Recomendaciones para el Desarrollo de la …...4 Recomendaciones para el Desarrollo de la Estrategia...

Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad

Misión de Acompañamiento TécnicoAbril 18-21, 2017

DERECHO DE AUTOR© (2017) Secretaría General de la Organización de los Estados Americanos. Ninguna porción del contenido de este material se puede reproducir o transmitir en ninguna forma, ni por cualquier medio electrónico o mecánico, incluyendo fotocopiado, grabado, y cualquier forma de almacenamiento o extracción de información, sin el consentimiento previo o autorización por escrito de la Organización.

Los contenidos expresados en el presente documento se presentan exclusivamente para fines informativos y no representan opinión o posición oficial alguna de la Organización de los Estados Americanos, de su Secretaría General o de sus Estados miembros.

Tabla de Contenido

Resumen Ejecutivo

Alcance y Perfil del país

Resumen Conceptos básicos - Un enfoque basado en principios

Observaciones y recomendaciones

Recomendaciones de alto nivel

Recomendaciones temáticas

1. Investigación y desarrollo2. Cultura, educación y prevención3. Cooperación y coordinación4. Normas, criterios técnicos y reglamentación5. Marco legal (también considerar como un título alternativo: Ley y política)6. Otro

Conclusiones

4/

6/

9/

12/

12/

13/

13/17/19/21/24/

28/

29/

Resumen ejecutivo

A solicitud del Gobierno de México, el Comité Interamericano contra el Terrorismo (CICTE) de la Organización de los Estados Americanos (OEA), a través de su Programa de Ciberseguridad, convocó una comisión de expertos internacionales para compartir las mejores prácticas con las principales entidades mexicanas para mejorar las capacidades nacionales de seguridad cibernética en el país. Esto se facilitó mediante el uso de un formato de discusión de mesa redonda con la intención de fomentar el diálogo entre el Gobierno, varios interesados nacionales y expertos internacionales para comprender el estado actual de la seguridad cibernética en México y avanzar en la construcción y definición de un Marco Nacional de Seguridad Cibernética.

Durante esta semana (del 18 al 21 de abril de 2017), las discusiones se centraron en el intercambio de experiencias y mejores prácticas. El Gobierno de México identificó un total de cinco (5) temas, que fueron discutidos en cada mesa redonda en detalle. Las discusiones en cada mesa fueron facilitadas por un moderador asignado y un tomador de notas, ambos expertos internacionales. Los siguientes temas fueron identificados para cada mesa redonda (enumerados sin orden de prioridad): 1) Investigación y Desarrollo; 2) Cultura, Educación y Prevención; 3) Cooperación y Coordinación; 4) Normas, Criterios Técnicos y Regulación; y 5) Marco Legal. Este Informe hace un resumen de las principales conclusiones y recomendaciones de estas mesas redondas. Entre las recomendaciones generales se encuentran las siguientes:

1. La seguridad cibernética no es un fin en sí misma, sino que sirve a objetivos particulares de alto nivel. Se trata de un área compleja con diferentes dimensiones complementarias y superpuestas que se derivan de diferentes objetivos y que incluyen a diferentes tipos de interesados con diferentes culturas y modos de operación. Por lo tanto, es importante utilizar conceptos fundamentales claros con terminologías específicas para poder distinguir estas dimensiones a lo largo de la estrategia y ser coherentes con ellas a medida que se desarrollan iniciativas más detalladas en varios niveles en el futuro. Estos conceptos fundamentales proporcionarán una base para que cada tipo de actor se centre en su área de prioridad y entienda sus roles y responsabilidades. También ayudarán a organizar la compilación de información recibida de, y transmitir mensajes claros a, varios públicos, durante el desarrollo e implementación de la estrategia.

2. El marco estratégico debe establecer claramente los objetivos de alto nivel y explicar por qué son esenciales para el país (“visión”). La estrategia debe

Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad4

identificar y priorizar los objetivos a corto, mediano y largo plazo. Aunque constantemente emergen nuevos vectores de amenazas en el entorno digital, es importante que México siga centrado en la estrategia, formando y fortaleciendo sus bloques fundamentales clave y agregando iniciativas de manera incremental, en lugar de multiplicar iniciativas nuevas hacia muchas direcciones.

3. Enlazar la estrategia no solo a la política y al derecho nacional (p. ej., El plan

de desarrollo nacional, la política digital nacional, la ley de seguridad nacional) sino también a los compromisos y obligaciones regionales e internacionales (p. ej., económicos, comerciales, de derechos humanos, derecho humanitario, fuerzas de la ley, cooperación, seguridad internacional, incluida la prevención de conflictos y la creación de confianza).

4. Debe ser apoyada por el más alto nivel del gobierno. Un alto nivel de liderazgo facilitaría un enfoque de todo el gobierno y ayudaría a lograr el equilibrio adecuado entre partes del gobierno con competencias compartidas. Facilitaría una clara asignación de funciones y responsabilidades durante el proceso de desarrollo de la estrategia.

5. La Estrategia debería establecer un marco institucional claro que garantice que las responsabilidades y las modalidades de implementación sean claras y que las instituciones tengan la autoridad y los recursos para actuar. El marco debe incluir un mecanismo fuerte de coordinación para asegurar que se establezca una estrategia coherente y una implementación de políticas a nivel de todo el gobierno. También debe identificar otros actores clave que son vitales para una implementación efectiva.

6. Algunas áreas, como la protección de la infraestructura crítica, incluida la Protección de la Infraestructura Crítica de Información (CIIP), pueden requerir un enfoque de política específico que aborde la intersección entre la seguridad digital y la protección de la infraestructura crítica.

7. La armonización de las leyes sobre delincuencia cibernética combinada con iniciativas para facilitar una coordinación más rápida y efectiva entre los organismos encargados de hacer cumplir la ley y el sector privado es esencial. En consonancia con la Constitución de México y sus obligaciones internacionales y regionales, estas gestiones se deben desarrollar en un entorno en el que se respeten plenamente los derechos y libertades fundamentales de los ciudadanos.

8. México debe encontrar el camino legislativo adecuado que permita que se genere un entendimiento común de la aplicación de la legislación federal y estatal sobre delincuencia cibernética.

Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad 5

1 Indicadores de Desarrollo Mundial (base de datos) -Fuente: Instituto Nacional de Estadística y Geografía (INEGI)2 Instituto Nacional de Estadística y Geografía (INEGI), Fuente: http://www.inegi.org.mx/saladeprensa/aproposito/2016/internet2016_0.pdf Última entrada realizada: 4 de mayo de 20173 Plan Nacional de Desarrollo 2013-2018 Accedido en: http://pnd.gob.mx/wp-content/uploads/2013/06/PND-introduccion.pdf4 Programa Nacional de Seguridad Pública 2014-2018 Consultado en: http://www.dof.gob.mx/nota_detalle.php?codigo=5343081&fecha=30/04/20145 Programa Nacional de Seguridad Pública 2014-2018 Consultado en: http://www.dof.gob.mx/nota_detalle.php?codigo=5343081&fecha=30/04/2014

A diciembre de 2015, la penetración de Internet en México se estimó en 57,4 por ciento1. De los 77,7 millones de personas que utilizan teléfonos móviles, dos de cada tres poseen un teléfono inteligente. En cuanto al perfil de los usuarios de Internet, el 73,6 por ciento de los usuarios varía entre los 6 y los 34 años. Más significativamente, de la población mexicana con educación superior (de pregrado o posgrado), nueve de cada diez han incorporado el uso de Internet en su vida cotidiana2.

México ha abordado cuestiones relacionadas con la seguridad cibernética y las TIC a nivel nacional en diversos niveles y algunos documentos que incluyen los temas son:

i. El Plan Nacional de Desarrollo 2013-20183;ii. El Programa para la Seguridad

Nacional 2014-20184; yiii. Programa Nacional de Seguridad

Pública 2014-20185

En cuanto a las recientes iniciativas gubernamentales en materia de seguridad cibernética, en 2012 el Gobierno de México creó un Comité Especializado en Seguridad de la Información (CESI), encargado de elaborar una Estrategia Nacional de Seguridad de la Información (ENSI). El Centro Nacional de Respuesta a Incidentes Cibernéticos del país, CERT-MX, es miembro del Foro de Equipos de

Respuesta a Incidentes de Seguridad Informática (FIRST) y sigue un Protocolo de Colaboración con otras entidades gubernamentales. El CERT-MX está muy involucrado en la protección de infraestructuras críticas nacionales (CNI – por sus siglas en inglés). Las partes interesadas coordinan la gestión de la seguridad de las infraestructuras y comparten información sobre los activos y las vulnerabilidades de la CNI. Las tecnologías se actualizan y respaldan periódicamente entre las entidades gubernamentales y se adhieren a las disposiciones del Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), desarrollado según normas internacionales como ISO 27001, ITIL Y Cobit, entre otros.

La División Científica de la Policía Federal de México investiga delitos cibernéticos nacionales y es la institución que aloja el CERT-MX. A menudo recibe la capacitación de organizaciones sin fines de lucro y varias organizaciones internacionales. Si bien las fuerzas de la ley mexicana tienen amplia capacidad de investigación, se requiere mejorar la legislación sobre delincuencia cibernética, la forense, la manipulación de pruebas y las capacidades relacionadas.

El gobierno, la academia y el sector privado organizan periódicamente conferencias y oportunidades de formación en materia de

Alcance y per il del país

6 Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad

http://www.inegi.org.mx/saladeprensa/aproposito/2016/internet2016_0.pdf

http://pnd.gob.mx/wp-content/uploads/2013/06/PND-introduccion.pdf

http://www.dof.gob.mx/nota_detalle.php?codigo=5343081&fecha=30/04/2014

http://www.dof.gob.mx/nota_detalle.php?codigo=5343081&fecha=30/04/2014

seguridad cibernética. Recientemente, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) inició una campaña en la que propone leyes más estrictas de protección de datos personales, así como una mayor transparencia y disponibilidad de información al público. Además de su labor de promoción, el INAI publica informes y dirige campañas para sensibilizar a los ciudadanos sobre sus derechos como usuarios de las tecnologías de la información y la comunicación6.

