Вы находитесь на странице: 1из 130

1

2
3
4
Copyright 2017 Organizacin de los Estados Americanos.

Esta obra se encuentra sujeta a una licencia Creative Commons IGO 3.0 Reconocimiento-
NoComercial-SinObrasDerivadas (CC-IGO 3.0 BY-NC-ND) (http://creativecommons.org/
licenses/by-ncnd/3.0/igo/legalcode) y puede ser reproducida para cualquier uso no-
comercial otorgando el reconocimiento respectivo a la OEA y el MINTIC. No se permiten
obras derivadas. Cualquier disputa relacionada con el uso de la obra que no pueda
resolverse amistosamente se someter a arbitraje de conformidad con las reglas de la
CNUDMI (UNCITRAL). El uso del nombre de la OEA y/o de MINTIC para cualquier fin distinto
al reconocimiento respectivo y el uso del logotipo de la OEA y/o del MINTIC, no estn
autorizados por esta licencia CC-IGO y requieren de un acuerdo de licencia adicional de
la organizacin correspondiente. Note que el enlace URL incluye trminos y condiciones
adicionales de esta licencia. Las opiniones expresadas en esta publicacin son de los autores
y no necesariamente reflejan el punto de vista del Organizacin de los Estados Americanos,
ni de los pases que la integran.

Este estudio cuenta con el apoyo financiero del gobierno de

5
Crditos
David Luna Equipo Tcnico OEA
Ministro de Tecnologas de la Claudia Paz y Paz
Informacin y las Comunicaciones Alison August Treppel
de Colombia (MINTIC) Belisario Contreras
Brbara Marchiori de Assis
Luis Almagro Kerry-Ann Barrett
Secretario General de la Organizacin Jorge Bejarano
de los Estados Americanos (OEA) Harold Coronado

Equipo Tcnico MINTIC Equipo Tcnico BID


Juanita Rodrguez Ana Mara Rodrguez-Ortiz
Orlando Garcs Carlos Santiso
Antonio Carrillo Javier Len
Miguel Porra
Florencia Cabral

Colaboradores
Danil Kerimi
Lara Pace
Andres Galindo
Gonzalo Romero
6
Entidades Colaboradoras

Asociacin Bancaria y de Entidades Financieras de Colombia


-ASOBANCARIA-
Asociacin Colombiana de las Micro, Pequeas y Medianas Empresas
-ACOPI-
Asociacin Nacional de Empresarios de Colombia -ANDI-
Asociacin Nacional de Empresas de Servicios Pblicos y Comunicaciones
-ANDESCO-
Cmara Colombiana de Comercio Electrnico -CCCE-
Cmara Colombiana de Informtica y Telecomunicaciones -CCIT-
Centro Ciberntico Policial de la Polica Nacional -CCP-
Comando Conjunto Ciberntico del Comando General de las Fuerzas
Militares -CCOC-
Comisin de Regulacin de Comunicaciones -CRC-
Confederacin Colombiana de Cmaras de Comercio -CONFECAMARAS-
Consejo Nacional Gremial -CNG-
CSIRT de la Polica Nacional -CSIRT PONAL-
Departamento Administrativo Direccin Nacional de Inteligencia -DNI-
Departamento Nacional de Planeacin
Federacin Colombiana de la Industria de Software y Tecnologas de la
Informacin -FEDESOFT-
Federacin Nacional de Comerciantes -FENALCO-
Grupo de Respuesta a Emergencias Cibernticas -colCERT-
Ministerio de Defensa Nacional
Ministerio de Justicia y del Derecho
Ministerio de Relaciones Exteriores
Ministerio de Tecnologas de la Informacin
y las Comunicaciones
Presidencia de la Repblica

7
8
tabla de
contenido
PRINCIPALES CONCLUSIONES Y OBSERVACIONES 13
GUIA DEL LECTOR 21
PRLOGO 25
PARTE 1 - anlisis del sector privado 33

PERFIL DE LAS EMPRESAS 34


PRCTICAS DE SEGURIDAD DIGITAL EN LAS EMPRESAS 38
INCIDENTES DIGITALES EN LAS EMPRESAS 48
PRESUPUESTO PARA LA SEGURIDAD DIGITAL DE LAS EMPRESAS 58
COSTO DE LOS INCIDENTES DIGITALES EN LAS EMPRESAS 63

PARTE 2 - anlisis de ENTIDADES DEL SECTOR PBLICO 71


PERFIL DE ENTIDADES 72
PRCTICAS DE SEGURIDAD DIGITAL EN LAS ENTIDADES 76
INCIDENTES DIGITALES EN LAS ENTIDADES 82
PRESUPUESTO PARA LA SEGURIDAD DIGITAL DE LAS ENTIDADES 87
COSTO DE LOS INCIDENTES DIGITALES EN LAS ENTIDADES 91
ANEXO 1 - anlisis SITUACIONAL 99
ANEXO 2 - METODOLOGA 117
ANEXO 3 - anlisis ESTADSTICO COMPLEMENTARIO 121

9
tabla de cuadros
CUADRO 1: Mediana del presupuesto anual para la seguridad digital por 60
empresa que asigna recursos para TI (2016)

CUADRO 2: Asignacin del presupuesto para asuntos de seguridad digital 61


(2016)

CUADRO 3: Mediana del costo total por empresa que estim el impacto de 69
los incidentes digitales (2016)

CUADRO 4: Costo total por ventas de la empresa (2016) 69

CUADRO 5: Mediana del presupuesto para la seguridad digital por entidad 89


que asignaron recursos a TI (2016)

CUADRO 6: Asignacin del presupuesto para la Seguridad Digital por 90


Entidad que asignaron recursos a TI (2016)

CUADRO 7: Estimacin de la probabilidad que una empresa identifique los 122


incidentes digitales (2016)

CUADRO 8: Resultados de la regresin Nmero de incidentes (2016) 123

CUADRO 9: Resultados de la regresin Presupuesto asignado por la 124


empresa para seguridad digital (2016)

CUADRO 10: Resultados de la regresin costo con incidentes digitales 125


(2016)

CUADRO 11: Estimacin de la probabilidad que una entidad pblica 126


identifique los incidentes digitales (2016)

CUADRO 12: Resultados de la regresin Presupuesto asignado por la 127


entidad pblica para seguridad digital (2016)

10
Tabla de Grficos
GRFICO 1: Tamao de las empresas 34
GRFICO 2: Sector econmico de los entrevistados 35
GRFICO 3: Nmero de empleados de las empresas 36
GRFICO 4: Porcentaje aproximado del personal de su empresa que tiene acceso a Internet 37
GRFICO 5: Nivel de preparacin para hacer frente a un incidente digital (sector econmico) 39
GRFICO 6: Nivel de preparacin para hacer frente a un incidente digital (tamao de la 40
empresa)
GRFICO 7: Prcticas en Seguridad Digital (sector econmico) 41
GRFICO 8: Prcticas en Seguridad Digital (tamao de la empresa) 42
GRFICO 9: Cargo(s) o rol(es) dedicado(s) a la seguridad digital (tamao y sector econmico 43
de las empresas)
GRFICO 10: Evaluacin del riesgo ciberntico (tamao de las empresas) 44
GRFICO 11: Evaluacin del riesgo ciberntico (sector econmico) 45
GRFICO 12: Datos y activos priorizados por la empresa (2016) 46
GRFICO 13: Porcentaje de empresas que identificaron incidentes digitales, segn el tamao 48
de la empresa (2016)
GRFICO 14: Porcentaje de empresas que identificaron incidentes digitales, segn el sector 49
econmico (2016)
GRFICO 15: Cambio en la gravedad de los incidentes digitales (2016) 51
GRFICO 16: Gravedad de los incidentes digitales (2016) 53
GRFICO 17: Notificacin de incidentes digitales (2016) 56
GRFICO 18: Nmero de incidentes digitales identificados por las empresas (2016) 57
GRFICO 19: Presupuesto Anual para la Seguridad Digital de las empresas que asignan 59
recursos para TI (2016)
GRFICO 20: Empresas que estimaron las consecuencias negativas de los incidentes digitales 63
(2016)
GRFICO 21:Costos de interrupcin de las operaciones incurridos por las empresas que 64
estimaron el impacto de los incidentes digitales (2016)
GRFICO 22: Costos de daos a los activos e infraestructura incurridos por las empresas que 65
estimaron el impacto de los incidentes digitales (2016)
GRFICO 23: Costos de sanciones, multas y gastos legales incurridos por las empresas que 66
estimaron el impacto de los incidentes digitales (2016)
GRFICO 24: Costos de daos a la reputacin incurridos por las empresas que estimaron el 67
impacto de los incidentes digitales (2016)

11
Tabla de Grficos

GRFICO 25: Costos de prdidas de la propiedad intelectual incurridos por las empresas que 68
estimaron el impacto de los incidentes digitales (2016)
GRFICO 26: Inversin en I+D+i 70
GRFICO 27: Rama del poder pblico a que pertenece la entidad 72
GRFICO 28: Orden a que pertenece la entidad 73
GRFICO 29: Regin en la cual se encuentra ubicada la entidad 74
GRFICO 30: Nmero de personas que trabajan en las entidades 75
GRFICO 31: Porcentaje de personal de su entidad que tiene acceso a Internet (2016) 76
GRFICO 32: Nivel de preparacin de la entidad para hacer frente a un incidente digital 77
GRFICO 33: Prcticas de seguridad digital implementadas por las entidades 78
GRFICO 34: Entidades con rea, cargo(s) o rol(es) dedicado(s) a la seguridad digital 79
GRFICO 35: Datos y activos priorizados por las entidades 81
GRFICO 36: Porcentaje de entidades estatales que identificaron incidentes digitales (2016) 83
GRFICO 37: Cambio en la gravedad de los incidentes digitales 85
GRFICO 38:: Gravedad de los incidentes digitales 86
GRFICO 39: Presupuesto para la Seguridad Digital (2016) 88
GRFICO 40: Entidades que estimaron las consecuencias negativas de los incidentes digitales 91
(2016)
GRFICO 41: Costos de interrupcin de la informacin incurridos por las entidades estatales que 92
estimaron el impacto de los incidentes digitales (2016)
GRFICO 42: Costos de daos a los activos e infraestructura incurridos por las entidades 93
estatales que estimaron el impacto de los incidentes digitales (2016)
GRFICO 43: Costos de sanciones, multas y gastos legales incurridos por las entidades estatales 93
que estimaron el impacto de los incidentes digitales (2016)
GRFICO 44: Costos dao a la reputacin incurridos por las entidades estatales que estimaron 94
el impacto de los incidentes digitales (2016)
GRFICO 45: Costos de prdida a la propiedad intelectual y de informacin sensible incurridos 95
por las entidades estatales que estimaron el impacto de los incidentes digitales (2016)
GRFICO 46: Inversin en I+D+i de las entidades que estimaron el impacto de los incidentes 97
digitales (2016)
GRFICO 47: Comparativo de los resultados del CMM (2016 y 2017) 107

12
Principales
conclusiones y
observaciones
13
instituciones tanto pblicas como
privadas y se han utilizado numerosas
herramientas estadsticas para
facilitar al lector la extraccin de sus

Principales
propias conclusiones.
organizaciones colombianas
conclusiones y
Las
que participaron en este estudio

observaciones
presentan, en su mayora, un alto nivel
de conectividad. De las empresas
entrevistadas, 65% indicaron que entre
el 81% y el 100% de su fuerza laboral
contaba con acceso a Internet. En el
sector pblico, 69% de las entidades

e
ste estudio fruto de la colaboracin
participantes indicaron que entre el 81% y
entre el MINTIC, la OEA y el BID
el 100% de sus empleados tenan acceso a
representa una iniciativa pionera
Internet en el trabajo.
en la regin y poco frecuente
a nivel mundial, ya que releva Cuando se pregunta a las organizaciones
informacin sobre las amenazas colombianas si creen que estn preparadas
para la seguridad digital de un pas y su para hacer frente a un incidente digital, un
capacidad de defenderse ante las mismas promedio simple del 37% de las empresas
que resulta difcil de recolectar. El gobierno que participaron del estudio (empresas
de Colombia se sita as en la vanguardia de de los sectores Servicios, Industria y
la generacin de conocimiento en el rea de Comercio) creen que estaban preparadas
la seguridad digital que facilite el diseo y la para manejar un incidente digital. En
implementacin de polticas que atiendan cuanto al tamao de estas empresas, el
los aspectos ms dbiles del escenario que 70% de las grandes empresas se sienten
muestra este estudio. muy preparadas o preparadas para
gestionar un incidente digital, frente al 45%
La informacin recogida permite tener una
de las microempresas. Cuando se realiza la
visin completa de los ataques que sufren
misma pregunta a las entidades pblicas,
tanto el sector pblico como el privado,
uno de los resultados encontrados es que
as como su nivel de preparacin para
la mayora de las entidades a nivel nacional
defenderse de dichos ataques. El estudio
se sienten preparadas. Los participantes
hace un esfuerzo por presentar la informacin
del estudio en el nivel nacional indicaron que
en funcin de los diferentes perfiles de las

14
el 13% y el 48%, se sentan muy preparados ms grande para asuntos en materia de
o preparados, respectivamente. No seguridad digital.
obstante, cuando se compara con las
Entre las medidas ms importantes que
entidades territoriales de orden municipal
se pudieron identificar para asegurar a
y departamental, los datos muestran que
una organizacin colombiana contra los
tan solo el 28%, a nivel municipal, y el 38%,
incidentes digitales es la identificacin de
a nivel departamental, se sintieron muy
un cargo con dedicacin exclusiva para el
preparados o preparados para manejar
manejo de incidentes digitales. Este cargo
un incidente. Se observa que existe un nivel
es importante ya que les ayudar a las
ms alto de confianza en la preparacin
entidades a detectar, aislar y resolver
a nivel nacional, y que sera interesante
incidentes rpidamente cuando ocurran.
desarrollar iniciativas de poltica pblica
enfocadas al nivel departamental y Entre todos los que respondieron a la
municipal. pregunta Tiene su entidad/empresa un
rea, cargo (s) o rol(es) dedicado(s) a la
El Estudio tambin incluy preguntas
seguridad digital (seguridad digital y/o
especficas sobre las medidas de
de seguridad de la informacin)?, 70%
seguridad digital adoptadas por la
de las grandes empresas respondieron
organizacin, esto con el objetivo de poder
que s comparado con poco ms del 20%
hacer una comparacin con su nivel de
de las microempresas. Entre sectores
percepcin de seguridad. Se observ que,
econmicos, la mayora de empresas del
de manera general, las organizaciones
sector Industria dijo tener un equipo con
colombianas que contestaron que se
dedicacin exclusiva, con un poco ms
sienten preparadas, de hecho, adoptan
del 54% respondiendo positivamente a la
ms medidas de seguridad que las dems
pregunta, frente a solo el 45% y el 42% de
organizaciones. Por ejemplo, las grandes
las empresas de los sectores de Servicios
empresas tienden a adoptar ms medidas
y Comercio, respectivamente. Entre las
de seguridad que una microempresa, as
entidades pblicas, solo el 33% a nivel
como las entidades pblicas nacionales
nacional y el 10% y 17% a nivel municipal y
tienen una preocupacin ms grande con
departamental, respectivamente, tienen
la seguridad digital que las entidades
un rea dedicada a la seguridad digital
de orden territorial. Sin embargo, las
dentro de su organizacin. Se observ que
organizaciones que se sienten ms
existe una tendencia general a transferir
preparadas an necesitan incrementar
la responsabilidad de la respuesta a
sus medidas de seguridad digital, lo que
incidentes y la seguridad digital bajo las
debe incluir una asignacin presupuestal

15
funciones generales de los departamentos 52% de las empresas. Con respecto a
de tecnologa de la informacin. las entidades estatales, el 59% de las
entidades de orden nacional identificaron
Cuando se pregunta, en una escala de incidentes digitales, mientras que un
1-5, lo que los entrevistados creen que 56% de las entidades de orden territorial
son los principales factores que afectaran departamental respondieron de la misma
su capacidad de abordar la seguridad forma. Por otro lado, 42% de las entidades
digital, la falta de personal con dedicacin de orden territorial municipal contestaron
exclusiva al rea y la falta de presupuesto que han identificado los incidentes digitales.
fueron clasificados como ms altos, con
la falta de conciencia de los empleados Se identific una relacin estadsticamente
inmediatamente despus. De hecho, los significativa positiva entre la implementacin
anlisis de la asignacin presupuestal a de medidas tcnicas como pruebas
asuntos de seguridad digital confirmaron de vulnerabilidad y mantenimiento de
esta preocupacin de los entrevistados, la infraestructura de Tecnologas de
como se observa ms abajo. la Informacin y la identificacin de
incidentes digitales por las organizaciones
Tener la capacidad de identificar incidentes pblicas y privadas. As tambin se
es importante para las entidades, ya que aprecia con la variable explicativa relativa
es el primer paso para poder contener a la prctica de evaluacin de riesgo
un ataque malicioso y poder responder. ciberntico. Es decir, organizaciones que
Cuando se pregunta si se han identificado implementan ms medidas de seguridad
incidentes digitales contra su organizacin digital tienden a identificar un nmero
en el ao 2016, ms del 70% de las ms grande de incidentes digitales. Esto
microempresas contestaron que no han significa que muchas organizaciones que
identificado incidentes digitales. Entre las no implementan estas medidas no tienen
pequeas empresas, aproximadamente el conocimiento de que son blancos
el 60% tampoco identificaron incidentes de ataques cibernticos. Asimismo, se
digitales. Sin embargo, entre las medianas observ una relacin estadsticamente
y grandes empresas, la mayora de las positiva al conocer de la Poltica Nacional
empresas contestaran que s identificaron de Seguridad Digital (Documento CONPES
incidentes digitales: 51% y 63%, 3854 de 2016), aprobado el 11 de abril
respectivamente. Al analizar los distintos de 2016, y la identificacin de incidentes
sectores econmicos, solamente en el digitales por las entidades estatales.
sector Industria la mayora de las empresas
identificaron los incidentes digitales:

