La falta de regulación en materia de ciberseguridad es un problema no resuelto en México, que se torna cada vez más urgente si consideramos que el panorama de nuestro país en esta materia se ha deteriorado considerablemente en los últimos dos años.
Solo en el primer año de la pandemia, la cantidad de ciberataques que enfrentó nuestro país se triplicó. A su vez, en el primer semestre de 2022 se registraron 85 mil millones de eventos, cifra que representa un incremento del 40% respecto al mismo período de 2021.
También en la primera mitad de 2022, casi el 60% de los ciberataques en América Latina se concentrarán en México. Esto lo convierte en el país más atacado de la región.
No obstante, las empresas mexicanas han aprendido lecciones de los últimos dos años y están más preparadas para enfrentar y prevenir ataques cibernéticos.
En México estamos mejorando
Según la edición mexicana de la encuesta Digital Trust Insights 2023, el 86 % de las empresas dice que ha mejorado sus defensas contra los ataques de ransomware y el 78 % está respondiendo de manera efectiva a los ataques cibernéticos. Adicionalmente, se espera que las empresas mexicanas incrementen sus presupuestos para responder de forma independiente a los ciberataques para el 2023, sin embargo, esto aún no será suficiente, por lo que una ley nacional de ciberseguridad podría ayudar a fortalecer sus esfuerzos.
Una iniciativa de ley de seguridad cibernética en México ha abierto la posibilidad de proporcionar una base legal para la persecución del delito cibernético. A su vez, podría aumentar el cumplimiento de las empresas mexicanas con las buenas prácticas de seguridad digital.
Sin embargo, para desarrollar una ley de ciberseguridad efectiva, se deben considerar varios puntos. En ese sentido, IQSEC compartió cinco conclusiones con Business Insider México para describir una herramienta que no solo detiene la actividad ciberdelincuente, sino que también brinda a las personas y empresas las herramientas necesarias para defenderse de los ataques cibernéticos.
- Incluir proyectos de ciberdefensa y ciberresiliencia
La ley debe incluir la categoría de «defensa cibernética» dentro de su alcance. Se define como el subconjunto de operaciones que, además de identificar, visibilizar, neutralizar y contener las ciberamenazas, buscan una respuesta inmediata y/o automatizada a los ciberataques.
El propósito de esto es asegurar los activos críticos de una organización o un país para proteger a las personas, los datos y las operaciones sustantivas.
A su vez, también debe incluir el encabezado “Resiliencia Cibernética”. Esta debe entenderse como la capacidad de prepararse para superar los ciberataques y mantener la confianza en el entorno, evitando pérdidas financieras y daños a la reputación.
- Confíe en las mejores prácticas de la industria de la ciberseguridad
IQSEC dijo que se debe desarrollar una estrategia nacional de seguridad cibernética basada en las mejores prácticas aceptadas por la industria; esto es desde la perspectiva de identificar, proteger, detectar, responder y recuperar. Adicionalmente, se debe establecer una postura proactiva ante cualquier tipo de ciberataque. - Incluir mecanismos de protección contra el robo de identidad
La ley debe establecer protecciones contra el robo de identidad, sancionar y tipificar el uso de identidades falsas o robadas como delitos graves a través de instrumentos legales. También debe generar salvaguardas a través de:
a) Las instituciones que presten servicios que involucren cualquier parte de recursos financieros (efectivo y valores), mercancías o bienes personales, deberán estar obligadas a realizar la verificación fehaciente y la verificación de la identidad de los sujetos que los realizan. Para ello, tienen que cotejar los datos generales y biométricos de la persona con los datos registrados en el INE u otros organismos oficiales (como los pasaportes emitidos por las SRE). Esto es para proporcionar una seguridad razonable de que la persona es quien dice ser y que los documentos que presenta son auténticos.
b) Desarrollar sanciones fuertes y, lo más importante, facilitar a las víctimas la presentación de las correspondientes denuncias y desarrollar elementos que permitan la persecución efectiva de quienes puedan ser responsables de la comisión de delitos cibernéticos.
- Establecer un marco de ciberseguridad que garantice la protección de datos
Las leyes deben adoptar marcos de ciberseguridad de mejores prácticas para que las organizaciones públicas y privadas puedan demostrar que toman medidas activas para proteger las identidades de terceros y la información confidencial que poseen. De esa manera, si sufren una infracción, pueden ser debidamente responsabilizados por sus acciones y omisiones.
A su vez, se debe establecer la obligación de tomar medidas de protección de los datos confidenciales. De esa manera, si los extrae, estarán encriptados e inutilizables.
- Crear conciencia sobre ciberseguridad en todos los niveles de la sociedad
La ley debe establecer programas de concientización en todos los niveles de la sociedad mexicana. Según IQSEC, lo ideal es incorporar el buen uso de la tecnología desde materias de educación básica o programas de concientización. Esto ayudará a fortalecer la capacidad del usuario para defenderse de las amenazas cibernéticas desde una edad temprana, ayudándolo a comprender e identificar ataques de ingeniería social, phishing, DDOS, etc.
Fuente: businessinsider.mx