Colombia. El gobierno colombiano emitió el Decreto 338 que establece los lineamientos generales para la gobernanza de seguridad digital, con el cual busca aunar y dinamizar el desarrollo legal, los avances técnicos, así como los conocimientos estatales y privados para fortalecer la ciberseguridad del país.
Este decreto entra a fortalecer la línea de trabajo de la seguridad digital del país, la cual es especialmente necesaria para la protección de las infraestructuras críticas industriales, máxime con el contexto actual, caracterizado por el aumento de los ataques del malware y el ransomware a nivel global.
Según el informe Internet Security Report - Q4 2021, del Threat Lab de WatchGuard, durante el cuarto trimestre de 2021 las amenazas de día cero llegaron a su máximo histórico. En los resultados se detalló que Europa, Oriente Medio y África cuadruplicaron la detección de ataques en su red, mientras en el resto del globo el malware se incrementó a casi el doble.
Por su parte, el más reciente reporte del Foro Económico Mundial, WEF The Global Risk Report 2022, apuntó que el ransomware tuvo un aumento del 435 % en 2020.
Así pues, el Decreto 338 del 2022 establece los lineamientos generales para fortalecer la gobernanza de la seguridad digital, a la vez que crea el modelo a aplicar para hacerlo posible y las instancias de dicho modelo. Entonces, para entender el alcance de esta nueva normativa asistimos al webinar organizado por el Centro de Ciberseguridad Industrial (CCI), Impactos del Decreto 338 de 2022 de la presidencia de Colombia "Gobernanza de la Seguridad Digital" en las Infraestructuras.
Novedades de la legislación colombiana
Tal y como lo explicó Ángela Cortés, coordinadora ColCERT del Ministerio TIC de Colombia, el Decreto 338 es el resultado de una evolución en la legislación dirigida a mejorar la seguridad cibernética en el país, que como tal inició en 2011 con la CONPES 3701.
Uno de los puntos fundamentales del Decreto 338 describe a la definición de Gobernanza de la seguridad digital para Colombia como “el conjunto de interacciones y enfoques entre las múltiples partes interesadas para identificar, enmarcar, proponer, y coordinar respuestas proactivas y reactivas a posibles amenazas a la confidencialidad, integridad o disponibilidad de los servicios tecnológicos, sistemas de información, infraestructura tecnológica, redes e información que en conjunto constituyen el entorno digital”.
Ahora bien, el principal objetivo de esta gobernanza es facilitar la participación, articulación e interacción de las múltiples partes interesadas, para fortalecer las capacidades en la gestión de riesgos de seguridad digital del país.
Otra novedad de este decreto es que compromete al Ministerio de Tecnologías de la Información y las Comunicaciones (TIC) a levantar el inventario de infraestructuras críticas públicas cibernéticas nacionales y de servicios esenciales en el ciberespacio, el cual se deberá tener listo en 2023 y se actualizará a razón de cada dos años.
“Para ello, deberá identificar los sectores y subsectores que cuentan con infraestructuras críticas cibernéticas o prestan servicios esenciales para el mantenimiento de las actividades económicas y sociales”. Con lo cual se crearán los CSIRT (Computer Security Incident & Response Team) sectoriales, así como el Comité Nacional de Seguridad Digital y una Plataforma Nacional de Notificación y Seguimiento de Incidentes de Seguridad Digital, espacio que servirá para la notificación y gestión de incidentes de ciberseguridad.
De forma general, el mayor avance con este decreto, en materia de ciberseguridad, es la búsqueda de identificar y prevenir los ataques o incidentes en las redes y sistemas de información, que traería como consecuencia efectos significativos en la prestación de servicio esenciales del estado. Un ejemplo de este tipo de percances es el actual conflicto que enfrenta Costa Rica, debido a los ciberataques del grupo Conti.
El antecedente de esta norma, como se mencionó en el webinar, es fortalecer la confianza ciudadana para lograr maximizar la generación de valor socioeconómico a través de internet. Ángela Cortés comentó que Colombia carecía de un marco que coordinara las políticas de seguridad cibernética, de modo que el decreto 338 también entró a llenar un vacío legal, pero sin duda es el resultado del avance normativo de los últimos 11 años.
Implicaciones del Decreto 338
En suma el decreto busca la identificación de mejores prácticas y lecciones aprendidas que ayudan a identificar lineamientos, redactar guías y generar actividades propias. Pero este no es un trabajo de una sola entidad, es un montaje interseccional e interdisciplinario.
En palabras de Cristian Isaza, integrante de la Mesa directiva CCI Capítulo Colombia, ya que este mandato tiene implicaciones para los agentes que cuentan con infraestructura crítica, ayuda a los obligados (sector público) y a los no obligados (sector privado) a articularse. Un asunto de vital importancia en la coyuntura actual, marcada por una realidad nacional e internacional, en las que impera fortalecer la ciber resiliencia, especialmente para los sectores críticos con incidentes recurrentes.
Como conclusiones del webinar se tiene que la guía de clasificación de las infraestructuras críticas podría cambiar en 12 meses, dependiendo del resultado del trabajo que tiene el gobierno de Colombia.
Es de tener en cuenta que la importancia de la implementación del Decreto 338 en las organizaciones privadas está en la reducción de los impactos de los incidentes, al tener mejores elementos de soporte para las prácticas en las organizaciones, pues el decreto implica una revisión nacional y sistemática de los estándares, con trazabilidad y garantía de pertinencia.
Finalmente, y según los oradores del webinar, ya que un evento de ciberseguridad no es aislado, contribuir en el registro de información a nivel nacional, desde el uso de la plataforma Nacional y la participación en los Grupos de Trabajo de Seguridad Digital (contemplados en el Decreto 338), redunda en la obtención de información y más herramientas. En ese sentido, Ángela Cortés aseguró que la ganancia de hacer parte en la cocreación en esos espacios es poder impulsar las herramientas de información y estrategias más acertadas a nivel nacional.
Deje su comentario