16
En cuanto a los tipos de incidentes que se presupuesto de la seguridad digital en
estn experimentando, los participantes relacin a las ventas de las empresas fue
del estudio indicaron en su respuesta aproximadamente 0,3% de las ventas
a la pregunta, Qu tipos de incidentes en 2016. Las microempresas tienen
digitales, amenazas cibernticas o ataques presupuestos para la seguridad digital ms
cibernticos ha identificado su entidad/ pequeos en trminos absolutos. Por otro
empresa durante el ao 2016?, que el lado, las empresas del sector de Servicios
malware y el phishing se encontraban entre (principalmente del sector financiero)
los tipos de incidentes ms comunes. Se tienden a asignar un presupuesto ms
observ que, dentro del sector de Servicios, grande a la seguridad digital.
el 50% de los que respondieron notaron un
En las entidades pblicas, la estimacin
aumento en los ataques de malware, 47%
de la mediana del presupuesto
de phishing, 39% de ataques basados en
asignado a la seguridad digital en
web y 18% de ataques de denegacin de
relacin al presupuesto de inversin fue
servicio. En el sector Comercio, se hicieron
aproximadamente 0,05% del total de las
observaciones similares con un 53%
inversiones en 2016.
reportando un incremento en el malware,
un 41% report un aumento en el phishing y Es decir, cuando se asign presupuesto
un 21% not un incremento tanto en ataques a la seguridad digital, este presupuesto
basados en web como en ataques de no lleg a 1% de las ventas o inversiones
denegacin de servicio. Curiosamente, sin de las organizaciones en 2016. Adems,
embargo, hubo algunas variaciones dentro se verific que, en promedio simple, la
del sector Industria en esta observacin, mayor parte del presupuesto fue asignado
ya que el 67% report un incremento en la para plataformas y medios tecnolgicos,
gravedad de los ataques basados en web mientras la generacin de capacidades
y el malware y el 59% report un aumento recibi la menor cantidad de recursos
en los ataques de phishing. En trminos tanto en las organizaciones pblicas como
de entidades que identifican realmente no en las privadas. Cabe recalcar que la
solo el aumento en gravedad sino el tipo generacin de capacidades incluye temas
de ataques, los participantes del estudio como capacitacin y concientizacin
indicaron que han visto un mayor aumento de los empleados y funcionarios. Como
en ataques de phishing y malware. se mencion, la falta de personal con
dedicacin exclusiva al rea y la falta de
Al analizar los valores de las empresas que
presupuesto fueron clasificados como
asignaron algn presupuesto a la seguridad
los principales factores que afectaron la
digital, se observ que la mediana del

17
seguridad digital en las organizaciones, Los resultados indican que existe una relacin
siedo la falta de conciencia de los significativa y positiva entre el costo y el nmero
empleados inmediatamente despus. de incidentes. Segn el modelo, se estima que
el incremento de una unidad en el nmero de
Es importante sealar que muchas de las incidentes aumenta en aproximadamente COP
organizaciones no estiman el costo de los $500 mil pesos colombianos el costo incurrido
incidentes digitales: 79% de las empresas por las empresas en Colombia como resultado
afirmaron que no contaban con ningn de incidentes digitales. Es importante tener en
costo estimado, mientras el 85% de las cuenta que este valor es una estimacin a partir
entidades pblicas afirmaron que no de la informacin reportada y que algunos
hacen ningn tipo de estimacin. En este incidentes pueden tener valores ms bajos,
contexto, se realizaron estimaciones en mientras otros ms altos.
base a las organizaciones que s estimaron
el costo de los incidentes digitales. En relacin a las entidades estatales nacionales,
el costo represent aproximadamente 0,5%
Se logra observar que el costo relativo con de la inversin de las entidades pblicas. No
incidentes digitales disminuy a medida obstante, estos datos se refieren a las entidades
que las empresas aumentan de tamao. estatales de orden nacional de la rama ejecutiva
Aunque las grandes empresas tuvieron un o a entes autnomos nacionales. No hubo un
costo absoluto con incidentes digitales muy nmero significativo de entidades territoriales
superiores que los costos incurridos por que respondieran la informacin acerca del costo.
una microempresa, por ejemplo, el costo
relativo con incidentes digitales de una En resumen, se puede concluir que las adopciones
gran empresa fue significativamente ms de medidas de seguridad digital son esenciales
pequeo. Es muy importante notar que no slo para protegerse, sino tambin para tener
hay un nmero ms grande de empresas una mejor comprensin acerca del impacto de
con costos relativos a la prdida de los incidentes digitales en las organizaciones
propiedad intelectual por encima de los colombianas. Aunque muchas organizaciones
$325 millones de pesos colombianos: afirmaron estar preparadas para los incidentes
cerca de 10% de las empresas, siendo digitales, muchas organizaciones no tienen
que 3% presentaron prdidas a la personal dedicado a la seguridad digital, con la
propiedad intelectual de ms de COP tendencia general a transferir la responsabilidad
$4.000.000.000. En este ltimo grupo, de la respuesta a incidentes y la seguridad
la mayora consisti en grandes empresas, digital bajo las funciones generales de los
incluyendo empresas del sector Comercio, departamentos de TI.
y del sector financiero.

18
La asignacin presupuestal a la A partir del anlisis de las distintas
seguridad digital es menos de 1% de las organizaciones colombianas, se pudo
ventas/inversiones de las organizaciones observar que las grandes empresas estn
y, cerca de 10% de este 1% es asignado a ms preparadas y, aunque los costos
temas de capacitacin y concientizacin. absolutos de los incidentes digitales
Esto es preocupante, principalmente son ms altos, sus costos relativos son
cuando se observa que la mayora de ms pequeos que los costos de las
las organizaciones que participan del microempresas. Es decir, se estima que los
estudio tienen cerca de 81% a 100% de sus costos de los incidentes digitales tienen un
empleados y funcionarios conectados al impacto ms grande en las microempresas.
Internet, y con el aumento de la gravedad Con respecto a las entidades estatales, se
de los ataques de phishing y malware, nota la relacin estadsticamente positiva
que pueden tener como blanco cualquier en conocer la Poltica Nacional de Seguridad
persona dentro de la organizacin. Digital (Documento CONPES 3854 de
2016) e identificar incidentes digitales,
Los datos recabados muestran que
principalmente entre las entidades
los ataques cibernticos aumentan en
nacionales. Sera interesante desarrollar
sofisticacin e impacto mientras que la
acciones de poltica de seguridad digital
actualizacin de los recursos humanos
con un enfoque particular en las entidades
y tecnolgicos para defenderse y las
de orden territorial.
dotaciones presupuestarias enfocadas
en la seguridad digital son an pequeas
y crecen con lentitud. La gravedad de
las amenazas y el dao que generan
demandan acciones urgentes en las cuales
el sector pblico y el privado colaboren
estrechamente.

19
20
gua
del
lector
21
permitir identificar cules son los
principales incidentes, amenazas
gua del y ataques contra la seguridad

lector
digital (seguridad ciberntica y/o
seguridad de la informacin) que
estn afectando al pas, reconocer
sus principales blancos u objetivos

E
l propsito de este instrumento y conocer los costos econmicos
elaborado por el Gobierno de que estos representan para los diferentes
Colombia, a travs del Ministerio de sectores de la economa del pas y del
Tecnologas de la Informacin y las Gobierno, entre otros. Por lo tanto, este
Comunicaciones (MINTIC), la Organizacin estudio pretende identificar cmo estn
de los Estados Americanos (OEA) y el afectando los incidentes de seguridad
Banco Interamericano de Desarrollo (BID), digital a las organizaciones colombianas
es obtener informacin sobre las amenazas tanto del sector privado, como del sector
de seguridad digital (seguridad ciberntica pblico y ha tomado como base cifras del
y/o seguridad de la informacin) y su ao 2016.
impacto en el pas.
El estudio se divide en dos partes de la
La Poltica Nacional de Seguridad Digital, siguiente manera:
aprobada el pasado 11 de abril de 2016 por
el Consejo Nacional de Seguridad Digital, Parte 1) Anlisis del Sector Privado: este
mediante la expedicin del Documento anlisis se divide en cinco secciones.
CONPES 3854 de 2016, inform sobre La primera seccin del anlisis ofrece
la necesidad de Crear las condiciones informacin acerca del perfil de las
para que las mltiples partes interesadas empresas colombianas, tal como el
gestionen el riesgo de seguridad digital tamao, el nmero de empleados, el sector
en sus actividades socioeconmicas y se econmico y el porcentaje aproximado del
genere confianza en el uso del entorno personal de la empresa que tiene acceso
digital. En este contexto, este estudio a Internet para desarrollar sus actividades
servir de insumo del gobierno nacional profesionales. Con estos datos, se
para generar instrumentos pertinentes pudo analizar la seguridad digital de las
en relacin al cumplimiento de la poltica empresas teniendo en cuenta sus distintos
definida y la priorizacin del desarrollo perfiles. La segunda seccin del anlisis
de los planes futuros en la materia. presenta informacin sobre las medidas
Ms especficamente, este estudio de seguridad digital adoptadas por las

22
empresas, tal como medidas tcnicas, digital en Colombia, tomando como base los
polticas organizacionales y gestin del resultados del Informe elaborado por la OEA,
riesgo de la seguridad digital. La tercera el BID, y el Centro de Capacidad Global sobre
seccin describe los incidentes digitales Seguridad Ciberntica de la Universidad de
enfrentados por la empresa durante el Oxford, titulado Ciberseguridad: Estamos
perodo de tiempo analizado. La cuarta preparados en Amrica Latina y el Caribe?
seccin estima el presupuesto asignado Los niveles de madurez descritos en ese
por la empresa a asuntos de seguridad Informe cubren cinco dimensiones: (1)
digital y, finalmente, la ltima seccin busca Poltica y Estrategia; (2) Cultura y Sociedad;
identificar los costos generados por las (3) Educacin; (4) Marcos Legales; y (5)
consecuencias de los incidentes digitales. Tecnologas. El anlisis situacional tambin
proporciona informacin sobre los avances
Parte 2) Anlisis de Entidades del Sector realizados en relacin con la seguridad digital
Pblico: de manera similar al anlisis del y otras actividades relacionadas con el campo
sector privado, este anlisis se divide en de la seguridad digital.
cinco secciones. La primera proporciona
un resumen del perfil las entidades Anexo 2) Metodologa: describe la metodologa
pblicas colombianas entrevistadas, e adoptada para este Estudio. Incluye la lgica
incluye informacin acerca del orden a que para el desarrollo de las preguntas planteadas
pertenece la entidad, nmero de personal, en el instrumento de recoleccin de informacin
y porcentaje del personal de la entidad utilizado, as como la metodologa de distribucin
con acceso a Internet. La segunda seccin adoptada.
describe las medidas de seguridad digital
adoptadas por las distintas entidades, Anexo 3) Anlisis estadstico complementario:
mientras la tercera ofrece una descripcin presenta los resultados de las regresiones
de los tipos de incidentes vividos durante lineales conducidas en este Estudio, as
el periodo de tiempo analizado por las como las estimaciones de los modelos LOGIT
entidades entrevistadas. La cuarta seccin adoptados.
describe la asignacin presupuestal, y la
ltima parte analiza los costos generados
debido a los incidentes digitales.
Anexo 1) Anlisis Situacional: ofrece una
visin general del panorama de seguridad
digital de Colombia e incluye un anlisis de
la situacin de la capacidad de seguridad

23
24
prlogo
25
el Estado Social de Derecho, el ejercicio de los
derechos fundamentales, la seguridad nacional,
la defensa nacional y la soberana.

En el caso de Colombia, el creciente uso


de Tecnologas de la Informacin y las
Comunicaciones (TIC); el aumento de conexiones
a Internet ; la masificacin de las redes de
telecomunicaciones como base para cualquier
actividad socioeconmica, y el incremento
en la oferta de servicios disponibles en lnea
, evidencian un incremento significativo en la

david
participacin de los colombianos a travs de
canales electrnicos.

luna No obstante, el exponencial uso del entorno digital


acarrea incertidumbres y riesgos inherentes
de seguridad digital que, de no ser gestionados
adecuada y oportunamente, pueden derivar en
MinisTRO de Tecnologas de la Informacin incidentes, amenazas y ataques cibernticos,
y las Comunicaciones deColombia (MINTIC) con graves consecuencias de tipo econmico o
social para el pas.
IMPACTO DE LOS INCIDENTES,
AMENAZAS Y ATAQUES Dado lo anterior, y mediante la identificacin de
CIBERNTICOS EN COLOMBIA una clara problemtica por resolver, Colombia
expidi su Poltica Nacional de Seguridad
El desarrollo de economas digitales slidas que Digital (documento CONPES 3854 de 2016),
contribuyan a la generacin de prosperidad liderada por los ministerios de Defensa
econmica y social en Amrica Latina y el Nacional y de Tecnologas de la Informacin
Caribe requiere de la construccin de un y las Comunicaciones de Colombia y con el
entorno digital abierto y, al mismo tiempo, concurso de todas las partes interesadas. Esta
seguro y confiable, acorde con el aumento y es una de las primeras polticas nacionales en
dinamismo de las actividades digitales de sus el mundo y la primera en la regin en acoger
ciudadanos. Para ello, los pases de nuestra las recomendaciones en gestin de riesgos de
regin deben contar con una visin estratgica seguridad digital emitidas en septiembre de
respecto a la seguridad digital y a la gestin 2015 por la Organizacin para la Cooperacin
de los riesgos asociados a los incidentes y y el Desarrollo Econmicos (OECD). Asimismo,
amenazas que puedan atentar contra la este documento incorpor las recomendaciones
integridad de los miembros de la sociedad, de otros organismos internacionales como la

26
Organizacin de Estados Americanos (OEA), El gobierno nacional de Colombia est
la Unin Internacional de Telecomunicaciones convencido de que la gestin de riesgos de
(UIT) y la Organizacin del Tratado del Atlntico seguridad digital es requisito fundamental
Norte (OTAN). para los procesos de digitalizacin sectorial
y transformacin digital del pas, y se
La Poltica articula una visin estratgica constituye en una valiosa herramienta para
que busca que el gobierno nacional y los el afianzamiento de la paz, el fortalecimiento
territoriales, las organizaciones pblicas y de la confianza, la masificacin del Internet, la
privadas, la Fuerza Pblica, los propietarios reduccin de la pobreza y la consolidacin de la
u operadores de las infraestructuras crticas economa digital.
cibernticas nacionales, la academia y la
sociedad civil hagan un uso responsable del Por esta razn, y a partir de los resultados
entorno digital y fortalezcan sus capacidades presentados en este estudio, es necesario
para identificar, gestionar, tratar y mitigar los que los lderes de las organizaciones pblicas
riesgos de seguridad digital en sus actividades y privadas de Colombia y de la regin revisen
socioeconmicas en el entorno digital, en en detalle las medidas de seguridad digital
un marco de cooperacin, colaboracin y implementadas hasta hoy y su nivel de
asistencia. inversin, con el fin de adaptar sus modelos
de administracin y negocio para maximizar
Con el fin de contar con insumos fundamentales las oportunidades en el desarrollo de las
para generar documentos estratgicos y actividades socioeconmicas en el entorno
priorizar las acciones por parte del gobierno digital.
nacional, el Ministerio TIC de Colombia, la
OEA y el Banco Interamericano de Desarrollo,
en conjunto con expertos nacionales e 1 En Colombia se multiplic por 11 el nmero de conexiones a Internet,
pasando de 2,6 millones en 2010 a 28,7 millones en 2017. Con 15,6
internacionales en la materia, han adelantado millones de conexiones de Internet de Banda Ancha en 2017, el
este estudio titulado Impacto de los incidentes, pas logr un incremento del 609 % frente al 2010, acercndose a
niveles de acceso similares a pases que pertenecen a la OCDE,
amenazas y ataques cibernticos en Colombia, como Portugal, Turqua e Israel, y muy por encima del promedio de
el cual presenta un panorama actual de la crecimiento de los pases de Amrica Latina y el Caribe.
seguridad digital (seguridad ciberntica y/o
2 El pas cuenta con una red nacional de fibra ptica y se avanza en
seguridad de la informacin) en Colombia; la conexin de zonas apartadas del territorio nacional, a travs de la
identifica los principales tipos de incidentes, red de alta velocidad. Actualmente, ms de 160 mil hogares cuentan
con Internet a tarifas sociales y se han instalado ms de 1.300
amenazas y ataques contra la misma que nuevos Kioscos Vive Digital en zonas rurales, 37 laboratorios para
afectan a entidades del sector pblico y a desarrollar videojuegos, aplicaciones y contenidos digitales y ms de
750 zonas WiFi gratis.
empresas; reconoce sus principales blancos u
objetivos, y estima, de manera general, algunos 3 Se estima que el 26 % de las micro, medianas y pequeas
empresas (MiPyme) colombianas compran en lnea y el 8 % venden
costos econmicos que estos representan por Internet.
para los diferentes sectores de la economa
del pas.

27
en productos y servicios de seguridad
de la informacin llegar a USD $86.400
millones en 2017, un incremento del 7 por
ciento desde 2016, con un gasto esperado
de USD $93.000millones en 2018. Ms
alarmante es el hecho de que se prev que
el gasto mundial en productos y servicios de
seguridad digital exceda USD $1 billn en los
prximos cinco aos, 2017-2021.

Con ms de una dcada de experiencia


en el campo de la ciber seguridad, la
Organizacin de los Estados Americanos
(OEA) proporciona a los Estados Miembros
investigaciones y estudios exhaustivos
sobre la ciber seguridad en Amrica Latina
y el Caribe.

Es en esta lnea, que presentamos este

Claudia reporte sobre las prcticas de seguridad


digital y el impacto de los incidentes

Paz y Paz
cibernticos en las organizaciones
colombianas.