Más recientemente, México se ha involucrado fuertemente en procesos destinados a conformar normas de conducta estatal y en promover la cooperación y la confianza entre los estados en temas relacionados con el uso de las TIC. Por ejemplo, a nivel regional, México es uno de los países que, junto a Chile, Colombia, Perú, Costa Rica, Canadá y Guatemala, ayudaron a establecer un Grupo de Trabajo sobre Medidas Cooperativas y de Fomento de la Confianza para el Ciberespacio en el marco de la OEA (CICTE/Ser.L/X.2.17, de 10 de abril de 2017). México es también miembro del Grupo de Expertos Gubernamentales 2016-2017 de las Naciones Unidas sobre las TIC en el contexto de la paz y la seguridad internacionales y es también miembro de la Freedom Online Coalition.

México también se ha convertido en un líder reconocido en la organización de eventos de alto perfil relacionados con la seguridad cibernética. Por ejemplo, en 2016, México fue el anfitrión y presidente del Proceso Meridian7, bajo el tema, ‘Desarrollo de capacidades CIIP’.Ese mismo año, México fue también el anfitrión del IGF 20168 bajo el tema ‘Hacia un Crecimiento Inclusivo y Sostenible’. En 2014, organizó un Taller Internacional sobre Seguridad Cibernética y Protección de Infraestructuras Críticas y apoyó la organización de una Conferencia

SEGURINFO sobre Seguridad de las Tecnologías de la Información y la Comunicación. Y en 2011, México organizó el Taller Subregional sobre Mejores Prácticas en Seguridad Cibernética para Centroamérica y México.

En mayo de 2015, el CICTE (a través de su Programa de Seguridad Cibernética) y el Gobierno de México también implementaron una herramienta para aplicar el Modelo de madurez cibernética (CMM – por sus siglas en inglés). El objetivo de la iniciativa era recolectar información sobre la seguridad cibernética en el país y buscar nuevas formas de colaboración y dio como resultado un informe titulado ‘Ciberseguridad: ¿Estamos preparados en América Latina y el Caribe (2016)?’, que la OEA le presentó al Banco Interamericano de Desarrollo (BID) en abril de 2016. El siguiente diagrama resume algunas de las principales áreas de madurez relacionadas con la seguridad cibernética incluidas en el informe. (Figura 1)

Estos pasos progresivos han llevado al Gobierno de México a desarrollar y establecer un marco nacional de seguridad cibernética.

6 Seguridad cibernética: ¿Estamos listos en América Latina y el Caribe? Fuente: https://publications.iadb.org/handle/11319/7449 Última consulta: 4 de mayo de 20177 El Proceso Meridian tiene como objetivo intercambiar ideas e iniciar acciones para la cooperación de organismos gubernamentales en temas de Protección de la Infraestructura de Información Crítica (CIIP) a nivel mundial. Explora los beneficios y oportunidades de la cooperación entre los gobiernos y ofrece una oportunidad para compartir las mejores prácticas de todo el mundo. 8 El Foro de Gobernanza de Internet (IGF – por sus siglas en inglés) es un espacio de múltiples partes interesadas que facilita el debate y el diálogo de cuestiones de política pública relacionadas con Internet. El IGF fue convocado en 2005 por la Asamblea General de las Naciones Unidas.

7Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad

https://publications.iadb.org/handle/11319/7449

Figura 1 - Los siguientes diagramas resumen las principales áreas de madurez relacionadas con el perfil de México en materia de seguridad cibernética. Este ejercicio, donde se aplicó un modelo de madurez cibernética, comenzó en el 2015, por lo que considera datos del 2014.


Al desarrollar un Marco Nacional de Seguridad cibernética, se deben entender e implementar ciertos principios fundamentales y conceptos fundamentales desde el inicio. Varias políticas y estrategias a nivel global, y aún más recientemente algunas en esta región, han adoptado conceptos que guían la comprensión, interpretación e incluso articulación de estas estrategias en el contexto internacional. Los principios que sirven de marco para las acciones establecidas para la implementación también guiarán las acciones que deben llevar a cabo los responsables de su implementación. Como tal, a continuación se presentan algunas consideraciones:

Terminologías claramente definidas:

Se sugiere adoptar un glosario de terminologías que refleje las definiciones esenciales en el área de la seguridad cibernética de acuerdo con el entendimiento particular que aplica el Gobierno Mexicano. El glosario se puede basar en y adaptar de referencias que ya tengan conceptos estructurados a este respecto. Al desarrollar los conceptos nacionales, se debe tener en cuenta el contexto y los usos internacionales. Es importante mantener cierto grado de coherencia con la forma en que diferentes comunidades, otros países y el ámbito internacional entienden estos conceptos y terminologías, teniendo en cuenta que el término “Seguridad Cibernética” a menudo sirve de definición genérica y, por tanto, puede ser ambiguo si se utiliza de manera muy precisa.

Además, términos como “seguridad de la información” o “protección de datos” son utilizados por un amplio grupo de actores de la comunidad internacional, con una variedad de

significados. Aclarar cómo el Gobierno de México utiliza definiciones de términos como “incidente cibernético” puede ser extremadamente beneficioso para todos los interesados. La claridad en las definiciones también ayuda con el proceso de asignar roles y responsabilidades y establecer principios claros para entregarles lineamientos a los actores gubernamentales y en determinar otros actores claves que deben ser vinculados conjuntamente con el gobierno.

Específicamente con respecto a la “seguridad de la información”, algunos gobiernos usan ese término para referirse a un acercamiento al ciberespacio que se centra en el mantenimiento de la estabilidad interna, así como la soberanía sobre el “espacio de la información”. Como ejemplo, los miembros de la Organización de Cooperación de Shanghái (OCS) incluyen en este término la opinión de que el contenido es una amenaza potencial para la seguridad y debe ser regulado. México, como miembro destacado de la Freedom Online Coalition, tiene un compromiso claro de proteger los derechos humanos básicos, como la libertad de expresión y de opinión y otras libertades fundamentales. Si México opta por utilizar el término ‘seguridad de la información’ como marco de su estrategia nacional, debe dejar claro lo que pretende comunicar con ese término. Otros términos que es posible que desee utilizar el Gobierno de México en su discusión sobre sus objetivos de seguridad cibernética podrían ser la Garantía de información (la práctica de asegurar información y administrar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información o datos y los sistemas y procesos utilizados para esos fines) y la integridad de los datos (el mantenimiento y la garantía de la exactitud y consistencia de los datos durante todo su ciclo de vida).

Conceptos básicos – Un enfoque basado en principios


Principios rectores:

El gobierno debe garantizar que los principios como la apertura, el libre flujo de información, la confidencialidad de la información y la comunicación, la protección de la privacidad y los datos personales, la participación, la confianza y la transparencia en el ciberespacio no son solo principios consagrados en la estrategia, sino que también enmarcan y guían su desarrollo e implementación. Adicionalmente, la estrategia debe ser desarrollada de manera consistente con los derechos humanos y los valores fundamentales reconocidos en la Constitución Mexicana.

Coordinación de esfuerzos y partes interesadas:

México se caracteriza por contar con una serie de iniciativas de “seguridad cibernética” que se han desarrollado con el tiempo con una variedad de actores a diferentes niveles. Las partes interesadas se enfrentan a un panorama complejo de medidas dispersas, tanto políticas, jurídicas, técnicas como de otro tipo, que involucra a un gran número de actores gubernamentales con una coordinación y coherencia limitadas.

Una estrategia nacional de seguridad cibernética puede proporcionarles un medio a todos los interesados (gobierno, empresas, particulares) a todos los niveles (Federal, Estatal y Municipal) para el seguimiento de objetivos comunes a través de un enfoque común, a fin de maximizar la eficacia de todos los esfuerzos mediante su refuerzo mutuo. Al identificar los principios fundamentales centrales, la estrategia puede establecer conceptos sólidos, duraderos y flexibles sobre los cuales se puedan construir medidas futuras.

La creación de confianza entre las partes interesadas también debe ser un concepto fundamental. Esto incluiría consultas directas de los representantes del Gobierno de México con la comunidad de múltiples partes interesadas, articulando entre otras cosas una visión común de la estrategia y:

• Objetivos a corto, medio y largo plazo dentro de un marco de tiempo apropiado.

• Estado final deseado (teniendo en cuenta la seguridad cibernética como un proceso dinámico): ¿Qué visualiza México como su ciberespacio ideal?

La seguridad cibernética no es un fin en sí mismo:

El gobierno mexicano debería distinguir claramente las siguientes cuatro áreas (a menudo interdependientes) en el desarrollo de su estrategia y en su estructura y contenido:

• Prosperidad económica y social: cuestiones relacionadas con crecimiento, desarrollo económico y objetivos sociales como la educación, la salud, etc. Esta área a menudo se denomina “seguridad digital” (por ejemplo, por la OCDE). Su objetivo es fomentar la confianza y la resiliencia digital con miras a estimular el crecimiento económico y lograr objetivos sociales como el acceso a la educación, la mejora de los servicios de salud, la reducción de las desigualdades, la mejora de la prestación de servicios públicos, etc.

• Seguridad nacional e internacional: asuntos relacionados con la soberanía y la responsabilidad última del Estado para la protección de sus ciudadanos y sus fronteras (tierra, aire, mar y ciberespacio). Este aspecto de la seguridad cibernética incluye coordinación nacional y respuesta a las amenazas locales o nacionales, así como cooperación internacional.

• Aplicación de la ley penal: cuestiones relacionadas con la lucha contra la delincuencia y la reducción de la misma. Esta área se denomina a menudo “delito cibernético”. El desarrollo de legislación penal sustantiva y procesal y normas para el reconocimiento de evidencia digital para investigar el delito cibernético y la creación de capacidad para el poder judicial serían consideraciones clave aquí.

• Protección de los derechos humanos: Toda estrategia nacional debe garantizar que la


seguridad cibernética nacional y las gestiones conexas no socaven los derechos humanos y las libertades fundamentales.

Consideraciones sobre la gestión del riesgo:

El Gobierno de México debe abordar la seguridad cibernética mediante un enfoque basado en el riesgo, en el cual se gestiona el riesgo, lo que significa que se reduce a un nivel aceptable de acuerdo con el contexto y los objetivos en juego. El beneficio de partir de un enfoque de gestión de riesgos es que les permite a los responsables de la formulación de políticas evaluar dónde son justificables los costos de buscar mayores niveles de seguridad.

