados es que mientras que la Cules de las siguientes fallas afectan
seguridad digital no se coloca al nivel de ms la capacidad de su entidad/empresa
director, s es al primer nivel dentro de una en materia de seguridad digital (seguridad
entidad a la que se informan los incidentes digital y/o seguridad de la informacin)?
de seguridad digital. Por favor, califique de: 1 (afecta menos o
no afecta) a 5 (afecta ms), la mayora de
los entrevistados identificaron la Falta de
personal dedicado y Falta de presupuesto
como las dos razones que los afectan ms.
87
Grfico 39: Presupuesto para la
Seguridad Digital (2016)
88
Cuadro 5: Mediana del Presupuesto para la Seguridad
Digital por Entidad que asignaron recursos a TI (2016)
89
Cuadro 6: Asignacin del presupuesto para la Seguridad
Digital por Entidad que asignaron recursos a TI (2016)
Finalmente, se realiz una regresin lineal Adems, el modelo cuenta con variables
con el objetivo de identificar los factores dicotmicas que identifican el orden al
que llevan a una entidad estatal a invertir cual pertenece la entidad pblica, tal
ms en seguridad digital. Se realiz una como nacional, territorial departamental y
regresin lineal en la cual el logaritmo del territorial municipal. Igualmente se incluyen
presupuesto asignado por las entidades las siguientes variables dicotmicas: (i) si
para asuntos de seguridad digital durante la entidad tiene un rea, cargo(s) o rol(es)
el ao de 2016 fue la variable dependiente dedicado(s) a la seguridad digital; (ii) si la
(Anexo 3). Se opt por el logaritmo del entidad implementa medidas tcnicas
presupuesto para la seguridad digital, de seguridad (por ejemplo, pruebas
con vistas a normalizar la distribucin de vulnerabilidad, mantenimiento de la
de la variable. Adems, se incluyeron las infraestructura de TI); (iii) si la entidad
siguientes variables independientes: (i) adopta polticas de seguridad digital (por
el nmero de personal; (ii) el porcentaje ejemplo, poltica de acceso al sistema,
aproximado de personal de la entidad que poltica de actualizacin de contraseas,
tiene acceso a Internet para desarrollar concientizacin); (iv) si la entidad
sus actividades profesionales; (iii) el implementa estndares (por ejemplo, ISO
logaritmo del presupuesto de inversin; y 27001, otros estndares internacionales);
(iv) el logaritmo del nmero de incidentes (v) si la entidad hace alguna evaluacin de
digitales sufridos por la entidad pblica en riesgo ciberntico; y (vi) si la entidad conoce
2016.
90
alguna reglamentacin y/o legislacin Cuando se realiz la pregunta sobre la
nacional o territorial que requiera que las estimacin de los costos derivados de las
entidades pblica implementen prcticas consecuencias negativas causadas por la
de gestin de riesgo ciberntico. ocurrencia de incidentes digitales, el 85%
de las entidades estatales afirmaron que
Los resultados indican que hay una relacin no hacen ninguna estimacin, como se
positiva y estadsticamente significativa observa en el Grfico 40 a continuacin:
entre el nmero de personal, personal con
acceso a Internet, presupuesto de inversin Grfico 40: Entidades que estimaron
de la entidad estatal y el presupuesto para las consecuencias negativas de los
la seguridad digital. Con respecto a prcticas incidentes digitales (2016)
de seguridad digital, igualmente se verific
una relacin significativa y positiva entre el
presupuesto para la seguridad digital y las
siguientes variables dicotmicas: existencia
de un rea, cargo(s) o rol(es) dedicado(s)
a la seguridad digital, implementacin
de medidas tcnicas e implementacin
de estndares. En otras palabras, las
entidades pblicas que implementan estas
prcticas de seguridad digital asignan un
presupuesto ms grande para la seguridad
digital que las entidades que no adoptan
estas prcticas. Finalmente, cabe destacar
la relacin positivamente significativa entre
las entidades que pertenecen al orden
nacional y el presupuesto para la seguridad
digital. En otras palabras, las entidades
pblicas nacionales tienen presupuestos Nmero de observaciones: 474
para la seguridad digital ms grandes.
Teniendo en cuenta las entidades que
estimaron los costos incurridos como
resultado de los incidentes digitales, los
Costo de los grficos a continuacin presentan la
incidentes digitales distribucin de los costos con incidentes
para las entidades digitales incurridos en 2016 por las
91
entidades estatales segn cinco categoras de costos: (i) interrupcin de las operaciones
normales de la empresa; (ii) dao a activos e infraestructura; (iii) sanciones, multas y gastos
legales; (iv) dao a la reputacin y la imagen; y (v) prdida de la propiedad intelectual o de
otra informacin sensible.
Nmero de observaciones: 46
92
Grfico 42: Costos de daos a los activos e infraestructura incurridos por las
entidades estatales que estimaron el impacto de los incidentes digitales (2016)
Nmero de observaciones: 46
Nmero de observaciones: 46
93
Con respecto a sanciones, multas y gastos del 11% de las entidades tuvieron costos
legales, 65% de las entidades tuvieron un ms altas que 700 millones de pesos
costo ms pequeo que COP $ 1.000.001, colombianos, con algunas entidades
aproximadamente 13% tienen un costo territoriales departamentales presentando
entre COP $ 1.000.001 COP $ 15.000.000, un costo ms grande que 4 mil millones de
y aproximadamente 10% entre COP $ pesos colombianos.