Desde el ao 2016, la OEA y el Ministerio


de Tecnologas de la Informacin y
Secretaria de Seguridad Comunicaciones de Colombia (MINTIC) han
Multidimensional de la OEA estado cooperando con el propsito de
brindar asistencia tcnica en la realizacin
Las amenazas de ciberseguridad son de un estudio como ste.
ahora una parte de nuestra realidad
cotidiana. Las naciones soberanas deben La OEA, a travs del Comit Interamericano
considerar ahora su desarrollo y sus contra el Terrorismo (CICTE), trabaj en
inversiones econmicas en el marco de un estrecha colaboracin con el Gobierno
mundo digital. colombiano para obtener aportes de los
actores nacionales a lo largo del proceso de
Segn clculos del sector, el gasto mundial desarrollo del informe.
28
Los resultados del informe evidencian que la Colombia ha demostrado su compromiso
gran mayora de las empresas y entidades de hacer de la seguridad digital una
estatales no realizan una evaluacin de prioridad y un fuerte componente de
riesgo de la seguridad digital, y cuando su desarrollo socioeconmico, por esto
se les pregunt bajo qu departamento confiamos en que este estudio no slo
se manejaba la seguridad digital, la gran ser beneficioso para el Gobierno de
mayora respondi que era manejada por Colombia, sino que tambin aportar una
el departamento de tecnologa y no por un visin sobre la importancia de las buenas
departamento especfico de seguridad. prcticas en seguridad digital y la realidad
del costo de los incidentes cibernticos en
Esto indica la necesidad de que las nuestra regin.
empresas asignen mayores recursos para
la gestin de la seguridad digital a todos los Esperamos poder continuar apoyando al
niveles. Gobierno de Colombia en sus esfuerzos y
seguir trabajando conjuntamente con el
El estudio tambin evidencia la existencia Banco Interamericano de Desarrollo (BID)
de una significativa correlacin entre el para extender iniciativas de cooperacin
costo y el nmero de incidentes, ya que en el tema de seguridad ciberntica como
aun cuando las organizaciones afirman sta, a otros pases de la regin.
estar preparadas para afrontar incidentes
digitales, muchas de ellas no cuentan con
el personal dedicado a la seguridad digital,
y menos del 1% del presupuesto de las
ventas/inversiones de las organizaciones
es asignado a la seguridad digital, con
alrededor del 10% del mismo asignado a los
temas de capacitacin y concientizacin.

29
ms de la mitad de la poblacin se conecta
a internet regularmente. Sin embargo,
no estamos llevando a cabo las polticas
de seguridad digital que garanticen que
nuestros ciudadanos y nuestras empresas
pueden operar en el ciberespacio sin correr
el peligro de que su identidad sea robada,
su patrimonio daado o su integridad fsica
puesta en peligro.

Al igual que internet, la seguridad digital tiene


naturaleza global y urgencia de apropiacin
local. Las polticas de ciberseguridad efectivas
precisan mecanismos de intercambio de
informacin, colaboracin y coordinacin que
renan los esfuerzos de los diferentes pases

Ana Mara tanto en el sector pblico como en el privado.


La cadena que defiende a los ciudadanos de
la era digital de los ataques cibernticos es
Rodrguez tan fuerte como su eslabn ms dbil y, por
tanto, debe ser inters de todos que ningn
pas se quede atrs en la implementacin de
polticas de ciberseguridad.
Gerente de Instituciones para
el Desarrollo del BID Con base en datos compartidos por las
empresas y las instituciones pblicas,
El ao pasado, el Informe Ciberseguridad este informe, Impacto de los Incidentes
2016 Estamos preparados en Amrica de Seguridad Digital en Colombia, desvela
Latina y el Caribe?, mostr que la regin an las principales reas de debilidad digital
no est lista para enfrentar los desafos de en Colombia y sus efectos, dejando deja
esta nueva sociedad digital. mensajes que reclaman la atencin de
todos los actores en el ecosistema digital del
La regin contina la marcha para subirse el pas. La mayor parte de las organizaciones
tren de la cuarta revolucin industrial, ms colombianas no estn adecuadamente
de la mitad de los pases cuentan con una preparadas y estn siendo atacadas, los
estrategia de gobierno digital, Latinoamrica ataques son cada vez ms severos y tienen
y el Caribe es la regin del mundo ms un impacto econmico importante. Tambin
activa en las redes sociales, y en la regin, son eslabones dbiles el ciudadano comn y

30
la microempresa, para los cuales es necesario
llevar a cabo acciones de sensibilizacin y
capacitacin que disminuyan el riesgo de que
sean vctimas de un ataque ciberntico.

La profundidad de este estudio y la


informacin relevada, sitan a Colombia
como un referente en el levantamiento de
informacin completa sobre un sector en
el que resulta difcil que las instituciones
compartan informacin. Ello ha sido posible
gracias a la colaboracin entre MINTIC, la
OEA y el BID, con los aportes tcnicos del
Foro Econmico Mundial y de la Universidad
de Oxford.

Estoy segura de que esta publicacin


ser una herramienta til para orientar
la implementacin de la Poltica Nacional
de Seguridad Digital recientemente
lanzada en Colombia y confo en que
otros pases sigan el ejemplo de este pas
estudiando en profundidad el impacto de
los incidentes de ciberseguridad y diseen
las polticas necesarias para disminuirlo.
El BID es y seguir siendo socio activo de la
transformacin digital en Latinoamrica y
el Caribe, para maximizar sus beneficios y
controlar sus riesgos. Los datos muestran
que la inversin en prevenir los ciberataques
es menor que la necesaria para recuperarse.

31
32
PARTE 1

Anlisis
del Sector
Privado
33
Perfil de las Empresas

A
los efectos de este estudio, Cul es el tamao de su empresa?,
una empresa es empresa el 44% de los entrevistados indic que
colombiana: i) del sector privado correspondan a microempresas, el 23%
o ii) de economa mixta en la que a pequeas empresas y el 12% y el 21%
el Estado tenga participacin inferior al informaron que eran medianas y grandes
50%. En respuesta a la pregunta: empresas, respectivamente, como se
demuestra en el siguiente diagrama:

Grfico 1: Tamao de las empresas

Nmero de observaciones: 515


Nota: SMLV es Salario Mnimo Legal Mensual Vigente de Colombia

34
Entre las Empresas entrevistadas, el 84% entrevistadas, el 69% pertenece al sector
inform que el 100% era de propiedad de Servicios, o que incluye, por ejemplo, el
privada, mientras que el 16% era i) de sector financiero, el 20% al sector Comercio
propiedad pblica o ii) de propiedad y el 11% al sector Industria.
pblica y privada (mixta). De las Empresas

Grfico 2: Sector econmico de los entrevistados

Nmero de observaciones: 515

35
En cuanto al nmero de las Empresas entre 4 y 799 empleados, y 11% de las
entrevistadas en funcin del tamao, el empresas tienen mayor a 800 empleados.
28% tenan menos de 4 empleados, 60%

Grfico 3: Nmero de empleados de las empresas

Nmero de observaciones: 515

36
En relacin con las Empresas que acceso al 61%-80% de sus empleados
participaron de este estudio, el 65% y un 26% le daba entre 0 y 60% de sus
indicaron que entre el 81% y el 100% de empleados.
su fuerza laboral contaba con acceso a
Internet, el 9% respondi que le daban

Grfico 4: Porcentaje aproximado del personal de su


empresa que tiene acceso a Internet

Nmero de observaciones: 515

37
Cuando se formul la pregunta La En general, se podra concluir que el
Empresa APLICA una Poltica de Trae tu perfil general de quienes participan de
propio Dispositivo (en ingls, bring your este estudio son Microempresas, siendo
own device -BYOD-)?, el 40% de los la mayora del sector de Servicios. Sin
entrevistados indicaron que tenan una embargo, es importante tener en cuenta
poltica BYOD frente al 60% que indicaron que el 21% de los entrevistados pertenecen
que no la tenan. a grandes empresas y el 34% de los
entrevistados contaban con un mnimo de
99 empleados o ms.

Prcticas de seguridad
digital en las empresas

Como parte del estudio, se realizaron los entrevistados de los tres sectores creen
una serie de preguntas con respecto a que estaban preparados para manejar un
las prcticas de seguridad digital. Estas incidente ciberntico. Aproximadamente
preguntas se formularon con el propsito el 30% de los entrevistados del sector
de evaluar cmo sus prcticas impactaron Comercio consideraron que no estaban
el nivel de ataques experimentados y el preparados o no estaban totalmente
impacto final que estas prcticas pueden preparados para un incidente ciberntico.
tener en los costos reales incurridos como
resultado de un ataque.
En respuesta a la pregunta Mi entidad/
empresa est preparada para hacer
frente a un incidente digital, los datos
fueron analizados teniendo en cuenta tanto
al sector como el tamao de las mismas.
Entre los sectores: Servicios, Industria y
Comercio, un promedio simple del 37% de

38
Grfico 5: Nivel de preparacin para hacer frente a
un incidente digital (sector econmico)

Nmero de observaciones: 486

En cuanto al tamao de estas empresas, el 70% de las grandes empresas se sienten muy
preparadas o preparadas para un incidente digital, frente al 45% de las microempresas.
De los resultados se desprende que un promedio simple de alrededor del 22% de las
empresas de todos los tamaos contestaron que estaban ni de acuerdo ni en desacuerdo
con la afirmacin Mi empresa est preparada para hacer frente a un incidente digital.

39
Grfico 6: Nivel de preparacin para hacer frente a un incidente digital (tamao de la empresa)

Nmero de observaciones: 486

Un aspecto importante de la preparacin 4. Estndares (ej. ISO 27001, otros


ciberntica son las medidas implementadas, estndares internacionales)
ya sea que se trate de polticas, medidas
tcnicas o normas. Con el fin de entender
estos ejemplos, se enumeran a continuacin: En relacin a esto, se les pregunt a los
entrevistados, Cules de las siguientes
1. Organizacional (ej. rea, prcticas en seguridad digital (seguridad
departamento dedicado a la digital y/o seguridad de la informacin) son
seguridad digital, jefe de seguridad implementadas por su entidad/empresa?
de la informacin, roles asociados Entre los entrevistados de los tres sectores
a la seguridad de la informacin, econmicos, una mayora respondi que
funciones en torno a la seguridad haba implementado medidas de polticas
de la informacin) (55% del sector Comercio, 70% del sector
2. Poltica (ej. poltica de acceso al Industria y 59% del sector de Servicios),
sistema, poltica de actualizacin con la implementacin de estndares
de contraseas, concientizacin) tcnicos (ej. ISO 27001, otros estndares
3. Medidas tcnicas (ej. pruebas de internacionales), siendo la siguiente medida
vulnerabilidad, mantenimiento de la ms alta implementada (Comercio 43%,
infraestructura de TI) Industria 63% y Servicios 49%).
40
Grfico 7: Prcticas en Seguridad Digital
(sector econmico)

Nmero de observaciones: 554

Si se compara por tamao, resulta evidente Entre las empresas ms grandes, una
que la mayora de los entrevistados tambin observacin de inters fue que el 88%
dieron un mayor peso a la aplicacin de las implement medidas de polticas, pero solo
polticas como una medida de seguridad el 45% de las empresas que participan de
digital. Entre las microempresas, 44% de este estudio mencionan que adoptaron
ellas han implementado polticas, 37% estndares. Entre todos los entrevistados,
medidas tcnicas y 34% normas y medidas la implementacin de medidas y estndares
organizativas. organizacionales fue identificada como la
prctica de ms baja prioridad. Vase los
grficos a continuacin.

41
Grfico 8: Prcticas en Seguridad Digital (tamao de la empresa)

Nmero de observaciones: 486

Una de las medidas ms importantes para a la pregunta Tiene su entidad/empresa


asegurar a una organizacin contra los un rea, cargo (s) o rol(es) dedicado (s) a
incidentes cibernticos es la identificacin la seguridad digital (seguridad digital y/o
de un cargo con dedicacin exclusiva para de seguridad de la informacin)?, 70% de
el manejo de incidentes digitales. Este las grandes empresas respondieron que
cargo es importante ya que les ayudar a s comparado con poco ms del 20%
las empresas a detectar, aislar y resolver de las microempresas. Entre los sectores
incidentes rpidamente cuando ocurran y econmicos, la mayora del sector Industria
si ocurren. Si no existe este cargo, se les dijo tener un equipo con dedicacin
podra permitir a los atacantes permanecer exclusiva, con un poco ms del 54%
en el sistema de las organizaciones ms respondiendo positivamente a la pregunta,
tiempo de lo necesario, haciendo que frente a solo el 45% y el 42% de los sectores
la deteccin sea un proceso ms largo de Servicios y Comercio, respectivamente.
tambin. Entre todos los que respondieron Vase los grficos por tamao y sector a
continuacin:
42
Grfico 9: Cargo(s) o rol(es) dedicado(s) a la seguridad
digital (tamao y sector econmico de las empresas)

Nmero de observaciones = 486

La pregunta anterior se puede comparar En cuanto a los sectores, aproximadamente


con la siguiente pregunta, es decir, Su el 83% del sector Comercio indic que
entidad/empresa gestiona la seguridad se encontraba bajo el departamento de
bajo cul de los siguientes esquemas? TI, en comparacin con el 55% del sector
Entre los entrevistados, el 37% de las Industria y el 47% del sector de Servicios
micro, el 58% de las pequeas, el 64% que respondieron de manera similar. Lo
de las medianas y el 58% de las grandes que las respuestas podran indicar es
empresas respondieron que la seguridad que la mayora de los entrevistados ven
digital se manejaba bajo el departamento la necesidad de abordar los temas de
de TI. Solo el 22% de las micro, 18% de las seguridad digital y lo han colocado bajo el
pequeas, 7% de las medianas y 21% de departamento que ms estrechamente
las grandes empresas indicaron que se se asocia con la seguridad digital (es
manejaba bajo un rea de seguridad digital. decir, Tecnologa de la Informacin). Sin

43
embargo, esta tendencia de reorientar Esto demuestra an ms la conclusin de
los departamentos de tecnologa de la que si bien las empresas han reconocido
informacin para manejar la seguridad la importancia de abordar los incidentes
digital y la respuesta a incidentes, a largo cibernticos, no han invertido en las reas
plazo, puede conducir a tener un equipo de de organizacin de sus empresas para
personas que no poseen las habilidades hacer frente a esto.
necesarias para responder a incidentes
ms sofisticados1. Por ltimo, en relacin con las prcticas
organizacionales, cuando se les pregunt
Cuando se les pregunt a los entrevistados, si su organizacin emprenda o no la
Cuntas personas conforman el equipo evaluacin del riesgo de la seguridad digital,
o rea que tiene a cargo la seguridad la mayora de los entrevistados indicaron
digital (seguridad digital y/o seguridad que no lo hicieron. Esto, en trminos de
de la informacin) en su empresa?, el tamao de las empresas, se desglos
55% respondi que tenan 1-2 personas como sigue:
dedicadas, el 27% respondi 3-5 personas
y solo el 18% indic ms de 5 personas.

Grfico 10: Evaluacin del riesgo ciberntico (tamao de las empresas)

1 Observaciones similares se hicieron en las Capacidades Nmero de observaciones 439


de Respuesta a Incidentes en 2016: La Encuesta de
Respuesta a Incidentes SANS 2016, pg. 5 Consultado
en: https://www.sans.org/reading-room/whitepapers/
incident/incident-response-capabilities-2016-2016-
incident-response-survey-37047 ltima consulta el 28 de
agosto de 2018

44
En relacin a los sectores econmicos, de las mejores prcticas de la industria es
el 50% de los entrevistados del sector el Marco de Seguridad Digital del Instituto
Industria indicaron que no lo hicieron, en Nacional de Estndares y Tecnologa (NIST,
comparacin con solo el 32% y el 45% de por sus siglas en ingls)2, que pone de
los sectores Comercio y de Servicios que relieve que el objetivo de una evaluacin de
s realizaron una evaluacin del riesgo de riesgos es que una organizacin entienda
seguridad digital. el riesgo de seguridad digital para las
operaciones organizacionales (incluyendo
misin, funciones, imagen o reputacin),
Grfico 11: Evaluacin del riesgo activos de la organizacin y los individuos.
ciberntico (sector econmico) Segn lo establecido por el NIST, la
realizacin de una evaluacin de riesgos
tpicamente incluye los siguientes seis
pasos:
1. Identificar y documentar
vulnerabilidades de los Activos.
2. Identificar y documentar las
amenazas internas y externas.
3. Adquirir informacin sobre
amenazas y vulnerabilidades de
fuentes externas.
4. Identificar posibles impactos
comerciales y probabilidades.
5. Determinar el riesgo empresarial
Nmero de observaciones: 439 revisando amenazas,
vulnerabilidades, probabilidades e
impactos.
Este resultado lleva a hacer unas 6. Identificar y priorizar las
observaciones significativas ya que el respuestas de riesgo.
propsito para la realizacin de una En este sentido, se puede inferir que
evaluacin de riesgos para cualquier muchos de los entrevistados no aprecian
organizacin es ayudarle a la misma a plenamente el valor que las mejores
desarrollar recomendaciones ejecutables
para mejorar la seguridad e implementar 2 Marco de Seguridad Ciberntica NIST, Accedido en:
https://www.nist.gov/cyberframework; ltimo acceso: 29
las mejores prcticas de la industria. Una de agosto de 2017

45
prcticas les podran dar a sus operaciones en Marca, Propiedad intelectual/secretos
comerciales. Por ejemplo, cuando se industriales y Reputacin.
les pregunt: A la hora de protegerse
frente a incidentes digitales, amenazas Curiosamente, cuando se compararon los
cibernticas y/o ataques cibernticos, datos por tamao de las organizaciones,
cules de estos datos y/o activos de los resultados fueron casi exactamente
informacin son priorizados por su los mismos en trminos de niveles de
entidad/empresa? Por favor marque prioridades. Esto es significativo, ya que
las opciones que apliquen, casi todos una de las mejores prcticas para la
los entrevistados a travs de sectores gestin del riesgo ciberntico es que las
y tamaos indicaron que les daran entidades sean proactivas en lugar de
prioridad a Datos de acceso a sistemas reactivas y, como tal, es importante revisar
de informacin (p. ej.: contraseas, las amenazas, identificar vulnerabilidades y
tokens, credenciales) y Datos de clientes. consecuencias y es evidente que la mayora
En cuanto a los sectores econmicos, las de las organizaciones vean los datos como
empresas de los tres (Comercio, Industria un activo significativo por proteger. Los
y Servicios) colocaron la menor prioridad siguientes grficos muestran el resumen
de los resultados por sector:

Grfico 12: Datos y activos


priorizados por la empresa (2016)

En trminos del anlisis por tamao:


46
Nmero de observaciones: 450

Por lo tanto, cuando se pregunta, en una los recursos humanos y financieros con
escala de 1-5, lo que los entrevistados dedicacin exclusiva todava no estn
creen que son los principales factores siendo priorizados.
que afectaran su capacidad de abordar
la seguridad digital, la falta de personal
con dedicacin exclusiva al rea y la falta
de presupuesto fueron clasificados como
ms altos, con la falta de conciencia de
los empleados inmediatamente despus.
A este respecto, se puede inferir que, si
bien la mayora de las empresas ven la
necesidad de abordar la seguridad digital,

47
Incidentes digitales
en las empresas

Cuando se pregunta si se han identificado incidentes digitales contra su organizacin,


ms del 70% de las microempresas contestaron que no han identificado incidentes
digitales. Entre las pequeas empresas, aproximadamente 60% tampoco identificaron
incidentes digitales. Sin embargo, entre las medianas y grandes empresas, la mayora
de las empresas contestaran que s identificaron incidentes digitales: 51% y 63%,
respectivamente.

