El impacto de los incidentes de ciberseguridad sigue aumentando, y los costos anuales para la sociedad representan hasta el 3% del PIB. Tanto en los países desarrollados como en los países en desarrollo, sectores críticos como la sanidad, la energía y el transporte se ven cada vez más afectados por incidentes de ciberseguridad. Para la mayoría de los gobiernos y organizaciones de todo el mundo, la cuestión relevante ya no es si se producirá un incidente de ciberseguridad, sino cuándo. En consecuencia, los gobiernos han estado invirtiendo significativamente en su capacidad para detectar y responder a incidentes de ciberseguridad. Mientras que los bomberos y el personal sanitario de urgencias son los primeros en responder a los incidentes en el mundo físico, el personal de los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) son los primeros en responder en el ámbito digital. En los países de renta alta, el ecosistema de respuesta a incidentes suele estar bastante desarrollado. Estos países suelen tener CSIRT especializados para sectores críticos, así como CSIRT de nivel empresarial para algunas grandes organizaciones. En contextos de ingresos altos, los CSIRT nacionales (nCSIRT) suelen desempeñar el papel de coordinador del ecosistema de respuesta a incidentes, y también se mantienen en reserva como CSIRT de «último recurso» para casos de incidentes graves. En Estados Unidos, España y Japón participan en FIRST 111, 57 y 44 equipos, respectivamente. El establecimiento y la mejora de los CSIRT en los países de renta baja y media se ha convertido, por tanto, en un elemento clave del programa de desarrollo digital. Tanto en los países de renta baja como en los de renta media, la creación y mejora de los CSIRT suele contar con el apoyo de la ayuda internacional al desarrollo financiada a través de organizaciones como el Banco Mundial, la Unión Internacional de Telecomunicaciones (UIT), la Organización de Estados Americanos (OEA) y la Unión Europea (UE). Por ejemplo, el Banco Mundial ha ayudado a establecer CSIRT en muchos países de distintas regiones, como Armenia, Bangladesh, Bután, Ghana, Kirguistán y Sierra Leona, entre otros. Sin embargo, el papel de los CSIRT en la resiliencia cibernética general, y los factores clave de éxito que permiten su puesta en marcha, siguen siendo a menudo poco claros para los responsables políticos. Por lo tanto, esta nota tiene como objetivo proporcionar a los responsables políticos una comprensión clara de la función y la importancia de los CSIRT, al tiempo que ofrece asesoramiento político basado en la evidencia sobre el establecimiento y la mejora de CSIRT en los países en desarrollo sobre la base de las mejores prácticas reconocidas y la experiencia sobre el terreno de los proyectos del Banco Mundial. CSIRT, CERT y CIRT son términos relacionados que se refieren al mismo concepto de equipo de respuesta a incidentes de ciberseguridad.  

El término CERTTM fue registrado en Estados Unidos por la Universidad Carnegie Mellon en 1997, que fomentó el uso de alternativas. Para entender el papel de los CSIRT en la ciberresiliencia general, es útil considerar el Marco de Ciberseguridad (CSF) del NIST, que conceptualiza la gestión de riesgos de ciberseguridad en torno a seis funciones clave: gobernar, identificar, proteger, detectar, responder y recuperar. Los CSIRT pueden definirse como organizaciones o unidades especializadas en la función «responder «, dado que la característica principal de los CSIRT es proporcionar capacidades de gestión de incidentes. La respuesta a incidentes es el mandato principal de los CSIRT, aunque en muchos países también prestan servicios de «detección de incidentes» y desempeñan otras funciones, como facilitar una cooperación más amplia para la gestión de riesgos de ciberseguridad a través de la formación, la sensibilización, la promoción de la ciberhigiene y el intercambio de información sobre amenazas. La circunscripción, la oferta de servicios y la gobernanza son tres características fundamentales para definir el papel de un CSIRT determinado. Determinan los niveles adecuados de financiación y personal necesarios para la operatividad del CSIRT. Para la función nacional de respuesta a incidentes, estas características deben estar claramente definidas dentro de un mandato otorgado por el gobierno o por ley al nCSIRT y a su institución anfitriona. Los CSIRT pueden evolucionar con el tiempo a medida que se desarrolla el ecosistema nacional de respuesta a incidentes. Si se crean nuevos CSIRT sectoriales, el nCSIRT puede delegar progresivamente la gestión de incidentes en estos sectores mientras se centra en la coordinación general a nivel nacional. A lo largo de los años, el papel de los CSIRT ha evolucionado desde la prestación de servicios limitados de gestión de incidentes hasta la coordinación y comunicación con las distintas partes interesadas, así como el intercambio de información sobre amenazas y la impartición de formación técnica a sus integrantes. Al igual que los bomberos, los CSIRT hacen cada vez más que responder a las emergencias: también conciencian, imparten formación y establecen relaciones con su comunidad de partes interesadas y electores. En contextos de bajos ingresos, los CSIRT deben «empezar poco a poco» y limitar su oferta de servicios a las necesidades básicas de sus miembros. Por ejemplo, en sus dos primeros años, un nCSIRT o CSIRT sectorial recién creado puede centrarse en el análisis de incidentes, la investigación forense, la coordinación de vulnerabilidades y la concienciación. En los años tres y cuatro, si el CSIRT ha conseguido establecer relaciones sólidas con sus miembros y hacer crecer su equipo, puede ampliar su oferta de servicios a la concienciación sobre la situación, los ejercicios de simulación y el apoyo a la gestión de crisis, entre otros. Y lo que es más importante, se pueden ofrecer diferentes servicios a diferentes destinatarios. Por ejemplo, un nCSIRT podría prestar servicios de gestión de incidentes a entidades gubernamentales, mientras que sólo se dedicaría a concienciar y promover la ciberhigiene entre los ciudadanos en general. La capacidad de generar confianza con sus destinatarios es un factor clave para el éxito de los CSIRT. Si la organización anfitriona se encuentra dentro de la comunidad de defensa, inteligencia o aplicación de la ley, por ejemplo, puede ser más difícil para los CSIRT crear confianza con los constituyentes externos.  