15.000.001 COP $ 235.000.000. Cerca
Nmero de observaciones: 46
94
Con respecto a daos a la reputacin, 11 % entre COP $ 15.000.001 COP $
aproximadamente 60% de las entidades 235.000.000. Por otro lado, es interesante
tuvieron un costo ms pequeo que COP notar que 17% de las entidades presentaron
$ 1.000.001 en 2016, aproximadamente el un costo ms alto que 700 millones de
9% tienen un costo entre COP $ 1.000.001 pesos colombianos.
COP $ 15.000.000, y aproximadamente
Nmero de observaciones: 46
95
Finalmente, con respecto a la prdida de entidades nacionales que proporcionaron
propiedad intelectual y de informacin los datos de costo pertenecen, en su
sensible, 61% de las entidades tuvieron mayora, a la rama ejecutiva o son entes
un costo ms pequeo que COP $ autnomos. En este contexto, se debe
1.000.001, aproximadamente 13% entre tener en cuenta que estos datos reflejan la
COP $ 1.000.001 COP $ 15.000.000, situacin de entidades pblicas con estas
y aproximadamente 9% entre COP $ caractersticas. Adems, no hubo un nmero
15.000.001 COP $ 235.000.000. Por otro significativo de entidades territoriales que
lado, se observa que 15% presentaron respondieran la informacin acerca del
costos ms altos que 700 millones de costo.
pesos colombianos, y algunas ms de COP
$ 4.000.000.000: 9% de las entidades. Finalmente, se busc analizar cmo los
costos incurrido debido a incidentes
Se nota que la distribucin del costo digitales en 2016 impactaron las
entre las cinco categoras es sesgada a la inversiones de las entidades estatales
derecha, as que se prefiri trabajar con en investigacin, desarrollo e innovacin
la mediana del costo agrupado incurrido. (I+D+i). Como se muestra en el Grfico
En relacin a las entidades estatales 46 a continuacin, entre las entidades
nacionales, el intervalo del costo es 20 estatales entrevistadas, 48% afirm que
40 millones de pesos colombianos, han aumentado sus inversiones en I+D+i.
representando aproximadamente menos
del 0,5% de la inversin de las entidades. Las
96
Grfico 46: Inversin en I+D+i de las entidades que
estimaron el impacto de los incidentes digitales (2016)
Nmero de observaciones: 46
Entre las entidades que afirmaron que sus inversiones en I+D+i aumentaron como
resultado de incidentes digitales, 46% de estas entidades respondieron que sus
inversiones aumentaron en ms de 15% en 2016. Cabe destacar que estas entidades
son en su mayora nacionales que pertenecen a la rama ejecutiva, o consistan en
entes autnomos u organismos de control y vigilancia.
97
98
ANEXO 1
Anlisis
SITUACIONAL
99
se alienta a los colombianos a hacer un
uso responsable del entorno digital y
fortalecer sus capacidades para identificar,
Generalidades de la gestionar, tratar y mitigar los riesgos de
seguridad digital. Este nuevo Documento
seguridad ciberntica CONPES 3854 ahond en los xitos de su
en Colombia predecesor y se concentr en promover y
asegurar una Colombia digital.
En el marco de la seguridad digital basada
en la gestin de riesgos, el Documento
E
n 2011, el Gobierno de Colombia,
a travs del Consejo Nacional de CONPES 3854 promueve la participacin
Poltica Econmica y Social (CONPES), de mltiples actores, especialmente en las
estableci los Lineamientos de poltica para funciones transversales. Como resultado
ciberseguridad y ciberdefensa, Documento directo, Colombia es el primer pas de
CONPES 3701, bajo los auspicios del Amrica Latina y uno de los primeros en
Ministerio de Tecnologas de la Informacin el mundo en incorporar plenamente las
y las Comunicaciones (MinTIC), el Ministerio recomendaciones y mejores prcticas
de Defensa Nacional, el Departamento internacionales en materia de gestin
Nacional de Planeacin (DNP) y otras de riesgos y seguridad digital emitidas
instituciones nacionales clave. Esta recientemente por la Organizacin para
estrategia se centr en el establecimiento la Cooperacin y el Desarrollo Econmicos
de instituciones nacionales necesarias para (OCDE).
el desarrollo de la capacidad ciberntica
en Colombia.
En el ao 2014 se produjo un importante Gestin de riesgos de seguridad
desarrollo en el sentido que el Gobierno digital para la prosperidad de
nacional llev a cabo una revisin a fondo la OCDE - Recomendaciones
del Documento CONPES 3701 y solicit
Sociales y Econmicas
apoyo internacional en la revisin y el
desarrollo de una nueva estrategia de
seguridad nacional digital. En abril de 2016,
se aprob la nueva Poltica Nacional de La OCDE realiza la promocin de polticas
Seguridad Digital, CONPES 3854 que e instrumentos para la innovacin y la
articula una visin estratgica en la que confianza en la economa digital y la
100
expedicin de las recomendaciones sobre fue invitada a iniciar el proceso formal de
la gestin de riesgos de seguridad digital adhesin a la OCDE. La invitacin inclua
para la prosperidad econmica y social una hoja de ruta11. Colombia tendra que
(2015), y proporciona orientaciones para demostrar ante 23 comits tcnicos de la
el desarrollo de estrategias nacionales OCDE que ha hecho reformas significativas
basadas en la gestin de riesgos de en el cumplimiento de las normas de la
seguridad digital y la optimizacin de los OCDE, dado que estos comits tendran
beneficios econmicos y sociales derivados que presentar conceptos formales sobre
de la apertura digital. Las recomendaciones la adhesin de Colombia al Consejo.
