Mejorar la ciberseguridad significa comprender cómo los ciberataques afectan tanto a los gobiernos como a los civiles

Durante casi dos años, 68 estados miembros de las Naciones Unidas—Junto con empresas privadas, organizaciones no gubernamentales, comunidades técnicas y académicos— participó en un grupo de trabajo de composición abierta sobre avances en información y telecomunicaciones en seguridad internacional (Cyber ​​OEWG). El grupo de trabajo deliberó sobre el comportamiento estatal responsable en el ciberespacio.

En marzo de 2021, el grupo de trabajo elaboró ​​un reporte final. El informe llega en un momento crítico a la luz de los ciberataques de alto perfil en SolarWinds y Microsoft Exchange Server, así como los ataques de ransomware en infraestructuras civiles críticas y servicios públicos esenciales.

Inclusión de múltiples partes interesadas

El Cyber ​​OEWG se estableció en 2018. Tenía la tarea de Continuar las negociaciones sobre ciberseguridad de una manera más democrática, inclusiva y transparente.. El proceso es abierto a todos los estados miembros interesados.

El Cyber ​​OEWG consulta públicamente con organizaciones no estatales sobre las preocupaciones sobre las nuevas amenazas que plantean las tecnologías de la comunicación. Estos incluyen la interferencia en línea en los procesos electorales, los ataques cibernéticos a las cadenas de suministro y la infraestructura y los ataques de rescate a las instalaciones médicas.

Las organizaciones de la sociedad civil han expresado su preocupación al Cyber ​​OEWG sobre las posibles consecuencias humanitarias de las actividades maliciosas relacionadas con las tecnologías de la información y las comunicaciones (TIC). Exigen considerar los impactos sociales de las amenazas cibernéticas a favor de centrarse simplemente en los impactos económicos y políticos.

Impactos de las actividades cibernéticas maliciosas

Cada vez más, los ataques cibernéticos desenfrenados tienen como objetivo infraestructuras civiles críticas, incluidas instalaciones de salud, oleoductos, plantas acuáticas y cadenas de suministro de alimentos. Ataques a empresas tecnológicas también se han convertido en algo común.

Estos incidentes cibernéticos han impactado organizaciones de todos los tamaños, incluidos aquellos con menos conciencia y capacidad para defenderse, como organizaciones de la sociedad civil y pequeñas empresas. Los civiles también pueden verse afectados por las consecuencias violaciones de datos personales y servicios públicos interrumpidos.

El daño a las personas como resultado de una violación de datos puede ser físico, financiero, emocional o reputacional. Los servicios públicos interrumpidos también han provocado la muerte de retrasar el tratamiento.

Centrar la seguridad civil

Las personas experimentan ciberamenazas, incidentes y daños. diferentemente dependiendo de su identidad de género, etnia, raza y otras jerarquías sociales y culturales. Aquellos que se encuentran en posiciones vulnerables y marginadas pueden ser desproporcionadamente dañado por ciberataques.

Organizaciones como el Instituto de las Naciones Unidas para la Investigación sobre el Desarme y la Asociación para las Comunicaciones Progresistas examinar estos aspectos desiguales de la ciberseguridad. Abordar estas desigualdades en la ciberseguridad requiere enfoques de la ciberseguridad centrados en el ser humano e inclusivos.

A enfoque centrado en el ser humano to cyber-security prioriza a las personas al evaluar amenazas, incidentes, tecnologías y prácticas de ciberseguridad. Reconoce que las identidades que se cruzan de las personas dan forma a sus necesidades de ciberseguridad y a la experiencia de los incidentes cibernéticos. En consecuencia, las medidas e instrumentos de ciberseguridad deben diseñarse para abordar las desigualdades estructurales que conducen a la inseguridad.

