En un estudio en el que se pretendía examinar y valorar el nivel de preparación de los países para evitar amenazas de ciberseguridad y gestionar los incidentes, Bolivia se encuentra en el puesto 79, siendo el último país de América Latina en cuanto a preparación en ciberseguridad.
El Observatorio de Delitos Informáticos de Bolivia entiende que es necesario realizar un duro trabajo en Bolivia, para aplicar una estrategia de alto nivel que priorice y unifique los principales proyectos de prevención de ciberamenazas necesarios para el país.
Organismos
La Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB) es la agencia principal de gestión de asuntos de seguridad cibernética y gobierno electrónico en Bolivia.
Los objetivos del ADSIB incluyen gestiones de coordinación para ampliar las Tecnologías de Información y Comunicaciones (TIC) mediante la sensibilización de la sociedad sobre la seguridad cibernética y la asociación en proyectos con el sector privado y la sociedad civil.
El Gobierno de Bolivia no ha desarrollado una estrategia o política de seguridad cibernética oficial. Además, previamente tuvo que coordinar la respuesta a incidentes a través de los CSIRT de otros países, por ejemplo frente a una amenaza a la Infraestructura Crítica Nacional a través del ArCERT de Argentina.
En 2013 Bolivia fortaleció su infraestructura nacional de TI con el desarrollo de un Punto de Intercambio de Tráfico de Internet nacional (IXP), llamado PIT-BOLIVIA. Los operadores de infraestructura crítica también han implementado procedimientos y estándares de seguridad ad hoc pero no existe una colaboración formal entre las partes interesadas en este sentido.
En 2015 se puso en operación el CSIRT oficial de Bolivia, CSIRT-BO.
La División Informática Forense del Instituto de Investigaciones Técnico Científicas de la Universidad Policial (IITCUP) se encarga de los casos nacionales de delincuencia cibernética. El Gobierno ha estado trabajando recientemente para fortalecer la capacidad del IITCUP.
Legislación
El Capítulo XI del Código Penal (establecido en 1997) tipifica como delito la manipulación o la obtención ilegal de información en Internet y en los artículos 253 y 254 del Código de Procedimiento Penal se establecen normas para la obtención de evidencia electrónica.
La Asamblea Legislativa Plurinacional también ha aprobado la Ley 3325 de 2006 contra la trata de personas, la pornografía infantil y otros actos infames que a menudo se relacionan con Internet.
No existe ninguna legislación específica relativa a la delincuencia informática.
Sin embargo, el país ha desarrollado un proyecto de ley sobre documentos electrónicos, firma electrónica y comercio electrónico destinado a mejorar la capacidad de resiliencia de la infraestructura de TI y fortalecer la seguridad cibernética nacional.
El IITCUP menciona la falta de un canal formal para la obtención de la divulgación oportuna de ataques cibernéticos como un problema importante para hacer cumplir la ley.
Hasta la fecha el Gobierno de Bolivia no ha liderado ninguna campaña nacional de sensibilización sobre la materia. En cambio, muchas universidades ofrecen clases sobre seguridad cibernética, aunque en su mayoría son a nivel teórico con trabajo práctico técnico limitado.
Medidas de ciberseguridad
Las empresas en Bolivia se encuentran en un nivel aceptable de ciberseguridad, si bien existen muchos aspectos por mejorar, como:
- concienciación de empleados,
- respuesta a incidentes de ciberseguridad,
- continuidad del negocio y
- recuperación de desastres informáticos.
No existe en Bolivia una cultura de ciberseguridad y queda mucho por hacer en este tema. Las principales medidas que deberían tomarse para proteger la seguridad de la información son las siguientes:
- Programa para sensibilización y capacitación de empleados en temas de ciberseguridad. El empleado es el eslabón más débil de la cadena de seguridad, pero seguimos invirtiendo mucho en tecnología y poco en las personas. Esto se logra mediante campañas agresivas de sensibilización y no con charlas esporádicas.
- Plan de respuesta a incidentes de ciberseguridad, para poder identificar ataques, contenerlos y recuperase a tiempo ante cualquier eventualidad que pudiera afectar las transacciones. Esto no se logra solo con manuales, sino con ejercicios periódicos.
- Fortalecer sus departamentos de ciberseguridad o seguridad de la información con personal y líderes contrastados en la industria, entrenados y certificados internacionalmente en este tipo de temas.
Muchas empresas en Bolivia realizan campañas de sensibilización en ciberseguridad y ejercicios de phishing, pero no con la misma agresividad, permanencia y madurez que se realiza en Europa, esto muchas veces recae en la falta de apoyo por parte de la alta dirección de la compañía.