El Índice Global de Ciberseguridad (GCI, por sus siglas en inglés) funciona como una brújula: no mide “incidentes”, sino el grado de preparación institucional de los Estados para prevenir, gestionar y coordinar respuestas frente a riesgos digitales. Su arquitectura se apoya en cinco pilares que la UIT considera los “bloques de construcción” de una cultura nacional de ciberseguridad. 
Un origen con lógica internacional
Los cinco pilares no nacieron como un esquema académico aislado. La UIT los vincula a su Global Cybersecurity Agenda (GCA), un marco de cooperación internacional lanzado en 2007, concebido para ordenar políticas públicas en un terreno donde la tecnología avanza más rápido que la regulación y donde los ataques atraviesan fronteras. 
Con el tiempo, esa matriz se tradujo en un instrumento de medición. La edición 2018 del GCI explica que el índice es un indicador compuesto que compara el compromiso de los Estados respecto de esos cinco pilares.  En la versión más reciente del cuestionario metodológico (GCI v5), la UIT mantiene el mismo enfoque, con definiciones operativas y un conjunto de indicadores por pilar. 
Pilar 1: Medidas legales
El primer pilar se enfoca en leyes, regulaciones y políticas que definan derechos, responsabilidades y protecciones en ciberseguridad y ciberdelito. En el cuestionario del GCI v5, la UIT explicita que el marco legal se observa, entre otros elementos, a través de leyes de ciberdelito y regulación de ciberseguridad, que puede incluir protección de datos, notificación de brechas, requisitos de certificación/estandarización, auditorías, firmas digitales y transacciones electrónicas, entre otros. 
En la práctica, este pilar se traduce en tres decisiones concretas: tipificar conductas y procedimientos de investigación, definir obligaciones mínimas para operadores críticos (por ejemplo, telecomunicaciones, energía, finanzas) y establecer un régimen de responsabilidad y reporte. Sin un piso normativo, la respuesta estatal queda librada a mecanismos ad hoc y a capacidades dispersas.
Pilar 2: Medidas técnicas
La UIT define este pilar como el conjunto de capacidades e instituciones técnicas para detectar y responder a incidentes, y para establecer criterios mínimos de seguridad y esquemas de acreditación. 
El correlato operativo suele incluir: un CSIRT/CERT nacional (equipo de respuesta a incidentes), marcos de estándares y guías técnicas para sectores críticos, y mecanismos de alerta temprana y coordinación técnica con operadores. La lógica es simple: la ley habilita, pero la infraestructura y los protocolos permiten reaccionar con tiempos compatibles con un incidente real.
Pilar 3: Medidas organizacionales
Este pilar mira la gobernanza: estrategia nacional, coordinación, roles y evaluación. La UIT subraya que la ciberseguridad requiere un objetivo estratégico amplio y un plan de implementación, con agencias nacionales capaces de ejecutar la estrategia y medir resultados. 
En la práctica, se ve en la existencia de una estrategia nacional de ciberseguridad, una autoridad rectora (o un esquema claro de coordinación interministerial), métricas y mecanismos de supervisión. Cuando este pilar falla, aparecen duplicaciones (varias oficinas “haciendo lo mismo”), vacíos (nadie define prioridades) y fricciones (quién manda ante un incidente que cruza defensa, interior, justicia y reguladores sectoriales).
Pilar 4: Desarrollo de capacidades
La UIT considera que el desarrollo de capacidades es “intrínseco” a los otros tres pilares: sin formación y recursos humanos, las leyes no se implementan, las capacidades técnicas no escalan y la coordinación se vuelve formalista. 
En aplicación práctica, este pilar incluye campañas de concientización, formación profesional, currículas, certificaciones y estímulos para ampliar el ecosistema. En el GCI v5 se mencionan, por ejemplo, campañas públicas, y también componentes como la promoción de una industria nacional y mecanismos de incentivos para desarrollar capacidades. 
La traducción presupuestaria es directa: inversión en talento (sector público y privado), programas de entrenamiento continuo, y articulación con universidades y centros de investigación. También implica reducir asimetrías: no solo expertos, sino capacidades básicas en ciudadanía y PyMEs.
Pilar 5: Cooperación
El quinto pilar parte de un dato estructural: la ciberseguridad es multisectorial y transfronteriza. La UIT describe la cooperación como diálogo y coordinación que habilita iniciativas conjuntas, intercambio de información, capacitaciones y redes entre actores públicos y privados. 
En términos prácticos, cooperación significa: acuerdos bilaterales y multilaterales para asistencia en investigaciones, participación en foros internacionales, esquemas de intercambio de indicadores de compromiso (IoC) y alertas, y coordinación público-privada con operadores de infraestructura crítica. El punto no es solo “firmar”, sino sostener rutinas de intercambio y confianza, condición necesaria para compartir información sensible.
Un marco de lectura para políticas públicas
En su formulación, la UIT plantea que el GCI busca ayudar a los países a identificar brechas y aprender de buenas prácticas, con una mirada comparable entre regiones.  El valor de los cinco pilares es que ordenan la discusión: permiten distinguir si el problema es normativo, técnico, de coordinación, de talento o de vínculos internacionales. En un terreno donde la respuesta suele quedar capturada por la urgencia del incidente, el esquema ofrece un mapa para construir capacidad antes del próximo ataque.
