Ciberseguridad: algunos rankings hay que tomarlos con pinzas

De mirar los resultados, honestamente el ranking de ciberseguridad de Estonia no me convence mucho

En los últimos años el tema de la ciberseguridad se ha posicionado como un desafío muy relevante delos países, en la medida en que se utilizan más y más servicios online, contar con un marco adecuado de protección, en lo normativo, legal, tecnológico y operacional es un aspecto muy importante del desarrollo digital de cualquier país.

Desde el punto de vista  de los estados, se deben establecer políticas públicas adecuadas, que incluyan un marco normativo adecuado; sectores regulados (banco, servicios básicos, seguros, salud, etc.) deben contar con prácticas razonables de protección.  Por lo que se puede ver en la región nuestro países se encuentran muy rezagados en estas materias.

Una cosa que los países utilizan como forma de medir su estado de desarrollo es utilizar rankings especializados en el tema, si bien existen muchos rankings en este ámbito, probablemente los principales referentes en esto son el índice del e-Governance Academy Foundation de Estonia y el desarrollado por la Unión Internacional de Telecomunicaciones ITU, organismo dependiente de Naciones Unidas.

Al observar ambos rankings respecto de algunos países de la región hay cosas que llaman la atención.  Pero partamos analizando algunos antecedentes generales de ambos rankings y sus métodos asociados, de forma de entenderlos mejor.

National Cyber Security Index (NCSI) – Estonia

Como les mencionaba este índice está desarrollado por e-Governance Academy Foundation de Estonia, intenta medir el nivel de preparación de los países para reducir ataques y amenazas, adicionalmente se establece como un espacio de intercambio de información de los países, ya que parte de los antecedentes entregados quedan como información complementaria de los países.  El NCSI se focaliza en las medidas desarrolladas por el gobierno central en materias de ciberseguridad.  Está estructurado en forma jerárquica, compuesto por 3 categorías, 12 capacidades y finalmente 46 variables, las cuales son informadas por contrapartes en cada país.  El indicador finalmente  corresponde a un número que va entre 0 y 100.  El universo de países analizados es de 119. Los países líderes para la última versión el NCSI son  (los números entre paréntesis corresponden a su ubicación en la ranking ITU):

1. Lituania (57)
2. España (54)
3. Estonia (5)
4. Francia (8)
5. Alemania (24)

Índice Global de Ciberseguridad (GCI) – Unión Internacional de Telecomunicaciones (ITU)

En el caso de la ITU y como este es un organismo de Naciones Unidas, tiene una vinculación directa y formal con los países miembros de dicha organización; la ITU  generalmente mantiene como sus contrapartes a los órganos reguladores de telecomunicaciones de cada país.  El índice, denominado Indice Global de Ciberseguridad (GCI por sus siglas en inglés) cuenta con dos versiones, la primera de 2014 y la actual que corresponde al año 2017, cabe señalar que se sustenta en datos de 2015 (el indicador del periodo 2018-2019 aún no está disponible).  El indicador contempla cinco dimensiones, esto es, legal, técnico, organizacional, construcción de capacidades y cooperación. Cuenta con un total de 25 indicadores, los cuales se levantan a partir de un cuestionario de 157 preguntas (binarias).  Las respuestas, además deben venir acompañadas de la evidencia que sustenta la misma.  Para aquellos países que no responden, la ITU contesta las preguntas a partir de información secundaria que levantan sus expertos.  El indicador corresponde a un número que fluctúa entre 0 y 1.  El universo de países analizados es de 165 países.  Los líderes en el indicador GCI en su última versión son (los números entre paréntesis corresponden a la ubicación de esos países en el ranking NCSI):

1. Singapur (7)
2. Estados Unidos de Norteamérica (23)
3. Malasia (11)
4. Oman (75)
5. Estonia (3)

Ya hay un primer hallazgo que llama la atención el único país que se repite en los top 5 del ranking es Estonia, recordemos que este país tuvo un evento de ataque masivo, que lo transformó probablemente en el primer país en sufrir un ataque de esa magnitud.  Al mirar los top10, los países que se repiten en ambas mediciones, son sólo 3.  Ya esto nos dice al menos que el método utilizado difiere de forma significativa.  En la tabla siguiente se muestran las posiciones de algunos países de la región en ambos rankings.

Pero hay algunas otras cosas que llaman la atención en particular respecto del ranking NCSI:

• Chile se encuentra ubicado en ranking número 35 (el mejor latinoamericano) en el indicador de Estonia y en el lugar 81 para efectos de la ITU, cerca de 50 posiciones de diferencia, hace unos días autoridades de la materia en Chile destacaban lo bien posicionado de Chile en el NCSI, lo cual ya de por si me generó mis dudas, un país que no cuenta con una norma legal de cibercrimen actualizada (la actual es de 1993!), ni de protección de datos personales acorde con los tiempos, no amerita estar en un lugar tan destacado como lo hace en el NCSI.
• Uruguay no aparece en el ranking de Estonia, lo cual es sorprendente si pensamos que por varios años dicho país tiene el liderazgo del ranking de naciones unidas de Gobierno Electrónico.
• España se ubica en el segundo lugar en el NCSIy en el lugar 54 en la ITU.  
• Algunos países se encuentran muy bajo en el ranking de NCSI, y que en el caso de la ITU, están en posiciones de avanzada, como es Australia y Nueva Zelandia.

Al comparar ambos indicadores, salta a la vista sus diferencias, y probablemente la mayor de ellas está en el aspecto metodológico, de su sola lectura aparece como un indicador más sólido el de ITU; pero en todo caso habría que contar con mejor información para emitir un juicio más definitivo, ahora si me preguntan me quedo con el de la ITU.