Las actividades diarias que realizamos cada vez son más digitalizadas y, por consiguiente,
más sensibles a amenazas cibernéticas.
Las políticas de ciberseguridad son fundamentales para salvaguardar los derechos de los ciudadanos en el ámbito digital, tales como la privacidad, la propiedad, así como para aumentar la confianza de los ciudadanos en las tecnologías digitales, y que éstos puedan tener confianza accediendo a dichas tecnologías. El crimen en línea ya representa la mitad de todos los delitos contra la propiedad que tienen lugar en el mundo. Los ataques cibernéticos podrían sobrepasar el 1% del producto interno bruto (PIB) en algunos países. En el caso de los ataques a la infraestructura crítica, esta cifra podría alcanzar hasta el 6% del PIB.
Si bien los gobiernos de Latinoamérica son conscientes de la necesidad de proteger el ciberespacio del que tanto depende el funcionamiento de nuestra sociedad, la ciberseguridad no ha ganado presencia en la agenda política de la región con la urgencia que se esperaría. Hasta principios de 2020, solamente 12 países habían aprobado una estrategia nacional de ciberseguridad y únicamente 10 países han establecido un organismo gubernamental central responsable de la gestión de la ciberseguridad.
Presentamos un resumen del estado de la capacidad de ciberseguridad en el Perú según el informe 2020 de “Ciberseguridad: riesgos, avances, y el camino a seguir en América Latina y el Caribe” del BID y OEA.
El Centro Global de Capacidad en Seguridad Cibernética (GCSCC,) de la Universidad de
Oxford, en consulta con más de 200 expertos internacionales provenientes de gobiernos, la sociedad civil y la academia, desarrolló el Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones (CMM). Se trata de un modelo que busca ofrecer una evaluación del nivel de madurez de las capacidades de ciberseguridad de un país, asignándole una etapa específica que corresponde a su grado de logro en materia de ciberseguridad. Las cinco etapas de madurez, que se fijan por medio de una evaluación, van desde la más básica
(inicial) hasta la más avanzada (dinámica).
La evaluación de los niveles de madurez se divide en 5 dimensiones que corresponden a
aspectos esenciales y específicos de la ciberseguridad, entre ellos:
(i) política y estrategia de ciberseguridad;
(ii) cultura cibernética y sociedad;
(iii) educación, capacitación y habilidades en ciberseguridad;
(iv) marcos legales y regulatorios; y
(v) estándares, organizaciones y tecnologías.
Estos se subdividen en un conjunto de factores que describen y definen lo que significa poseer capacidad de seguridad cibernética en cada factor, e indican cómo mejorar la madurez.
PERU obtiene los siguientes resultados en las 5 dimensiones
Esta información puede obtenerse de OBSERVATORIO CIBERSEGURIDAD.org
Sobre Perú el informe indica lo siguiente
Si bien Perú aún no cuenta con una estrategia nacional de seguridad cibernética, sí ha puesto en marcha una política nacional de ciberseguridad que, entre otras cosas, destaca la necesidad de crear una estrategia nacional de ciberseguridad y un comité nacional de ciberseguridad.
La Ley Nº 30618 de 2017 define la seguridad digital como la “situación de confianza en el entorno digital, frente a las amenazas que afectan las capacidades nacionales, a través de la gestión de riesgos y la aplicación de medidas de ciberseguridad y las capacidades de ciberdefensa, alineada al logro de los objetivos del Estado”. La Ley también define que la “Dirección Nacional de Inteligencia” es responsable por “realizar actividades y establecer los procedimientos destinados a alcanzar la seguridad digital en el ámbito de su competencia”.
El Decreto Supremo Nº 106-2017-PCM “aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales”, que son “recursos, infraestructuras y sistemas que son esenciales e imprescindibles para mantener y desarrollar las capacidades nacionales o que están destinados a cumplir dicho fin”.
Perú tiene un CSIRT nacional, PeCERT, cuya misión es coordinar la prevención, el tratamiento y la respuesta a incidentes de seguridad cibernética de instituciones del sector público, así como elaborar estrategias, prácticas y mecanismos necesarios para satisfacer las necesidades de seguridad de la información del Estado. PeCERT se encuentra bajo la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) y es miembro de la red CSIRT Américas. Además, según el Centro de Ciberseguridad Industrial, Perú está desarrollando una ley para la protección de la infraestructura crítica. El gobierno de Perú y el BID, a través de la operación de préstamo “Proyecto de mejoramiento y ampliación de los servicios de soporte para la provisión de los servicios a los ciudadanos y las empresas a nivel nacional”, acordaron impulsar proyectos específicos para fortalecer la ciberseguridad nacional.
Perú tiene varios proveedores privados de servicios de seguridad cibernética, algunos de los cuales también ofrecen capacitación en la materia. Algunas universidades brindan la oportunidad de que los peruanos continúen su educación en seguridad cibernética, y además se han realizado eventos para tratar las temáticas organizadas por asociaciones independientes. El gobierno peruano también tomó la iniciativa en lo referente a la organización de eventos de seguridad cibernética, y así, en junio de 2018 llevó adelante la Conferencia Internacional Desafíos y Gestión en Seguridad Digital, organizada por la Dirección Nacional de Inteligencia y la Secretaría de Gobierno Digital.
El tema del gobierno digital es importante para Perú, por ello se dictó la Ley de Gobierno Digital (DLeg 1412 - Set.2018), la cual “tiene por objeto establecer el marco de gobernanza del gobierno digital para la adecuada gestión de la identidad digital, servicios digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la digitalización de procesos y prestación de servicios digitales por parte de las entidades de la Administración Pública en los tres niveles de gobierno” Además, se ha declarado de “interés nacional las estrategias, acciones, actividades e iniciativas para el desarrollo del gobierno digital, la innovación y la economía digital en el Perú con enfoque territorial” en 2018 y también se aprobaron los “lineamientos para la formulación del Plan de Gobierno Digital”.
Con respecto a la legislación, Perú cuenta con la Ley Nº 30096 sobre delitos informáticos, que brinda disposiciones sustantivas sobre dicho tipo de delito, y la Ley Nº 27309, que incorporó el delito informático al Código Penal del país. Por último, cabe mencionar la Ley Nº 29733 sobre protección de datos personales, que se aplica tanto a bases de datos públicas como privadas.