Grfico 13: Porcentaje de empresas que


identificaron incidentes digitales, segn el
tamao de la empresa (2016)

Nmero de observaciones: 451


48
Al analizar los distintos sectores econmicos, solamente en el sector Industria la mayora
de las empresas identificaron los incidentes digitales: 52% de las empresas. Es importante
sealar que la mayora de las empresas del sector Industria analizadas en este estudio
consisten en grandes empresas.

Grfico 14: Porcentaje de empresas que identificaron


incidentes digitales, segn el sector econmico (2016)

Nmero de observaciones: 451

Con el objetivo de comprender el por qu donde la variable dependiente3 toma


algunas empresas identificaron incidentes el valor de 1 si la empresa identifica
digitales, y otras no, se estim una ecuacin incidentes digitales y 0 si no los identifica.
de determinantes de la probabilidad que
una empresa del sector privado identifique
incidentes digitales contra su empresa, 3 La variable dependiente es aquella cuyos valores
dependen de los que tomen otra variable.

49
Dentro de las variables explicativas4, se Tambin se incluyeron otras variables
incluy un conjunto de variables dicotmicas5 explicativas, como el nmero de empleados
que capturaron factores especficos de de la empresa, el porcentaje aproximado
las empresas, tal como el tamao de la del personal de la empresa que tiene
empresa y el sector econmico. Es decir, acceso a Internet para desarrollar sus
grande, mediana, pequea o micro, as actividades profesionales, el porcentaje
como si la empresa pertenece al sector del capital social de la empresa que es
Industria, Comercio o de Servicios. Otras extranjero, el valor aproximado (en pesos
variables dicotmicas incluyeron: (i) si colombianos) de las ventas de la empresa
la empresa implementa polticas de durante el ao de 2016, as como el valor
seguridad digital (por ejemplo, poltica de aproximado de presupuesto designado
acceso al sistema, poltica de actualizacin por la empresa para asuntos de seguridad
de contraseas, concientizacin); (ii) si la digital.
empresa implementa medidas tcnicas
(por ejemplo, pruebas de vulnerabilidad, Dada la naturaleza binaria de la variable
mantenimiento de la infraestructura de TI); dependiente, se utiliza un modelo
(iii) si la empresa implementa estndares de estimacin logit6 (Anexo 3). Los
(por ejemplo, ISO 27001, otros estndares resultados indican que hay una relacin
internacionales); (iv) si la empresa tiene un estadsticamente significativa positiva
rea, cargo(s) o rol(es) dedicado(s) a la entre la implementacin de medidas
seguridad digital; (vi) si la empresa conoce tcnicas - como pruebas de vulnerabilidad
alguna reglamentacin y/o legislacin y mantenimiento de la infraestructura
nacional o territorial que requiera las de TI - y la identificacin de incidentes
empresas de su sector implementen digitales. As tambin se aprecia con la
prcticas de gestin de riesgo ciberntico; variable explicativa relativa a la prctica
y (vii) si la empresa hace alguna evaluacin de evaluacin de riesgo ciberntico. Ms
de riesgo ciberntico. especficamente, los resultados indican
que la probabilidad que una empresa en
Colombia identifique incidentes digitales
aumenta para aquellas empresas que
4 La variable explicativa, o independiente, es implementan medidas tcnicas de
aquella que explica los cambios en la variable
dependiente. 6 Este modelo asume que los efectos individuales
5 La variable dicotmica o binaria es aquella que han sido promediados, lo que facilita el clculo y la
tiene solo dos formas de presentarse. Es decir, interpretacin de los efectos marginales que, a su
una variable que puede asumir solo dos valores vez, miden el efecto de un cambio en uno de los
posibles, como s o no. regresores sobre la variable dependiente.

50
seguridad y que hacen evaluacin de ha notado un cambio en la gravedad (o
riesgo. Igualmente existe una relacin criticidad) de los ataques cibernticos
estadsticamente significativa positiva entre durante el ao 2016?, el 70% del sector
la identificacin de incidentes y el nmero Industria respondi que haba notado un
de empleados de una empresa. Por otro cambio en la gravedad de los ataques en
lado, los resultados indican una relacin comparacin con el resto de la poblacin.
estadsticamente significativa negativa El 35% del sector Comercio y el 46% del
entre la identificacin de incidentes y las sector de Servicios indicaron que los niveles
microempresas. de ataques seguan siendo los mismos.
En trminos de tamao de la empresa,
Tener la capacidad de identificar incidentes se observ entre las respuestas que un
es importante para las entidades, ya que mayor nmero de pequeas empresas
es el primer paso para poder contener respondieron haber visto un aumento en la
un ataque malicioso y poder responder. gravedad. Vase los grficos comparativos
Cuando se pregunta, Su entidad/empresa a continuacin:

Grfico 15: Cambio en la gravedad de los incidentes digitales (2016)


Su empresa ha notado un cambio en la gravedad (o criticidad)
de los incidentes digitales durante el ao de 2016?

Gran

Mediana

Pequea

Micro

0% 25 % 50 % 75 %1 00 %

Aumento de la gravedad o criticidad Disminucin de la gravedad o criticidad


Se ha mantenido en niveles similares
Nmero de observaciones: 178
51
Su empresa ha notado un cambio en la gravedad (o criticidad)
de los incidentes digitales durante el ao de 2016?

Servicios

Industria

Comercio

0% 25 % 50 %7 5 %1 00 %

Aumento de la gravedad o criticidad Disminucin de la gravedad o criticidad


Se ha mantenido en niveles similares

Nmero de observaciones: 178

En cuanto a los tipos de incidentes que se un aumento en el phishing y un 21% not


estn experimentando, los participantes un incremento tanto en ataques basados
del estudio indicaron en su respuesta a en web como en ataques de denegacin
la pregunta, Qu tipos de incidentes de servicio. Curiosamente, sin embargo,
digitales, amenazas cibernticas o hubo algunas variaciones dentro del sector
ataques cibernticos ha identificado Industria en esta observacin, ya que el
su entidad/empresa durante el ao 67% report un incremento en la gravedad
2016?, que el malware y el phishing se de los ataques basados en web y el
encontraban entre los tipos de incidentes malware y el 59% report un aumento en
ms comunes. Se observ que, dentro los ataques de phishing.
del sector de Servicios, el 50% de los que
respondieron notaron un aumento en los En relacin con el tamao de las empresas
ataques de malware, 47% de phishing, informantes, los resultados tambin
39% de ataques basados en web y 18% de fueron similares en la respuesta de las
ataques de denegacin de servicio. En el micro, pequeas, medianas y grandes
sector Comercio, se hicieron observaciones empresas. Vase grficos comparativos a
similares con un 53% reportando un continuacin:
incremento en el malware, un 41% report

52
Grfico 16: Gravedad de los incidentes digitales (2016)

53
Nmero de observaciones: 178

54
Al comparar estos datos con el Informe del 114.4% en ataques de malware en el
del mes de agosto de 2017 del Centro pas, en relacin al 2015 (153 incidentes
Ciberntico Policial (CCP) de Colombia, reportados en el 2015, 328 incidentes
tambin se ha producido un incremento reportados en el 2016).
anual de denuncias cibernticas bajo
Sin embargo, sigue siendo necesario
Denuncias Ley 1273-Delitos Informticos
aumentar el nivel de denuncias de los
en Colombia, para estos propsitos
incidentes digitales, como cuando se les
especialmente en relacin al Articulo
pidi a los entrevistados que respondieran
269E: Uso de software malicioso y
a este instrumento, En la ocurrencia de
Articulo 269G: Suplantacin de sitos
un incidente digital, amenaza ciberntica
web para capturar datos personales.
y/o un ataque ciberntico, quines son
Por su parte, el informe de marzo de 2017,
notificados en su entidad/empresa?
Informe: Amenazas del Cibercrimen en
Por favor marque las opciones que
Colombia 2016-20177, concluy que el
apliquen, el 87% inform que no notific
nivel de informacin del sector empresarial
sobre incidentes digitales a una Autoridad
aument del 5% al 28% en el nmero
Nacional, comparado con el 80% que
de informes recibidos. El informe revel
respondi que lo reportaron a los directores
algunos hechos interesantes como que
de la organizacin.
durante el 2016 hubo un incremento

7 Informe Amenazas del Cibercrimen en Colombia


2016 2017, Accedido en https://caivirtual.policia.gov.
co/contenido/informe-amenazas-del-cibercrimen-en-
colombia-2016-2017, ltima entrada: 28 de agosto de
2017

55
Grfico 17: Notificacin de incidentes digitales (2016)

.
Nmero de observaciones: 439

Con respecto al nmero de incidentes digitales, se observ en 2016 que ms de 50% de


las empresas colombianas entrevistadas registraron entre 1 y 5 incidentes digitales, y que
aproximadamente 30% entre 6 y 100 incidentes digitales. Aunque la gran mayora de las
empresas se encuentran en los intervalos indicados, cabe resaltar que 5% de las empresas
entrevistadas registraron valores anmalos de ms de 1.000 incidentes digitales. De hecho,
en este grupo, hay empresas que registraron ms de 100 mil incidentes digitales en 2016

56
Grfico 18: Nmero de incidentes digitales
identificados por las empresas (2016)

Nmero de observaciones: 173

Finalmente, se realiz una regresin a Internet para desarrollar sus actividades


lineal en la cual el logaritmo del nmero profesionales; as como (v) el porcentaje
de incidentes digitales fue la variable del capital social de la empresa que es
dependiente (Anexo 3). Se opt por el extranjero.
logaritmo del nmero de incidentes, a fin
de normalizar la distribucin de la variable. El modelo tambin cuenta con las
En el modelo se incluyeron las siguientes siguientes variables dicotmicas: (i) si la
variables explicativas: (i) las ventas de la empresa tiene un rea, cargo(s) o rol(es)
empresa en 2016; (ii) el valor aproximado dedicado(s) a la seguridad digital; (ii) si la
de presupuesto designado por la empresa implementa medidas tcnicas
empresa para la seguridad digital; (iii) el de seguridad (por ejemplo, pruebas
nmero de empleados; (iv) el porcentaje de vulnerabilidad, mantenimiento de la
aproximado de personal que tiene acceso infraestructura de TI); (iii) si la empresa
adopta polticas de seguridad digital

57
(por ejemplo, poltica de acceso al sistema, poltica de actualizacin de contraseas,
concientizacin); (iv) si la empresa implementa estndares (por ejemplo, ISO 27001, otros
estndares internacionales); (v) si la empresa hace alguna evaluacin de riesgo ciberntico;
y (vi) si la empresa conoce alguna reglamentacin y/o legislacin nacional o territorial que
requiera las empresas de su sector implementen prcticas de gestin de riesgo ciberntico.
Adems, el modelo cuenta con variables dicotmicas que identifican el sector econmico
a lo cual pertenece la empresa, tal como Industria, Comercio y Servicios, y el tamao de la
empresa.
Los resultados indican que hay una relacin positiva y estadsticamente significativa entre el
presupuesto designado por la empresa para seguridad digital con el nmero de incidentes.
Con respecto a prcticas de seguridad digital, igualmente se verific una relacin significativa
y positiva entre las empresas que implementan medidas tcnicas de seguridad, que hacen
evaluacin de riesgo y que adoptan estndares. Es decir, empresas que implementan ms
medidas de seguridad digital tienden a identificar un nmero ms grande de incidentes
digitales. Esto significa que muchas empresas que no implementan estas medidas ni tienen
el conocimiento que son blancos de ataques cibernticos.

Es interesante sealar que la gran mayora de las


empresas que s asignaron presupuesto para TI,
tambin asignaron presupuesto para asuntos de
seguridad digital: cerca del 92% de las empresas
Presupuesto que asignan presupuesto a TI tambin asignan
para la seguridad a la seguridad digital. Teniendo en cuenta las
empresas que asignan presupuesto para TI,
digital en las se verific cuanto fue asignado en 2016 por las
empresas empresas a la seguridad digital, como indicado
en el Grfico 19:

58
Grfico 19: Presupuesto Anual para la Seguridad Digital
de las empresas que asignan recursos para TI (2016)

Nmero de observaciones: 250

Se aprecia que la distribucin del presupuesto es sesgada hacia la derecha, as que


se prefiri trabajar con mediana del presupuesto para la seguridad digital en 2016
considerando el tamao de la empresa, as como su sector econmico. Es importante
observar que el Cuadro 1 presenta el presupuesto para la seguridad digital que se
encuentra en el medio de los valores proporcionados por las empresas. Asimismo,
cabe sealar que 8% de estas empresas no asignaron presupuesto alguno a la
seguridad digital, mientras empresas de algunos sectores, en particular del sector
financiero, llegaron a invertir ms de COP $6.000.000.000 en seguridad digital en
2016.

59
Cuadro 1: Mediana del Presupuesto Anual para la Seguridad
Digital por empresa que asigna recursos para TI (2016)

Nmero de observaciones: 250

Al analizar los valores de las empresas colombianas que asignaron algn presupuesto a
la seguridad digital, se observ que la mediana del presupuesto de la seguridad digital
en relacin a las ventas de las empresas fue aproximadamente 0,3% del as ventas en
2016. Es decir, cuando se asign presupuesto a la seguridad digital, este presupuesto no
lleg al 1% de las ventas de la empresa en 2016.
Adems, se verific que, en promedio simple, la mayor parte del presupuesto fue asignado
para plataformas y medios tecnolgicos, mientras la generacin de capacidades recibi la
menor cantidad de recursos. Aproximadamente 47% del presupuesto de seguridad digital
fue asignado a plataformas y medios electrnicos, y 11% a generacin de capacidades que,

60
a su vez, incluye temas como capacitacin y concientizacin. Es interesante observar que,
en el captulo sobre prcticas de seguridad digital en las empresas, se observ que la falta
de conciencia y conocimiento por parte de los empleados estuvo entre las fallas que ms
afectaron la capacidad de las empresas en materia de seguridad digital en 2016.

Cuadro 2: Asignacin del presupuesto para


asuntos de seguridad digital (2016)

Nmero de observaciones: 230

Finalmente, se realiz una regresin lineal Adems, se incluyeron las siguientes


con el objetivo de identificar los factores variables independientes: (i) el nmero de
que llevan una empresa a invertir ms empleados de la empresa; (ii) el porcentaje
en seguridad digital. En esta regresin, aproximado de personal de la empresa que
se utiliz el logaritmo del presupuesto tiene acceso a Internet para desarrollar
asignado por las empresas para asuntos sus actividades profesionales; (iii) el
de seguridad digital durante el ao de 2016 logaritmo de las ventas de la empresa; (v) el
como la variable dependiente (Anexo 3). porcentaje del capital social de la empresa
Se opt por el logaritmo del presupuesto que es extranjero; y (iv) el logaritmo del
para la seguridad digital, con vistas a nmero de incidentes digitales sufridos por
normalizar la distribucin de la variable. la empresa en 2016.

61
El modelo tambin cuenta con variables Con respecto a prcticas de seguridad
dicotmicas que identifican el sector digital, igualmente se verific una relacin
econmico al cual pertenece la empresa, significativa y positiva entre el presupuesto
tal como Industria, Comercio y Servicios, para la seguridad digital y las siguientes
y el tamao de la empresa. Igualmente variables dicotmicas: existencia de un
se incluyen las siguientes variables cargo o rol dedicado a la seguridad digital,
dicotmicas: (i) si la empresa tiene un medidas tcnicas, polticas de seguridad
rea, cargo(s) o rol(es) dedicado(s) a digital, estndares, y evaluacin de
la seguridad digital; (ii) si la empresa riesgo. En otras palabras, las empresas
implementa medidas tcnicas de seguridad que implementan estas prcticas de
(por ejemplo, pruebas de vulnerabilidad, seguridad digital asignan un presupuesto
mantenimiento de la infraestructura de ms grande para la seguridad digital
TI); (iii) si la empresa adopta polticas de que las empresas que no adoptan estas
seguridad digital (por ejemplo, poltica de prcticas. Finalmente, cabe destacar la
acceso al sistema, poltica de actualizacin relacin negativamente significativa entre
de contraseas, concientizacin); (iv) si las microempresas y el presupuesto para
la empresa implementa estndares (por la seguridad digital. En otras palabras,
ejemplo, ISO 27001, otros estndares las microempresas tienen presupuestos
internacionales); (v) si la empresa hace para la seguridad digital ms pequeos
alguna evaluacin de riesgo ciberntico; en trminos absolutos. Por otro lado,
y (vi) si la empresa conoce alguna las empresas del sector de Servicios
reglamentacin y/o legislacin nacional o (principalmente del sector financiero)
territorial que requiera las empresas de su tienden a asignar un presupuesto ms
sector implementen prcticas de gestin grande a la seguridad digital.
de riesgo ciberntico.
Es importante tener en cuenta que el
Los resultados indican que hay una relacin presupuesto para la seguridad digital es un
positiva y estadsticamente significativa costo de prevencin de incidentes digitales.
entre el nmero de empleados, las ventas Es decir, son los recursos utilizados para
de la empresa y el presupuesto para la cubrir los costos incurridos con las prcticas
seguridad digital. En otras palabras, a de seguridad digital. En la prxima seccin,
mayor sea el nmero de empleados y las sern analizados los costos incurridos
ventas de las empresas, ms grande ser como consecuencia de un incidente digital.
el presupuesto asignado a la seguridad
digital.