En este contexto, la Recomendación de la OCDE de 2015 sobre la Gestión de Riesgos de Seguridad Digital para la Prosperidad Económica y Social9 proporciona un marco conceptual general para abordar la seguridad digital basada en un enfoque de gestión de riesgos. Este enfoque reconoce que las medidas de seguridad son esenciales para proteger las actividades económicas y sociales que dependen del entorno digital, pero que también pueden socavar o inhibir la capacidad de aprovechar todo el potencial económico y social del entorno digital. El enfoque de gestión de riesgos de seguridad digital permite seleccionar las medidas de seguridad adecuadas para proteger dichas actividades, al tiempo que se fomenta el desarrollo económico y social y se tiene en cuenta la naturaleza dinámica del riesgo (incluidas las amenazas, vulnerabilidades, uso, impacto potencial, etc.).

9 http://oe.cd/dsrm


http://oe.cd/dsrm

La estrategia debe formular claramente los objetivos integrales y de alto nivel y explicar por qué son esenciales para el país (“visión”).

La estrategia debe ser apoyada al más alto nivel de gobierno.Un alto nivel de liderazgo facilitaría un enfoque de todo el gobierno y ayudaría a lograr el equilibrio adecuado entre los diferentes sectores gubernamentales. Facilitaría una clara asignación de funciones y responsabilidades durante el proceso de elaboración de la estrategia.

La estrategia debe establecer un marco institucional claro para asegurar que las responsabilidades sean claras, las instituciones tengan la autoridad y los recursos para actuar. El marco debería incluir un sólido mecanismo de coordinación para asegurar que se logre una estrategia coherente y un desarrollo y aplicación de políticas de todo el gobierno.

La estrategia debe tener como objetivo establecer la confianza con y entre todas las partes interesadas.El compromiso de todas las partes interesadas en el desarrollo de la estrategia puede considerarse como el primer paso hacia el establecimiento de las mismas relaciones que serán esenciales para su aplicación efectiva.

La estrategia debe considerar todos los tipos de herramientas y medidas políticas, tanto de regulación, incluida la autorregulación, educativas, técnicas, legislativas, de incentivos, etc. Dado que el riesgo de seguridad digital es extremadamente dinámico, los enfoques rígidos basados en mecanismos relativamente estáticos (como la legislación) son a veces contraproducentes y

pueden inhibir el uso de Internet y la innovación empresarial, a menos que estén diseñados para permitir que se realice una implementación ágil y adaptable.

La estrategia debe identificar y priorizar los objetivos a corto, mediano y largo plazo. Este podría separarse de las medidas detalladas de aplicación. Aunque los nuevos vectores de amenazas en el entorno digital están emergiendo constantemente, es importante que México enfoque la estrategia y asegure que los bloques fundamentales básicos estén implementados y fortalecidos antes de incluir múltiples iniciativas nuevas.

La estrategia debería adoptar modelos de prevención y gestión de riesgos de seguridad digital, que servirían de base para las medidas técnicas y otras acciones necesarias para prevenir, gestionar y superar los riesgos, maximizando las oportunidades de aprovechar el entorno digital para el desarrollo de la economía y actividades sociales.

La formulación y aplicación de la estrategia debería ser el resultado de un proceso de participación de múltiples partes interesadas, reconociendo que el Gobierno por sí solo no puede escalar ni proponer soluciones a los desafíos de la seguridad digital. Debe haber canales efectivos y permanentes para asegurar que se genere comunicación, interacción y deliberación constructiva. Esto debería incluir que representantes del sector privado, la academia y los gobiernos e instituciones estatales y municipales, puedan ayudar en la apertura de un diálogo más amplio de las partes interesadas y la obtención del apoyo de las comunidades clave.

Observaciones y recomendaciones

Recomendaciones de alto nivel


1. Investigación y desarrollo

La discusión se benefició de una amplia gama de personas de las fuerzas militares, algunas industrias clave, asociaciones10, academia y agencias autónomas, así como diferentes representantes del Gobierno de la República. Las principales áreas de discusión incluyeron las actuales amenazas cibernéticas de México, preparación de la fuerza de trabajo de la seguridad cibernética, incentivos para la investigación y el desarrollo, así como prácticas básicas de seguridad cibernética en la industria, la necesidad de contar con normas de seguridad y trabajo para ayudar a enmarcar las necesidades de empleo e investigación y el deseo mexicano de desarrollar su propio ecosistema cibernético de sistemas, aplicaciones y servicios, y aumentar su participación de mercado en otros países de habla hispana de la región. Además, se discutieron temas de otras mesas redondas, incluyendo la necesidad de desarrollar una cultura nacional de seguridad cibernética, las relaciones entre la academia y la

industria, y las dificultades asociadas con hacer eso.

RECURSOS

Durante las discusiones sobre el fomento de la investigación y el desarrollo de la seguridad cibernética en México, se observó que la investigación en seguridad cibernética rara vez se considera en el diseño de sistemas o incluso en las operaciones de la industria y del Ministerio. El financiamiento para las iniciativas de seguridad cibernética a menudo tiene que competir con otras prioridades que se alinean más claramente con las funciones primarias de los Ministerios de Gobierno. Tampoco existe una política pública relacionada con la seguridad cibernética para impulsar las asignaciones internas y tampoco existe un requisito externo para que las empresas o entidades apliquen las mejores prácticas de seguridad cibernética, por lo que no es frecuente la financiación dirigida específicamente a la seguridad cibernética. En el caso de la Investigación y Desarrollo (I+D), los proyectos relacionados con la seguridad

La adopción de principios fundamentales como los derechos humanos y la proporcionalidad, lo que facilitará la generación de confianza entre las partes interesadas y permitirá un enfoque transparente en áreas donde pueda haber tensión. La aplicación de las medidas de la estrategia debe ser compatible con la libertad de expresión, la libre circulación de la información, la confidencialidad de la información, la protección de la intimidad y los datos personales.

Aprovechar la experiencia y los recursos de otros socios del sector privado y de la sociedad civil, desarrollar mensajes de sensibilización como parte de sus estrategias comerciales más amplias. Por ejemplo, algunas compañías globales pueden estar dispuestas a patrocinar mensajes de servicio público que ofrecen consejos básicos de seguridad

cibernética en asociación con sus marcas.

La creación de mecanismos de intercambio de información que sean independientes y centrados en la industria, similares a los Centros de Intercambio de Información y Análisis (ISAC por sus siglas en inglés) sería una manera efectiva de crear confianza entre el sector privado y el Gobierno. Este mecanismo podría facilitar el intercambio de información sobre seguridad cibernética en los sectores industriales (como la banca, los servicios de salud o el petróleo y el gas) sobre las amenazas y las mejores prácticas pertinentes a cada sector. Las agencias autónomas mexicanas pueden ser un buen punto de partida para algunos sectores; en otros, el sector privado puede estar dispuesto a apoyar.

Recomendaciones temáticas

1O Incluyendo: Conacyt, Instituto Nacional de Estadística y Geografía, Secretaría de Economía y Secretaria de Gobernación (Secretaría de Gobernación)


cibernética deben competir con otras áreas de investigación en las convocatorias generales de ayuda financiera en beneficio del sistema nacional de ciencia, tecnología e innovación (gestionado por CONACYT).

Recomendaciones

Establecerpolíticasparaimpulsarrecursosparalaseguridadcibernética. Las regulaciones relati-vamente simples, como exigir que las industrias y las compañías tengan un Director de Seguridad de alto nivel e independiente así como auditorías para verificar el cumplimiento pueden ser suficientes (como en la banca) para convencer a las empre-sas a invertir en esas áreas y ayudarían a avanzar en este campo. Esto puede ayudar a fomentar un mercado de aptitudes para la seguridad ciber-nética, tanto como profesionales de la seguridad como auditores, que a su vez estimulan a las uni-versidades a desarrollar programas para educar, capacitar y certificar a estos profesionales, incre-mentando así la capacidad de innovación de Mé-xico en esta área. Esto podría lograrse mediante la articulación de un programa nacional destinado específicamente a promover la I+D en el ámbito de la seguridad cibernética, que apoyaría a grupos de investigación nuevos y consolidados, así como la transferencia de resultados de la investigación y de los investigadores a la industria. Asimismo, la posibilidad de que el CONACYT reserve fondos es-pecíficos para proyectos de investigación en segu-ridad cibernética permitiría la inyección de ayuda financiera fuera de las convocatorias generales de apoyo a la investigación. Una convocatoria inde-pendiente para las propuestas de investigación so-bre seguridad cibernética facilitaría la asignación de fondos específicos a la seguridad cibernética. Otros instrumentos para promover las actividades internas de I+D de empresas ubicadas en México podrían ser incentivos fiscales para I+D que exclu-yan la mera compra de tecnología innovadora del exterior.

PRIORIZACIÓN

Si bien la industria y otras asociaciones están interesadas en apoyar la seguridad cibernética, no existe una comprensión común de las prioridades

nacionales para ayudar a dirigir ese interés hacia proyectos que contribuirían al logro de los objetivos nacionales en el ciberespacio. Por ejemplo, México podría beneficiarse del desarrollo en las áreas de encriptación o autenticación (por ejemplo, biometría), servicios electrónicos o software/sistemas operativos. Sin embargo, dado que estas áreas aún no han sido identificadas como necesidades nacionales, no han recibido la misma atención en comparación con otras áreas de investigación. La ausencia de una plataforma tecnológica o empresarial centrada en la seguridad cibernética a nivel nacional o la falta de tradición en programas de cooperación público-privada en I+D son factores que pueden dificultar la inclusión de la voz del sector privado en la definición de una estrategia nacional para las prioridades de I+D en seguridad cibernética. Una estrategia nacional que identifique y explique las necesidades específicas de seguridad cibernética e informática de México podría ayudar a priorizar las inversiones en investigación por parte de otras entidades.

Recomendaciones

Desarrollar y publicar una visión nacionalpara orientar la priorización en inversionesde seguridad cibernética. El Gobierno podría convocar a un grupo de líderes de opinión nacionales para discutir la visión nacional de la seguridad cibernética y relacionarla con los participantes de la industria. Además, las entidades gubernamentales o las asociaciones cívicas (o ambas) podrían desarrollar materiales para explicarles a los líderes empresariales los riesgos asociados con el ciberespacio y el retorno de las inversiones en seguridad cibernética. Como ejemplo, las Asociaciones podrían desarrollar seminarios de capacitación de nivel ejecutivo sobre “¿por qué deberíamos preocuparnos por la seguridad cibernética en [industria x]?”.

