La Organización de Estados Americanos (OEA) manifestó su interés en una revisión de la política pública de seguridad informática. La cual se encuentra expresada en la Estrategia de Ciberseguridad Nacional de México que impulsó Enrique Peña Nieto en el 2017. Los motivos de esta exigencia recaen en que la estrategia de Ciberseguridad Nacional parece tener un enfoque más económico, relegando la protección de datos a un segundo plano.
Con esto en mente, los expertos de Fluid Attacks compartieron un modelo de optimización de las políticas públicas de seguridad informática para América Latina. El plan presentado durante el LATAM CISO 2023, puede convertirse en un interesante modelo para optimizar la estrategia de ciberseguridad nacional.
¿De qué trata la estrategia de ciberseguridad nacional de México?
La estrategia de ciberseguridad nacional de México posee un fuerte componente económico en su diseño, en comparación con sus pares regionales. Su objetivo principal era establecer y fortalecer las acciones de ciberseguridad que fomenten un uso responsable de las TIC. Considerando tanto la situación de las empresas, públicas o privadas, y los ciudadanos.
Para lograr un consenso estable que desarrollara una propuesta de ciberseguridad factible, se organizó una mesa de debate que incluyó a los sectores públicos y privados, el sector civil y el sector académico. Se resolvió que la estrategia de ciberseguridad nacional fuese implementada por el Poder Ejecutivo.
Para ello, debería crearse el Subcomité de Ciberseguridad, el cual dependería y respondería directamente a la secretaria de Gobernación (Segob). A este subcomité se une una estructura de coordinación y una agencia multisectorial.
Falencias encontradas en el diseño de la estrategia de ciberseguridad nacional
El fin de esta propuesta era lograr una coordinación entre la regulación preexistente, las legislaciones en materia de protección de datos y la protección de infraestructuras críticas. Para luego realizar una conjunción con las necesidades regulatorias en materia de delitos cibernéticos.
Se generó, de esta manera, un instrumento con un fuerte carácter económico enfocado en el desarrollo eficiente del estado. En desmedro de la ejecución de un plan robusto e integral de protección de datos.
Lo cierto es que el organismo encargado de administrar la estrategia de ciberseguridad nacional, y de revisar el desempeño de esta política pública, nunca fue creado. La administración de Lopez Obrador no hizo más que relegar esta tarea a un segundo plano, publicando una actualización que incurre en los mismos errores de la anterior.
¿Qué cambios se deben implementar en esta política pública de seguridad informática?
Las organizaciones suelen fallar, estrepitosamente en algunos casos, a la hora de gestionar un plan de seguridad informática. Esto ha suscitado que los estados nacionales de Latinoamérica asuman un rol regulador. Sin embargo, las dificultades siguen apareciendo, sobre todo si se tiene en cuenta que estas economías en desarrollo no poseen un holgado presupuesto.
Felipe Gomes, director regional de Fluid Attacks, esta carencia de políticas públicas en seguridad informática no ha hecho más que despertar el interés de los ciberdelincuentes. Llegando a generar más de 1600 ciberataques por segundo.
Pero, ¿cómo mejorar las estrategias de ciberseguridad nacional en este contexto? Fluid Ataccks compartió un modelo de 5 aspectos para la optimización de las políticas públicas en seguridad informática a aplicarse en Latinoamérica. Este programa puede ser un gran punto de partida para el gobierno de México.
1 | Romper la barrera que la limita la ciberseguridad a la protección de infraestructuras críticas
Las políticas públicas limitan sus regulaciones a la implementación de medidas preventivas para la protección de infraestructuras críticas. Sin embargo, los adelantos tecnológicos de los últimos años exigen una ampliación de este campo de acción.
Cada vez son más las compañías que ofrecen productos o servicios a través de estructuras tecnológicas. Donde se le otorga un componente vital al manejo de los datos delicados de usuarios.
2 | Establecer requisitos mínimos de seguridad informática
Las nuevas directrices deberían tomar un nuevo enfoque preventivo. Abandonando el viejo rol pasivo que tanta debilidad han causado a las estructuras tecnológicas de la región.
En las estrategias de ciberseguridad nacional se deben exigir buenas prácticas como requisitos mínimos. Los cuales deben incluir:
- Pruebas continuas para la detección de vulnerabilidades.
- Resolución de brechas de seguridad.
- Notificación de problemas de ciberseguridad a los usuarios.
3 | Implementación de un sistema de divulgación de incidentes y de estrategia de ciberseguridad
Las organizaciones deberán informar de cualquier incidente de ciberseguridad que sufran. Como también las estrategias de gestión del riesgo y gobernanza que implementan para solucionar el conflicto. También será ideal que se declaren las habilidades de seguridad informática que poseen los miembros de juntas directivas.
4 | Creación de entidades para contrarrestar el cibercrimen
Los gobiernos de América Latina, deberán considerar la creación de agencias gubernamentales que enfoquen sus esfuerzos exclusivamente en la detección e interrupción de las acciones de actores maliciosos. Desde allí sería factible empezar a diseñar una estrategia de ciberseguridad nacional que aúne esfuerzos entre organizaciones nacionales e internacionales.
5 | Frenar el desarrollo de tecnología insegura
Por último, las políticas públicas de ciberseguridad también deberán considerar un sistema de sanciones a aquellas empresas que comercialicen productos tecnológicos básicos con escasas medidas de seguridad.
La propuesta de optimización de políticas públicas de ciberseguridad para América Latina, diseñada por Fluid Atacck es un excelente punto de para comenzar a pensar en una mejora de la estrategia de ciberseguridad nacional. El gobierno México posee un notable punto de partida para, finalmente, comenzar a trabajar en la protección de datos de sus ciudadanos.
