Orden y Seguridad

Ciberseguridad

ANTECEDENTES

La transformación digital y la acelerada adopción tecnológica han convertido la ciberseguridad en un asunto estratégico de seguridad nacional para Costa Rica. Las amenazas cibernéticas representan riesgos directos para la seguridad del Estado, la protección de infraestructura crítica, la estabilidad económica y la seguridad ciudadana. Los ciberataques contra instituciones gubernamentales, sistemas financieros, servicios de salud, infraestructura energética y empresas no solo generan pérdidas económicas, sino que comprometen la gobernabilidad, la privacidad de los ciudadanos y la continuidad de servicios esenciales.

Costa Rica enfrenta amenazas cibernéticas reales. Recientemente, a principios de esta administración, fuimos testigos del peor ataque cibernético al sector público costarricense por parte de la organización criminal Conti. La criminalidad organizada transnacional utiliza cada vez más el ciberespacio para sus operaciones, mientras que actores estatales hostiles podrían atacar vulnerabilidades en nuestros sistemas.

El país carece de capacidades institucionales robustas para responder a estas amenazas. La coordinación entre sectores público y privado es débil, el marco legal presenta vacíos importantes, y los sectores críticos carecen de equipos especializados de respuesta a incidentes. La ausencia de inteligencia cibernética coordinada limita la capacidad de anticipar y neutralizar amenazas antes de que se materialicen.

Costa Rica necesita transformar radicalmente su enfoque de ciberseguridad, elevándola al rango de prioridad de seguridad nacional, con institucionalidad robusta, capacidades técnicas avanzadas, marco legal integral y una estrategia coordinada que involucre gobierno, sector privado, academia y ciudadanía. Esta transformación debe estar articulada con los esfuerzos en ciencia y tecnología descritos en la sección correspondiente, particularmente en lo referente a infraestructura digital, formación de talento y desarrollo de capacidades tecnológicas.

OBJETIVO GENERAL

Fortalecer la ciberseguridad como componente esencial de la seguridad nacional, protegiendo la infraestructura crítica del Estado, los activos estratégicos nacionales, los sistemas productivos y la ciudadanía mediante el desarrollo de capacidades institucionales, técnicas y humanas que garanticen la resiliencia cibernética del país y su posicionamiento como referente regional en seguridad digital.

OBJETIVOS ESPECÍFICOS

  1. Establecer un marco institucional integrado de ciberseguridad nacional que defina claramente la gobernanza, responsabilidades, competencias y mecanismos de coordinación entre diferentes sectores para la gestión efectiva de amenazas cibernéticas y la protección de activos críticos.
  2. Fortalecer el Centro Nacional de Coordinación y Respuesta a Incidentes, con capacidades nacionales de respuesta a incidentes cibernéticos y la implementación de CSIRTs y SOCs sectoriales obligatorios en infraestructura crítica.
  3. Fortalecer la colaboración público-privada en ciberseguridad mediante un modelo de alianzas que facilite el intercambio de inteligencia de amenazas, la protección coordinada de activos críticos nacionales y la respuesta conjunta a crisis cibernéticas.
  4. Desarrollar capacidades de ciberseguridad en el sector empresarial con especial énfasis en pequeñas y medianas empresas, mediante programas de asistencia técnica, capacitación y acceso a tecnologías de protección.
  5. Formar capital humano altamente especializado en ciberseguridad mediante programas de excelencia educativa que fortalezcan las capacidades nacionales de protección cibernética y posicionen a Costa Rica como centro regional de formación en seguridad digital.
  6. Integrar la alfabetización digital y ciberseguridad en el sistema educativo nacional para formar una ciudadanía consciente de los riesgos cibernéticos y capaz de protegerse en el entorno digital.

PROYECTOS

MARCO LEGAL DE GOBERNANZA CIBERNÉTICA SECTORIAL:

Creemos necesario desarrollar una legislación integral con una reglamentación robusta en ciberseguridad
para atender sectores críticos como banca, energía, telecomunicaciones, salud y agua. Esta reglamentación definirá estándares mínimos de seguridad, protocolos de respuesta a incidentes y mecanismos de reporte obligatorio al Centro Nacional de Operaciones de Ciberseguridad. El marco incluirá protocolos específicos para el intercambio seguro de información de amenazas entre sectores y con organismos internacionales.

CENTRO NACIONAL DE OPERACIONES DE CIBERSEGURIDAD:

Fortalecer el centro nacional de operaciones de ciberseguridad para que funcione 24 horas al día, 7 días a la semana, para monitorear, detectar y actuar sobre los incidentes críticos contra infraestructura del Estado y activos estratégicos nacionales. El centro coordinará la respuesta a amenazas de alcance nacional, proporcionará inteligencia cibernética a sectores críticos y mantendrá enlaces con centros de operaciones internacionales.

MODELO DE ALIANZAS PÚBLICO-PRIVADAS PARA CIBERSEGURIDAD NACIONAL:

Crear una plataforma nacional de colaboración público-privada que facilite el intercambio seguro de información sobre amenazas, vulnerabilidades y mejores prácticas entre organizaciones gubernamentales y empresas privadas. Esta plataforma incluirá un centro nacional de inteligencia cibernética que recopile, analice y distribuya información de amenazas en tiempo real. Se establecerán acuerdos marco que definan roles y responsabilidades específicas del sector privado en la protección de infraestructura crítica nacional, incluyendo protocolos de escalamiento para incidentes de seguridad nacional. El modelo contemplará la creación de equipos de respuesta conjuntos para crisis cibernéticas que involucren tanto activos públicos como privados. Se implementarán incentivos de reconocimiento para empresas participen activamente en el intercambio de inteligencia y cumplan con estándares elevados ciberseguridad. También se crearán programas de ejercitación conjunta donde sector público y privado practiquen respuestas coordinadas a escenarios de ciberataques simulados.

PROGRAMA NACIONAL DE RESILIENCIA CIBERNÉTICA PARA PYMES:

Se creará un catálogo nacional de soluciones de ciberseguridad certificadas para PYMES, facilitando el acceso a tecnologías de protección básicas como antivirus, firewalls y sistemas de respaldo. El MEIC se encargará de establecer alianzas con universidades para que estudiantes de ciberseguridad realicen prácticas profesionales apoyando a PYMES en la implementación de medidas de seguridad.

PROGRAMA NACIONAL DE CIBERSEGURIDAD Y TRANSFORMACIÓN DIGITAL:

Creemos que Costa Rica tiene el potencial para establecer un programa nacional de educación especializada en ciberseguridad que ofrezca cursos y carreras desde técnicos especializados hasta posgrados en criptografía, análisis forense digital y gestión de riesgos cibernéticos. Este programa deberá desplegarse y coordinarse por el INA, las universidades públicas y privadas y el sector privado. Aprovecharemos la sinergia con las multinacionales del sector radicadas en Costa Rica para el traslado de mejores prácticas y la posibilidad de educación dual y pasantías. El MEP por su parte con el apoyo técnico del MICITT y el INA, desarrollará un programa de alfabetización digital y de ciberseguridad para la enseñanza primaria y secundaria.