de la OCDE incluyen la promocin de los
principios generales sobre el conocimiento, En el Economic Outlook de la OCDE12,
las habilidades y la capacitacin, la Tomo 2016, Nmero 1, la OCDE concluy, en
responsabilidad, los derechos humanos y general, que las polticas macroeconmicas
los valores fundamentales, cooperacin, [en Colombia] eran apropiadas, pero
evaluacin de riesgos y ciclo de tratamiento, se necesitaban reformas estructurales
medidas de seguridad, de innovacin para aumentar la productividad. A pesar
y de preparacin y continuidad. Estas del impacto que ha tenido la volatilidad
recomendaciones guiadas se incorporaron del mercado financiero mundial y la
en varios aspectos del proceso de disminucin de los precios del petrleo, la
desarrollo y el contenido del Documento OCDE prevea que, con llevar el proceso de
CONPES 3854. Como tal, en la revisin de paz a buen trmino, se podra mejorar la
los progresos realizados en la aplicacin confianza de las empresas y las entradas
de dicha poltica nacional bajo el anlisis de capital. Adems del proceso de
de la situacin, se tendran en cuenta las adhesin a la OCDE, Colombia participa en
observaciones sobre la alineacin de las labor de fondo de muchos de los comits
polticas pblicas con la recomendacin de especializados de la organizacin.
la OCDE.
El proceso de adhesin a la OCDE ha sido 11 http://www.oecd.org/officialdocuments/
descrito como de impacto positivo en el publicdisplaydocumentpdf/?cote=C(2013)110/
proceso de elaboracin de polticas pblicas FINAL&docLanguage=En
de Colombia10. En mayo de 2013, Colombia 12 ltima consulta el 8 de septiembre de 2016 en: Perfil
de Colombia- http://www.keepeek.com/Digital-Asset-
10 Why Good Policy-Making Matters: The Accession Management/oecd/economics/oecd-economic-outlook-
Case of Colombia to the OECD Source: https://www. volume-2016-issue-1/colombia_eco_outlook-v2016-
hertie-school.org/the-governance-post/2016/03/why- 1-11-en#page1 Versin completa: http://www.oecd-
good-policy-making-matters-the-accession-case-of- ilibrary.org/economics/oecd-economic-outlook-volume-
colombia-to-the-oecd/- Consultado Agosto 25, 2016 2016-issue-1/colombia_eco_outlook-v2016-1-11-en
101
Es pertinente considerar el proceso de El enfoque de la poltica de seguridad
la OCDE cuando se examina el desarrollo ciberntica y ciberdefensa hasta el ao 2015
e implementacin de polticas pblicas, se haba concentrado en contrarrestar el
incluyendo el Documento CONPES 3854, ya incremento de las amenazas cibernticas
que toma en cuenta las recomendaciones bajo los objetivos de (i) defensa del pas; y
de la OCDE para la gestin de riesgos de (ii) lucha contra el delito ciberntico. Si bien,
seguridad digital. Como parte de la OCDE, dicho enfoque de poltica haba posicionado
Colombia podra recibir estudio y evaluacin a Colombia como uno de los lderes en la
constante de la eficacia de sus polticas. materia a nivel regional, tambin haba
Este proceso de evaluacin continua, que dejado de lado la gestin del riesgo en el
se conoce como revisin por pares, ha entorno digital. El enfoque, esencial en un
demostrado ser eficaz y til, ya que expone contexto de incremento en el uso de las
a los programas de reforma a discusin por TIC para realizar actividades econmicas
parte de buenos investigadores (personal y sociales, ha trado consigo nuevas y ms
de la OCDE), as como de expertos en sofisticadas formas de afectar el desarrollo
formulacin de polticas reales en el rea normal de estas en el entorno digital. Este
especfica (miembros de cada comit).13 hecho demanda una mayor planificacin,
prevencin y atencin por parte de los
Implementacin del Documento pases.
CONPES 3854
Teniendo en cuenta lo anterior, se identific
El creciente uso del entorno digital en la siguiente problemtica en el pas: (i) no
Colombia para desarrollar actividades se cuenta con una visin estratgica en
econmicas y sociales genera seguridad digital basada en la gestin de
incertidumbres y riesgos inherentes riesgos; (ii) las mltiples partes interesadas
a la seguridad digital que deben ser no maximizan sus oportunidades al
gestionados permanentemente. No desarrollar actividades socioeconmicas
hacerlo puede resultar en la materializacin en el entorno digital; (iii) se requiere
de amenazas o ataques cibernticos, con reforzar las capacidades de seguridad
efectos no deseados de tipo econmico o ciberntica con un enfoque de gestin de
social para el pas, y afecta la integridad de riesgos de seguridad digital; (iv) se necesita
los ciudadanos en este entorno. reforzar las capacidades de ciberdefensa
13 Digital Security Risk Management for Economic and con un enfoque de gestin de riesgos de
Social Prosperity: OECD Recommendation and Companion seguridad digital; y (v) los esfuerzos de
Document. Consultada el 8 de septiembre de 2016.