62
Costo de los distribucin de los costos con el nmero
incidentes digitales de incidentes digitales incurridos por las
para las empresas empresas segn cinco categoras de
costos: (i) interrupcin de las operaciones
normales de la empresa; (ii) dao a activos
Cuando las empresas fueron preguntadas e infraestructura; (iii) sanciones, multas y
sobre la estimacin de los costos derivados gastos legales; (iv) dao a la reputacin y
de las consecuencias negativas causadas la imagen del mercado; y (v) prdida de la
por la ocurrencia de incidentes digitales, propiedad intelectual o de otra informacin
79% de las empresas afirmaron que no empresarial sensible comercialmente.
contaban con ningn estimativo, como se
En contraste con los costos de prevencin
observa en el Grfico 20 a continuacin:
de incidentes digitales, descritos en la
Grfico 20: Empresas que estimaron seccin sobre presupuesto a la seguridad
las consecuencias negativas de los digital, estas cinco categoras se refieren
incidentes digitales (2016) a la estimacin del costo como una
consecuencia de un incidente digital. Por
ejemplo, un incidente digital puede llevar
a la interrupcin de la produccin de los
productos o de la prestacin del servicio
de la empresa, afectando sus actividades
regulares. Un incidente digital tambin
puede resultar en el robo de datos de
la empresa, tal como datos sensibles
comercialmente y de su propiedad
intelectual. Algunos incidentes buscan
atacar la infraestructura tecnolgica de
las empresas y causar daos a su red y
sistemas. Igualmente, un incidente digital
puede generar gastos legales, tal como
Nmero de observaciones: 429
multas reglamentarias y compensaciones
a clientes. Asimismo, se busc incluir los
Teniendo en cuenta las empresas que
costos a la reputacin de la empresa, que
estimaron los costos incurridos como
puede resultar en la prdida de confianza
resultado de los incidentes digitales, los
de los clientes y, como consecuencia,
grficos a continuacin presentan la
afectar sus ventas.

63
Grfico 21: Costos de interrupcin de las operaciones
incurridos por las empresas que estimaron el impacto de
los incidentes digitales (2016)

Nmero de observaciones: 58

Con respecto al costo de interrupcin de las operaciones normales de la empresa, 50% de


las empresas tuvieron un costo ms pequeo que COP 1.000.001, 22 % tuvieron un costo
entre COP 1.000.001 COP 15.000.000, y aproximadamente 25 % entre COP 15.000.001 COP
235.000.000. Hay algunas pocas empresas con valores extremos que se alejan del conjunto
de datos, llegando a ms de COP 4.000.000.000. Las empresas con valores extremos son
todas grandes empresas.

64
Grfico 22: Costos de daos a los activos e
infraestructura incurridos por las empresas que
estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 58

Con respecto al dao a los activos e infraestructura de la empresa, ms del 60% de las
empresas tuvieron un costo ms pequeo que COP $1.000.001, aproximadamente 20%
tuvieron un costo entre COP $1.000.001 COP $15.000.000, y aproximadamente 15% entre
COP $15.000.001 COP $235.000.000. Cerca del 5% de las empresas presentaron valores
extremos que se alejan del conjunto de datos, llegando a ms de COP $4.000.000.000.
Adems, las empresas con valores extremos son todas grandes empresas.

65
Grfico 23: Costos de sanciones, multas y gastos legales
incurridos por las empresas que estimaron el impacto de los
incidentes digitales (2016)

Nmero de observaciones: 58

Con respecto a sanciones, multas y gastos legales, ms de 75% de las empresas tuvieron
un costo ms pequeo que COP $1.000.001, aproximadamente 12% tuvieron un costo entre
COP $1.000.001 COP $15.000.000, y aproximadamente 10% entre COP $15.000.001
COP $235.000.000. Cerca de 3% de las empresas presentaron valores extremos que se
alejan del conjunto de datos, llegando a ms de COP $4.000.000.000 mil millones de pesos
colombianos. Cabe remarcar que las empresas con valores extremos eran todas grandes
empresas.

66
Grfico 24: Costos de daos a la reputacin incurridos por las empresas
que estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 58

Con respecto a daos a la reputacin, el cual corresponde aproximadamente al


60% de las empresas tuvieron un costo 12%, mientras que un 5% reportaron que
ms pequeo que COP $1.000.001, presentaron daos a la reputacin de ms
aproximadamente 16% tuvieron un costo de COP $2.000.000.000. En este ltimo
entre COP $1.000.001 COP $15.000.000, grupo, la mayora consistieron en grandes
y aproximadamente 12% entre COP empresas, incluyendo empresas del sector
$15.000.001 COP $235.000.000. Es Comercio, de comunicaciones y del sector
importante resaltar que de las empresas financiero.
que participaron en este estudio, hubo
un nmero ms grande de empresas con
costos relativos a la reputacin por encima
de los $325 millones de pesos colombianos,

67
Grfico 25: Costos de prdidas de la propiedad intelectual incurridos por las
empresas que estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 58

Finalmente, con respecto a la prdida mayora consisti en grandes empresas,


de propiedad intelectual, el 60% de las incluyendo empresas del sector Comercio,
empresas tuvieron un costo ms pequeo y del sector financiero.
que COP $1.000.001, aproximadamente
17% tuvieron un costo entre COP $1.000.001 Se puede notar que la distribucin del
COP $15.000.000, y aproximadamente costo entre las cinco categoras fue
12% entre COP $15.000.001 COP sesgada hacia la derecha, por lo cual se
$235.000.000. Es interesante notar que decidi trabajar con la mediana del costo
hay un nmero ms grande de empresas agrupado incurrido por cada empresa,
con costos relativos a la prdida de segn el tamao de la empresa. Es decir,
propiedad intelectual arriba de COP $325 el Cuadro 3 presenta el costo de los
millones: cerca de 10% de las empresas, incidentes digitales que se encuentran en
siendo que 3% presentaron prdidas a el medio de los valores proporcionados por
la propiedad intelectual de ms de COP cada empresa que estim el impacto de
$4.000.000.000. En este ltimo grupo, la los incidentes digitales.

68
Cuadro 3: Mediana del Costo Total Cuadro 4: Costo Total por Ventas de
por Empresa que estim el impacto la Empresa (2016)
de los incidentes digitales (2016)

Nmero de observaciones: 58 Nmero de observaciones: 58

Se logra observar que el costo relativo con


incidentes digitales disminuy a medida
En el Cuadro 4 se ve representado el costo que las empresas aumentan de tamao.
relativo de incidentes digitales por ventas Aunque las grandes empresas tuvieron un
del ao 2016, incurrido por empresa costo absoluto con incidentes digitales muy
segn el tamao de la empresa. En otras superiores que los costos incurridos por
palabras, el porcentaje del costo de una microempresa, por ejemplo, el costo
incidentes digitales en relacin a las ventas relativo por incidentes digitales de una
de la empresa. gran empresa fue significativamente ms
pequeo.
Cabe destacar que pocas empresas del
sector Industria y Comercio proporcionaron
informacin acerca de sus costos. En
relacin al sector Servicios que, a su vez,
cont con un nmero ms significativo de
respuestas se observ que la mediana
de sus costos se encuentra entre COP
$5.000.000 y COP $11.000.000, con un
costo relativo de aproximadamente 0,5%
de sus ventas.

69
Finalmente, se estim el costo en relacin
al nmero de incidentes digitales. Se
realiz una regresin lineal en la cual el
costo de los incidentes digitales en 2016 Grfico 26: Inversin en I+D+i
fue la variable dependiente y el nmero de
incidentes fue la variable explicativa. Los
resultados indican que existe una relacin
significativa y positiva entre el costo y el
nmero de incidentes. Segn el modelo, se
estima que el incremento de una unidad
en el nmero de incidentes aumenta
en aproximadamente $500 mil pesos
colombianos el costo incurrido por las
empresas en Colombia como resultado de
incidentes digitales. Es importante tener
en cuenta que este valor es una estimacin
y que algunos incidentes pueden tener
valores ms bajos, mientras otros ms
altos.
Finalmente, se busc analizar cmo el costo
incurridos debido a incidentes digitales en
2016 impactaron las inversiones de las
empresas en investigacin, desarrollo e Nmero de observaciones: 58
innovacin (I+D+i), dada la importancia de
I+D+i para el desarrollo de una economa
Entre las empresas que afirmaron que
digital, as como en el avance de medidas
sus inversiones en I+D+i aumentaron como
de seguridad digital. Como se muestra
resultado de incidentes digitales, 36% de
en el Grfico 26 a continuacin, entre las
estas empresas respondieron que sus
empresas entrevistadas, 42% afirm que
inversiones aumentaron en ms de 15%
han aumentado sus inversiones en I+D+i.
en 2016. Se nota que la conciencia acerca
del impacto causado con los incidentes
digitales en las empresas est llevndolas
a invertir ms en I+D+i.

70
PARTE 2

Anlisis de
entidades
del sector
pblico
71
Perfil de las Entidades

E
n relacin a las entidades pblicas De este nmero de las Entidades del
colombianas, el 64% de los sector pblico, el 52% de los entrevistados
entrevistados eran de la Rama pertenecan al nivel Territorial-Municipal,
Ejecutiva, mientras que el 23% eran frente a un total de 36% de las respuestas
Entes Autnomos. Los otros entrevistados pertenecientes a entidades nacionales y
que constituyeron el otro 13% eran del 12% del Territorial-Departamental.
Organismo Electoral, las Rama Judicial
y Legislativa, y Organismos de Control y
Vigilancia.

Grfico 27: Rama del poder pblico a


que pertenece la entidad

Nmero de observaciones: 724

72
Grfico 28: Orden a que pertenece la entidad

Nmero de observaciones: 724

En cuanto a la distribucin regional de los entrevistados del orden territorial (es decir,
departamental o municipal), el 41% eran de la Regin Central, el 19% de la Regin Oriental, el
14% de la Regin Pacfica, el 13% de la Regin Atlntica, el 7% Bogot y el restante 6% de la
Regin de los Antiguos Territorios Nacionales.

73
Grfico 29: Regin en la cual se
encuentra ubicada la entidad

Nmero de observaciones: 461

Las Entidades del sector pblico variaron entre 201-500 empleados y 11% que
con un rango justo para los propsitos de tenan entre 501-1000 empleados. La otra
este estudio en trminos de entidades respuesta significativa fue que el 26% de
pequeas y grandes. Al responder a la los entrevistados indicaron que tenan ms
pregunta, Cuntas Personas trabajan en de 1.000 empleados.
su entidad? (Escoja slo una respuesta),
18% indicaron que tenan menos de 50
empleados, 36% indicaron que tenan
entre 51-200 empleados, 9% que tenan

74
Grfico 30: Nmero de personas que trabajan en las entidades

Nmero de observaciones: 583

A la luz de los resultados anteriores, discos externos, bases de datos y archivos


el perfil de los entrevistados de las en servidores. 59% de los entrevistados
entidades estatales podra ser descrito respondieron que no lo hicieron. Entre los
principalmente por entidades de la rama entrevistados de las Entidades del sector
Ejecutiva y la regin Central, con ms del pblico, el 60% respondieron que no tenan
46% de los entrevistados con ms de 500 una poltica de BYOD comparado con el
empleados. 40% que tena uno en funcionamiento.
En relacin con los empleados de las Ms del 69% de los entrevistados de las
Entidades del sector pblico, el 41% de Entidades del sector pblico indicaron que
los entrevistados establecieron una entre el 81% y el 100% de sus empleados
poltica de BYOD o Bring your own tenan acceso a Internet en el trabajo; el
device (trae tu propio dispositivo en 21% respondieron que entre 61-80%; y el
espaol) y permitieron el acceso para el 10% que entre 0-60%.
uso de dispositivos USB externos y otros
dispositivos de almacenamiento como

75
Grfico 31: Porcentaje de personal de su entidad que tiene acceso a Internet (2016)

Nmero de observaciones: 583

evidente que la mayora de las entidades


Prcticas a nivel nacional se senta preparada. Las
de seguridad entidades indicaron que el 13% y el 48%,
digital en las respectivamente en el nivel nacional se
entidades sentan muy preparados o preparados.
Estos datos, comparados con el nivel
municipal y departamental, muestran
Habiendo identificado que la mayora que solo el 28% a nivel municipal y el 38%
de las entidades pblicas permiten a a nivel departamental se sintieron muy
sus empleados acceder a Internet para preparados o preparados para manejar
realizar las actividades de las entidades, un incidente.
es importante considerar las medidas que
Se pueden deducir algunas conclusiones
las entidades pblicas han tomado para
de estos resultados, ya que demuestra
protegerse. Cuando se hizo la pregunta, Mi que existe un nivel ms alto de confianza
entidad/empresa est preparada para en la preparacin a nivel nacional que est
hacer frente a un incidente digital, era respaldado por todas las iniciativas que

76
est implementando el Gobierno nacional en el desarrollo de una economa digital segura.
Por otro lado, tambin indica que es necesario desarrollar estas iniciativas a nivel municipal
y departamental. Vase a continuacin el grfico:

Grfico 32: Nivel de preparacin de la entidad


para hacer frente a un incidente digital

Nmero de observaciones: 559

Esto condujo a un anlisis de qu prcticas de entidades pblicas indicaron que tienen


de seguridad digital han implementado polticas en funcionamiento, con normas y
las entidades estatales a este respecto. medidas organizativas de menor prioridad.
Cuando se pregunt, Cul de las Del total de entrevistados, el 62% indic que
siguientes prcticas en seguridad digital las polticas se implementaron, comparado
(seguridad digital y/o seguridad de la con el 46% de las medidas tcnicas de
informacin) son implementadas por su implementacin, y solo el 31% indic que
entidad?, similar a la respuesta de las implementaron medidas organizativas.
empresas, la mayora de los entrevistados

77
Grfico 33: Prcticas de seguridad digital implementadas por las entidades

Nmero de observaciones: 559

Estos resultados son particularmente Como se destac en la seccin anterior


interesantes cuando se analizan frente a los relacionada con las empresas, existe
resultados de la pregunta, Tiene su entidad una tendencia general a transferir
un rea, cargo (s) o rol(es) dedicado (s) la responsabilidad de la respuesta a
a la seguridad digital (seguridad digital incidentes y la seguridad digital bajo las
y/o de seguridad de la informacin)?, funciones generales del Departamento
como si la entidad estatal pusiera un bajo de Tecnologa de la Informacin. Como
nfasis en la implementacin de medidas tal, el 52% a nivel nacional, el 78% a nivel
organizacionales, entonces hay una fuerte municipal y el 72% a nivel departamental
probabilidad de que no tendran un cargo abordan la cuestin de la seguridad digital
dedicado para la seguridad digital. Entre bajo el Departamento de Tecnologa de la
los entrevistados, solo el 33% a nivel Informacin. Solamente un porcentaje muy
nacional y el 10% y 17% respectivamente a pequeo de los entrevistados abord esto
nivel municipal y departamental tienen un bajo las reas de negocio generales de las
rea dedicada a la seguridad digital dentro entidades u otras reas. Vase el grfico a
de su organizacin. continuacin:

78
Grfico 34: Entidades con rea, cargo(s) o rol(es)
dedicado(s) a la seguridad digital

Nmero de observaciones: 246

Cuando se pregunt, Cuntas personas de las entidades estatales. Algunos han


conforman el equipo o rea que tiene argumentado que cuando se juntan las
a cargo la seguridad digital (seguridad dos reas, los puntos de vista de un
digital y/o seguridad de la informacin) departamento de TI varan desde el punto
en su entidad?, es notable que el 44% de vista de la seguridad en relacin con las
de los entrevistados tena solo entre 1-2 medidas proactivas y reactivas que una
empleados, el 27% entre 3-5 personas entidad debe implementar. Segn Forbes,
y el 29% indicaron que tenan ms de 5. ser una subdivisin del departamento de
Estos resultados enfatizan la necesidad TI hace que la seguridad est ciega a los
de examinar cmo se est abordando procesos empresariales importantes y a
el tema de la seguridad digital dentro la toma de decisiones a nivel corporativo

79
y departamental8. Por ejemplo, los Adems, en la identificacin de riesgos y la
equipos de seguridad a menudo no forman implementacin de medidas de mitigacin
parte de los procesos de planificacin en del riesgo, las entidades estatales deben
los departamentos de RR.HH., Marketing e considerar qu activos creen que deberan
I+D, ni se les da la oportunidad de revisar ser priorizados para su proteccin. En
las inversiones antes de que se hagan. respuesta a la pregunta, A la hora de
Como resultado, los equipos de seguridad protegerse frente a incidentes digitales,
se incorporan despus del hecho, y esto amenazas cibernticas y/o ataques
puede afectar el presupuesto final ya que cibernticos, cules de estos datos y/o
las entidades pueden terminar gastando activos de informacin son priorizados
ms en recuperacin en lugar de invertir por su entidad?, a nivel nacional, el acceso
en el inicio en una solucin de seguridad a los datos en el sistema de informacin
proactiva. Sin embargo, si se les da un rol y el acceso a los sistemas de informacin
ms prominente dentro de la organizacin, tenan la mayor prioridad en relacin con
los equipos de seguridad podran asesorar los datos personales y despus de estos,
a su organizacin de manera proactiva, los datos de clientes, en trminos de
reduciendo as los riesgos de manera prioridad. A nivel municipal y departamental
significativa. se observaron resultados similares. Esto
es importante ya que, sobre la base de lo
que prioriza una entidad, podra ser una
indicacin de dnde invertir en trminos
8 Forbes (julio de 2015) Why Its Worth
de seguridad digital. Vase los grficos
Divorcing Information Security From IT, abajo:
accedida en: https://www.forbes.com/sites/
frontline/2015/06/22/why-its-worth-divorcing-
information-security-from-it/#3ecd98c342a3,
ltima entrada: 30 de agosto de 2017

80
Grfico 35: Datos y activos priorizados por las entidades

Nmero de observaciones: 246

Como se ha mencionado anteriormente, y lo ms explcito posible. Este conjunto


comprender el riesgo es importante. de procesos ayuda a asegurar que las
En este Estudio, Gestin de riesgos de medidas de gestin de riesgos de seguridad
seguridad digital ha sido definida como digital (medidas de seguridad) sean
el conjunto de actividades coordinadas apropiadas para el riesgo y los objetivos
dentro de una organizacin o entre econmicos y sociales en juego. Cuando
organizaciones, para abordar el riesgo de los participantes del Estudio respondieron
seguridad digital, mientras se maximizan a la pregunta Su entidad / empresa
oportunidades. Es una parte integral de realiza una evaluacin de riesgo sobre la
la toma de decisiones y de un marco de informacin que adquiere para mejorar
trabajo integral para gestionar el riesgo de sus operaciones?, 89% entidades a nivel
las actividades econmicas y sociales. Se nacional, 80% entidades a nivel municipal
basa en un conjunto flexible y sistemtico y 88% entidades a nivel Departamental
de procesos cclicos, lo ms transparente respondieron positivamente.

81
Posteriormente, cuando se pregunt La gestin de riesgo de su entidad / empresa
est alienada con estndares internacionales, es interesante observar que el 87% a
nivel nacional respondi positivamente, comparado con el 43% del nivel municipal y el 59%
del nivel departamental. El examen de estas prcticas es importante, dado a que, si una
entidad toma medidas proactivas como la evaluacin de riesgos y la aplicacin de normas
internacionales, se crea un entorno para la gestin y mitigacin de riesgos.