MERCADO DE SEGURIDAD CIBERNÉTICA

La mayoría de las industrias y las organizaciones no ven la seguridad cibernética como una de sus prioridades misionales, por lo tanto, no hay tantos trabajos en seguridad cibernética como podría haber; el ecosistema continúa limitado a


un puñado de campos. Incluso en la investigación y el desarrollo en sí, hay pocas oportunidades de empleo bueno en seguridad cibernética, de modo que los estudiantes que se gradúan de la universidad u otros programas en seguridad cibernética son contratados en puestos de trabajo operacionales. Como consecuencia, rara vez se dedican a la innovación o la investigación en seguridad cibernética. Además, debido a que las empresas extranjeras han estado desarrollando productos durante tanto tiempo y dado que la industria cibernética de México aún no ha madurado completamente, México se ha vuelto dependiente de los productos extranjeros, y existe la percepción de que incluso si los graduados buscan dedicarse a investigación y desarrollo, no pueden desarrollar productos comparables rápidamente.

Del lado de la oferta del mercado laboral fuera de la investigación y el desarrollo, hay un número insuficiente de programas universitarios que ofrecen capacitación en seguridad cibernética. Solo dos universidades (Instituto Politécnico Nacional y Centro de Estudios Superiores Navales, que es solo para profesionales de la seguridad nacional) de más de 1.000 ofrecen programas de posgrado relacionados con TI. La consecuencia es que no hay suficiente capacidad en la academia para aceptar el número de solicitudes de ejes relacionados con TIC/cibernéticas ahora, y ciertamente no es lo suficiente para satisfacer un aumento en la demanda de profesionales de seguridad cibernética. Aunque la Secretaría de Economía es consciente de este problema y quiere crear un ecosistema robusto, no quiere duplicar ni interferir con las iniciativas de la industria, lo que puede haber obstaculizado la expansión de los programas de capacitación de fuerza laboral de la seguridad cibernética.

Por el lado de la demanda, el mercado no está bien desarrollado para la seguridad cibernética como una disciplina propia, por ejemplo, auditores, directores de seguridad, evaluadores de productos, evaluación de vulnerabilidad y remediación, y así sucesivamente. Esto se debe en gran medida a la renuencia de la industria a invertir en seguridad cibernética sin que se le exija, pero también refleja la falta general de conocimiento acerca de las amenazas cibernéticas y su posible impacto en

casi todas las empresas y la falta de estándares industriales que puedan generar puestos de trabajo en cumplimiento y supervisión.

Recomendaciones

Establecer iniciativas específicas para hacercrecer un mercado mexicano de seguridadcibernética. El Gobierno debería considerar incentivar a las empresas a invertir en seguridad cibernética, ya sea a través de regulaciones, subvenciones, políticas u otras medidas como la reducción de impuestos. Esto a su vez generará empleos que pueden crear demanda de programas educativos. Además, las industrias que ya invierten en investigación en seguridad cibernética podrían compartir sus resultados (como los avances en biometría, seguridad en nube o criptografía novedosa) con otras industrias mexicanas a través de organizaciones de intercambio de información, ampliando aún más la demanda y experiencia en estas habilidades. La modernización de la infraestructura y los servicios en México también crea una gran oportunidad no solo para digitalizar los procesos existentes para mejorar la gestión de los datos, sino también para transformar esos procesos de manera que aumenten el valor para los ciudadanos.

Por el lado de la oferta, se podría incentivar a más universidades para que desarrollen licenciaturas y diplomados en seguridad cibernética y TI para aumentar el suministro de mano de obra y soluciones comercializables. Cuando ya existan programas para incentivar la seguridad cibernética en las empresas y la investigación, el gobierno debería crear y distribuir una lista de estos programas y sus criterios con miras a estimular la innovación y la inversión y crear empleos para investigadores. Hay muchos innovadores calificados en México que podrían crear sus propias empresas desarrollando productos y servicios mexicanos, si tuvieran respaldo/apoyo gubernamental. Un participante observó que el mecanismo existe para empresarios, pero no para los investigadores de seguridad cibernética.

La existencia de jóvenes talentos representa otra fortaleza de los sistemas. Hackatones populares


desarrollados por proveedores de servicios de internet (ISP por sus siglas en inglés) o programas nacionales que fomentan capacidades de programación como el programa MOPROSOFT proveen al mercado laboral de TIC con un contingente importante de jóvenes y talentosos graduados. Y aunque la Secretaría de Educación ha creado algunos programas de concientización para niños, también debe centrarse en atraer a más mujeres a la seguridad cibernética, tanto para la expansión económica como una enorme fuente potencial de talento.

Por último, el Gobierno debería promover la cooperación público-privada en el ámbito de la seguridad cibernética. Las alianzas entre los sectores público y privado podrían actuar como aceleradores del empresariado a niveles de clústeres federales y regionales y también podrían facilitar la creación de un grupo nacional de seguridad cibernética con empresas privadas, organismos públicos, universidades e instituciones financieras. La cooperación público-privada es necesaria para desarrollar una agenda estratégica de investigación e inversión para los servicios públicos y los sistemas de control industrial. La creación de una plataforma tecnológica nacional que integre empresas y centros de investigación centrados en la seguridad cibernética facilitaría el diálogo público-privado, así como la promoción de clústeres tecnológicos con un componente específico de seguridad cibernética (tanto a nivel nacional como regional) para formar consorcios para impulsar proyectos de I+D.

NORMAS DE LA FUERZA LABORAL

Una preocupación relacionada con el mercado de seguridad cibernética de México es la falta de estándares de fuerza de trabajo y diplomados. Como señaló un participante, puede haber muy buenos desarrolladores con certificaciones apropiadas, pero México no tiene una industria para evaluar o verificar esas certificaciones, ni un estándar nacional sobre qué certificaciones son necesarias para qué tipo de trabajos. Sin este conjunto de normas nacionales, es difícil:

• Formular los requisitos/contratos para profe-

sionales en seguridad cibernética• Desarrollar diplomados• Desarrollar un currículo que apoye una varie-

dad de programas de grado• Explicarles el valor de una certificación ciber-

nética a estudiantes y empleadores

La Secretaría de Economía ha emprendido varias iniciativas para abordar esta situación que afecta principalmente a profesionales de la industria del software mediante:

• El desarrollo de nuevos diplomados, que continúan creciendo

• El establecimiento de unos 700 centros de desarrollo de software, todos bajo el Capability Maturity Model® Integration de la Universidad Carnegie Mellon.

• Hacer énfasis en la certificación para profesionales de TI a través de ProSoft, una base de datos nacional para la industria de desarrolladores de software (www.prosoft.economia.gob.mx). Los participantes recomendaron que ProSoft se amplíe de modo que incluya datos sobre si las habilidades de una persona incluyen capacitación en seguridad cibernética, que una habilidad particularmente importante para los desarrolladores de software si el objetivo de México es competir en el mercado de software con aplicaciones de software certificadas como seguras, y a qué nivel de certificación, con el fin de mejorar la visibilidad de esta necesidad.

• El patrocinio de proyectos estratégicos en los que se invita a profesionales académicos y de la industria a participar, tales como talleres y conferencias tecnológicas, y en asociación con entidades gubernamentales.

Recomendaciones

Desarrollar y difundir los estándares de fuerzalaboral y productos de Seguridad Cibernética. Existe un proceso en el Instituto de Normalización por el cual se exigen normas de desempeño del producto. Este estatuto podría modificarse ligeramente para incluir normas mínimas de seguridad de la información para todos los productos vinculados a Internet u otros sistemas


http://www.prosoft.economia.gob.mx

http://www.prosoft.economia.gob.mx

digitales. Existen numerosos ejemplos de guías de normas disponibles de otras naciones y de la industria. El gobierno y la industria deben asociarse con compañías globales para determinar la utilidad de esas normas para México y para establecer pasantías, iniciar proyectos de investigación, etc. Estas compañías también podrían estar dispuestas a compartir sus propias normas de fuerza de trabajo y requerimientos de habilidades. Otros países también han desarrollado modelos que describen las categorías de trabajo de seguridad cibernética y las habilidades asociadas a cada uno. México podría adaptar uno de estos modelos como base para establecer un conjunto común de descriptores de fuerza de trabajo cibernéticas. En particular, la fuerza de trabajo de seguridad cibernética debe incluir normas éticas.

2. Cultura, educación y prevención

Los debates dieron como resultado que la ausencia de una visión y principios comunes, así como la falta de una política central que promueva una cultura de seguridad cibernética, hace que muchos esfuerzos pasados y actuales para promover la cultura sean ineficaces. Es difícil acordar y promover o implementar medidas educativas y preventivas si no hay una visión o estrategia común. Si bien parece haber un marco (Plan Nacional de Desarrollo, Ley de Seguridad Nacional, Estrategia Digital Nacional, etc.), parece que ha habido un esfuerzo limitado para articular cómo se alinea la seguridad cibernética con cada uno de ellos y cómo juntos pueden contribuir a utilizar un ciberespacio abierto y seguro que beneficie a todos.

La seguridad cibernética es una responsabilidad compartida. El sector privado, ya sea nacional o mundial, no parece estar financiando iniciativas o programas educativos o de concienciación de gran importancia a largo plazo y sostenibles en el campo de la seguridad cibernética. La mayoría de las inversiones del sector privado hasta la fecha parecen estar dirigidas al apoyo de campañas de concienciación.

El intercambio de información (sobre incidentes/

riesgos y vulnerabilidades) es un importante mecanismo de sensibilización/educación y prevención, pero el intercambio de información entre instituciones y sectores (públicos y privados) sigue siendo un desafío importante. Los esfuerzos actuales para sensibilizar y promover una cultura de seguridad cibernética parecen dispersos y hay poco intercambio de experiencias entre las instituciones del sector público y el sector privado en las iniciativas que han sido o están siendo implementadas actualmente. También hay un conocimiento limitado de lo que ha funcionado y por qué.

CONCIENCIA CULTURAL EN MÉXICO

La mayoría de los participantes coincidieron en que el liderazgo de la industria en México aún no es consciente del impacto que los ataques cibernéticos podrían tener sobre sus negocios, ni los ciudadanos comunes son conscientes de los riesgos cibernéticos básicos y las consideraciones de seguridad. Los medios sociales están aumentando estos riesgos, que se superponen con otras actividades criminales como el acoso. México rechazó la opción de regular los medios sociales por sus posibles impactos negativos en la libertad de expresión, optando por desarrollar tipologías de actividades criminales en línea. No obstante, las alternativas a la regulación han tardado en cimentarse.