Disponible en: http://www.oecd.org/sti/ieconomy/
cooperacin, colaboracin y asistencia,
digital-security-risk-management.pdf nacional e internacional, relacionados con
102
la seguridad digital no son suficientes y nacionales en el mundo y primera en
requieren ser articulados. la regin de Latinoamrica en acoger
las recomendaciones en gestin de
Con el fin de atender dicha problemtica y riesgos de seguridad digital, emitidas
acoger mejores prcticas internacionales, en el mes de septiembre de 2015 por
el Gobierno de Colombia expidi la la Organizacin para la Cooperacin y
Poltica Nacional de Seguridad Digital el Desarrollo Econmicos -OECD-. Se
(Documento CONPES 3854 de 2016) en tuvieron en cuenta los aportes realizados
el mes de abril de 2016, liderada por el por los representantes del las Empresas,
Ministerio de Tecnologas de la Informacin el Gobierno nacional, la sociedad civil, los
y las Comunicaciones y el Ministerio de operadores de infraestructuras crticas
Defensa Nacional de Colombia. Esta nacionales y la academia. Asimismo, se
poltica pblica tiene como objetivo principal incorporaron las recomendaciones de
el fortalecimiento de las capacidades otros organismos internacionales como
de todas las partes interesadas la Organizacin de Estados Americanos
(Gobierno nacional y los territoriales, -OEA-, la Unin Internacional de
las organizaciones pblicas y privadas, Telecomunicaciones -UIT- y la Organizacin
la Fuerza Pblica, los propietarios u del Tratado del Atlntico Norte -OTAN.
operadores de las infraestructuras crticas
cibernticas nacionales, la academia y la La Poltica Nacional de Seguridad Digital
sociedad civil) para identificar, gestionar, de Colombia: i) diferencia claramente
tratar y mitigar los riesgos de seguridad los objetivos de prosperidad econmica
digital en sus actividades socioeconmicas y social con los objetivos de defensa
en el entorno digital, bajo un marco de del pas y de lucha contra el crimen y la
cooperacin, colaboracin y asistencia a delincuencia en el entorno digital, ii) incluye
nivel nacional e internacional, con el fin de componentes como la gobernanza, la
contribuir al crecimiento de la economa educacin, la regulacin, la cooperacin
digital nacional y maximizar los beneficios internacional y nacional, la investigacin y
obtenidos de una mayor prosperidad desarrollo, y la innovacin, y iii) cambia el
econmica, poltica y social del pas. enfoque tradicional al incluir la gestin de
riesgo como uno de los elementos ms
La expedicin de esta nueva poltica importantes para abordar la seguridad
pblica fue el resultado de un proceso digital. Esto lo hace bajo cuatro (4) principios
de participacin entre representantes fundamentales enfocndose en la
de las mltiples partes interesadas del salvaguarda de los derechos humanos y los
pas y es una de las primeras polticas valores fundamentales de los ciudadanos
103
en Colombia, involucrando activamente a 1. Documentos estratgicos para
todas las partes interesadas, y asegurando la implementacin de la poltica:
una responsabilidad compartida entre las Mecanismos de Coordinacin entre
mismas. Estos principios se reflejan en las mltiples partes interesadas,
cinco (5) dimensiones en las que actuar Agenda Estratgica Internacional
esta poltica, las cuales determinan las de cooperacin, colaboracin y
estrategias para alcanzar su objetivo asistencia y Agenda Estratgica
principal. Nacional de cooperacin,
colaboracin y asistencia nacional
Finalmente, durante el ao 2017 se
construir en Colombia, en conjunto con las 2. Planes de fortalecimiento de
mltiples partes interesadas, una Agenda las capacidades institucionales,
Nacional de Seguridad Digital con el fin de operativas, administrativas,
priorizar los intereses nacionales en torno humanas y de infraestructura fsica
al tema, identificando variables de impacto y tecnolgica de las instancias
(por ejemplo, prdidas econmicas, actuales.
afectacin de personas, consecuencias
medioambientales o correlacin de la 3. Estudios de viabilizacin tcnica
afectacin con otras partes), bajo el para la creacin de nuevas
marco de los principios fundamentales de instancias o proyectos de seguridad
la Poltica Nacional de Seguridad Digital. ciberntica y ciberdefensa.
Tambin se prev la generacin de lo 4. Contenidos educativos
siguiente: especializados para capacitar a
los funcionarios responsables de la
seguridad digital en Colombia.
5. Contenidos educativos
complementarios relacionados con
la gestin de riesgos de seguridad
digital dirigidos a estudiantes de
Educacin Bsica, Media y Superior
as como a docentes.
104
Avances en la Modelo de Madurez de la aprobacin e implementacin del
de Capacidad de Ciberseguridad Documento CONPES 3854 desde su
Nacional expedicin en el mes de abril de 2016.