Cuando se formul la pregunta respecto


a si se han identificado incidentes digitales
contra su organizacin en 2016, ms de
la mitad de las entidades estatales de
orden nacional y territorial departamental
respondieron afirmativamente. El 59%
de las Entidades de orden nacional
identificaron incidentes digitales, mientras
que un 56% de las entidades de orden
Incidentes territorial departamental respondieron de
la misma forma. Por otro lado, 42% de las
digitales en entidades de orden territorial municipal
las entidades contestaron que han identificado los
incidentes digitales.

82
Grfico 36: Porcentaje de
entidades estatales que
identificaron incidentes
digitales (2016)

Nmero de observaciones: 517

Con el objetivo de comprender el por qu (ii) si la entidad pblica conoce alguna


algunas entidades estatales identificaron reglamentacin y/o legislacin nacional
incidentes digitales y otras no, se adelant o territorial que requiera las entidades
una ecuacin de determinantes de la implementen prcticas de gestin de riesgo
probabilidad que una entidad pblica en ciberntico; (iii) si la entidad implementa
Colombia identifique incidentes digitales medidas tcnicas (por ejemplo, pruebas
y/o amenazas cibernticas contra su de vulnerabilidad, mantenimiento de la
organizacin, donde la variable dependiente infraestructura de TI); (iv) si la entidad
toma el valor de 1 si la entidad identifica implementa polticas de seguridad digital
incidentes digitales y 0 si no los identifica. (por ejemplo, poltica de acceso al sistema,
Dentro de las variables explicativas, se poltica de actualizacin de contraseas,
incluyeron cuatro variables dicotmicas: (i) concientizacin); (iv) si la entidad
si la entidad pblica tiene un rea, cargo(s) implementa estndares (por ejemplo, ISO
o rol(es) dedicado(s) a la seguridad digital; 27001, otros estndares internacionales);
(v) si la entidad hace alguna evaluacin

83
de riesgo ciberntico. Adems, se incluyen conocimiento acerca de la Poltica
variables dicotmicas acerca del orden Nacional de Seguridad Digital (Documento
de la entidad. Es decir, nacional, territorial CONPES 3854 de 2016), aprobado el 11
departamental, o territorial municipal. de abril de 2016. Tambin hay una relacin
estadsticamente significativa positiva
Tambin se incluyeron otras variables entre la implementacin de medidas
explicativas, como el presupuesto total tcnicas, las prcticas de evaluacin de
de inversin en pesos colombianos de la riesgo y la identificacin de incidentes
entidad durante el ao de 2016, el nmero digitales. Igualmente existe una relacin
de personas que trabajan en la entidad, el estadsticamente significativa positiva
porcentaje aproximado de personal de la entre la identificacin de incidentes y las
entidad que tiene acceso a Internet para siguientes variables explicativas: el valor
desarrollar sus actividades profesionales, aproximado de presupuesto designado
as como el valor aproximado de por la entidad para la seguridad digital,
presupuesto designado por la entidad para el nmero de personas que trabajan en
la seguridad digital. Dada la naturaleza la entidad, el porcentaje de personal que
binaria de la variable dependiente, se utiliza tiene acceso a Internet.
un modelo de estimacin LOGIT.9
Otra rea examinada por el estudio fue
Los resultados muestran que hay una la experiencia de entidades estatales con
relacin estadsticamente significativa incidentes de seguridad digital. En respuesta
positiva entre el conocimiento de alguna a la pregunta, Su entidad/empresa
reglamentacin y/o legislacin sobre ha notado un cambio en la gravedad (o
prcticas de gestin de riesgo y la criticidad) de los ataques cibernticos
identificacin de incidentes digitales. De durante el ao 2016, la mayora de los
hecho, las entidades que identificaron entrevistados (50% Nacional, 56% Municipal
incidentes digitales destacaron su y 57% Departamental) indicaron que la
gravedad de los ataques cibernticos
9 Este modelo asume que los efectos individuales sigue siendo la misma. Solo el 30% a nivel
han sido promediados, lo que facilita el clculo y la
interpretacin de los efectos marginales que, a su nacional, el 28% a nivel municipal y el 39%
vez, miden el efecto de un cambio en uno de los a nivel departamental, informaron que
regresores sobre la variable dependiente. haban observado un cambio.

84
Grfico 37: Cambio en la gravedad de los incidentes digitales

Nmero de observaciones: 240

En trminos de entidades colombianas que identifican realmente no solo el aumento


en gravedad sino el tipo de ataques, los entrevistados indicaron que han visto el
mayor aumento en ataques de phishing y malware. Vase el siguiente grfico:

85
Grfico 38: Gravedad de los incidentes digitales

Nmero de observaciones: 240

A este respecto, cuando se les pregunt, de incidentes a la autoridad nacional,


En la ocurrencia de un incidente digital, en ltima instancia, impacta al Gobierno
amenaza ciberntica y/o un ataque nacional en la comprensin estatal de los
ciberntico, quines son notificados en incidentes de seguridad digital en Colombia.
su entidad?, fue interesante que de las Si bien el Estado a nivel nacional contina
entidades que respondieron a la pregunta, invirtiendo en mecanismos para aumentar
el 73% contest que informaran a los las denuncias, se puede inferir que es
Directivos de la propia organizacin con necesario incrementar estos esfuerzos al
solo un 23% indicando que le reportaran interior de las entidades estatales.
al Asesor legal, un 20% informara a la
autoridad local/regional, un 38% a las Estos datos, si se comparan con la pregunta,
autoridades nacionales (polica, entidades A qu nivel pertenece el rea a cargo
regulatorias, fiscalas, etc.) y un 25% de la seguridad digital (seguridad digital
indicando que se reportaran al Equipo y/o de seguridad de la informacin) en su
de Respuesta a Incidentes Cibernticos entidad? (El nivel superior o jerrquico es el
(CSIRT). La baja indicacin en la notificacin ms alto), cabe destacar que el 47% a nivel

86
nacional, el 68% a nivel municipal y el 57% a Es importante tomar nota de dnde se
nivel departamental, indica que pertenece denuncian los incidentes cibernticos y en
en el nivel operativo. En comparacin con qu nivel se ubica la seguridad digital, ya que
el nivel jerrquico (o directivo), el 27% a proporciona informacin sobre cmo una
nivel nacional, el 16% a nivel municipal y el entidad podra abordar estratgicamente
29% a nivel departamental indicaron que incidentes y presupuestos relacionados
pertenece all. Lo que se podra inferir de a este respecto. Cuando se les pregunt:
estos resultados es que mientras que la Cules de las siguientes fallas afectan
seguridad digital no se coloca al nivel de ms la capacidad de su entidad/empresa
director, s es al primer nivel dentro de una en materia de seguridad digital (seguridad
entidad a la que se informan los incidentes digital y/o seguridad de la informacin)?
de seguridad digital. Por favor, califique de: 1 (afecta menos o
no afecta) a 5 (afecta ms), la mayora de
los entrevistados identificaron la Falta de
personal dedicado y Falta de presupuesto
como las dos razones que los afectan ms.

Cabe destacar que la mayora de las


entidades que asignaron presupuesto
para TI en 2016 tambin lo hicieron para
asuntos de seguridad digital: cerca de 82%
de las entidades estatales que asignaron
presupuesto a TI tambin asignaron a
Presupuesto la seguridad digital en 2016. Teniendo
en cuenta las empresas que asignaron
para la seguridad presupuesto para TI, se verific cuanto
digital en las fue asignado en 2016 por las entidades
entidades estatales, como indicado en el Grfico 39.

87
Grfico 39: Presupuesto para la
Seguridad Digital (2016)

Nmero de observaciones: 327

Como la distribucin del presupuesto es sesgada a la derecha, el Cuadro 5 presenta la mediana


del presupuesto para la seguridad digital en 2016 considerando el orden al cual pertenecen
las entidades estatales. Es importante observar que el Cuadro 5 presenta el presupuesto
para la seguridad digital que se encuentra en el medio de los valores proporcionados por
las entidades nacionales. Sin embargo, se observ que 18% de las entidades estatales que
asignaron presupuesto a TI, no asignaron ningn recurso a la seguridad digital, en particular
las entidades territoriales de rdenes municipal y departamental. Por otro lado, se observ
que algunas entidades que llegaron a invertir ms de COP $6.000.000.000 de pesos
colombianos, siendo la mayora del orden nacional, pero tambin hubo casos aislados de
entidades de orden territorial municipal y departamental.

88
Cuadro 5: Mediana del Presupuesto para la Seguridad
Digital por Entidad que asignaron recursos a TI (2016)

Nmero de observaciones: 327

Al analizar los valores de las entidades Aproximadamente 46% del presupuesto


estatales que asignaron algn presupuesto de seguridad digital fue asignado a
a la seguridad digital, se observ que la plataformas y medios electrnicos, y 9%
mediana del presupuesto de la seguridad a generacin de capacidades que, a su
digital en relacin al presupuesto de vez, incluye temas como capacitacin y
inversin fue aproximadamente 0,05% concientizacin.
de las inversiones en 2016. Adems, se
verific que, en promedio simple, la mayor
parte del presupuesto fue asignado
para plataformas y medios tecnolgicos,
mientras generacin de capacidades
recibi la menor cantidad de recursos.

89
Cuadro 6: Asignacin del presupuesto para la Seguridad
Digital por Entidad que asignaron recursos a TI (2016)

Nmero de observaciones: 327

Finalmente, se realiz una regresin lineal Adems, el modelo cuenta con variables
con el objetivo de identificar los factores dicotmicas que identifican el orden al
que llevan a una entidad estatal a invertir cual pertenece la entidad pblica, tal
ms en seguridad digital. Se realiz una como nacional, territorial departamental y
regresin lineal en la cual el logaritmo del territorial municipal. Igualmente se incluyen
presupuesto asignado por las entidades las siguientes variables dicotmicas: (i) si
para asuntos de seguridad digital durante la entidad tiene un rea, cargo(s) o rol(es)
el ao de 2016 fue la variable dependiente dedicado(s) a la seguridad digital; (ii) si la
(Anexo 3). Se opt por el logaritmo del entidad implementa medidas tcnicas
presupuesto para la seguridad digital, de seguridad (por ejemplo, pruebas
con vistas a normalizar la distribucin de vulnerabilidad, mantenimiento de la
de la variable. Adems, se incluyeron las infraestructura de TI); (iii) si la entidad
siguientes variables independientes: (i) adopta polticas de seguridad digital (por
el nmero de personal; (ii) el porcentaje ejemplo, poltica de acceso al sistema,
aproximado de personal de la entidad que poltica de actualizacin de contraseas,
tiene acceso a Internet para desarrollar concientizacin); (iv) si la entidad
sus actividades profesionales; (iii) el implementa estndares (por ejemplo, ISO
logaritmo del presupuesto de inversin; y 27001, otros estndares internacionales);
(iv) el logaritmo del nmero de incidentes (v) si la entidad hace alguna evaluacin de
digitales sufridos por la entidad pblica en riesgo ciberntico; y (vi) si la entidad conoce
2016.

90
alguna reglamentacin y/o legislacin Cuando se realiz la pregunta sobre la
nacional o territorial que requiera que las estimacin de los costos derivados de las
entidades pblica implementen prcticas consecuencias negativas causadas por la
de gestin de riesgo ciberntico. ocurrencia de incidentes digitales, el 85%
de las entidades estatales afirmaron que
Los resultados indican que hay una relacin no hacen ninguna estimacin, como se
positiva y estadsticamente significativa observa en el Grfico 40 a continuacin:
entre el nmero de personal, personal con
acceso a Internet, presupuesto de inversin Grfico 40: Entidades que estimaron
de la entidad estatal y el presupuesto para las consecuencias negativas de los
la seguridad digital. Con respecto a prcticas incidentes digitales (2016)
de seguridad digital, igualmente se verific
una relacin significativa y positiva entre el
presupuesto para la seguridad digital y las
siguientes variables dicotmicas: existencia
de un rea, cargo(s) o rol(es) dedicado(s)
a la seguridad digital, implementacin
de medidas tcnicas e implementacin
de estndares. En otras palabras, las
entidades pblicas que implementan estas
prcticas de seguridad digital asignan un
presupuesto ms grande para la seguridad
digital que las entidades que no adoptan
estas prcticas. Finalmente, cabe destacar
la relacin positivamente significativa entre
las entidades que pertenecen al orden
nacional y el presupuesto para la seguridad
digital. En otras palabras, las entidades
pblicas nacionales tienen presupuestos Nmero de observaciones: 474
para la seguridad digital ms grandes.
Teniendo en cuenta las entidades que
estimaron los costos incurridos como
resultado de los incidentes digitales, los
Costo de los grficos a continuacin presentan la
incidentes digitales distribucin de los costos con incidentes
para las entidades digitales incurridos en 2016 por las

91
entidades estatales segn cinco categoras de costos: (i) interrupcin de las operaciones
normales de la empresa; (ii) dao a activos e infraestructura; (iii) sanciones, multas y gastos
legales; (iv) dao a la reputacin y la imagen; y (v) prdida de la propiedad intelectual o de
otra informacin sensible.

Grfico 41: Costos de interrupcin de la informacin


incurridos por las entidades estatales que estimaron el
impacto de los incidentes digitales (2016)

Nmero de observaciones: 46

Con respecto al costo de interrupcin de COP $ 15.000.000, y aproximadamente


las operaciones normales de las entidades 24% entre COP $ 15.000.001 - COP $
estatales, 33% de las entidades tuvieron un 235.000.000. Hay algunas entidades con
costo ms pequeo que COP $ 1.000.001, valores extremos que se alejan del conjunto
20% tuvieron un costo entre COP $ de datos, llegando a ms de 4 mil millones
1.000.001 de pesos colombianos.

92
Grfico 42: Costos de daos a los activos e infraestructura incurridos por las
entidades estatales que estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 46

Con respecto al dao a los activos e infraestructura de la entidad, ms de 40% de las


entidades tuvieron un costo ms pequeo que COP $ 1.000.001, 20% tuvieron un costo entre
COP $ 1.000.001 COP $ 15.000.000, y aproximadamente 20% entre COP $ 15.000.001 COP
$ 235.000.000. Sin embargo, cerca de 17% de las entidades presentaron costos relativos a
dao a activos de ms de 700 millones de pesos colombianos en 2016.
Grfico 43: Costos de sanciones, multas y gastos legales incurridos por las
entidades estatales que estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 46
93
Con respecto a sanciones, multas y gastos del 11% de las entidades tuvieron costos
legales, 65% de las entidades tuvieron un ms altas que 700 millones de pesos
costo ms pequeo que COP $ 1.000.001, colombianos, con algunas entidades
aproximadamente 13% tienen un costo territoriales departamentales presentando
entre COP $ 1.000.001 COP $ 15.000.000, un costo ms grande que 4 mil millones de
y aproximadamente 10% entre COP $ pesos colombianos.
15.000.001 COP $ 235.000.000. Cerca

Grfico 44: Costos de dao a la reputacin incurridos por


las entidades estatales que estimaron el impacto de los
incidentes digitales (2016)

Nmero de observaciones: 46

94
Con respecto a daos a la reputacin, 11 % entre COP $ 15.000.001 COP $
aproximadamente 60% de las entidades 235.000.000. Por otro lado, es interesante
tuvieron un costo ms pequeo que COP notar que 17% de las entidades presentaron
$ 1.000.001 en 2016, aproximadamente el un costo ms alto que 700 millones de
9% tienen un costo entre COP $ 1.000.001 pesos colombianos.
COP $ 15.000.000, y aproximadamente

Grfico 45: Costos de prdida a la propiedad intelectual y de


informacin sensible incurridos por las entidades estatales que
estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 46

95
Finalmente, con respecto a la prdida de entidades nacionales que proporcionaron
propiedad intelectual y de informacin los datos de costo pertenecen, en su
sensible, 61% de las entidades tuvieron mayora, a la rama ejecutiva o son entes
un costo ms pequeo que COP $ autnomos. En este contexto, se debe
1.000.001, aproximadamente 13% entre tener en cuenta que estos datos reflejan la
COP $ 1.000.001 COP $ 15.000.000, situacin de entidades pblicas con estas
y aproximadamente 9% entre COP $ caractersticas. Adems, no hubo un nmero
15.000.001 COP $ 235.000.000. Por otro significativo de entidades territoriales que
lado, se observa que 15% presentaron respondieran la informacin acerca del
costos ms altos que 700 millones de costo.
pesos colombianos, y algunas ms de COP
$ 4.000.000.000: 9% de las entidades. Finalmente, se busc analizar cmo los
costos incurrido debido a incidentes
Se nota que la distribucin del costo digitales en 2016 impactaron las
entre las cinco categoras es sesgada a la inversiones de las entidades estatales
derecha, as que se prefiri trabajar con en investigacin, desarrollo e innovacin
la mediana del costo agrupado incurrido. (I+D+i). Como se muestra en el Grfico
En relacin a las entidades estatales 46 a continuacin, entre las entidades
nacionales, el intervalo del costo es 20 estatales entrevistadas, 48% afirm que
40 millones de pesos colombianos, han aumentado sus inversiones en I+D+i.
representando aproximadamente menos
del 0,5% de la inversin de las entidades. Las

96
Grfico 46: Inversin en I+D+i de las entidades que
estimaron el impacto de los incidentes digitales (2016)

Nmero de observaciones: 46

Entre las entidades que afirmaron que sus inversiones en I+D+i aumentaron como
resultado de incidentes digitales, 46% de estas entidades respondieron que sus
inversiones aumentaron en ms de 15% en 2016. Cabe destacar que estas entidades
son en su mayora nacionales que pertenecen a la rama ejecutiva, o consistan en
entes autnomos u organismos de control y vigilancia.

