Etiqueta: ley de ciberseguridad

Publicado el

5 Puntos Clave para una Ley de Ciberseguridad Efectiva en México

La falta de regulación en materia de ciberseguridad es un problema no resuelto en México, que se torna cada vez más urgente si consideramos que el panorama de nuestro país en esta materia se ha deteriorado considerablemente en los últimos dos años.

Solo en el primer año de la pandemia, la cantidad de ciberataques que enfrentó nuestro país se triplicó. A su vez, en el primer semestre de 2022 se registraron 85 mil millones de eventos, cifra que representa un incremento del 40% respecto al mismo período de 2021.

También en la primera mitad de 2022, casi el 60% de los ciberataques en América Latina se concentrarán en México. Esto lo convierte en el país más atacado de la región.

No obstante, las empresas mexicanas han aprendido lecciones de los últimos dos años y están más preparadas para enfrentar y prevenir ataques cibernéticos.

En México estamos mejorando
Según la edición mexicana de la encuesta Digital Trust Insights 2023, el 86 % de las empresas dice que ha mejorado sus defensas contra los ataques de ransomware y el 78 % está respondiendo de manera efectiva a los ataques cibernéticos. Adicionalmente, se espera que las empresas mexicanas incrementen sus presupuestos para responder de forma independiente a los ciberataques para el 2023, sin embargo, esto aún no será suficiente, por lo que una ley nacional de ciberseguridad podría ayudar a fortalecer sus esfuerzos.

Una iniciativa de ley de seguridad cibernética en México ha abierto la posibilidad de proporcionar una base legal para la persecución del delito cibernético. A su vez, podría aumentar el cumplimiento de las empresas mexicanas con las buenas prácticas de seguridad digital.

Sin embargo, para desarrollar una ley de ciberseguridad efectiva, se deben considerar varios puntos. En ese sentido, IQSEC compartió cinco conclusiones con Business Insider México para describir una herramienta que no solo detiene la actividad ciberdelincuente, sino que también brinda a las personas y empresas las herramientas necesarias para defenderse de los ataques cibernéticos.

  1. Incluir proyectos de ciberdefensa y ciberresiliencia
    La ley debe incluir la categoría de «defensa cibernética» dentro de su alcance. Se define como el subconjunto de operaciones que, además de identificar, visibilizar, neutralizar y contener las ciberamenazas, buscan una respuesta inmediata y/o automatizada a los ciberataques.

El propósito de esto es asegurar los activos críticos de una organización o un país para proteger a las personas, los datos y las operaciones sustantivas.

A su vez, también debe incluir el encabezado “Resiliencia Cibernética”. Esta debe entenderse como la capacidad de prepararse para superar los ciberataques y mantener la confianza en el entorno, evitando pérdidas financieras y daños a la reputación.

  1. Confíe en las mejores prácticas de la industria de la ciberseguridad
    IQSEC dijo que se debe desarrollar una estrategia nacional de seguridad cibernética basada en las mejores prácticas aceptadas por la industria; esto es desde la perspectiva de identificar, proteger, detectar, responder y recuperar. Adicionalmente, se debe establecer una postura proactiva ante cualquier tipo de ciberataque.
  2. Incluir mecanismos de protección contra el robo de identidad
    La ley debe establecer protecciones contra el robo de identidad, sancionar y tipificar el uso de identidades falsas o robadas como delitos graves a través de instrumentos legales. También debe generar salvaguardas a través de:

a) Las instituciones que presten servicios que involucren cualquier parte de recursos financieros (efectivo y valores), mercancías o bienes personales, deberán estar obligadas a realizar la verificación fehaciente y la verificación de la identidad de los sujetos que los realizan. Para ello, tienen que cotejar los datos generales y biométricos de la persona con los datos registrados en el INE u otros organismos oficiales (como los pasaportes emitidos por las SRE). Esto es para proporcionar una seguridad razonable de que la persona es quien dice ser y que los documentos que presenta son auténticos.

b) Desarrollar sanciones fuertes y, lo más importante, facilitar a las víctimas la presentación de las correspondientes denuncias y desarrollar elementos que permitan la persecución efectiva de quienes puedan ser responsables de la comisión de delitos cibernéticos.

  1. Establecer un marco de ciberseguridad que garantice la protección de datos
    Las leyes deben adoptar marcos de ciberseguridad de mejores prácticas para que las organizaciones públicas y privadas puedan demostrar que toman medidas activas para proteger las identidades de terceros y la información confidencial que poseen. De esa manera, si sufren una infracción, pueden ser debidamente responsabilizados por sus acciones y omisiones.

A su vez, se debe establecer la obligación de tomar medidas de protección de los datos confidenciales. De esa manera, si los extrae, estarán encriptados e inutilizables.

  1. Crear conciencia sobre ciberseguridad en todos los niveles de la sociedad
    La ley debe establecer programas de concientización en todos los niveles de la sociedad mexicana. Según IQSEC, lo ideal es incorporar el buen uso de la tecnología desde materias de educación básica o programas de concientización. Esto ayudará a fortalecer la capacidad del usuario para defenderse de las amenazas cibernéticas desde una edad temprana, ayudándolo a comprender e identificar ataques de ingeniería social, phishing, DDOS, etc.

