Lectura 8:00 min
¿Cuántas estrategias de ciberseguridad necesitamos?
El cúmulo de iniciativas en materia de ciberseguridad por parte del gobierno y la Iniciativa Privada puede apabullar a cualquier ciudadano de a pie, a pesar de que la sociedad civil es la que más necesita de la protección tanto de la información como de los recursos que se ven expuestos todos los días a ciberataques y fraudes de tipo electrónico.
Después de varios foros de discusión y de toda una serie de mesas de trabajo con la participación de actores gubernamentales y de la Iniciativa Privada, a principios de agosto del 2017, la oficina de la Presidencia presentó el primer documento de trabajo para la creación de una política pública en México en materia de ciberseguridad.
El proyecto de esta Estrategia Nacional de Ciberseguridad (ENCS) incorpora como objetivos estratégicos a la economía, la sociedad, el gobierno y la seguridad nacional para que, en el 2030, México sea un país mejor preparado y resiliente ante ciberataques, dice el documento.
Meses atrás, en marzo de este año, la Secretaría de Hacienda y Crédito Público, en colaboración con la Comisión Bancaria y de Valores (CNBV) y el Banco de México enviaron a la banca el primer borrador de la ley para regular a las financieras tecnológicas o ley fintech, que busca establecer las reglas para las startups financieras que trabajen en un entorno digital a través del crowdfunding, los sistemas de crédito y los medios de pago electrónicos, como pueden ser las criptomonedas.
La ley fintech obliga a estos nuevos modelos de negocio a asegurar los bienes que reciben de sus clientes y a garantizar que el dinero de sus usuarios esté siempre a su disposición. Esta iniciativa ingresó hace unas semanas al Senado mexicano y está en espera de ser analizada y votada por los legisladores.
El lunes 23 de octubre pasado, el secretario de Hacienda, José Antonio Meade, presentó junto con integrantes del sistema bancario y financiero cinco principios para el fortalecimiento de la ciberseguridad para la estabilidad del sistema financiero mexicano, que “delinean el compromiso entre autoridades y representantes de diversos sectores para trabajar de manera coordinada en fortalecer la ciberseguridad del sistema financiero mexicano”, indica el comunicado de la CNBV.
Los cinco principios presentados por las autoridades financieras y hacendarias incluyen el adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar los riesgos de ciberseguridad; establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades sobre ataques ocurridos en tiempo real y su modo de operación; impulsar iniciativas para actualizar los marcos regulatorios y legales que den soporte y hagan converger las acciones y esfuerzos de las partes.
Los principios también consideran colaborar en proyectos para fortalecer los controles en seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país y fomentar la educación y cultura de la ciberseguridad entre los usuarios finales y el personal de las propias instituciones.
Durante la presentación del estudio Evaluación de la ciberseguridad en México: brechas y recomendaciones en un mundo hiperconectado, elaborado por la Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información y la consultoría Select, Víctor Lagunes, jefe de la Unidad de Innovación y Estrategia Tecnológica de la Presidencia de la República, indicó que el gobierno federal presentaría el documento final de la ENCS en octubre, cosa que hasta el momento no ha sucedido.
Estrategia Nacional de Ciberseguridad debe ser un paraguas
Este cúmulo de iniciativas puede apabullar a cualquier ciudadano de a pie, a pesar de que la ciudadanía es la que más necesita de la protección tanto de la información como de los recursos que se ven expuestos todos los días a ciberataques y fraudes de tipo electrónico. No obstante, para diversos actores del ámbito público y privado del país, todas estas iniciativas y propuestas son un primer paso adecuado para garantizar la ciberseguridad en infraestructuras vitales y para dar certeza jurídica a la sociedad civil en materia de seguridad cibernética.
“La ciberseguridad es un tema transversal. Abarca desde seguridad nacional por infraestructuras críticas, hasta el sistema de salud, por el tema de los datos personales. Yo sí veo correcto que cada ramo del gobierno vea cuáles son sus necesidades en ciberseguridad en este momento”, dijo Sofía González Torres, presidenta de la Comisión de Tecnologías de la Información de la Cámara de Diputados y miembro del grupo parlamentario del Partido Verde Ecologista de México en entrevista con El Economista.