97
98
ANEXO 1

Anlisis
SITUACIONAL

99
se alienta a los colombianos a hacer un
uso responsable del entorno digital y
fortalecer sus capacidades para identificar,
Generalidades de la gestionar, tratar y mitigar los riesgos de
seguridad digital. Este nuevo Documento
seguridad ciberntica CONPES 3854 ahond en los xitos de su
en Colombia predecesor y se concentr en promover y
asegurar una Colombia digital.
En el marco de la seguridad digital basada
en la gestin de riesgos, el Documento

E
n 2011, el Gobierno de Colombia,
a travs del Consejo Nacional de CONPES 3854 promueve la participacin
Poltica Econmica y Social (CONPES), de mltiples actores, especialmente en las
estableci los Lineamientos de poltica para funciones transversales. Como resultado
ciberseguridad y ciberdefensa, Documento directo, Colombia es el primer pas de
CONPES 3701, bajo los auspicios del Amrica Latina y uno de los primeros en
Ministerio de Tecnologas de la Informacin el mundo en incorporar plenamente las
y las Comunicaciones (MinTIC), el Ministerio recomendaciones y mejores prcticas
de Defensa Nacional, el Departamento internacionales en materia de gestin
Nacional de Planeacin (DNP) y otras de riesgos y seguridad digital emitidas
instituciones nacionales clave. Esta recientemente por la Organizacin para
estrategia se centr en el establecimiento la Cooperacin y el Desarrollo Econmicos
de instituciones nacionales necesarias para (OCDE).
el desarrollo de la capacidad ciberntica
en Colombia.
En el ao 2014 se produjo un importante Gestin de riesgos de seguridad
desarrollo en el sentido que el Gobierno digital para la prosperidad de
nacional llev a cabo una revisin a fondo la OCDE - Recomendaciones
del Documento CONPES 3701 y solicit
Sociales y Econmicas
apoyo internacional en la revisin y el
desarrollo de una nueva estrategia de
seguridad nacional digital. En abril de 2016,
se aprob la nueva Poltica Nacional de La OCDE realiza la promocin de polticas
Seguridad Digital, CONPES 3854 que e instrumentos para la innovacin y la
articula una visin estratgica en la que confianza en la economa digital y la

100
expedicin de las recomendaciones sobre fue invitada a iniciar el proceso formal de
la gestin de riesgos de seguridad digital adhesin a la OCDE. La invitacin inclua
para la prosperidad econmica y social una hoja de ruta11. Colombia tendra que
(2015), y proporciona orientaciones para demostrar ante 23 comits tcnicos de la
el desarrollo de estrategias nacionales OCDE que ha hecho reformas significativas
basadas en la gestin de riesgos de en el cumplimiento de las normas de la
seguridad digital y la optimizacin de los OCDE, dado que estos comits tendran
beneficios econmicos y sociales derivados que presentar conceptos formales sobre
de la apertura digital. Las recomendaciones la adhesin de Colombia al Consejo.
de la OCDE incluyen la promocin de los
principios generales sobre el conocimiento, En el Economic Outlook de la OCDE12,
las habilidades y la capacitacin, la Tomo 2016, Nmero 1, la OCDE concluy, en
responsabilidad, los derechos humanos y general, que las polticas macroeconmicas
los valores fundamentales, cooperacin, [en Colombia] eran apropiadas, pero
evaluacin de riesgos y ciclo de tratamiento, se necesitaban reformas estructurales
medidas de seguridad, de innovacin para aumentar la productividad. A pesar
y de preparacin y continuidad. Estas del impacto que ha tenido la volatilidad
recomendaciones guiadas se incorporaron del mercado financiero mundial y la
en varios aspectos del proceso de disminucin de los precios del petrleo, la
desarrollo y el contenido del Documento OCDE prevea que, con llevar el proceso de
CONPES 3854. Como tal, en la revisin de paz a buen trmino, se podra mejorar la
los progresos realizados en la aplicacin confianza de las empresas y las entradas
de dicha poltica nacional bajo el anlisis de capital. Adems del proceso de
de la situacin, se tendran en cuenta las adhesin a la OCDE, Colombia participa en
observaciones sobre la alineacin de las labor de fondo de muchos de los comits
polticas pblicas con la recomendacin de especializados de la organizacin.
la OCDE.
El proceso de adhesin a la OCDE ha sido 11 http://www.oecd.org/officialdocuments/
descrito como de impacto positivo en el publicdisplaydocumentpdf/?cote=C(2013)110/
proceso de elaboracin de polticas pblicas FINAL&docLanguage=En

de Colombia10. En mayo de 2013, Colombia 12 ltima consulta el 8 de septiembre de 2016 en: Perfil
de Colombia- http://www.keepeek.com/Digital-Asset-
10 Why Good Policy-Making Matters: The Accession Management/oecd/economics/oecd-economic-outlook-
Case of Colombia to the OECD Source: https://www. volume-2016-issue-1/colombia_eco_outlook-v2016-
hertie-school.org/the-governance-post/2016/03/why- 1-11-en#page1 Versin completa: http://www.oecd-
good-policy-making-matters-the-accession-case-of- ilibrary.org/economics/oecd-economic-outlook-volume-
colombia-to-the-oecd/- Consultado Agosto 25, 2016 2016-issue-1/colombia_eco_outlook-v2016-1-11-en

101
Es pertinente considerar el proceso de El enfoque de la poltica de seguridad
la OCDE cuando se examina el desarrollo ciberntica y ciberdefensa hasta el ao 2015
e implementacin de polticas pblicas, se haba concentrado en contrarrestar el
incluyendo el Documento CONPES 3854, ya incremento de las amenazas cibernticas
que toma en cuenta las recomendaciones bajo los objetivos de (i) defensa del pas; y
de la OCDE para la gestin de riesgos de (ii) lucha contra el delito ciberntico. Si bien,
seguridad digital. Como parte de la OCDE, dicho enfoque de poltica haba posicionado
Colombia podra recibir estudio y evaluacin a Colombia como uno de los lderes en la
constante de la eficacia de sus polticas. materia a nivel regional, tambin haba
Este proceso de evaluacin continua, que dejado de lado la gestin del riesgo en el
se conoce como revisin por pares, ha entorno digital. El enfoque, esencial en un
demostrado ser eficaz y til, ya que expone contexto de incremento en el uso de las
a los programas de reforma a discusin por TIC para realizar actividades econmicas
parte de buenos investigadores (personal y sociales, ha trado consigo nuevas y ms
de la OCDE), as como de expertos en sofisticadas formas de afectar el desarrollo
formulacin de polticas reales en el rea normal de estas en el entorno digital. Este
especfica (miembros de cada comit).13 hecho demanda una mayor planificacin,
prevencin y atencin por parte de los
Implementacin del Documento pases.
CONPES 3854
Teniendo en cuenta lo anterior, se identific
El creciente uso del entorno digital en la siguiente problemtica en el pas: (i) no
Colombia para desarrollar actividades se cuenta con una visin estratgica en
econmicas y sociales genera seguridad digital basada en la gestin de
incertidumbres y riesgos inherentes riesgos; (ii) las mltiples partes interesadas
a la seguridad digital que deben ser no maximizan sus oportunidades al
gestionados permanentemente. No desarrollar actividades socioeconmicas
hacerlo puede resultar en la materializacin en el entorno digital; (iii) se requiere
de amenazas o ataques cibernticos, con reforzar las capacidades de seguridad
efectos no deseados de tipo econmico o ciberntica con un enfoque de gestin de
social para el pas, y afecta la integridad de riesgos de seguridad digital; (iv) se necesita
los ciudadanos en este entorno. reforzar las capacidades de ciberdefensa
13 Digital Security Risk Management for Economic and con un enfoque de gestin de riesgos de
Social Prosperity: OECD Recommendation and Companion seguridad digital; y (v) los esfuerzos de
Document. Consultada el 8 de septiembre de 2016.
Disponible en: http://www.oecd.org/sti/ieconomy/
cooperacin, colaboracin y asistencia,
digital-security-risk-management.pdf nacional e internacional, relacionados con

102
la seguridad digital no son suficientes y nacionales en el mundo y primera en
requieren ser articulados. la regin de Latinoamrica en acoger
las recomendaciones en gestin de
Con el fin de atender dicha problemtica y riesgos de seguridad digital, emitidas
acoger mejores prcticas internacionales, en el mes de septiembre de 2015 por
el Gobierno de Colombia expidi la la Organizacin para la Cooperacin y
Poltica Nacional de Seguridad Digital el Desarrollo Econmicos -OECD-. Se
(Documento CONPES 3854 de 2016) en tuvieron en cuenta los aportes realizados
el mes de abril de 2016, liderada por el por los representantes del las Empresas,
Ministerio de Tecnologas de la Informacin el Gobierno nacional, la sociedad civil, los
y las Comunicaciones y el Ministerio de operadores de infraestructuras crticas
Defensa Nacional de Colombia. Esta nacionales y la academia. Asimismo, se
poltica pblica tiene como objetivo principal incorporaron las recomendaciones de
el fortalecimiento de las capacidades otros organismos internacionales como
de todas las partes interesadas la Organizacin de Estados Americanos
(Gobierno nacional y los territoriales, -OEA-, la Unin Internacional de
las organizaciones pblicas y privadas, Telecomunicaciones -UIT- y la Organizacin
la Fuerza Pblica, los propietarios u del Tratado del Atlntico Norte -OTAN.
operadores de las infraestructuras crticas
cibernticas nacionales, la academia y la La Poltica Nacional de Seguridad Digital
sociedad civil) para identificar, gestionar, de Colombia: i) diferencia claramente
tratar y mitigar los riesgos de seguridad los objetivos de prosperidad econmica
digital en sus actividades socioeconmicas y social con los objetivos de defensa
en el entorno digital, bajo un marco de del pas y de lucha contra el crimen y la
cooperacin, colaboracin y asistencia a delincuencia en el entorno digital, ii) incluye
nivel nacional e internacional, con el fin de componentes como la gobernanza, la
contribuir al crecimiento de la economa educacin, la regulacin, la cooperacin
digital nacional y maximizar los beneficios internacional y nacional, la investigacin y
obtenidos de una mayor prosperidad desarrollo, y la innovacin, y iii) cambia el
econmica, poltica y social del pas. enfoque tradicional al incluir la gestin de
riesgo como uno de los elementos ms
La expedicin de esta nueva poltica importantes para abordar la seguridad
pblica fue el resultado de un proceso digital. Esto lo hace bajo cuatro (4) principios
de participacin entre representantes fundamentales enfocndose en la
de las mltiples partes interesadas del salvaguarda de los derechos humanos y los
pas y es una de las primeras polticas valores fundamentales de los ciudadanos

103
en Colombia, involucrando activamente a 1. Documentos estratgicos para
todas las partes interesadas, y asegurando la implementacin de la poltica:
una responsabilidad compartida entre las Mecanismos de Coordinacin entre
mismas. Estos principios se reflejan en las mltiples partes interesadas,
cinco (5) dimensiones en las que actuar Agenda Estratgica Internacional
esta poltica, las cuales determinan las de cooperacin, colaboracin y
estrategias para alcanzar su objetivo asistencia y Agenda Estratgica
principal. Nacional de cooperacin,
colaboracin y asistencia nacional
Finalmente, durante el ao 2017 se
construir en Colombia, en conjunto con las 2. Planes de fortalecimiento de
mltiples partes interesadas, una Agenda las capacidades institucionales,
Nacional de Seguridad Digital con el fin de operativas, administrativas,
priorizar los intereses nacionales en torno humanas y de infraestructura fsica
al tema, identificando variables de impacto y tecnolgica de las instancias
(por ejemplo, prdidas econmicas, actuales.
afectacin de personas, consecuencias
medioambientales o correlacin de la 3. Estudios de viabilizacin tcnica
afectacin con otras partes), bajo el para la creacin de nuevas
marco de los principios fundamentales de instancias o proyectos de seguridad
la Poltica Nacional de Seguridad Digital. ciberntica y ciberdefensa.
Tambin se prev la generacin de lo 4. Contenidos educativos
siguiente: especializados para capacitar a
los funcionarios responsables de la
seguridad digital en Colombia.
5. Contenidos educativos
complementarios relacionados con
la gestin de riesgos de seguridad
digital dirigidos a estudiantes de
Educacin Bsica, Media y Superior
as como a docentes.

104
Avances en la Modelo de Madurez de la aprobacin e implementacin del
de Capacidad de Ciberseguridad Documento CONPES 3854 desde su
Nacional expedicin en el mes de abril de 2016.

El Modelo de Madurez de Capacidad (CMM En general, la mayora de los indicadores


por las siglas en ingls) de Seguridad han experimentado mejoras con un
Ciberntica Nacional desarrollado por movimiento significativo en la Dimensin 1.
el Centro Global de Capacitacin de Se observ durante este perodo, que la
Seguridad Ciberntica de la Universidad implementacin del Documento CONPES
de Oxford fue la base para el Informe de 3854 de 2016 le permiti a Colombia
Ciberseguridad: Estamos preparados experimentar un nivel de madurez
en Amrica Latina y el Caribe?. Este significativo en cuanto a la participacin
modelo evala la madurez de la seguridad de los actores interesados, la coordinacin
ciberntica de un pas en 5 dimensiones con polticas nacionales de desarrollo y la
principales: (1) Poltica y Estrategia; (2) incorporacin de Gestin de riesgos como
Cultura y Sociedad; (3) Educacin; (4) parte del marco de aplicacin.
Marcos legales; y (5) Tecnologas. En este Adems, las dimensiones 2 (Cultura y
informe se incluy un perfil de pas para Sociedad) y 3 (Educacin) tambin tuvieron
Colombia, que muestra un alto nivel de una mejora notable en el ltimo ao.
madurez de capacidad de seguridad
ciberntica en el pas segn lo evaluado.
Colombia es el primer pas que ha llevado
a cabo una evaluacin de las mejoras
efectuadas en relacin con la primera
evaluacin del CMM. Como tal, el anlisis a
continuacin proporciona una comparacin
paralela de los avances logrados a partir

105
106
Grfico 47: Comparativo de los resultados
del CMM (2016 y 2017)

y participen activamente tanto en la fase


Dimensiones
de construccin de los elementos que se
En relacin con la Dimensin 1 (Poltica y consignan en este documento, como en la
Estrategia), actualmente se implementa implementacin de la poltica. Para esto, el
en Colombia la nueva Poltica Nacional de Coordinador Nacional de Seguridad Digital
Seguridad Digital (Documento CONPES disear y pondr en marcha durante el
3854 de 2016) que busca involucrar a las segundo semestre de 2017 un mecanismo
mltiples partes interesadas en la gestin dinmico de coordinacin que define (i) los
del riesgo de seguridad digital, de tal forma roles, las responsabilidades y las funciones
que asuman la responsabilidad que les de las mltiples partes interesadas; y (ii)
corresponde de acuerdo a su rol y funcin una matriz de comunicacin y seguimiento

107
entre el Coordinador Nacional de Seguridad simulacin y entrenamiento, nacionales e
Digital, la instancia de mximo nivel del internacionales, que permitan desarrollar
Gobierno (Comisin Nacional Digital y de habilidades y destrezas para las mltiples
Informacin Estatal) y las mltiples partes partes interesadas responsables de las
interesadas, con el fin de abordar los temas infraestructuras crticas cibernticas
de seguridad digital en Colombia. nacionales y de la defensa nacional en
el entorno digital, con el fin de fortalecer
La Poltica Nacional de Seguridad Digital las capacidades de los responsables
incluye un Plan de Accin y Seguimiento de garantizar la defensa nacional en el
-PAS- en el cual se incluyen todas las entorno digital.
acciones que se implementarn con el fin
de lograr tanto el objetivo general como En el marco de la Poltica Nacional de
los objetivos especficos de la Poltica. En Seguridad Digital (Documento CONPES
especfico, este PAS establece procesos 3854 de 2016) se establece un marco
de medicin y mtricas para cada accin institucional claro en torno a la seguridad
como sigue: responsable de la ejecucin, digital en Colombia. Para esto, se crean
tiempo de la ejecucin, importancia relativa las mximas instancias de coordinacin
de la accin, relacin con otras acciones, y orientacin superior en torno a la
indicadores de cumplimiento, costo de seguridad digital en el Gobierno nacional y
la accin, recursos financieros asignados se establecen figuras de enlace sectorial en
para la accin y sus fuentes y seguimiento todas las entidades de la rama ejecutiva a
a la implementacin mediante cortes nivel nacional. En particular, se cre la figura
anuales de avance. Este PAS es revisado de Coordinador Nacional de Seguridad
peridicamente por el Departamento Digital quien dirige la implementacin de la
Nacional de Planeacin -DNP- en conjunto poltica nacional de seguridad digital y hace
con el Coordinador Nacional de Seguridad el seguimiento continuo de la misma, en
Digital con el fin de renovar, si es del conjunto con el Departamento Nacional de
caso, lo dispuesto en la Agenda Nacional Planeacin.
de Seguridad Digital (instrumento para
priorizar los intereses nacionales en torno al Finalmente, el Coordinador Nacional
tema, identificando variables de impacto). de Seguridad Digital llevar a cabo
la coordinacin interinstitucional e
En el marco de estrategias y acciones intersectorial en todos los temas de
establecidas en el PAS vale la pena resaltar seguridad digital en el pas. Adicionalmente,
que el Ministerio de Defensa Nacional en el largo plazo, se espera que se cree
realizar y participar en ejercicios de una Direccin de Seguridad Ciberntica

108
y Defensa Ciberntica, dependiente las entidades pblicas del sector ejecutivo.
del Viceministerio de Defensa para las De igual forma, se adelantan jornadas de
Polticas y Asuntos Internacionales, la sensibilizacin a entes territoriales.
cual se constituira como un elemento
relevante para implementar niveles El Gobierno nacional contina
de escalonamiento para el reporte implementando y fortaleciendo su
de incidentes digitales y garantizar la estrategia de gobierno electrnico
participacin de las mltiples partes (e-government) llamada Gobierno en
interesadas en la gestin de riesgos de lnea, con el fin de construir un Estado
la seguridad digital. En el corto plazo, se ms eficiente, ms transparente y ms
comenzar por implementar el plan de participativo gracias a las Tecnologas
fortalecimiento para el colCERT. Lo anterior de la Informacin y las Comunicaciones
permitir desarrollar las capacidades -TIC-. En el marco de dicha estrategia se
necesarias para implementar un esquema adelantan actividades bajo los siguientes
de gobernabilidad participativa de mltiples ejes temticos: i) TIC para el Gobierno
partes interesadas, y definir los niveles de Abierto: Busca construir un Estado ms
escalamiento para el reporte de incidentes transparente y colaborativo, donde los
digitales. ciudadanos participan activamente en
la toma de decisiones gracias a las TIC,
En relacin de Dimensin 2 (Cultura ii) TIC para servicios: Busca crear los
y Sociedad), actualmente, se disea mejores trmites y servicios en lnea
un modelo de gestin de riesgos de para responder a las necesidades ms
seguridad digital y se generarn los apremiantes de los ciudadanos, iii) TIC para
mecanismos administrativos para que la gestin: Busca darle un uso estratgico
todas las entidades y departamentos a la tecnologa para hacer ms eficaz la
administrativos de la rama ejecutiva lo gestin administrativa, y iv) Seguridad
adopten y lo implementen, de forma y privacidad de la informacin: Busca
permanente. Tambin se adelantan guardar los datos de los ciudadanos como
programas, proyectos y campaas de un tesoro, garantizando la seguridad de la
concientizacin y sensibilizacin, as como informacin.
capacitaciones, jornadas de intercambio
y transferencia respecto de las mejores La privacidad en lnea tambin se est
prcticas en seguridad digital a todas las abordando. A tono con los principios
mltiples partes interesadas. Se resaltan recomendados por la OCDE y las
las acciones que se adelantan frente a las recomendaciones de organismos como
organizaciones pblicas, en particular todas la OEA, la Poltica Nacional de Seguridad