Fuente: businessinsider.mx

Publicado el

Expertos comparan iniciativas de ley de ciberseguridad de México

Las tres iniciativas de ciberseguridad presentan vacíos en la definición y tipificación de delitos, según categorías establecidas por el Comité de Expertos en Regulación y Ciberseguridad (CERC).

De las 13 iniciativas de ciberseguridad que se han presentado a los legisladores mexicanos, nueve son propuestas de cambios a la ley, cuatro son propuestas de leyes de ciberseguridad, tres de las cuales son propuestas por la firma de ciberseguridad Metabase Q y varias agencias del sector público y privado. el Comité de Asuntos Regulatorios del Comité de Expertos en Regulatorio y Ciberseguridad (CERC).

La iniciativa de la senadora Lucía Trasviña, senadora de Morena, el senador Miguel Ángel Mancera, del PRD, y Javier Salinas Narváez, diputado de Morena, son los tres proyectos de ley analizados por miembros de la CERC en el primer año de funcionamiento de la comisión. El análisis compara las definiciones de términos como ciberdelito y ciberamenaza incluidos en el proyecto de ley; y la infraestructura institucional que consideran para México en materia de ciberseguridad y los delitos que representan.

vacío

Con base en las categorías identificadas por el consejo, estas tres iniciativas muestran brechas. Según el estudio, mientras que la iniciativa del Senador Trasviña carecía de una definición de ciberdelito, la iniciativa del Diputado Salinas Narváez no tenía una definición de riesgo, y el Senador Mancera tampoco incluyó una definición de ciberdelito en su propuesta.

Las medidas también plantearon diferencias en la infraestructura institucional que debe tener el Estado mexicano para mantener seguros a los ciudadanos en el ciberespacio. El senador Trasviña propone la creación de la Agencia Nacional de Seguridad Informática, organismo dependiente de la Secretaría de Seguridad Pública, el diputado Salinas propone la creación de una plataforma nacional de ciberseguridad administrada por el Cert MX, y para el senador Mancella, la cibernética La mejor agencia en materia de seguridad será el Centro Nacional de Ciberseguridad, que pertenecerá a la Secretaría Ejecutiva del Sistema Nacional de Ciberseguridad Seguridad Pública.

En cuanto a los delitos, la iniciativa más viciada es la del Viceministro Salinas Narváez, ya que no tipifica delitos como alterar la funcionalidad del sistema, causar vulnerabilidades en los sistemas informáticos, usurpación de identidad, etc. Al mismo tiempo, la iniciativa de los senadores Trasvinia y Mansela carece de una definición de lo que está mal en el tema de las obligaciones públicas y privadas.

En 2021, México experimentó 156 mil millones de intentos de ciberataques, con un promedio diario total de ciberataques de 427 millones. Con esa cifra, México ocupa el primer lugar entre los países de América Latina en la mira de los ciberataques, seguido de Brasil, Perú y Colombia, según la firma de ciberseguridad Fortinet.

Recomendaciones

La aplicación de las mejores prácticas internacionales y la coordinación entre los diferentes sectores de la sociedad son las principales recomendaciones que los expertos del CERC en materia de ciberseguridad hacen al Poder Legislativo mexicano. Liliana Jiménez, directora de enlace institucional de Metabase Q, dijo que las recomendaciones fueron enviadas a los legisladores a través del formulario de ciberseguridad del Consejo Coordinador de Comercio (CCE), que también vinculó a la Secretaría de Educación Pública y la Cancillería Federal.

El comité también recomendó dar seguimiento a la Estrategia Nacional de Ciberseguridad, desarrollada por el gobierno de Enrique Peña Nieto en 2017, que nunca se implementó. En 2020, diversas organizaciones de la sociedad civil advirtieron que las propuestas de los senadores Trasvinia y Mansela podrían representar un riesgo de violaciones de derechos humanos.

El miembro del CERC Manuel Molano, asesor de México Unidos contra la Delincuencia, dijo que este análisis volverá a examinar si es necesaria una legislación específica en materia de ciberseguridad o si solo es necesario participar de la regulación vigente. “Muchas de estas prácticas ya están reguladas y lo que necesitamos es un esfuerzo de cumplimiento”, dijo.

El Comité de Expertos en Regulación y Ciberseguridad está compuesto por 17 expertos de diversas disciplinas del sector público y privado, organizaciones de la sociedad civil y la academia, organizados en cuatro comités: Asuntos Regulatorios, Educación, Sensibilización y Documentación. El comité también incluye: Alma Rangel, Directora Ejecutiva, Codeando México; Carlos González, Director General y Jefe Regional, Pagos Globales y Gestión de Efectivo, HSBC; Silvia Dávalos, directora general de Políticas Públicas y Comisiones en el Consejo Coordinador Empresarial (CCE) y Ricardo Cavazos, director general y socio fundador de MBCA Consultores.

Fuente: eleconomista.com.mx

Funciona gracias a WordPress
Translate »