Es necesario recopilar datos desglosados ​​por factores socioeconómicos sobre la participación de las personas en los campos de la seguridad cibernética y sobre las víctimas de incidentes cibernéticos. Los esfuerzos para aumentar la participación de los grupos minoritarios y subrepresentados en la fuerza laboral de seguridad cibernética deben ir más allá de brindar acceso a la educación y el desarrollo de habilidades. Además, el desarrollo de habilidades en ciberseguridad debe adaptarse a las necesidades y capacidades específicas de los grupos de población objetivo, incluidas las personas con discapacidad, los ancianos y los niños.

Construyendo una sociedad ciberresiliente

La explotación de vulnerabilidades en los sistemas de TIC y su debilitamiento de los estándares de cifrado pueden socavar la confianza en el ciberespacio en general. Cuando cualquier sector o estado es más seguro, todos cosechamos los beneficios. Por otro lado, posibilitar la inseguridad por diseño y actos TIC maliciosos degradar toda la seguridad del ecosistema cibernético.

Las amenazas a la ciberseguridad pueden emanar de cualquier sector de la sociedad, debido a errores humanos, desastres naturales, problemas técnicos o ciberataques. El efecto puede propagarse en cascada a través de sectores y niveles de formas imprevistas, como se demuestra en los ciberataques dirigidos a firmas tecnológicas gigantes.

Para abordar los orígenes y el efecto sistémico de las amenazas a la seguridad cibernética, debemos desarrollar la resiliencia cibernética de la sociedad. Esto requeriría una distribución equitativa de los recursos necesarios para desarrollar la capacidad cibernética y la amplia participación de todas las partes interesadas afectadas (el gobierno, el sector privado y la sociedad civil) para dar forma a la investigación, la política y la práctica de la ciberseguridad.

Tiempo enfrentando las mismas ciberamenazas persistentes experimentado por los estados y las entidades privadas, las organizaciones de la sociedad civil están equipadas con muchos menos recursos para defenderse. Se podría abordar estas desigualdades de recursos de seguridad cibernética intersectoriales mediante el establecimiento de equipos de respuesta a incidentes cibernéticos que atiendan las necesidades de todas las partes interesadas afectadas, no solo las empresas que operan infraestructuras críticas.

Financiamiento de ciberseguridad para con limitaciones financieras También se necesitan sectores, como las organizaciones de la sociedad civil y las pequeñas empresas. Es crucial proporcionar programas de desarrollo de habilidades cibernéticas para los empleados de estas organizaciones, incluida la conciencia de las amenazas cibernéticas, la importancia de los hábitos de higiene cibernética y cómo responder a los incidentes cibernéticos.

Las buenas prácticas a nivel nacional incluyen formalizar la participación de las organizaciones de la sociedad civil en la elaboración de leyes y políticas relacionadas con la ciberseguridad. Esto incluiría el desarrollo de medidas para disuadir ciberataques, diseñar programas de creación de capacidad cibernética y compartir información sobre amenazas cibernéticas.

Los estados han comenzado a adoptar este enfoque inclusivo de la ciberseguridad. Varios países de Asia y el Pacífico, incluidos Australia, Filipinas y Sri Lanka, han establecido equipos nacionales de respuesta a incidentes cibernéticos que aceptan informes de civiles.

Recientemente, Canadá, Australia, Nueva Zelanda, el Reino Unido y los Estados Unidos—una alianza de inteligencia conocida como los Cinco Ojos–comprometido a desarrollar una respuesta colectiva contra la amenaza del ransomware.

La ONU está progresando gradualmente hacia la inclusión de múltiples partes interesadas y dando prioridad a la seguridad civil en las negociaciones de ciberseguridad. Sin embargo, aún queda mucho trabajo por hacer para dar seguimiento a las acciones propuestas por el Cyber ​​OEWG. Las futuras discusiones sobre ciberseguridad deben establecer un mecanismo de rendición de cuentas para las operaciones cibernéticas de los estados y resolver cómo se aplica el derecho internacional al ciberespacio.

---

---

Este artículo se vuelve a publicar desde La conversación bajo una licencia Creative Commons. Leer el artículo original.