105
106
Grfico 47: Comparativo de los resultados
del CMM (2016 y 2017)
107
entre el Coordinador Nacional de Seguridad simulacin y entrenamiento, nacionales e
Digital, la instancia de mximo nivel del internacionales, que permitan desarrollar
Gobierno (Comisin Nacional Digital y de habilidades y destrezas para las mltiples
Informacin Estatal) y las mltiples partes partes interesadas responsables de las
interesadas, con el fin de abordar los temas infraestructuras crticas cibernticas
de seguridad digital en Colombia. nacionales y de la defensa nacional en
el entorno digital, con el fin de fortalecer
La Poltica Nacional de Seguridad Digital las capacidades de los responsables
incluye un Plan de Accin y Seguimiento de garantizar la defensa nacional en el
-PAS- en el cual se incluyen todas las entorno digital.
acciones que se implementarn con el fin
de lograr tanto el objetivo general como En el marco de la Poltica Nacional de
los objetivos especficos de la Poltica. En Seguridad Digital (Documento CONPES
especfico, este PAS establece procesos 3854 de 2016) se establece un marco
de medicin y mtricas para cada accin institucional claro en torno a la seguridad
como sigue: responsable de la ejecucin, digital en Colombia. Para esto, se crean
tiempo de la ejecucin, importancia relativa las mximas instancias de coordinacin
de la accin, relacin con otras acciones, y orientacin superior en torno a la
indicadores de cumplimiento, costo de seguridad digital en el Gobierno nacional y
la accin, recursos financieros asignados se establecen figuras de enlace sectorial en
para la accin y sus fuentes y seguimiento todas las entidades de la rama ejecutiva a
a la implementacin mediante cortes nivel nacional. En particular, se cre la figura
anuales de avance. Este PAS es revisado de Coordinador Nacional de Seguridad
peridicamente por el Departamento Digital quien dirige la implementacin de la
Nacional de Planeacin -DNP- en conjunto poltica nacional de seguridad digital y hace
con el Coordinador Nacional de Seguridad el seguimiento continuo de la misma, en
Digital con el fin de renovar, si es del conjunto con el Departamento Nacional de
caso, lo dispuesto en la Agenda Nacional Planeacin.
de Seguridad Digital (instrumento para
priorizar los intereses nacionales en torno al Finalmente, el Coordinador Nacional
tema, identificando variables de impacto). de Seguridad Digital llevar a cabo
la coordinacin interinstitucional e
En el marco de estrategias y acciones intersectorial en todos los temas de
establecidas en el PAS vale la pena resaltar seguridad digital en el pas. Adicionalmente,
que el Ministerio de Defensa Nacional en el largo plazo, se espera que se cree
realizar y participar en ejercicios de una Direccin de Seguridad Ciberntica
108
y Defensa Ciberntica, dependiente las entidades pblicas del sector ejecutivo.
del Viceministerio de Defensa para las De igual forma, se adelantan jornadas de
Polticas y Asuntos Internacionales, la sensibilizacin a entes territoriales.
cual se constituira como un elemento
relevante para implementar niveles El Gobierno nacional contina
de escalonamiento para el reporte implementando y fortaleciendo su
de incidentes digitales y garantizar la estrategia de gobierno electrnico
participacin de las mltiples partes (e-government) llamada Gobierno en
interesadas en la gestin de riesgos de lnea, con el fin de construir un Estado
la seguridad digital. En el corto plazo, se ms eficiente, ms transparente y ms
comenzar por implementar el plan de participativo gracias a las Tecnologas
fortalecimiento para el colCERT. Lo anterior de la Informacin y las Comunicaciones
permitir desarrollar las capacidades -TIC-. En el marco de dicha estrategia se
necesarias para implementar un esquema adelantan actividades bajo los siguientes
de gobernabilidad participativa de mltiples ejes temticos: i) TIC para el Gobierno
partes interesadas, y definir los niveles de Abierto: Busca construir un Estado ms
escalamiento para el reporte de incidentes transparente y colaborativo, donde los
digitales. ciudadanos participan activamente en
la toma de decisiones gracias a las TIC,
En relacin de Dimensin 2 (Cultura ii) TIC para servicios: Busca crear los
y Sociedad), actualmente, se disea mejores trmites y servicios en lnea
un modelo de gestin de riesgos de para responder a las necesidades ms
seguridad digital y se generarn los apremiantes de los ciudadanos, iii) TIC para
mecanismos administrativos para que la gestin: Busca darle un uso estratgico
todas las entidades y departamentos a la tecnologa para hacer ms eficaz la
administrativos de la rama ejecutiva lo gestin administrativa, y iv) Seguridad
adopten y lo implementen, de forma y privacidad de la informacin: Busca
permanente. Tambin se adelantan guardar los datos de los ciudadanos como
programas, proyectos y campaas de un tesoro, garantizando la seguridad de la
concientizacin y sensibilizacin, as como informacin.
capacitaciones, jornadas de intercambio
y transferencia respecto de las mejores La privacidad en lnea tambin se est
prcticas en seguridad digital a todas las abordando. A tono con los principios
mltiples partes interesadas. Se resaltan recomendados por la OCDE y las
las acciones que se adelantan frente a las recomendaciones de organismos como
organizaciones pblicas, en particular todas la OEA, la Poltica Nacional de Seguridad
109
Digital de Colombia se rige por cuatro ao 2011, Colombia contaba con doce
principios fundamentes definidos programas acadmicos a nivel nacional,
de acuerdo al contexto nacional. Se desde el nivel tcnico hasta el de maestra,
salvaguardan los derechos humanos y los mientras que a la fecha cuenta con ms de
valores fundamentales de los ciudadanos cincuenta programas y una amplia gama
en Colombia, involucrando activamente a de cursos de educacin informal, que
todas las partes interesadas, y asegurando incluyen certificaciones de reconocimiento
una responsabilidad compartida entre las internacional.