109
Digital de Colombia se rige por cuatro ao 2011, Colombia contaba con doce
principios fundamentes definidos programas acadmicos a nivel nacional,
de acuerdo al contexto nacional. Se desde el nivel tcnico hasta el de maestra,
salvaguardan los derechos humanos y los mientras que a la fecha cuenta con ms de
valores fundamentales de los ciudadanos cincuenta programas y una amplia gama
en Colombia, involucrando activamente a de cursos de educacin informal, que
todas las partes interesadas, y asegurando incluyen certificaciones de reconocimiento
una responsabilidad compartida entre las internacional.
mismas. Estos principios se reflejan en las
dimensiones en las que esta poltica acta, Adicionalmente, una de las funciones que
las cuales determinan las estrategias para se le otorgan al Coordinador Nacional de
alcanzar su objetivo principal. Seguridad Digital es garantizar que los
programas, proyectos y campaas de
El primer principio fundamental se concientizacin y sensibilizacin, as como
estableci as: Salvaguardar los derechos las capacitaciones que adelanten las
humanos y los valores fundamentales de diferentes entidades, se diseen a partir
los ciudadanos en Colombia, incluyendo de los lineamientos y orientaciones que
la libertad de expresin, el libre flujo emita la Comisin Nacional Digital y de
de informacin, la confidencialidad de Informacin Estatal, con el fin de evitar la
la informacin y las comunicaciones, la duplicacin de esfuerzos y garantizar la
proteccin de la intimidad y los datos eficiencia en el manejo de los recursos.
personales y la privacidad, as como los
principios fundamentales consagrados La poltica se dirige al Desarrollo nacional
en la Constitucin Poltica de Colombia. En de la educacin de seguridad ciberntica
caso de limitacin a estos derechos, debe y tambin plantea estrategias como el
ser bajo medidas excepcionales y estar fortalecimiento de las instancias y entidades
conforme con la Constitucin Poltica y los responsables de seguridad ciberntica,
estndares internacionales aplicables. evaluando la creacin de nuevas instancias
Estas medidas deben ser proporcionales, en las que se desarrolle formacin,
necesarias y estar enmarcadas en la investigacin e innovacin, especialmente
legalidad. en relacin con capacidades tcnicas
inherentes a la seguridad digital. Para
En relacin de Dimensin 3 (Educacin), garantizar la pertinencia de la creacin
Colombia ha avanzado significativamente de las nuevas instancias, el Ministerio de
en la generacin de oferta acadmica Defensa Nacional efectuar los estudios
especializada en seguridad digital. En el de viabilidad para la creacin de un Centro

110
de excelencia de seguridad digital, entre Adems, en relacin de Dimensin 4
otros. (Marcos legales), mientras que el nivel
de madurez se mantiene estable, la
De igual manera, se fortalecern las nueva Poltica Nacional de Seguridad
capacidades de los responsables de Digital establece un conjunto de acciones
garantizar la defensa nacional en el orientadas a disponer el marco legal y
entorno digital. El Ministerio de Defensa regulatorio que soporta todos los aspectos
Nacional disear contenidos educativos necesarios para cumplir los objetivos de
especializados y capacitar a las mltiples la poltica. Para este propsito, la poltica
partes interesadas responsables de prev que las diferentes instancias
garantizar la defensa nacional en el sometern a consideracin del Ministerio
entorno digital. El mismo ministerio de Justicia y del Derecho de Colombia
realizar y participar en ejercicios de las propuestas de ajuste y de nueva
simulacin y entrenamiento, nacionales e normativa que se requieran y este
internacionales, que permitan desarrollar verificar la coherencia constitucional y
habilidades y destrezas para las mltiples legal. Igualmente, la Comisin de Regulacin
partes interesadas responsables de las de Comunicaciones (CRC) ajustar en
infraestructuras crticas cibernticas 2017 el marco regulatorio del sector TIC
nacionales y la defensa nacional en el entorno teniendo en cuenta asuntos necesarios
digital. En estas actividades participaran las para la gestin de riesgos de seguridad
mltiples partes interesadas responsables digital, como la proteccin de usuarios de
de las infraestructuras crticas cibernticas comunicaciones o el rgimen de calidad de
nacionales y la defensa nacional en el las redes de telecomunicaciones.
entorno digital.
El marco de delitos establecido en la Ley
Finalmente, teniendo en cuenta los 1273 de 2009 se realiz considerando
antecedentes generados por la aspectos esenciales de la tipificacin de
implementacin de los lineamientos de delitos sealados en el Convenio sobre
seguridad ciberntica y defensa ciberntica la Ciberdelincuencia (Convencin de
en el pas (Documento CONPES 3701 de Budapest),, sin embargo, an est en
2011), actualmente los rganos de decisin proceso el trmite legislativo requerido
de las empresas estatales y privadas en para lograr la adhesin a esta convencin.
Colombia conocen que sus organizaciones Para este propsito, la poltica prev que
pueden estar en riesgo y generalmente las diferentes instancias sometern a
toman decisiones de inversin en medidas consideracin del Ministerio de Justicia y
de seguridad de modo reactivo. del Derecho de Colombia las propuestas

111
de ajuste y de nueva normativa que se reporte peridico de vulnerabilidades ni el
requieran. El pas ha avanzado en su alcance que debera tener la presentacin
incorporacin en redes de informacin de informes. Tambin se realizan charlas
relacionadas con delitos cibernticos y de para sensibilizar a los operadores de
equipos de respuesta y, principalmente Infraestructuras crticas sobre seguridad
a travs del Centro Ciberntico Policial ciberntica. Colombia cuenta con una oferta
-CCP-, colabora activamente en procesos creciente de formacin especializada en
de investigacin en esta materia. seguridad ciberntica (cursos certificados
e incluso existen programas de maestra)
Finalmente, en relacin de Dimensin a la cual han accedido algunos de los
5 (Tecnologas), la Poltica Nacional de operadores de Infraestructura Crtica
Seguridad Digital establece acciones para Ciberntica - ICC.
las capacidades de gestin de riesgos de
la seguridad digital, incluyendo adopcin En relacin al desarrollo de software, la
de buenas prcticas y estndares nueva Poltica Nacional establece acciones
en todas las partes interesadas. La para el fortalecimiento de las capacidades
Resiliencia Nacional es muy importante. de gestin de riesgos de la seguridad
La construccin de la Poltica Nacional de digital en todas las partes interesadas.
Seguridad Digital aprobada el ao pasado En particular, el Gobierno de Colombia
por el Gobierno de Colombia, as como est promoviendo el desarrollo de la
espacios existentes como las Reuniones de industria de Tecnologas de Informacin
Infraestructura Critica, Riesgo Operacional y el emprendimiento digital a travs
y defensa ciberntica, han generado una de diferentes iniciativas. Algunas de
dinmica de interaccin entre el sector ellas incluso promueven diplomados en
pblico y el privado. De hecho, las mesas seguridad para personal de las empresas,
especficamente dispuestas para trabajar as como la financiacin de diplomados
en los temas de infraestructura crtica, en modelos de madurez ampliamente
lideradas por el sector Defensa del pas conocidos como CMMI.
hacen peridicamente (una vez al mes).
En respecto de Seguros de delincuencia
En el marco de las mesas de trabajo, se ciberntica, en Colombia existen
realizan charlas sobre las vulnerabilidades compaas de seguros que ofrecen plizas
a las que estn expuestos activos de de seguro (con amparos adicionales y
informacin de las Infraestructuras crticas. opcionales) destinadas a empresas y
No obstante, no se ha consolidado un personas naturales en rganos de decisin
protocolo o mecanismo que garantice el de las mismas, con el fin de: i) hacer

112
frente a la responsabilidad por el uso y el incluyendo sus realidades econmicas
tratamiento de informacin (derivada de y polticas, al igual que sus objetivos de
la proteccin de datos, la gestin y manejo desarrollo econmico. Sin embargo, el
de datos personales y las consecuencias de anlisis FODA no pretende llevar a cabo
la prdida de informacin corporativa) y ii) un amplio anlisis nacional, sino que se
para hacer frente a la responsabilidad por centra en el impacto que ciertos factores
la seguridad de datos (perjuicios y gastos externos pueden tener en la aplicacin del
de defensa asociados con contaminacin de Documento CONPES 3854, el desarrollo de
datos de terceros por un virus, denegacin nuevas iniciativas de seguridad ciberntica
inadecuada o errnea de los derechos de y la mejora de la madurez de la seguridad
acceso a los datos a un tercero autorizado, ciberntica de Colombia.
hurto de un cdigo de acceso de las
instalaciones de la empresa, un sistema La aplicacin de un anlisis FODA de la
informtico, o de empleados, destruccin, capacidad de la seguridad ciberntica a
modificacin, corrupcin, dao o eliminacin nivel nacional tiene en cuenta los factores
de datos almacenados en cualquier sistema internos, incluyendo los recursos y la
informtico, hurto de hardware de la experiencia disponible y bajo el control del
empresa, que contenga datos personales pas que podran ser clasificados segn
o corporativos o revelacin de datos como sus fortalezas y debilidades. Por otro
consecuencia de una violacin a la seguridad lado, tambin se identifican los factores
de datos). externos (sin importar si estn o no
conectados directa o indirectamente), que
pueden presentarse como oportunidades
y amenazas. Algunas de las cuestiones
Anlisis FODA examinadas fueron:
Un anlisis FODA (fortalezas, oportunidades,
debilidades y amenazas) se aplic a los
datos recolectados hasta la fecha, como
una forma de obtener una comprensin
ms profunda de la capacidad de seguridad
ciberntica en Colombia. Este anlisis FODA
tuvo en cuenta la investigacin documental, la
informacin recopilada durante las consultas
con los actores interesados y los datos
sobre Colombia pblicamente disponibles,

113
1. Fortalezas - Cules son los factores La ventaja del anlisis FODA es que sus
desde una perspectiva interna resultados puedan tenerse en cuenta en
y desde el punto de vista de los la planificacin y ejecucin permanente del
actores externos, que hacen que el CONPES 3854, ya que no solo identifica
pas sea fuerte en esa rea. las amenazas y debilidades que afectan
la eficacia de la estrategia de seguridad
2. Debilidades - Desde una base digital, sino tambin las oportunidades y
interna y externa, qu consideran los fortalezas que puedan ser aprovechadas
actores externos como debilidades para alcanzar el xito.
percibidas que podran evitarse o
mejorarse.
3. Oportunidades - Con base en
las fortalezas y debilidades
identificadas, qu oportunidades
se presentan y pueden estas
oportunidades ayudar a reducir o
eliminar las debilidades.
4. Amenazas - Qu obstculos y
factores externos actuales estn
fuera del control del pas y podran
amenazar su xito? Pueden
las consideraciones econmicas
amenazar la posicin de seguridad
ciberntica del pas?

114
115
116
ANEXO 2

METODOLOGA

117
El instrumento fue desarrollado durante un
perodo de seis meses e involucr varias
etapas. La Etapa Piloto fue uno de los hitos
significativos del Proyecto ya que se les
solicit a las entidades participantes que
Desarrollo del aplicaran el instrumento a sus entidades/
Instrumento instituciones en el contexto de probar la
aplicabilidad de los trminos y definiciones
utilizados, la comprensin de las preguntas
formuladas y la usabilidad y lgica del

P
ara reunir informacin sobre los instrumento en lnea.
diversos incidentes digitales, se
desarrollaron dos (2) tipos de Con respecto al Anlisis Situacional (Anexo
instrumentos para el siguiente 1), se utilizaron como punto de referencia los
anlisis: 1) Anlisis Situacional (estilo de la resultados de la herramienta de aplicacin
entrevista); y 2) Anlisis del impacto (en desarrollada por la OEA, el BID y el Centro
lnea). Global de Capacitacin de Seguridad
Ciberntica de la Universidad de Oxford,
El proceso de desarrollo inici con la resumidos en el informe Ciberseguridad:
investigacin y revisin de diversos estudios Estamos preparados en Amrica
pblicamente disponibles e informes sobre Latina y el Caribe?, para elaborar un
seguridad ciberntica y el anlisis del cuestionario que fue diligenciado por
impacto de la delincuencia ciberntica. las partes interesadas pertinentes del
Aunque se revisaron varios documentos, Gobierno nacional en torno a cinco reas
no se intent resumir las postulaciones principales: 1) Poltica y Estrategia; (2)
de esos estudios. En general, se concluy Cultura y Sociedad; (3) Educacin; (4)
que la mayora de los estudios disponibles Marcos Legales; y (5) Tecnologas. Las
se centraban en la estimacin general respuestas facilitaron el anlisis de las
del impacto econmico de la delincuencia principales fortalezas, oportunidades,
ciberntica y, en menor medida, en los debilidades y amenazas (anlisis FODA)
incidentes cibernticos. Estos estudios se para el pas en trminos de desarrollo de
realizaron tanto a nivel transnacional con sus capacidades en seguridad digital, as
varios pases involucrados como a nivel como una actualizacin de las diversas
nacional, pero con una pequea muestra dimensiones e indicadores.
de las diversas industrias.

118
Anlisis de las respuestas Un total de 1.606 organizaciones
comenzaron el instrumento, pero
Con el anlisis de las respuestas de las solamente un total de 1.098 entrevistados
entidades del sector pblico y privado que (515 Empresas y 583 Entidades del sector
participaron en el instrumento en Colombia, pblico) completaron la seccin del perfil.
este Estudio proporciona a nivel macro En la respuesta a cmo supieron sobre
un resumen de la estimacin de costos el instrumento, el 37% respondi que fue
relacionados con los incidentes cibernticos a travs de una carta oficial del Gobierno
y las posibles prdidas incurridas. Hubo nacional, el 24% indic que fue a travs
varios factores y limitaciones que tuvieron de un sitio web del Gobierno nacional
que ser tomados en cuenta. Muchas y el 23% dijo que era otro sitio web. Se
empresas, por ejemplo, ocultan sus observ que el 16% fue informado como
prdidas mientras que otras no poseen las resultado de la divulgacin que se llev a
habilidades para identificar sus prdidas. cabo con las asociaciones de la industria
Adicionalmente, en la metodologa de y gremios. No se estableci ninguna cuota
recopilacin de datos, a saber, el uso de por industria y tamao de la empresa
un instrumento, algunos de los resultados (ingresos), sino un margen razonable, y se
pueden no ser precisos, ya que se usaron obtuvieron respuestas representativas de
rangos para las estimaciones de valor, los empresas de distintos tamaos y sectores
entrevistados seleccionaron los resultados econmicos.
y algunas de las respuestas se basaron en
una percepcin de s mismo, que algunos
entrevistados pueden distorsionar. Por lo
tanto, el anlisis de este estudio consider
y tuvo en cuenta varios factores al derivar
sus conclusiones:
1) varios sectores econmicos que estn
incluidos; 2) tamao de los sectores; 3)
nmero de entrevistados; 4) variacin
entre los entrevistados que diligenciaron el
instrumento por completo y aquellos que
no lo completaron; y 5) factores de control,
tales como s/no para asegurar que se
medan manzanas con manzanas.

119
120
ANEXO 3

anlisis
estadistico
complementario
121
Cuadro 7: Estimacin de la probabilidad que una
empresa identifique los incidentes digitales (2016)
Modelo de estimacin: logit
Variable dependiente: 1 si la empresa identifica incidentes digitales, 0 si no los identifica.

(*) dy/dx corresponde al cambio discreto de la variable dummy ***Variables significativas al 1%


de 0 a 1. **Variables significativas al 5%
Nmero de observaciones = 428 *Variables significativas al 10%
LR chi
122 Prob > chi2 = 0,0000
Log-Likelihood = -243,5582
Pseudo R2 = 0,1542
Cuadro 8: Resultados de la regresin
Nmero de incidentes (2016)
Modelo de regresin lineal
Variable dependiente: logaritmo del nmero de incidentes

Nmero de observaciones = 428


R2 = 0,1712

***Variable significativa al 1%**Variable significativa al 5% *Variable significativa al 10%


123
Cuadro 9: Resultados de la regresin - Presupuesto asignado
por la empresa para seguridad digital (2016)
Modelo de regresin lineal
Variable dependiente: logaritmo del presupuesto asignado por la empresa para la seguridad digital

Nmero de observaciones = 428


R2 = 0,4251
124
***Variable significativa al 1% **Variable significativa al 5% *Variable significativa al 10%
Cuadro 10: Resultados de la regresin
costo con incidentes digitales (2016)

Modelo de regresin lineal


Variable dependiente: costo con incidentes digitales

*Variable significativa al 1%

125
Cuadro 11: Estimacin de la probabilidad
que una entidad pblica identifique los
incidentes digitales (2016)
Modelo de estimacin: logit
Variable dependiente: 1 si la entidad identifica incidentes digitales, 0 si no los identifica.

(*) dy/dx corresponde al cambio discreto de la variable dummy ***Variables significativas al 1%


de 0 a 1. **Variables significativas al 5%
*Variables significativas al 10%
Nmero de observaciones = 493
LR chi
Prob > chi2 = 0,0000
Log-Likelihood = -298,91209
126 Pseudo R2 = 0,1247
Cuadro 12: Resultados de la regresin -
Presupuesto asignado por la entidad pblica
para seguridad digital (2016)
Modelo de regresin lineal
Variable dependiente: logaritmo del presupuesto asignado por la entidad pblica para la seguridad digital

Nmero de observaciones = 453


R2 = 0,4379
127
***Variable significativa al 1% **Variable significativa al 5% *Variable significativa al 10
128
129
130