Claves para Ley de Ciberseguridad en México
La falta de regulación en materia de ciberseguridad sigue siendo una asignatura pendiente en nuestro país, y en este 2023, se prevé que las empresas mexicanas aumenten su presupuesto para combatir los ciberataques de manera independiente, en espera de que establezcan las sanciones correspondientes para reducir los altos índices de inseguridad digital, afirma IQSEC, compañía de ciberseguridad e identidad digital, basado en Digital Trust Insights 2023, edición México.
Ante este panorama, el estudio establece 6 puntos clave para delinear una Ley de Ciberseguridad que desaliente la actividad cibercriminal y a la vez dote a las personas y a las organizaciones de instrumentos para defenderse ante los ineludibles ciberataques:
1.- Incluir, dentro de su alcance, los rubros de Ciberdefensa, que se define como un subconjunto de acciones que además de identificar, visibilizar, neutralizar y controlar las amenazas cibernéticas, buscan responder de manera inmediata y/o automatizada a los ataques. Esto con el objetivo de salvaguardar la seguridad de activos críticos de una organización o bien de una nación, para la protección de las personas, los datos y las operaciones sustantivas. Así como también el rubro de Ciberresiliencia, la cual se debe entender como la capacidad de prepararse para superar un ciberataque y mantener la confianza de su entorno, evitando pérdidas económicas y reputacionales.
2.- Delinear una Estrategia Nacional de Ciberseguridad, que esté basada en las mejores prácticas reconocidas en la industria (desde el punto de vista de la identificación, la protección, la detección, la respuesta y la recuperación) además, establecer una postura proactiva ante cualquier ciberataque.
3.- Establecer mecanismos de protección contra la usurpación de identidad, con instrumentos legales que castiguen y tipifiquen el uso de una identidad falsa o robada como delitos graves, así como también generar medidas de seguridad mediante lo siguiente:
- a) Aquellas instituciones que prestan algún servicio donde involucre operaciones con recursos financieros (efectivo y valores), bienes o cualquier parte patrimonial de un individuo, deberán estar obligadas a hacer una validación y verificación real de la identidad de los sujetos que las realicen, llevando a cabo una comparación de los datos generales y biométricos del individuo contra los registrados ante el INE (Instituto Nacional Electoral) u otra autoridad oficial (como por ejemplo los pasaportes emitidos por la Secretaría de Relaciones Exteriores), a fin de que se tenga certeza razonable de que la persona sea quien dice ser y que el documento que presenta es auténtico.
- b) Establecer sanciones contundentes y, sobre todo, facilitar a las víctimas la presentación de las denuncias correspondientes y los elementos para poder perseguir de manera eficaz a los probables responsables de la comisión del ciberdelito.
4.- Adoptar marcos de trabajo de ciberseguridad conforme a las mejores prácticas para que las organizaciones públicas y/o privadas puedan demostrar que han estado implementando acciones proactivas para proteger tanto la identidad de los terceros como la información confidencial que poseen, para que, en el caso de que sufran una vulneración, se asuma correctamente la responsabilidad tanto por acción como por omisión.
5.- Establecer la obligatoriedad de poner salvaguardas a los datos confidenciales para que, en caso de que alguien los extraiga de manera no autorizada, estos estén cifrados, de tal forma que no puedan hacer uso de ellos.
6.- Establecer programas de concientización en todos los niveles de la sociedad, pudiendo establecer desde la educación básica materias o programas de concientización en el uso correcto de las tecnologías, para lograr de esta manera robustecer el eslabón más débil de la cadena que es el usuario y así lograr que todos conozcan e identifiquen ataques como, Ingeniería Social, Phishing, ataque de denegación de servicio, entre otros similares.