“Es muy positivo que diferentes entes estén actuando en función de sus propias necesidades e intereses, porque la estrategia nacional de ciberseguridad es un paraguas”, dijo Ricardo Zermeño, quien agregó que una recomendación que asentaron en el documento conjunto con la Canieti es que la ENCS debía adecuarse no solamente al tamaño de las organizaciones sino también a las necesidades de cada sector.
Para la diputada González Torres, el que haya tres iniciativas sobre ciberseguridad en la agenda posiciona a este tema en un lugar muy importante, lo que hace que los ciudadanos también entiendan un poco más cómo ejercer la ciberseguridad en lo individual, al mismo tiempo que les brinda más certidumbre jurídica para que tengan herramientas para salvaguardar su propia seguridad cibernética.
Los sectores financiero y bancario son los que ha tomado la delantera respecto de las regulaciones en ciberseguridad y mitigación del fraude electrónico. De acuerdo con Ricardo Zermeño, esto se debe sobre todo a que ambos sectores han estado regulados por las autoridades desde hace mucho tiempo, pues manejan cuantiosas cantidades de información y recursos de los ciudadanos.
“Lógicamente, el financiero es un sector que va a la cabeza en materia de ciberseguridad en principio porque la CNBV tiene regulaciones de seguridad desde hace muchos años. También el sector comercial tiene las suyas en cuestión de pagos y transferencias de fondos. Estos sectores, junto con el bancario, son una punta de lanza de la que se puede aprender”, dijo Ricardo Zermeño en entrevista con El Economista.
La falta de exigencias de regulación en el caso de otros sectores, como la manufactura, el retail, la generación y transporte de energía, la salud y otras divisiones tanto del mercado como del gobierno puede ser un obstáculo para que todos contribuyan al establecimiento de una estrategia de ciberseguridad que privilegie la integridad de la sociedad civil y la seguridad de instalaciones críticas, algo que podría resolverse mediante la puesta en marcha de una Agencia Nacional de Ciberseguridad.
Necesario voltear a ver lo que están haciendo otros países
“La ciberseguridad es un tema de red. Estamos tan seguros en esta materia como el nodo más débil de la red”, dijo Ricardo Zermeño. El director de Select propuso que una Agencia Nacional de Ciberseguridad con carácter autónomo y con mandato sea un ente coordinador que proponga los cambios jurídicos, tanto a nivel de la propia estrategia, como de los temas de procedimiento jurídico y operación de las diferentes entidades de gobierno.
En este sentido, para Zermeño, México debe voltear a ver a otros países en materia de regulación en ciberseguridad. “Si bien la Agencia Nacional de Ciberseguridad no debe regular a todos los sectores, sí debemos asegurarnos de que cuente con un mandato y recursos. En este sentido, el Ejecutivo debe tener un decreto, imitando a algunos países como Estados Unidos, que obligue a todos los operadores vitales y públicos a coordinarse y reportar incidentes, así como mecanismos de gobernanza, porque estamos hablando de la seguridad del Estado”, dijo Zermeño.
México ha llegado rezagado en comparación con países europeos, asiáticos y de Norteamérica en la implementación de políticas públicas y acuerdos con el sector privado que protejan a la ciudadanía y al Estado en su conjunto de ataques cibernéticos y otros delitos que surgen con el desarrollo y la innovación tecnológica.
Para Javier Díaz, director en México de la empresa española de aseguramiento del negocio digital MTP, esto puede representar una ventaja para el país porque quienes orienten las regulaciones necesarias en materia de ciberseguridad pueden voltear a ver los éxitos y los fracasos cometidos en otras naciones.
“En España, por ejemplo, hace varios años, determinado tipo tipo de iniciativas que se alineaban de manera casi precipitada con diversos marcos regulatorios internacionales llegó a ser un freno en algunos casos. Yo creo que México, al haber llegado quizá en algunas cosas un poco más rezagado, pudo saltarse un camino que otros ya habían recorrido y por eso muchas de las subvenciones y fomento a iniciativas tecnológicas ni siquiera se consumen”, dijo Javier Díaz de MTP.
En palabras de Díaz, desde el punto de vista regulatorio, México es un país bastante prolífico. Para el director de MTP en México, en ocasiones, un marco regulatorio demasiado restrictivo puede imponer un freno innecesario a la innovación y el desarrollo. “Si esta regulación viene acompañada del fomento de iniciativas en materia tecnológica y de ciberseguridad, a mí no me parece que ese freno pueda materializarse”, dijo Javier Díaz.