La educación sobre riesgos cibernéticos a menudo solo ocurre a nivel universitario. Esto significa que las industrias de alto riesgo (como la banca) se ponen en riesgo por los usuarios que no saben cómo proteger sus propios sistemas o datos. El crimen organizado ha dirigido sus ataques a individuos para realizar extorsión, fraude o intimidación. Además, los criminales habituales cada vez más dirigen sus ataques a servicios ordinarios como la banca y hospitales con secuestro de información (ransomware) sofisticado y software malicioso (malware) de robo de identidad.

Existe la percepción de que actores sofisticados (como los estados nacionales) no tendrán a México en la mira. Sin embargo, dada la actual cultura de seguridad cibernética del país, los estados-


nación o sus habilitadores podrían fácilmente utilizar México para montar ataques contra otros países, con potenciales implicaciones regionales o internacionales.

Recomendaciones

Fomentar una cultura de seguridad cibernéticabasadaenprincipiosydefinicionescompartidas.Utilizar el proceso de consulta participativa actual para desarrollar una visión común y acordar los principios que deben respaldar y enmarcar el desarrollo de una estrategia nacional de gestión de riesgos de seguridad cibernética/digital. Algunos de estos principios ya se han articulado: p. ej. participación, coordinación, colaboración, confianza y transparencia, pero necesitan ser expresadas de manera clara para orientar políticas específicas y tener un mejor sentido de propósito.

Establecimientodeunared/foroacadémico. Este foro o red podría involucrar universidades públicas y privadas, empresas tecnológicas, asociaciones industriales y grupos de la sociedad civil, para ayudar a identificar los desafíos y necesidades existentes y emergentes (también en la academia) y determinar las tendencias (de negocios, tecnología/innovación, jurídico, derechos humanos, educación, incidentes/riesgos y vulnerabilidades, etc.). Los desafíos identificados podrían ayudar a enmarcar las necesidades educativas y de creación de capacidad (tanto formales como informales) y alinearlas con las necesidades del país, tanto en el mercado laboral como en el campo de la I+D. Estos elementos podrían alinearse con una estrategia de investigación y desarrollo.

Establecer un órgano de coordinación dinámico,nacional de seguridad cibernética y digital queinvolucreatodoslossectoresgubernamentales,con protocolos para vincular a actores de la industria, la academia y la sociedad civil, cuando sea apropiado. Este organismo, encargado de coordinar la Estrategia Nacional de Seguridad Cibernética y Digital, también puede ayudar a formar y coordinar mensajes públicos yejerciciosdeconcienciaciónyprevención, apoyar campañas de concienciación pública, ejercicios de seguridad cibernética (ejercicios teóricos o

simulaciones reales) y desarrollar guías de buenas prácticas para públicos generales y específicos (sectores vulnerables, industria, funcionarios gubernamentales, defensores de los derechos humanos, etc.). Estos esfuerzos pueden ser parte de las gestiones más amplias del gobierno en la coordinación de cuestiones de seguridad cibernética en todo el país.

Aprovechar el sistema educativo para socializar e implementar programas de concientización sobre riesgos en seguridad cibernética digital en todo el país y asegurar que se considere y gradualmente integren dichos programas en los planes de estudios de educación primaria, secundaria y terciaria con el objetivo de desarrollar “nativos cibernéticos” conscientes de los riesgos y beneficios del ciberespacio, y cómo mantenerse seguros. También se deberían introducir estos programas de sensibilización en los programas de formación de maestros (una prioridad importante) y en programas que también involucran a los padres (especialmente de los niños de primaria y secundaria). Un primer paso, si no se ha dado, en el actual proceso de desarrollo de la estrategia podría incluir la realización de un diagnóstico de los programas de concienciación y educación apoyados actualmente por fondos públicos y privados para determinar las brechas y prioridades para la inversión de recursos humanos y financieros, además de valorar las herramientas de monitoreo y evaluación que están usando para determinar el éxito de una campaña o iniciativa dada.

Del mismo modo, las universidades deben incluir la concienciación en la seguridad cibernética en todos sus programas de pregrado, no solo los dedicados a la TI, y desarrollar más programas dedicados específicamente a la seguridad informática y cibernética a nivel de pregrado.

Fomentar la formación continua profesionaly en el lugar de trabajo. Es importante que los líderes empresariales y ciudadanos mexicanos comprendan que incluso si México no está en la mira de asuntos político-militares, los riesgos económicos y sociales derivados de la actual cultura de ‘inseguridad’ cibernética son altos. Por lo tanto, es importante generar e invertir en


programas académicos y de formación profesional en las áreas de seguridad cibernética/seguridad digital en todos los sectores. Esto requerirá que se tome conciencia de la importancia de la materia en la academia, incluyendo las escuelas profesionales existentes o futuras (de derecho, negocios, tecnología, etc.), así como esquemas gubernamentales tales como CONACYT, y se creen los incentivos necesarios para atraer interesados nuevos, así como inversionistas. También requerirá que se identifique dónde puede ser necesario la capacitación en materia transversal y/o la creación de capacidad. En el gobierno, existen oportunidades y desafíos específicos relacionados con esto, como la implementación de pruebas periódicas de autoevaluación, programas de capacitación específicos para altos funcionarios o la consolidación de una base de datos con oportunidades de capacitación entre entidades gubernamentales.

3. Cooperación y coordinación

La presencia y participación activa de representantes del gobierno, cuerpos constitucionales autónomos, el sector privado, la sociedad civil, las comunidades técnicas y académicas, así como expertos internacionales, con el objetivo de avanzar en la construcción y definición de una Estrategia Nacional de Seguridad Cibernética, claramente muestra que México está comprometido con el desarrollo de una estrategia que sea incluyente y colaborativa. Es esencial que México mantenga este espíritu de colaboración a fin de preservar la buena voluntad política y el no-partidismo alrededor de la Estrategia actualmente. Teniendo esto en cuenta, nuestra mesa identificó varias áreas clave en las que México debería tratar de ampliar su trabajo en el desarrollo de una Estrategia Nacional de Seguridad Cibernética.

IDENTIFICAR ROLES Y RESPONSABILIDADES

Sería de mucho beneficio para México contar con un organismo central que actúe como órgano coordinador de la Estrategia Nacional de Seguridad Cibernética y que ayude a delinear las

funciones y responsabilidades entre los diversos organismos gubernamentales en relación con la seguridad cibernética y la respuesta a los incidentes cibernéticos. Esto también ayudaría a formalizar las líneas de comunicación entre las entidades, promoviendo una mayor coordinación y cooperación interinstitucional.

Recomendaciones

Cada entidad gubernamental debe especificarclaramentesumandatoyautoridadconrespectoalaseguridadcibernéticaconelfindereducirlaconfusiónyeliminarlasredundancias innecesa-riasentrelasentidades. Esto permitirá que haya un mayor compromiso estratégico entre las enti-dades gubernamentales y contribuirá a una ma-yor colaboración con el sector privado. Si bien es esencial establecer roles y responsabilidades cla-ramente definidos, es necesario que haya espacio para la flexibilidad para que las entidades puedan ser proactivas en la defensa de sus redes y en la lucha contra la inseguridad.

Además, es necesario mejorar el marco de gobierno/institucional para la seguridad cibernética. Un enfoque consiste en lograr el equilibrio adecuado entre asignar funciones y responsabilidades a un conjunto de organismos y mantener un enfoque estratégico coherente de todo el gobierno. México debería evitar un modelo completamente centralizado en un país donde el estilo de gobierno no se basa en la centralización. Sin embargo, también debe evitar los esfuerzos dispersos que redundarían en una coordinación limitada y en un estrechamiento de los recursos. México podría aprender de experiencias en otros países, teniendo en cuenta la necesidad de adaptarlas a su cultura.

ESTANDARIZAR LÍNEAS DE COMUNICACIÓN

Está claro que la comunicación entre las entidades y la colaboración en temas de seguridad cibernética es desigual. A menudo, la comunicación entre organismos depende de relaciones personales o contactos informales en ausencia de mecanismos más formales. Esto deja vacíos en la comunicación que podrían resultar en vulnerabilidades.


Recomendaciones

La formalización de los mecanismos de comu-nicación y colaboración, ya sea a través de un comité permanente o de grupos de trabajo inte-rinstitucionales, sería valiosa. Sin embargo, los mecanismos informales de comunicación tam-bién son útiles en la promoción de la cooperación interinstitucional.

Construirunenfoqueefectivoparacompartir lainformación. En particular, los representantes gubernamentales manifestaron su renuencia a compartir información sin una autorización muy clara y explícita. Establecer directrices para potenciar el intercambio de información cuando sea apropiado podría ayudar a mejorar la colaboración, al mismo tiempo que se fomenta la confianza entre los diferentes actores. El intercambio de información dentro de una organización, entre organizaciones, dentro y fuera del gobierno pueden todos manejarse de manera diferente. También puede ser escalonado, de modo que cada incidente no requiera el mismo nivel de cooperación o colaboración. El Gobierno de México debe considerar que los mandatos de intercambio de información pueden ser elaborados para permitirles a las entidades compartir información diferente al interior de diferentes organizaciones. Específicamente, el gobierno debe considerar qué información se debe ordenar compartir entre las entidades gubernamentales, así como con el sector privado para obtener un intercambio recíproco. También es necesario que haya espacio para el intercambio voluntario de información, especialmente con respecto al sector privado. La contribución voluntaria de la información por parte del sector privado, el enfoque más efectivo para obtener el máximo aporte del sector privado, debe implicar salvaguardias adecuadas de la información. Independientemente del enfoque, la creación de confianza entre las partes interesadas es un primer paso crítico para mejorar la cooperación y la coordinación en gran escala, especialmente cuando esa actividad requiere que se establezcan nuevos canales de comunicación. Colaboración en respuesta a incidentes. Dado que la respuesta efectiva a los incidentes

implica inherentemente la colaboración entre una amplia gama de actores, tanto nacionales como internacionales, la creación de una cultura colaborativa de respuesta debe considerarse una prioridad. La colaboración voluntaria requiere dar y recibir entre diferentes entidades. En la medida en que las entidades del sector privado sientan que la colaboración sirve sus objetivos principales, estarán más incentivados a participar.

Clarificar los roles de la respuesta a incidentesversus lasherramientasdeaplicaciónde la ley.Debido a que el CERT de México se encuentra bajo la Policía Federal, las entidades pueden ser reacias a colaborar con ella a menos que se aclare su mandato de protección de red.