mismas. Estos principios se reflejan en las
dimensiones en las que esta poltica acta, Adicionalmente, una de las funciones que
las cuales determinan las estrategias para se le otorgan al Coordinador Nacional de
alcanzar su objetivo principal. Seguridad Digital es garantizar que los
programas, proyectos y campaas de
El primer principio fundamental se concientizacin y sensibilizacin, as como
estableci as: Salvaguardar los derechos las capacitaciones que adelanten las
humanos y los valores fundamentales de diferentes entidades, se diseen a partir
los ciudadanos en Colombia, incluyendo de los lineamientos y orientaciones que
la libertad de expresin, el libre flujo emita la Comisin Nacional Digital y de
de informacin, la confidencialidad de Informacin Estatal, con el fin de evitar la
la informacin y las comunicaciones, la duplicacin de esfuerzos y garantizar la
proteccin de la intimidad y los datos eficiencia en el manejo de los recursos.
personales y la privacidad, as como los
principios fundamentales consagrados La poltica se dirige al Desarrollo nacional
en la Constitucin Poltica de Colombia. En de la educacin de seguridad ciberntica
caso de limitacin a estos derechos, debe y tambin plantea estrategias como el
ser bajo medidas excepcionales y estar fortalecimiento de las instancias y entidades
conforme con la Constitucin Poltica y los responsables de seguridad ciberntica,
estndares internacionales aplicables. evaluando la creacin de nuevas instancias
Estas medidas deben ser proporcionales, en las que se desarrolle formacin,
necesarias y estar enmarcadas en la investigacin e innovacin, especialmente
legalidad. en relacin con capacidades tcnicas
inherentes a la seguridad digital. Para
En relacin de Dimensin 3 (Educacin), garantizar la pertinencia de la creacin
Colombia ha avanzado significativamente de las nuevas instancias, el Ministerio de
en la generacin de oferta acadmica Defensa Nacional efectuar los estudios
especializada en seguridad digital. En el de viabilidad para la creacin de un Centro
110
de excelencia de seguridad digital, entre Adems, en relacin de Dimensin 4
otros. (Marcos legales), mientras que el nivel
de madurez se mantiene estable, la
De igual manera, se fortalecern las nueva Poltica Nacional de Seguridad
capacidades de los responsables de Digital establece un conjunto de acciones
garantizar la defensa nacional en el orientadas a disponer el marco legal y
entorno digital. El Ministerio de Defensa regulatorio que soporta todos los aspectos
Nacional disear contenidos educativos necesarios para cumplir los objetivos de
especializados y capacitar a las mltiples la poltica. Para este propsito, la poltica
partes interesadas responsables de prev que las diferentes instancias
garantizar la defensa nacional en el sometern a consideracin del Ministerio
entorno digital. El mismo ministerio de Justicia y del Derecho de Colombia
realizar y participar en ejercicios de las propuestas de ajuste y de nueva
simulacin y entrenamiento, nacionales e normativa que se requieran y este
internacionales, que permitan desarrollar verificar la coherencia constitucional y
habilidades y destrezas para las mltiples legal. Igualmente, la Comisin de Regulacin
partes interesadas responsables de las de Comunicaciones (CRC) ajustar en
infraestructuras crticas cibernticas 2017 el marco regulatorio del sector TIC
nacionales y la defensa nacional en el entorno teniendo en cuenta asuntos necesarios
digital. En estas actividades participaran las para la gestin de riesgos de seguridad
mltiples partes interesadas responsables digital, como la proteccin de usuarios de
de las infraestructuras crticas cibernticas comunicaciones o el rgimen de calidad de
nacionales y la defensa nacional en el las redes de telecomunicaciones.
entorno digital.
El marco de delitos establecido en la Ley
Finalmente, teniendo en cuenta los 1273 de 2009 se realiz considerando
antecedentes generados por la aspectos esenciales de la tipificacin de
implementacin de los lineamientos de delitos sealados en el Convenio sobre
seguridad ciberntica y defensa ciberntica la Ciberdelincuencia (Convencin de
en el pas (Documento CONPES 3701 de Budapest),, sin embargo, an est en
2011), actualmente los rganos de decisin proceso el trmite legislativo requerido
de las empresas estatales y privadas en para lograr la adhesin a esta convencin.
