5 claves para delinear una ley de ciberseguridad eficiente en México

La falta de regulación en materia de ciberseguridad es una asignatura pendiente en México, y una cada vez más urgente si tomamos en cuenta que el panorama de nuestro país en este rubro se agravó bastante durante los últimos dos años.

Tan solo durante el primer año de la pandemia, la cantidad de ciberataques que enfrentó nuestro país se triplicó. A su vez, durante el primer semestre de 2022 se registraron 85,000 millones de incidencias, cifra que representa un aumento del 40% a comparación del mismo periodo de 2021.

También en la primera mitad de 2022, casi 60% de los ciberataques experimentados en Latinoamérica estuvo enfocado en México. Esto lo convierte en el país más más atacado de la región.

Pese a ello, las empresas mexicanas han aprendido de estos últimos dos años y se sienten más preparadas para afrontar y prevenir ciberataques.

En México vamos mejorando

Según resultados de la encuesta Digital Trust Insights 2023, edición México, 86% de las empresas dijo haber mejorado su capacidad para defenderse de ataques de ransomware y 78% respondió de manera efectiva frente a un ciberataque. También, se prevé que en 2023 las empresas mexicanas aumentarán su presupuesto para combatir los ciberataques de manera independiente; sin embargo, esto sigue sin ser suficiente, y es por ello que una ley de ciberseguridad nacional podría ayudar a fortalecer sus esfuerzos. 

Una iniciativa de ley de ciberseguridad en México abre la posibilidad de generar una base jurídica para perseguir ciberdelito. A su vez, podría incrementar el cumplimiento de buenas prácticas de seguridad digital en las empresas mexicanas.

Sin embargo, para llegar a una ley de ciberseguridad que sea eficiente, se deben tomar en cuenta varios puntos. Sobre esto, IQSEC comparte con Business Insider México cinco puntos clave para delinear una que no solo desaliente la actividad cibercriminal, sino que también dote tanto a individuos como a empresas de los instrumentos necesarios para defenderse de ciberataques.

1. Incluir los rubros de ciberdefensa y ciberresiliencia

La ley debe de incluir, dentro de su alcance, el rubro de «ciberdefensa». Esta se define como un subconjunto de acciones que además de identificar, visibilizar, neutralizar y controlar las amenazas cibernéticas, buscan responder de manera inmediata y/o automatizada a los ciberataques.

Esto con el objetivo de salvaguardar la seguridad de activos críticos de una organización o bien de una nación, para la protección de las personas, los datos y las operaciones sustantivas.

A su vez, también debe incluir el rubro de «ciberresiliencia». Esta debe entenderse como la capacidad de prepararse para superar un ciberataque y mantener la confianza de su entorno, evitando pérdidas económicas y y daños de reputación.

2. Basarse en las mejores prácticas en la industria de la ciberseguridad

IQSEC dice que se debe delinear una Estrategia Nacional de Ciberseguridad que esté basada en las mejores prácticas reconocidas en la industria; esto desde el punto de vista de la identificación, la protección, la detección, la respuesta y la recuperación. Además, se debe establecer una postura proactiva ante cualquier tipo de ciberataque.

3. Incluir mecanismos de protección contra el robo de identidad

La ley debe establecer mecanismos de protección contra la usurpación de identidad, con instrumentos legales que castiguen y tipifiquen el uso de una identidad falsa o robada como delitos graves. También debe generar medidas de seguridad a través de lo siguiente:

a) Las instituciones que prestan algún servicio que involucre operaciones con recursos financieros (efectivo y valores), bienes o cualquier parte patrimonial de un individuo, deberán estar obligadas a hacer una validación y verificación real de la identidad de los sujetos que las realicen. Para ello, deben llevar a cabo una comparación de los datos generales y biométricos del individuo contra los registrados ante INE u otra autoridad oficial (por ejemplo, los pasaportes emitidos por la SRE). Esto con el fin de tener certeza razonable de que la persona sea quien dice ser y que el documento que presenta es auténtico.

b) Establecer sanciones contundentes y, sobre todo, facilitar a las víctimas la presentación de las denuncias correspondientes y los elementos para poder perseguir de manera eficaz a los probables responsables de la comisión del ciberdelito.

4. Establecer marcos de trabajo de ciberseguridad que garanticen la protección de datos

La ley debe adoptar marcos de trabajo de ciberseguridad conforme a las mejores prácticas para que las organizaciones públicas y privadas puedan demostrar que implementan acciones proactivas para proteger tanto la identidad de los terceros como la información confidencial que poseen. Esto para que, en el caso de que sufran una vulneración, se asuma correctamente la responsabilidad tanto por acción como por omisión.

A su vez, se debe establecer la obligatoriedad de poner salvaguardas a los datos confidenciales. Esto para que, en caso de ser extraídos, estén cifrados y no puedan hacer uso de ellos.

5. Crear una concientización de la ciberseguridad en todos los niveles sociales

La ley debe establecer programas de concientización en todos los niveles de la sociedad mexicana. Lo ideal, según IQSEC, es establecer desde la educación básica materias o programas de concientización en el uso correcto de las tecnologías. Esto ayudará a fortalecer desde una edad temprana al usuario frente a las ciberamenazas, ayudándole a conocer e identificar ataques de ingeniería social, phishing, DDOS, entre otros. 

AHORA LEE: Faltan 260,000 especialistas en ciberseguridad para las empresas de México, advierte consorcio del sector

TAMBIÉN LEE: Establecer una ley general de ciberseguridad en México es más importante que nunca

Descubre más historias en Business Insider México

Síguenos en Facebook, Instagram, LinkedIn, Twitter, TikTok y YouTube

AHORA VE:

• Ciberataques
• Ciberseguridad
• Malware
• México
• Phishing
• Ransomware