New perspectives on measuring cybersecurity / Lange, Simon ; Lesher, Molly ; Benoit, Nicolas
.-- París : OECD Publishing 06/2024
.-- 59 p. ; 1 documento PDF
.-- (OECD DIGITAL ECONOMY PAPERSJune 2024 No. 366).
Este informe proporciona una descripción general de cómo se mide la ciberseguridad a través de una variedad de fuentes de datos y utilizando diferentes enfoques metodológicos. Comenzando con una lista de verificación de consideraciones de medición, el documento analiza posteriormente los datos existentes de fuentes oficiales y no oficiales, identificando cuándo cada fuente de datos es más útil. Asimismo, proporciona dos pruebas de conceptos para medir la incertidumbre relacionada con los riesgos cibernéticos, o "incertidumbre en materia de ciberseguridad".
Existen dos tipos, mutuamente excluyentes, de fuentes de datos de ciberseguridad: oficiales y no oficiales. Las primeras se refieren a datos recopilados por entidades gubernamentales para fines oficiales y las segundas se refieren a todas las demás fuentes. Dentro de las oficiales, se puede hacer una distinción útil entre fuentes estadísticas –datos que se recopilan con el propósito explícito de generar informes estadísticos, generalmente a través de encuestas y censos– y fuentes administrativas –se recopilan principalmente para otros fines administrativos–. En el caso de la ciberseguridad, las fuentes de datos administrativos incluyen agencias encargadas de hacer cumplir la ley, equipos nacionales de respuesta a emergencias informáticas y reguladores, entre otros. Los datos no oficiales pueden provenir de una amplia gama de actores diferentes, incluidas organizaciones internacionales, instituciones académicas, agencias de noticias, empresas privadas, etc.
Entre los puntos que destaca el texto, se encuentra la necesidad de estandarización en los diversos marcos de medición de la ciberseguridad, incluso en relación con las encuestas administradas por las oficinas nacionales de estadística, las evaluaciones de los CSIRT/CERT (Equipo de respuesta a incidentes de seguridad informática/Equipo de respuesta a emergencias informáticas, por sus siglas en inglés) y los datos administrativos de alta prioridad, para comparar con confianza entre países. Asimismo, las encuestas por muestreo son una fuente importante de datos sobre ciberseguridad, pero los indicadores que de ellas se derivan sobre incidentes cibernéticos deben interpretarse con cuidado dado que no son totalmente representativos. Por el contrario, es probable que los datos sobre los resultados de dichas encuestas sean precisos y se debe fomentar su uso, sobre todo para permitir investigaciones que analicen aún más los vínculos entre los indicadores de ciberseguridad. Por último, se apuesta por la elaboración de un índice de incertidumbre en el ciberespacio, el cual capturaría las percepciones de incertidumbre relacionadas con los riesgos cibernéticos, que luego podrían usarse para predecir resultados relevantes en el futuro (por ejemplo, inversiones en ciberseguridad).
Ciberseguridad y confianza Datos abiertos
Unión Europea Estados Unidos de América
ciberriesgos riesgos cibernéticos seguridad digital transparencia fuentes de datos datos casos de uso