Colombia conocen que sus organizaciones Para este propsito, la poltica prev que
pueden estar en riesgo y generalmente las diferentes instancias sometern a
toman decisiones de inversin en medidas consideracin del Ministerio de Justicia y
de seguridad de modo reactivo. del Derecho de Colombia las propuestas
111
de ajuste y de nueva normativa que se reporte peridico de vulnerabilidades ni el
requieran. El pas ha avanzado en su alcance que debera tener la presentacin
incorporacin en redes de informacin de informes. Tambin se realizan charlas
relacionadas con delitos cibernticos y de para sensibilizar a los operadores de
equipos de respuesta y, principalmente Infraestructuras crticas sobre seguridad
a travs del Centro Ciberntico Policial ciberntica. Colombia cuenta con una oferta
-CCP-, colabora activamente en procesos creciente de formacin especializada en
de investigacin en esta materia. seguridad ciberntica (cursos certificados
e incluso existen programas de maestra)
Finalmente, en relacin de Dimensin a la cual han accedido algunos de los
5 (Tecnologas), la Poltica Nacional de operadores de Infraestructura Crtica
Seguridad Digital establece acciones para Ciberntica - ICC.
las capacidades de gestin de riesgos de
la seguridad digital, incluyendo adopcin En relacin al desarrollo de software, la
de buenas prcticas y estndares nueva Poltica Nacional establece acciones
en todas las partes interesadas. La para el fortalecimiento de las capacidades
Resiliencia Nacional es muy importante. de gestin de riesgos de la seguridad
La construccin de la Poltica Nacional de digital en todas las partes interesadas.
Seguridad Digital aprobada el ao pasado En particular, el Gobierno de Colombia
por el Gobierno de Colombia, as como est promoviendo el desarrollo de la
espacios existentes como las Reuniones de industria de Tecnologas de Informacin
Infraestructura Critica, Riesgo Operacional y el emprendimiento digital a travs
y defensa ciberntica, han generado una de diferentes iniciativas. Algunas de
dinmica de interaccin entre el sector ellas incluso promueven diplomados en
pblico y el privado. De hecho, las mesas seguridad para personal de las empresas,
especficamente dispuestas para trabajar as como la financiacin de diplomados
en los temas de infraestructura crtica, en modelos de madurez ampliamente
lideradas por el sector Defensa del pas conocidos como CMMI.
hacen peridicamente (una vez al mes).
En respecto de Seguros de delincuencia
En el marco de las mesas de trabajo, se ciberntica, en Colombia existen
realizan charlas sobre las vulnerabilidades compaas de seguros que ofrecen plizas
a las que estn expuestos activos de de seguro (con amparos adicionales y
informacin de las Infraestructuras crticas. opcionales) destinadas a empresas y
No obstante, no se ha consolidado un personas naturales en rganos de decisin
protocolo o mecanismo que garantice el de las mismas, con el fin de: i) hacer
112
frente a la responsabilidad por el uso y el incluyendo sus realidades econmicas
tratamiento de informacin (derivada de y polticas, al igual que sus objetivos de
la proteccin de datos, la gestin y manejo desarrollo econmico. Sin embargo, el
de datos personales y las consecuencias de anlisis FODA no pretende llevar a cabo
la prdida de informacin corporativa) y ii) un amplio anlisis nacional, sino que se
para hacer frente a la responsabilidad por centra en el impacto que ciertos factores
la seguridad de datos (perjuicios y gastos externos pueden tener en la aplicacin del
de defensa asociados con contaminacin de Documento CONPES 3854, el desarrollo de
datos de terceros por un virus, denegacin nuevas iniciativas de seguridad ciberntica
inadecuada o errnea de los derechos de y la mejora de la madurez de la seguridad
acceso a los datos a un tercero autorizado, ciberntica de Colombia.
hurto de un cdigo de acceso de las
instalaciones de la empresa, un sistema La aplicacin de un anlisis FODA de la
informtico, o de empleados, destruccin, capacidad de la seguridad ciberntica a
modificacin, corrupcin, dao o eliminacin nivel nacional tiene en cuenta los factores
de datos almacenados en cualquier sistema internos, incluyendo los recursos y la
informtico, hurto de hardware de la experiencia disponible y bajo el control del
empresa, que contenga datos personales pas que podran ser clasificados segn
o corporativos o revelacin de datos como sus fortalezas y debilidades. Por otro
consecuencia de una violacin a la seguridad lado, tambin se identifican los factores
de datos). externos (sin importar si estn o no
conectados directa o indirectamente), que
pueden presentarse como oportunidades
y amenazas. Algunas de las cuestiones
Anlisis FODA examinadas fueron:
Un anlisis FODA (fortalezas, oportunidades,
debilidades y amenazas) se aplic a los
datos recolectados hasta la fecha, como
una forma de obtener una comprensin
ms profunda de la capacidad de seguridad
ciberntica en Colombia. Este anlisis FODA
tuvo en cuenta la investigacin documental, la
informacin recopilada durante las consultas
con los actores interesados y los datos
sobre Colombia pblicamente disponibles,
113
1. Fortalezas - Cules son los factores La ventaja del anlisis FODA es que sus
desde una perspectiva interna resultados puedan tenerse en cuenta en
y desde el punto de vista de los la planificacin y ejecucin permanente del
actores externos, que hacen que el CONPES 3854, ya que no solo identifica
pas sea fuerte en esa rea. las amenazas y debilidades que afectan
la eficacia de la estrategia de seguridad
2. Debilidades - Desde una base digital, sino tambin las oportunidades y
interna y externa, qu consideran los fortalezas que puedan ser aprovechadas
actores externos como debilidades para alcanzar el xito.
percibidas que podran evitarse o
mejorarse.
3. Oportunidades - Con base en
las fortalezas y debilidades
identificadas, qu oportunidades
se presentan y pueden estas
oportunidades ayudar a reducir o
eliminar las debilidades.
