La gobernanza y la confianza: Pilares para sostener un ecosistema cibernético transparente 

Durante estos años, las preguntas que más he escuchado han sido: 1. “¿Pasta o pollo?” (las aerolíneas ya deberían variar el menú). 2. “¿A quién debe reportar el CISO?” (ese debate es más extenso por lo que luego le dedicamos otro espacio), y 3. “¿De cuál organismo debe depender la gobernanza en ciberseguridad de un país?”. Esta última es la que abordaremos a continuación. 

La ciberseguridad se ha convertido en un pilar esencial para garantizar la sostenibilidad del ecosistema digital, siendo la gobernanza en ciberseguridad un concepto clave que, cuando se implementa correctamente, permite la creación de un entorno digital seguro, confiable y resiliente. 

No cabe dudas de que, sin una gobernanza bien definida a nivel de Estado, las iniciativas de ciberseguridad corren el riesgo de ser fragmentadas, ineficaces e insuficientes para enfrentar los desafíos cada vez más complejos del ciberespacio. 

Uno de los aspectos más críticos de la gobernanza en ciberseguridad es el establecimiento de mandatos claros, así como la definición de roles y responsabilidades de los actores clave.

Los bloques de LEGO no existen como modelos de gobernanza

Sin ánimos de profundizar en modelos adoptados en distintos países, sobre si son funcionales o no, es importante resaltar que, al adoptar modelos de gobernanza en ciberseguridad, es común mirar hacia prácticas exitosas en otros países como referencia. Sin embargo, lo que funciona en un contexto específico no necesariamente se traducirá con éxito en otro. 

Es esencial considerar factores como la cultura, la estructura de dependencia entre los sectores público y privado, y los mecanismos administrativos existentes en cada nación. Además, las normativas y procesos administrativos pueden variar drásticamente, lo que implica la necesidad de adaptar cualquier modelo de gobernanza para alinearlo con las realidades locales. 

Entender que los modelos de gobernanza no funcionan como piezas de LEGO, que puedes tomar de un lugar e insertarlo en otro hueco similar, y aplicar un enfoque reflexivo, interiorizado y ajustado a las particularidades de cada país, es clave para implementar una gobernanza en ciberseguridad efectiva y sostenible.

Una Responsabilidad Compartida

Para evitar que el tema sea lo más parecido a una piñata de cumpleaños, donde todos quieren darle con el mazo y tomar todos los dulces que de ella se desprenden, es fundamental entender que la ciberseguridad no tiene un único dueño operativo a nivel país. 

No se trata de una tarea que pueda ser delegada exclusivamente a una organización o entidad. La ciberseguridad es un elemento transversal, que afecta a todas las áreas de la sociedad y la economía. 

El rol del gobierno, en este contexto, es fundamental. Solo una dirección estratégica clara desde la cúpula del Estado puede garantizar que se establezcan marcos normativos y regulatorios que obliguen a todos los actores a cumplir con estándares mínimos de seguridad a través de la coordinación de esfuerzos que eviten redundancias, solapamiento y garantizar que los recursos se utilicen de manera eficiente y efectiva. 

Una gobernanza efectiva en ciberseguridad también debe considerar el impacto de las decisiones y políticas en la vida de las personas. 

Esto incluye la necesidad de ser transparentes y abiertos en la implementación de medidas de seguridad y la comunicación abierta de estas. Las políticas que se ejecutan en las sombras, sin la debida supervisión y participación de la sociedad civil, pueden llevar a usos desmedidos de controles y a la erosión de la confianza en el entorno digital.

Ciberseguridad transparente, abierta y colaborativa

Para ser efectiva, la gobernanza debe ser un proceso transparente, abierto y colaborativo. La opacidad en la ciberseguridad erosiona la confianza entre los actores, que podrían tener un rol participativo de apoyo y dificulta las acciones coordinadas para enfrentar las amenazas. 

Si algo me ha quedado claro en el trayecto que hemos cursado al momento, es que cada vez más se entiende, promueve y articulan acciones por parte de los Estados para establecer modelos más integrales, colaborativos y funcionales, tanto estratégica como operacionalmente, para que los esfuerzos ataquen las necesidades y riesgos bajo el entendido que la ciberseguridad es responsabilidad de todos para lograr el bien común. 

En definitiva, no existe una fórmula mágica para establecer los modelos, solo considerar que sin importar quien lleve la antorcha de la gobernanza le sea dado el empoderamiento, respaldo desde el más alto nivel, y el poder de acción para hacer mandatorio operacionalizar las líneas de acción e iniciativas de la Estrategia país.