ALENTAR LA INVERSIÓN A NIVEL ESTATAL

Si bien el gobierno de México ha aumentado la inversión en seguridad cibernética a nivel federal, muchos estados de México ni siquiera tienen los fundamentos necesarios para proporcionar servicios digitales.

Recomendaciones

Para que la estrategia de seguridad cibernética de México sea verdaderamente nacional, apoyoa e inversión en los Estados y Municipios debentener un papel más central. Hay un claro deseo a nivel estatal de tener mayor cooperación con el gobierno federal en lo que respecta a la seguridad cibernética.

CONTINUAR PROMOVIENDO LA COLABORACIÓN INTERNACIONAL

México se dedica a promover la colaboración internacional en temas cibernéticos. México entiende el valor de los acuerdos internacionales como el Convenio de Budapest y cómo proporciona un vocabulario común para abordar temas relacionados con el delito cibernético en la escena internacional.


Recomendaciones

Méxicotambiénhadesempeñadounpapelactivoen lapromociónde lascuestionesdeseguridadcibernéticatantoenlaregióncomoanivelinter-nacionalysehaconvertidoenlíderenvariosdeestosprocesos.Estos esfuerzos deben proseguir con el fin de fortalecer la cooperación y asegurar el intercambio de mejores prácticas y lecciones aprendidas.

PRESERVAR LOS DERECHOS HUMANOS

El acceso a la sociedad de la información en un entorno seguro hace de la seguridad cibernética un requisito previo para el ejercicio de los derechos humanos. La seguridad cibernética es un medio a través del cual se pueden ejercer los derechos humanos. Aún más, muchos países han declarado el derecho de sus ciudadanos al acceso a Internet, y han codificado este derecho de varias maneras, incluso en sus constituciones, leyes y decisiones judiciales.

Recomendaciones

Es esencial que México mantenga su compromiso de mantener las normas de derechos humanos dentro de su Estrategia Nacional de Seguridad Cibernética.

4. Normas, criterios técnicos y reglamentación

El grupo de trabajo consistió en representantes de entidades gubernamentales, industria de las TIC, banca y servicios, entre otros. La estructura del gobierno mexicano, constituida por tres niveles diferentes (federal, estatal y municipal), genera una complejidad significativa al implementar normas y otras regulaciones.

Esta complejidad también se refleja en deficiencias y falta de claridad en cuanto a las responsabilidades de responder a incidentes relacionados con las TIC. El conocimiento debe profundizarse en los criterios de clasificación de incidentes, particularmente en lo que respecta a la clasificación de los incidentes

de “seguridad pública” y “seguridad nacional”. Esto puede ayudar a identificar roles y responsabilidades para responder a incidentes.También es evidente que los organismos encargados de hacer cumplir la ley tienen diferentes niveles de capacidad de respuesta y hay lagunas muy amplias entre las capacidades a nivel central y las capacidades a nivel federal, estatal y municipal.

El grupo de trabajo reconoció que había habido avances significativos en la elaboración de la legislación sobre seguridad cibernética/delito cibernético. Sin embargo, es evidente que ha sido más difícil alcanzar los objetivos derivados de las leyes, ya que se requieren instrumentos de segundo nivel (los que desarrollan/implementan las disposiciones a los diferentes niveles de administración). Estos procesos requieren un proceso de armonización que es muy complejo debido a la interpretación que puede darse en cada nivel.

El Gobierno ha adoptado algunas normas y ha definido directrices para diferentes cuestiones de seguridad cibernética, sin embargo, existe un alto grado de incertidumbre en cuanto a la eficacia de la aplicación de estas normas. Por ejemplo, solo unos pocos campos (por ejemplo, la regulación del sector financiero, la protección de datos personales) permiten la inclusión de auditorías de verificación que puedan establecer efectivamente que las actividades o procesos correspondientes a las directrices de implementación se están ejecutando correctamente.

Hay una falta de conocimiento general sobre el marco regulatorio existente y, en algunos casos, hay pautas, listas de verificación y estándares (entre otros) emitidos por entidades y que otras entidades desconocen. Con respecto a las MIPYME en particular, hay un exceso de regulación, que establece múltiples obligaciones y directrices que deben ser cumplidas. Sin embargo, el lenguaje utilizado, la estructuración de algunos instrumentos y la falta de capacidad hacen que sea muy difícil adoptarlos y obtener beneficios de su cumplimiento.

Cabe señalar que se observó que existe una fuerte


interconexión entre los debates adelantados en este grupo de trabajo y el Grupo de Trabajo sobre el Marco Legal.

ROLES Y RESPONSABILIDADES DE LA SEGURIDAD CIBERNÉTICA

Hay cierto grado de complejidad y falta de claridad sobre quién es responsable de qué, y qué hacer cuando hay un problema. México todavía no parece tener un marco institucional claro para abordar los desafíos de la seguridad cibernética.

Recomendaciones

Adoptar una visión compartida (que incluya amúltiples partes interesadas) y asegurar que se articule a todas las partes interesadas como el núcleo que impulsa todas las actividades cibernéticas. Lo anterior asegurará que el país pueda aprovechar los avances y novedades logradas hasta la fecha, generar sinergias y encontrar un punto de entendimiento común apalancado para el mismo propósito.

MARCO NORMATIVO

Aunque algunos bloques legislativos fundamentales están operando, su implementación se ralentiza, ya que los instrumentos de segundo nivel aún no han sido adoptados. La velocidad de desarrollo de estos instrumentos es más lenta que la velocidad de las cuestiones de seguridad cibernética. Se necesita tiempo para que algunos aspectos maduren.

Recomendaciones

Promoverundebatesobreaspectosreglamen-tarios en el sentido de establecer si realmenteesnecesariounnuevomarcoreglamentario o si, por el contrario, debe hacerse énfasis en la auto-rregulación o en un esquema equilibrado impul-sado en parte por mecanismos de mercado.

VERIFICACIÓN DE SEGURIDAD DEL PRODUCTO

Algunos representantes de la industria observaron que no existe un estándar mínimo obligatorio de seguridad de la información para los productos

desarrollados y vendidos en México. Esto puede socavar la demanda del mercado de productos mexicanos, al tiempo que exacerba la actual falta de seguridad cibernética básica para los usuarios mexicanos de tecnología digital de productos extranjeros. De hecho, las empresas y personas naturales que compran productos no tienen forma de verificar que son seguros.

Mientras tanto, el Internet de las cosas (IoT – por sus siglas en inglés) está creando cada vez más oportunidades para conectar dispositivos no seguros a Internet, creando vulnerabilidades adicionales para los ciudadanos de todos los días. Si bien la CIC realiza cierta verificación de seguridad cibernética, los participantes señalaron que no tienen la capacidad de servir a todo el ecosistema. Sin embargo, a medida que crece la infraestructura TIC y los servicios electrónicos, especialmente a través de dispositivos móviles, las vulnerabilidades también crecen, por ejemplo, en la banca móvil, servicios a los ciudadanos y la atención de salud digitalizada. Mejorar los productos a nivel de usuario es importante para ayudar a prevenir el fraude y otras actividades criminales, así como para asegurar la reputación de calidad de los productos mexicanos.

Recomendaciones

México debería revisar y considerar la adopcióndelAcuerdodeReconocimientodeCriteriosCo-munes (ADRC), que asegura que los productospuedanserevaluadosporlaboratorioscertifica-doscompetenteseindependientes para determi-nar el cumplimiento de determinadas propiedades de seguridad, lo cual proporciona cierto nivel de seguridad.

IMPLEMENTACIÓN DE LAS MEJORES PRÁCTICAS Y DIRECTRICES

A raíz de las observaciones anteriores, se notó asimismo que no existen mecanismos de validación/supervisión/auditoría que ayuden a las empresas a evaluar o certificar que realmente siguen las buenas prácticas (con excepción de los sectores regulados, por ejemplo, la banca o áreas como la protección de datos personales).


Recomendaciones

Desarrollar mecanismos de seguridad digitalestandarizados pero diferenciados, para que se puedan adoptar medidas y buenas prácticas, respondan a la demanda y sean proporcionales al tamaño de las organizaciones, a su madurez, criticidad y nivel de exposición a riesgos, entre otros criterios.

Definirunaestrategiaparaapoyarlaadopcióndebuenas prácticas y estándares internacionales. Por ejemplo, esto puede implicar el establecimiento de ‘normas mexicanas’ (NMX), que establecerían especificaciones de calidad sobre procesos, productos, servicios, sistemas, métodos de prueba, competencias, etc., y serían beneficiosas para el consumidor.

Definirunplandeincentivosparalaimplementa-cióndebuenasprácticasdeseguridadcibernéti-ca. Por ejemplo, el Gobierno puede recompensar las mejores prácticas en innovación, o proporcio-nar incentivos a las Micro, Pequeñas y Medianas Empresas (MIPYMES) por inversiones realizadas en prácticas de seguridad cibernética que protejan sin incurrir en mayores gastos operativos. Estos incentivos podrían traducirse en la forma de bene-ficios, como la reducción de impuestos o el acceso a oportunidades de negocios con el gobierno como una empresa de confianza.

COORDINACIÓN INTERGUBERNAMENTAL

México tiene una estructura de gobierno multinivel (federal/estatal/municipal) que plantea desafíos para el desarrollo legislativo y regulatorio y para el cumplimiento de las leyes. Los desafíos clave incluyen el proceso de armonización, de asegurar que la legislación en los tres niveles de gobierno (federal, estatal y municipal) sea compatible. La estandarización de las leyes en todos los niveles (por ejemplo, para evitar diferentes tipificaciones del delito en los diferentes niveles) y la superación de las brechas de capacidad en los diferentes niveles de gobierno es necesario.

Recomendaciones

Establecerunmodelodegobernanzaycondicio-nesque faciliten lacolaboración,coordinaciónycooperación entre todas las partes interesadas, incluso entre las propias entidades gubernamenta-les, para que pueda haber avances más adecuados en la normalización y aplicación de normas legales, reglamentarias y técnicas en todos los niveles gu-bernamentales. Este mismo modelo de gobernan-za podría focalizarse en un escenario centralizado (incluso con la coordinación de una nueva entidad que podría funcionar como una entidad autónoma) o en un escenario colaborativo (instancia multipar-tita) de coordinación.