4. Amenazas - Qu obstculos y
factores externos actuales estn
fuera del control del pas y podran
amenazar su xito? Pueden
las consideraciones econmicas
amenazar la posicin de seguridad
ciberntica del pas?
114
115
116
ANEXO 2
METODOLOGA
117
El instrumento fue desarrollado durante un
perodo de seis meses e involucr varias
etapas. La Etapa Piloto fue uno de los hitos
significativos del Proyecto ya que se les
solicit a las entidades participantes que
Desarrollo del aplicaran el instrumento a sus entidades/
Instrumento instituciones en el contexto de probar la
aplicabilidad de los trminos y definiciones
utilizados, la comprensin de las preguntas
formuladas y la usabilidad y lgica del
P
ara reunir informacin sobre los instrumento en lnea.
diversos incidentes digitales, se
desarrollaron dos (2) tipos de Con respecto al Anlisis Situacional (Anexo
instrumentos para el siguiente 1), se utilizaron como punto de referencia los
anlisis: 1) Anlisis Situacional (estilo de la resultados de la herramienta de aplicacin
entrevista); y 2) Anlisis del impacto (en desarrollada por la OEA, el BID y el Centro
lnea). Global de Capacitacin de Seguridad
Ciberntica de la Universidad de Oxford,
El proceso de desarrollo inici con la resumidos en el informe Ciberseguridad:
investigacin y revisin de diversos estudios Estamos preparados en Amrica
pblicamente disponibles e informes sobre Latina y el Caribe?, para elaborar un
seguridad ciberntica y el anlisis del cuestionario que fue diligenciado por
impacto de la delincuencia ciberntica. las partes interesadas pertinentes del
Aunque se revisaron varios documentos, Gobierno nacional en torno a cinco reas
no se intent resumir las postulaciones principales: 1) Poltica y Estrategia; (2)
de esos estudios. En general, se concluy Cultura y Sociedad; (3) Educacin; (4)
que la mayora de los estudios disponibles Marcos Legales; y (5) Tecnologas. Las
se centraban en la estimacin general respuestas facilitaron el anlisis de las
del impacto econmico de la delincuencia principales fortalezas, oportunidades,
ciberntica y, en menor medida, en los debilidades y amenazas (anlisis FODA)
incidentes cibernticos. Estos estudios se para el pas en trminos de desarrollo de
realizaron tanto a nivel transnacional con sus capacidades en seguridad digital, as
varios pases involucrados como a nivel como una actualizacin de las diversas
nacional, pero con una pequea muestra dimensiones e indicadores.
de las diversas industrias.
118
Anlisis de las respuestas Un total de 1.606 organizaciones
comenzaron el instrumento, pero
Con el anlisis de las respuestas de las solamente un total de 1.098 entrevistados
entidades del sector pblico y privado que (515 Empresas y 583 Entidades del sector
participaron en el instrumento en Colombia, pblico) completaron la seccin del perfil.
este Estudio proporciona a nivel macro En la respuesta a cmo supieron sobre
un resumen de la estimacin de costos el instrumento, el 37% respondi que fue
relacionados con los incidentes cibernticos a travs de una carta oficial del Gobierno
y las posibles prdidas incurridas. Hubo nacional, el 24% indic que fue a travs
varios factores y limitaciones que tuvieron de un sitio web del Gobierno nacional
que ser tomados en cuenta. Muchas y el 23% dijo que era otro sitio web. Se
empresas, por ejemplo, ocultan sus observ que el 16% fue informado como
prdidas mientras que otras no poseen las resultado de la divulgacin que se llev a
habilidades para identificar sus prdidas. cabo con las asociaciones de la industria
Adicionalmente, en la metodologa de y gremios. No se estableci ninguna cuota
recopilacin de datos, a saber, el uso de por industria y tamao de la empresa
un instrumento, algunos de los resultados (ingresos), sino un margen razonable, y se
pueden no ser precisos, ya que se usaron obtuvieron respuestas representativas de
rangos para las estimaciones de valor, los empresas de distintos tamaos y sectores
entrevistados seleccionaron los resultados econmicos.
y algunas de las respuestas se basaron en
una percepcin de s mismo, que algunos
entrevistados pueden distorsionar. Por lo
tanto, el anlisis de este estudio consider
y tuvo en cuenta varios factores al derivar
sus conclusiones:
1) varios sectores econmicos que estn
incluidos; 2) tamao de los sectores; 3)
nmero de entrevistados; 4) variacin
entre los entrevistados que diligenciaron el
instrumento por completo y aquellos que
no lo completaron; y 5) factores de control,
tales como s/no para asegurar que se
medan manzanas con manzanas.
119
120
ANEXO 3
anlisis
estadistico
complementario
121
Cuadro 7: Estimacin de la probabilidad que una
empresa identifique los incidentes digitales (2016)
Modelo de estimacin: logit
Variable dependiente: 1 si la empresa identifica incidentes digitales, 0 si no los identifica.
*Variable significativa al 1%
125
Cuadro 11: Estimacin de la probabilidad
que una entidad pblica identifique los
incidentes digitales (2016)
Modelo de estimacin: logit
Variable dependiente: 1 si la entidad identifica incidentes digitales, 0 si no los identifica.