Numerosos estudios han llamado la atención sobre la medición del nivel de aplicación de la ciberseguridad en las organizaciones de diferente sector. Alghamdi y Almostadi, dos investigadores del Departamento de Turismo de la Universidad Mansoura en Egipto, han propuesto medir el nivel de ciberseguridad, en términos de confidencialidad, privacidad y “refuerzo”. Introduciendo este último concepto como la capacidad de mejorar las acciones y actividades de prevención ante escenarios vulnerables o afectados. Lo anterior, entendiendo que entre más se interconectan los servicios y plataformas de atención, más expuestos y vulnerables se encuentran. Por lo tanto, las principales actividades de las empresas estarán destinadas a reforzar o mejorar continuamente, sus herramientas y capacidades para proteger sus activos estratégicos e infraestructura crítica conectada al ciberespacio.
Para llegar a adoptar este nivel “refuerzo” o mejora continua se debe introducir la ciberseguridad como un nuevo paradigma y estructura organizacional en las pequeñas, medianas y grandes empresas, permitiendo la transformación digital en torno a la sensibilidad y vulnerabilidad de la información. Este nivel se destaca por su control y atención, desarrollo y crecimiento eficiente ante ciberataques.
Sin embargo, la ciberseguridad es adoptada por los estados bajo el enfoque conocido como: la tríada CIA, marco general que describe la confidencialidad, integridad y disponibilidad de la información. Esta tríada ha sido inspiración para los formuladores de política pública y legisladores, quienes han desarrollado directrices, normas y leyes asumiendo el ciberespacio como una constante para proteger la información de aquellos que son expuestos en la web. Una visión desde la vulnerabilidad de la información, y recientemente sobre infraestructuras críticas, más no desde el enfoque de derechos. Premisa que robustece la obligación constitucional del Estado.
Por esta razón el legislativo debe priorizar tanto la protección del Estado y sus infraestructuras críticas, como la protección de datos e información sensible basado en una propuesta de Política Marco de Ciberseguridad con Enfoque de Derechos. Esto permitiría, de manera general, prevenir escenarios de vulnerabilidad de derechos en el ciberespacio. Por ejemplo, se lograría prevenir y mitigar la manipulación de información que busca cambiar las dinámicas sociales y económicas de la sociedad. Y reducir la exposición de ataques cibernéticos que buscan, entre otras cosas, el robo y suplantación de identidad, que según IBM 2024, representa el 71% de los ciberataques globales.
Existen nuevas técnicas como el “Social Engineering” y “DeepFakes”, que buscan alterar, modificar y suplantar audios, imágenes y/o videos para luego reproducirlo de manera “hiperrealista” manipulando su “mensaje” e influyendo y afectando la toma de decisión. Esto se ha visto en procesos electorales, trámites legislativos y campañas de desinformación.
Colombia es uno de los principales países con mayor cantidad de ataques cibernéticos en América Latina. 17% de ataques registrados en la región, son dirigidos a Colombia según el Índice de Inteligencia de Amenazas X-Force de IBM 2024, por este motivo el país ha tenido la necesidad de adoptar distintos niveles (o dimensiones) de aplicación de la ciberseguridad de manera rápida, juntando los conceptos de la ciberseguridad y aplicando los procesos de la seguridad digital.
Pensar en la centralización de la seguridad digital en Colombia es demasiado oportuno, pues las dinámicas de vulnerabilidad se determinan y miden de manera distinta en nuestro país. Por esto, los indicadores del sector no se pueden unificar debido a que cada organización o entidad entiende la ciberseguridad y seguridad digital basado en sus análisis de riesgos. Razón de ello ha sido el lento avance en la adopción de los marcos regulatorios y estándares internacionales de la ciberseguridad.
Hoy día medimos la aplicación de la ciberseguridad en términos de seguridad digital a través de los índices de inclusión digital, adopción de tecnología digital y conectividad digital, dejando en deuda la adopción o aplicación, multidimensional, de la ciberseguridad.
Como expresa el profesor Kanwal del Parrikar Institute for Defence Studies and Analyses en India, “La ciberseguridad también se mide según dimensiones del marco regulatorio, procedimientos, sistemas, preparación, capacitación y concienciación cibernética, individuos y monitoreo del cumplimiento”.
Si tomamos estos conceptos y los transformamos en indicadores, podríamos tener una aproximación para ubicar el grado o nivel de aplicación de la ciberseguridad en entornos públicos como privados, buscando las mejores estrategias de seguridad. Sin embargo, no sucede de esta forma.
Por lo tanto la responsabilidad del Estado y las organizaciones por medir sus niveles de seguridad, debe partir de la identificación de controles y/o dimensiones consolidadas en el marco de sus estructuras organizacionales. Partiendo de la dispersión de áreas a la unificación de criterios y estándares colaborativos que permitan establecer los niveles de seguridad a partir de las técnicas de la ciberseguridad. De esta manera se podría afirmar que la ciberseguridad se mide según sus dimensiones ante la capacidad de adaptación.