PARTICIPACIÓN DE LAS PARTES INTERESADAS EN EL DESARROLLO DE NORMAS

Las partes interesadas, en general, tienen una cultura de seguridad cibernética y comprensión de la seguridad cibernética limitadas. Esto incluye, pero no es específico a, el conocimiento sobre la ley y su implementación. Algunas poblaciones en particular se quedan atrás y las brechas están aumentando a un ritmo acelerado (por ejemplo, entre los jóvenes y los ancianos). En algunas áreas, como la protección de datos personales, existen guías, listas de verificación, directrices, normas, etc., pero las partes interesadas no son conscientes de ellas necesariamente.

Recomendaciones

Ponerunfuerteénfasisenelfortalecimientodela colaboración/coordinación/cooperación entretodas las partes interesadas, incluidas las queestán dentro del gobierno, como un medio paradesarrollarpolíticasqueseadaptenalarealidadeconómicaysocialdelasociedadmexicanayquese beneficien del apoyo de diferentes actores.Es importante crear las condiciones para que esa cooperación se lleve a cabo estableciendo un liderazgo claro y estableciendo los mecanismos apropiados para apoyar esa cooperación.

Las PYME y los profesionales independientes son particularmente vulnerables. La seguridad cibernética es un área difícil para ellos, ya que


carecen de sensibilización, conocimiento y recursos para manejar adecuadamente el riesgo. Un desafío clave es crear un entorno que promueva buenas prácticas sin inhibir los incentivos y reducir la capacidad de utilizar las TIC para crear valor. Los temas de educación, conocimiento y habilidades son esenciales.

5. Marco legal (también considerar como un título alternativo: Ley y política)

La combinación del acceso expandido a Internet, el explosivo aumento de dispositivos conectados y la rápida expansión de servicios innovadores basados en la nube está creando enormes oportunidades económicas y sociales para consumidores, gobiernos y empresas.

Hoy en día, los gobiernos están luchando para lidiar con la creciente amenaza, sofisticación y prevalencia de la delincuencia cibernética, que incluye: el robo de identidad; estafas en línea y fraude; esquemas de distribución de malware; ataques contra la integridad y disponibilidad de datos y sistemas; y la distribución en línea de contenidos ilegales.

Cada vez más, estos crímenes son cometidos por grupos organizados que operan en un país y atacan a las víctimas en otro país. Además, la creciente propagación y el tamaño de los ataques perpetrados por delincuentes ponen en grave riesgo la seguridad, la estabilidad y la resiliencia de Internet en regiones de todo el mundo o en cualquier país, con las consecuencias devastadoras que tienen los apagones de Internet para las sociedades afectadas. La naturaleza transfronteriza de la delincuencia cibernética complica la aplicación de la ley y los marcos jurídicos inadecuados en algunos países han creado refugios seguros para los delincuentes cibernéticos.

LEYES SUSTANTIVAS Y PROCESALES MÁS FUERTES

Para combatir eficazmente la delincuencia cibernética, la policía y la industria deben contar con las herramientas legales necesarias para perseguir a los delincuentes cibernéticos dondequiera que se encuentren.

Recomendaciones

ElGobiernodeMéxicodeberíatrabajarparaac-tualizar sus leyes penales sustantivas y proce-sales, de manera que puedan lidiar tanto con las amenazas existentes como las emergentes de la actividad delictiva en línea. Al mismo tiempo, debe procurarse que estas leyes no afecten negativa-mente la innovación ni la adopción de nuevas tec-nologías y no infrinjan los derechos humanos.

También deben promoverse los esfuerzos de autorregulación de la industria, por ejemplo, la aplicación voluntaria de la Mejor Práctica Actual 38 (BCP 38) y la Mejor Práctica Actual 84 (BCP 84) del Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force -IETF), entre las normas presentadas por la Internet Society a través de su Deploy360 Programme.

ADOPTAR LEYES QUE SEAN COMPATIBLES CON CONVENCIONES INTERNACIONALES AMPLIAMENTE ACEPTADAS.

El Convenio de Budapest11 ofrece un buen modelo para la legislación sobre delincuencia cibernética y pruebas electrónicas que pueden ayudar a armonizar las leyes sustantivas y procesales y fomentar una mejor cooperación a través de las fronteras. Esta coordinación y cooperación internacionales pueden ayudar a eliminar los refugios seguros para los actores maliciosos y minimizar los riesgos que surgen cuando los intermediarios y otras partes inocentes están sujetos a obligaciones o responsabilidades contradictorias.

11 Oficialmente conocida como el Convenio sobre Ciberdelincuencia del Consejo de Europa (CETS No.185) Consultada en: http://www.coe.int/en/web/cybercrime/the-budapest-convention


http://www.coe.int/en/web/cybercrime/the-budapest-convention

Recomendaciones

Deberíaconsiderarselaposibilidaddeadherirseal Convenio de Budapest. La ratificación de la Convención le permitiría a México legislar sobre un conjunto mínimo de normas sustantivas y procesales comunes que mejorarán sus capacidades de hacer cumplir la delincuencia cibernética, así como sus capacidades hacia la cooperación y la colaboración internacionales. En particular, se beneficiaría el fortalecimiento de capacidades de las autoridades dentro de los sistemas de justicia penal, incluyendo fiscales, jueces y magistrados. México podría incluir algunas reservas de acuerdo con sus derechos constitucionales.

CREACIÓN DE CAPACIDAD

Aunque hay un nivel significativo de experiencia en investigaciones de delito cibernético a nivel de la policía federal, México carece de oficiales de policía, fiscales, jueces, investigadores judiciales y expertos forenses a nivel federal y estatal que entiendan el delito cibernético y puedan procesar e enjuiciar a criminales con éxito.

Recomendaciones

Méxicodeberíadedicarrecursos importantesala creación de capacidad en la delincuencia ci-bernéticaentrelasfuerzasdelorden,investiga-dores, fiscales y jueces. La capacitación profe-sional y creación de capacidad debe incluir temas tales como forense digital, TCP/IP, investigacio-nes en línea, abuso de DNS, delincuencia en línea (malware, pharma ilegal, botnets, ataques DDoS, phishing y compromisos de correo electrónico empresarial, entre otros). El nivel de profundi-dad técnica de dichos ejercicios de capacitación y creación de capacidad debe estar condicionado al público objetivo.

DESARROLLAR NUEVAS FORMAS DE PREVENIR EL DELITO CIBERNÉTICO

Los esfuerzos actuales para hacer cumplir las leyes contra el delito cibernético son un desafío.

Recomendaciones

Se necesitan nuevos enfoques para perseguira los delincuentes. Un ejemplo puede extraerse de un programa piloto lanzado por la policía de la Ciudad de Londres en asociación con firmas privadas de abogados que utilizan tribunales civiles para confiscar los activos de los delincuentes cibernéticos12. Otro ejemplo es la National Cyber Forensics and Training Alliance (NCFTA), creada en Pittsburgh en 1997, que les permite a las fuerzas del orden público y al socio del sector privado compartir información en un ambiente de confianza y cooperación voluntaria.

También debe considerarse la participación en el Grupo de Trabajo de Seguridad Pública (PSWG – por sus siglas en inglés) de la Corporación de Internet para la Asignación de Nombres y Números (ICANN – por sus siglas en inglés), ya que les proporciona a las agencias policiales la posibilidad de influir en el desarrollo de políticas de manera que ayuden a proteger a los consumidores más eficazmente. Finalmente, la Red de Cumplimiento de las Comunicaciones No Solicitadas (UCENet), donde entidades de 27 países trabajan para combatir el spam (el spam es un medio utilizado por muchos otros medios nefastos como distribución de malware, suplantación de identidad, distribución de material de abuso infantil, entre muchos otros) proporciona un camino para que las fuerzas de la ley estén al tanto de los últimos acontecimientos, tendencias, formación y construcción de relaciones.

PROMOVER LA COOPERACIÓN POLICIAL

La estrategia nacional debe identificar a una entidad encargada de hacer cumplir la ley con responsabilidad primaria en materia de seguridad cibernética y asegurarse de que la entidad cuente con capacitación y recursos adecuados para aliarse con las víctimas y con las entidades pertinentes para promover el intercambio de información de amenazas nuevas y novedosas. Además, se debería alentar también a las fuerzas del orden a que participen en los esfuerzos para armonizar las capacidades forenses de aplicación de la ley a

12 https://www.theguardian.com/uk-news/2016/aug/14/police-to-hire-law-firms-to-tackle-cyber-criminals-in-radical-pilot-project


https://www.theguardian.com/uk-news/2016/aug/14/police-to-hire-law-firms-to-tackle-cyber-criminals-in-radical-pilot-project

nivel mundial y agilizar la posibilidad de compartir información a través de las fronteras. Además, esta entidad debería colaborar con el sector privado, la academia (incluidos los expertos) y la sociedad civil.

Aparte de la unidad de delito cibernético establecida dentro de la Policía Federal, pocas unidades de delito cibernético existen a nivel estatal. Esto significa que muchos estados no tienen la capacidad más básica para investigar violaciones de la ley relacionadas con las TIC, a pesar del alto número y su costo para las empresas y la sociedad. Esos estados frecuentemente le solicitan a la Policía Federal que les preste asistencia, aumentando la carga de trabajo de este último a niveles inmanejables.

Además, no existe un grupo especializado de fiscales y hay muy pocas unidades de investigación judicial dedicadas exclusivamente a la delincuencia cibernética. Todos los esfuerzos y recursos dedicados por la policía en sus investigaciones cibernéticas son desperdiciados si los fiscales no entienden lo que la policía les está trayendo.

Recomendaciones

Méxicodeberíaconsiderarlaposibilidaddecrearunidadespolicialesespecializadasendelincuenciacibernética, así como grupos de fiscales e investigadores que se centren únicamente en el delito cibernético, tanto a nivel federal como estatal. Esto requerirá la introducción (o el fortalecimiento) de capacitación especializada en la Academia de Policía e instituciones relacionadas (si aún no existen). México también debería formalizar los medios y métodos de cooperación entre las autoridades federales y estatales, incluidas las unidades policiales de delito cibernético, así como fiscales especializados, investigadores y el sector privado.

FACILITAR EL INTERCAMBIO DE INFORMACIÓN

El sector privado suele estar en una mejor posición que las entidades de aplicación de la ley para detectar, contener e investigar amenazas en línea. Es el sector privado el que más frecuentemente produce la información procesable que les permite a las agencias de aplicación de la ley atribuir la

actividad criminal a las partes responsables. Sin embargo, en algunos casos, las compañías con información sobre delitos en línea enfrentan la responsabilidad potencial bajo leyes de privacidad, protección de datos u otras si voluntariamente comparten esa información con la policía.