El Banco Mundial suele recomendar que los CSIRT gubernamentales o nCSIRT se alojen en instituciones civiles, como ministerios u organismos independientes. En América Latina y el Caribe, la mayoría de los nCSIRT se alojan en organismos civiles, como ministerios relacionados con la Ciencia o la Tecnología o la Oficina de la Presidencia. La capacidad de conseguir fondos para financiar su oferta de servicios es también un factor clave para el éxito de los CSIRT. Aunque la ayuda internacional al desarrollo puede, en algunos casos, financiar las inversiones iniciales y los gastos de funcionamiento durante los dos o tres primeros años de funcionamiento del CSIRT, éste debe construir paralelamente un modelo financiero sólido para apoyar el desarrollo a largo plazo. Por ejemplo, la organización anfitriona podría destinar un presupuesto al funcionamiento del CSIRT. Más allá del presupuesto de la Administración central y de las cuotas de afiliación, los modelos híbridos innovadores ofrecen algunos servicios gratuitos y otros de pago. Las APP podrían reducir la carga financiera del sector público y facilitar la transferencia de conocimientos. El capex incluye las inversiones iniciales necesarias para establecer el CSIRT, como la evaluación previa, la adquisición de software y hardware (por ejemplo, servidores, conmutadores, cortafuegos, ordenadores portátiles, impresora, copias de seguridad, etc.), la contratación de consultores para formar y actualizar al personal y la financiación de activos fijos, como la compra de una oficina. El gasto operativo cubre los gastos cotidianos del CSIRT, como el salario del personal, las licencias de software, la formación, las cuotas de los miembros, el mantenimiento de la oficina, las comunicaciones y los eventos. Sin embargo, los costos reales de creación y funcionamiento de un CSIRT dependen en gran medida del contexto y, en particular, del nivel de renta del país (los niveles salariales del personal y los costos de alquiler de una oficina variarán significativamente entre un país de renta alta y uno de renta baja) y del tamaño (es probable que el funcionamiento de un CSIRT nacional en un pequeño Estado insular en desarrollo sea menos costoso que el funcionamiento de un CSIRT nacional en un país más grande con más de 50 millones de habitantes). Los rangos de costos que se indican a continuación reflejan un modelo operativo muy reducido y pueden ser fácilmente superiores en función del diseño, el contexto y las funciones del CSIRT. La formación y la participación en redes internacionales de respuesta a incidentes son esenciales para el éxito del desarrollo de los CSIRT. Por lo tanto, los planes financieros de los CSIRT deben destinar presupuesto8 para tales actividades, normalmente enviando al menos a dos miembros del personal para participar en estos eventos. Para limitar los costos de viaje, la formación de los equipos más grandes puede realizarse in situ, trayendo a formadores especializados del país para que impartan sesiones de formación de una o dos semanas. 

El informe destaca la importancia crítica de los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs) en la resiliencia cibernética nacional. Los CSIRTs actúan como los primeros respondedores digitales, brindando respuesta a incidentes, capacitaciones, concienciación y fortalecimiento comunitario, aunque no se ocupan de la aplicación de la ley ni del desarrollo de políticas. Se establece una correlación fuerte entre la capacidad de respuesta a incidentes de un país y su capacidad general de ciberseguridad. En África Occidental y Central, por ejemplo, los países con un CSIRT plenamente operativo son los que obtienen las puntuaciones más altas en el Índice Global de Ciberseguridad de la Unión Internacional de Telecomunicaciones. El informe revela una disparidad significativa en la distribución de CSIRTs entre países de distintos niveles de ingresos. Mientras que más de 500 CSIRTs se han establecido en países de altos ingresos, solo seis países de bajos ingresos tienen un CSIRT plenamente operativo. Los países de ingresos medios tienen, en promedio, solo un CSIRT operativo. La inversión en respuesta a incidentes se muestra como altamente rentable en comparación con los costos anuales estimados de los incidentes de ciberseguridad, que pueden representar hasta el 3% del PIB. Se recomienda priorizar la inversión en la creación, mejora y operación de CSIRTs en países en desarrollo. Para los países de bajos ingresos, el enfoque inicial debería ser la creación y operación del CSIRT nacional (nCSIRT), que puede comenzar brindando servicios exclusivamente al gobierno o a operadores de infraestructuras críticas. En los países de ingresos medios, se debe fortalecer la función del nCSIRT y establecer una red robusta de CSIRTs sectoriales dedicados a la protección de infraestructuras críticas. El uso de herramientas y recursos de código abierto desarrollados por la comunidad de profesionales puede ayudar a reducir los costos iniciales y operativos de los CSIRTs. La participación en redes internacionales y regionales de respuesta a incidentes es esencial para asegurar «ganancias rápidas» y construir capacidad rápidamente en CSIRTs recién establecidos. Modelos innovadores, como las asociaciones público-privadas (PPP), podrían facilitar la transferencia de conocimientos y reducir la inversión pública inicial necesaria para establecer CSIRTs. En resumen, los CSIRTs son fundamentales para la infraestructura de ciberseguridad de un país, y su establecimiento y mejora deben ser una prioridad en los esfuerzos de desarrollo cibernético, especialmente en contextos de bajos y medianos ingresos.  

Para leer más ingrese a: