Según el Índice Global de Ciberseguridad que elabora la Unión Internacional de las Telecomunicaciones (ITU, por sus siglas en inglés) España se encuentra en el 4º puesto del ranking mundial en compromiso con la ciberseguridad.
¿Cómo se juzga la ciberseguridad de un país?

Según el último informe publicado por la ITU en 2020, España se situaba solo por detrás de Estados Unidos, Reino Unido, Arabia Saudí y Estonia. Una posición ciertamente privilegiada, aunque no exenta de puntos de posibles mejoras.
Pero ¿cómo se evalúa la ciberseguridad de un país?
Son varios los parámetros que utiliza la ITU para elaborar el ranking. Es lo que se conoce como el Índice Global de Ciberseguridad (IGC): el resultado de la combinación de 25 indicadores que determinan el compromiso con la ciberseguridad del país a través de cinco pilares básicos.
Pilares básicos de seguridad
Estos pilares son:

Capacidad Legal. Este apartado mide la existencia de estructuras e instituciones legales que cubran la ciberseguridad y el cibercrimen de un país. Entre los aspectos evaluados se encuentra el estado de la legislación sobre el delito cibernético, la regulación sobre ciberseguridad o la legislación de protección contra el problema del spam.

Capacidad Técnica. En este punto se incluye la existencia de instituciones técnicas e infraestructuras que afrontan los problemas ciberseguridad. Los parámetros evaluados tienen en cuenta el número y organización de CERT/CIRT/CSIRT, el marco de aplicación de las normas de seguridad cibernética para las organizaciones, los estándares de evaluación, los mecanismos y capacidades técnicas desplegadas para hacer frente al spam, el uso de la nube para fines de ciberseguridad o los mecanismos utilizados para la ciber-protección para los menores.

Capacidad Organizacional. Este parámetro evalúa la existencia de una estrategia nacional de ciberseguridad, una agencia responsable de implementar esa estrategia y las métricas de ciberseguridad para su evaluación.
Capacidad de Cooperación. Finalmente, este epígrafe se centra en el desarrollo de acuerdos bilaterales y multilaterales para compartir información y recursos, la participación en asociaciones internacionales, la cooperación público-privada, la cooperación interinstitucionales e intra-institucionales o la publicación y desarrollo de buenas prácticas en materia de ciberseguridad.

Capacidad de Preparación. Este es un apartado clave dentro del análisis, ya que incluye el estudio de la concienciación ciudadana, los estándares de ciberseguridad y certificación de profesionales, los cursos de capacitación profesional en materia de ciberseguridad, los programas de educación nacional y planes de estudio académicos, los programas de investigación y desarrollo en materia de ciberseguridad, los mecanismos de incentivación para el desarrollo de ciberseguridad o la existencia de una industria de la ciberseguridad nacional.
Evolución de España en el ranking de la ITU
La evolución de la posición de España en el ranking establecido por la ITU muestra el claro compromiso de nuestra sociedad, industria y organismos públicos con la ciberseguridad a lo largo de los últimos años.
En apenas un lustro hemos pasado de ocupar la posición número 28 en 2015, a la posición número 19 en 2017. Y de ahí, a situarnos entre los 4 países con mejor índice global de ciberseguridad en 2020.

En pocos años hemos conseguido ponernos al nivel de los países líderes en materia de legislación y organización, y escalar posiciones en los apartados técnicos, de preparación y de cooperación.
España, por ejemplo, destaca gracias a las adecuaciones que está llevando a cabo, siguiendo la normativa europea en ciberseguridad, a través de la implantación de nuevos mecanismos legales. Asimismo, España ha conseguido alcanzar las máximas valoraciones en colaboración y desarrollo de capacidades.
Áreas de mejora
Sin embargo, siempre quedan áreas de mejora. De acuerdo con las valoraciones otorgadas por la ITU las principales áreas de mejora se concentran en aspectos organizacionales. Bien es cierto que muy probablemente esa valoración mejore en los próximos informes.

Hay que tener en cuenta que el último análisis publicado corresponde a datos y encuestas que se realizaron hace más de 2 años cuando iniciativas muy relevantes como como la Red Nacional de SOC, el Foro Nacional de Ciberseguridad o el impulso a las actividades que realiza el INCIBE, por poner solo algunos ejemplos, estaban en su estado más preliminar.
España pues parece estar en la línea correcta, más aún cuando nuestro país actualmente se encuentra impulsando a otras iniciativas relevantes como el anteproyecto de protección del menor en entorno digitales, la inminente transposición de la NIS-2 o la progresiva adopción de otras reglamentaciones europeas como DORA, la Cyber Resilience Act o el reglamento europeo sobre el uso de la Inteligencia Artificial.
Y esto es gracias al extenso ecosistema de actores que participan en el sector.
Por ello solo podemos animar a todos a seguir en este camino, contribuyendo a la mejora de nuestra ciberseguridad.
Nota: Con posterioridad a la publicación de esta entrada en el blog, se ha publicado el último informe 2024 de la ITU del GCI donde España continúa en la 4ª posición mejorando sus indicadores.