Recomendaciones

Para facilitar y alentar la cooperación oportuna, elgobiernodeMéxicodeberíaaclararlasreglasparaelintercambiodedatosentrelosactoresdelsectorprivadoy lasempresasconaplicacióndelaley. La falta de claridad sobre las normas para el intercambio de información y los riesgos de responsabilidad puede impedir que las empresas trabajen con sus pares y con los organismos encargados de hacer cumplir la ley, incluso cuando la cooperación puede ser crítica para prevenir o responder a la delincuencia cibernética. Además, mejorar los procedimientos y mecanismos de cooperación internacional y transfronteriza mediante la modernización de los procesos de asistencia judicial mutua contribuirá a racionalizar los esfuerzos de fiscalización y a ayudar a aclarar cuestiones importantes relacionadas con la jurisdicción y el acceso a las pruebas. Es importante que las fuerzas de la ley a nivel federal identifiquen las jurisdicciones en las que observan la mayor actividad criminal dirigida a los intereses mexicanos y las jurisdicciones donde con mayor frecuencia se localiza la evidencia que necesitan para su correcto enjuiciamiento para que el gobierno mexicano pueda priorizar la ejecución de los correspondientes tratados de asistencia judicial recíproca.

También es importante que la estrategia nacional haga hincapié en que, independientemente de si la información sobre amenazas está pasando entre aliados del sector privado o de ellos a un organismo gubernamental, se deben tomar medidas para asegurar que el sistema esté diseñado de tal manera que las consideraciones de privacidad estén incluidas al inicio. Los principios de privacidad por diseño pueden aprovecharse para garantizar que, independientemente del tipo de datos compartidos, se mitiguen los riesgos de privacidad a lo largo del ciclo de vida de los datos.


Garantizar una supervisión judicial adecuada y el cumplimiento de las protecciones de la privacidad se hace cada vez más importante en las sociedades conectadas.

DESARROLLO DE NORMAS DE SEGURIDAD CIBERNÉTICA

Las implicaciones internacionales de la seguridad cibernética son inmensas. La manera en que los países se comportan en el ciberespacio desde una perspectiva de seguridad nacional ya no es asunto privado de un Estado individual: es un tema internacional. Los gobiernos deben articular claramente la política de seguridad nacional y el ciberespacio/las TIC, estableciendo normas, principios y normas de conducta relacionados con el uso de las TIC, así como la forma en que pretenden garantizar la seguridad económica, la defensa nacional y la seguridad pública en relación con la seguridad cibernética. Si bien el gobierno debe liderar el desarrollo de esta política, el proceso relacionado con su desarrollo y las medidas cooperativas y de creación de confianza que puedan permitir su implementación efectiva dependen en gran medida de la participación y cooperación con el sector privado, las comunidades técnicas, la academia y la sociedad civil.

Recomendaciones

Tomando como base los compromisos interna-cionales y regionales existentes, la estrategianacional de México debe establecer principiosparalasnormasdeseguridadcibernética, nom-brar un líder claro para coordinar y desarrollar esas normas y establecer un proceso para co-municar posiciones en los foros internacionales existentes y mecanismos (como la red académica antes mencionada) para darle forma a sus propias posiciones y contribuciones en esos foros. El de-sarrollo de las normas de seguridad cibernética es un compromiso a largo plazo para la seguridad y la estabilidad del ciberespacio, y cada país debe tener voz en este diálogo crítico.

CERT/CSIRT NACIONAL

Un CERT Nacional puede ayudar a las víctimas de ataques a prevenir, detectar, mitigar e investigarlos. Sin embargo, un CERT Nacional debe tener un enfoque específico para que pueda responder adecuadamente (en contraposición a tener un enfoque muy amplio como ‘proteger a todos los ciudadanos mexicanos, empresas privadas y entidades gubernamentales’), de modo que limitándolo así a proteger la infraestructura nacional crítica, así como a la protección de la propia infraestructura de Internet en todo el país ayuda a concentrar esfuerzos y recursos. Además, el gobierno mexicano debe darse cuenta de que la propia infraestructura de Internet requiere protección, ya que el tamaño y la frecuencia de los ataques aumentan cada día, y pronto los proveedores de servicios de Internet y los puntos de intercambio de Internet en el país no podrán resistir ataques de varias decenas o cientos de gigabytes por segundo (que dejarían regiones enteras en el país sin acceso a Internet).

Recomendaciones

Elgobiernofederaldeberíaconsiderarlacreaciónde un CSIRT nacional de infraestructura críticanacional independiente de cualquier entidad deaplicación de la ley, independientemente de la aplicación de la ley y con su mandato exclusivamente sobre la protección de la infraestructura crítica y de Internet de México13.

El establecimiento de un CSIRT nacional debe servir como una medida de fomento de la confianza entre las entidades gubernamentales a nivel federal, estatal y local, así como el sector privado. Con este fin, debe ser operado por una organización neutral e independiente centrada únicamente en la protección, no en la aplicación de la ley. Deben existir las garantías de confidencialidad y ser estrictamente respetadas, de modo que las entidades gubernamentales y las empresas privadas realmente envíen informes y busquen asistencia sin el temor de responsabilidades o vergüenza pública.

13 Esto también puede facilitar la creación de un mecanismo central para el intercambio de incidentes entre los CERT existentes (CERT-MX, MATICSI, CERT-UNAM etc.)


6. Otro

PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

El Equipo de Respuesta a Incidentes de Seguridad en Cómputo del país, CERT-MX, es miembro del Foro de Equipos de Respuesta a Incidentes de Seguridad Informática (FIRST) global y sigue un Protocolo de Colaboración con otras entidades gubernamentales. El CERT-MX está muy involucrado en la protección de CNI. Las partes interesadas coordinan la gestión de la seguridad de las infraestructuras y comparten información sobre los activos y las vulnerabilidades de la CNI. En todos los organismos gubernamentales, las tecnologías se actualizan y respaldan regularmente y se adhieren a las disposiciones del Manual Administrativo de Aplicación General en las materias de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), que se desarrolló sobre la base de normas internacionales como ISO 27001, ITIL y Cobit, entre otros. Además, los planes de redundancia digital también están funcionando.

Sin embargo, en consideración a que la Secretaría de la Defensa Nacional (SEDENA) y la Secretaría de Marina (SEMAR) ya tienen responsabilidades en materia de Infraestructura Nacional Crítica (CNI - por sus siglas en inglés), sería conveniente desarrollar una estrategia de seguridad cibernética en el segundo nivel de CNI. Esto debe incluir una metodología precisa para identificar operadores (gubernamentales, públicos-privados o privados) que formarán parte de la seguridad cibernética CNI, así como sus responsabilidades y lugar en la protección e integración desde la perspectiva nacional14.

14 OEA/Gobierno de México, Taller de intercambio de mejores prácticas en seguridad cibernética - Recomendaciones y observaciones (27-29 de octubre de 2015 - Ciudad de México, México)


Conclusiones

En general, estos son los principales puntos emanados de las discusiones de mesa redonda de dos días:

1. Es evidente que México ya tiene varias políticas y legislación relacionadas con las TIC y la seguridad de la información en funcionamiento. Estos deben ser tomados en cuenta como una buena base para el desarrollo de un marco nacional de seguridad cibernética. Es importante que México se mantenga enfocado en la estrategia, formando y fortaleciendo sus bloques fundamentales y agregando iniciativas de forma incremental, en lugar de multiplicar nuevas iniciativas hacia muchas direcciones.

2. México debe formular y articularles, a todos los interesados, los objetivos de alto nivel e integrales (“visión”).

3. El marco nacional de seguridad cibernética y su aplicación deben respetar principios fundamentales como la privacidad, la libertad de expresión, la proporcionalidad, entre otros.

4. El liderazgo fuerte es importante para el desarrollo e implementación exitosa del marco nacional de seguridad cibernética. Este proceso debe ser apoyado por el nivel más alto de Gobierno.

5. El establecimiento de un marco institucional que defina claramente las funciones y responsabilidades, los mecanismos de coordinación y las modalidades de aplicación garantizará que el marco nacional de seguridad cibernética sea eficaz y cumpla sus objetivos.

6. El proceso de desarrollo e implementación debe adoptar un enfoque de múltiples interesados, basado en la confianza y la transparencia.

7. México debería considerar un organismo nacional dinámico de coordinación de seguridad cibernética/digital que involucre a todos los sectores gubernamentales, con protocolos para involucrar a actores de la industria, la academia y la sociedad civil. Este órgano tendría el mandato de coordinar la Estrategia Nacional de Seguridad Cibernética/Digital.

8. El marco nacional de seguridad cibernética debe basarse en un enfoque de gestión de riesgos con el objetivo de aprovechar al máximo las oportunidades que aprovechan el entorno digital y apoyan el desarrollo de actividades económicas y sociales.

9. La adopción de mejores prácticas internacionales, normas y legislación modelo (como el Convenio de Budapest) puede facilitar mejor la cooperación internacional y la colaboración para la investigación de incidentes y delitos cibernéticos con otros actores regionales e internacionales.


Secretario GeneralLuis Almagro Lemes

Secretario General AdjuntoNestor Méndez

Secretaria de Seguridad MultidimensionalClaudia Paz y Paz

Secretaria Ejecutiva Comité Interamericano contra el TerrorismoAlison August Treppel

Equipo Técnico

Programa Ciberseguridad de la OEABelisario Contreras, Gerente de Programa Kerry-Ann Barrett, EspecialistaBarbara Marchiori de Assis, Especialista

Expertos Invitados por la SG/OEAAlessandro Gemmiti, Global Affairs CanadaAndres Rengifo, MicrosoftCamino Kavanagh, Experta InvitadaCarlos Alvarez, Cooperación de Internet para la Asignación de Nombres y Números (ICANN)Cynthia Wright, MITREElizabeth Vish, Departamento de Estado de EE.UU.Félix Barrio, Instituto Nacional de Ciberseguridad de EspañaFrancisco Vera, Global Partners DigitalJorge Bejarano Lobo, Experto InvitadoLaurent Bernat, Organización para la Cooperación y el Desarrollo Económicos (OCDE) Lina Ornelas, Google

Esta iniciativa cuenta con el apoyo financiero del Gobierno de

Recomendaciones para el Desarrollo de la …...4 Recomendaciones para el Desarrollo de la Estrategia...

Documents

Transcript of Recomendaciones para el Desarrollo de la …...4 Recomendaciones para el Desarrollo de la Estrategia...