¿Qué es la Estrategia Nacional de Ciberseguridad?

La estructura propuesta por el gobierno se basa en ocho ejes transversales que van desde cultura y concienciación hasta la adecuación de marcos jurídicos.

La Presidencia de la República publicó el primer documento de trabajo para el diseño de la política pública mexicana en materia de ciberseguridad con la que busca que, para el 2030, México sea “un país mejor preparado y resiliente ante ciberataques”.

La estructura propuesta por el gobierno se basa en ocho ejes transversales que van desde cultura y concienciación hasta la adecuación de marcos jurídicos, y con cuatro objetivos estratégicos: economía, sociedad, gobierno y seguridad nacional.

Los ejes transversales de la llamada Estrategia Nacional de Ciberseguridad (ENCS), de acuerdo con la propuesta que puso a discusión el Gobierno federal, son:

  1. Concienciación, cultura y prevención
  2. Desarrollo de capacidades
  3. Coordinación y colaboración
  4. Investigación y desarrollo
  5. Estándares y criterios técnicos
  6. Protección a infraestructuras críticas
  7. Marco jurídico
  8. Medición y seguimiento

Y como objetivos estratégicos se plantearon los siguientes:

  1. Economía
  2. Sociedad
  3. Gobierno
  4. Seguridad Nacional

A continuación describimos cada objetivo estratégico.

1. Ciberseguridad: Economía

La propuesta busca el diseño de acciones de innovación tecnológica, marco jurídico, cooperación internacional y desarrollo industrial; así como la colaboración para la formación de recursos humanos de alto nivel, a fin de crear una cultura de prevención.

Concienciación, cultura y prevención

  • Estrategia de comunicación para generar confianza en el uso de servicios de comercio electrónico seguros.
  • concienciación sobre los riesgos asociados con el ciberespacio y las responsabilidades de cada actor en el uso de las TIC.

Desarrollo de capacidades

  • Capital humano especializado en materia de ciberseguridad.

Coordinación y colaboración

  • Coordinación nacional sobre ciberseguridad para mitigación de riesgos y amenazas.
  • Foros de comunicación para el intercambio de buenas prácticas.

Investigación y desarrollo

  • Programa nacional que promueva la investigación y desarrollo en ciberseguridad para la generación de tecnología propia, reduciendo la dependencia de otros Estados.

Estándares y criterios técnicos

  • Grupos de especialistas en materia de ciberseguridad en los distintos sectores de la sociedad para el desarrollo de buenas prácticas, normas y estándares conforme a las necesidades del país.

Protección a infraestructuras críticas

  • Mecanismos, marco jurídico y normas técnicas para el crecimiento económico del país a través de la innovación tecnológica, manteniendo la protección las Infraestructuras Críticas de la Información.

Marco jurídico

  • Armonización del marco jurídico nacional que regule las operaciones realizadas a través de Internet y proporcione seguridad y confianza al realizar transferencias de datos, operaciones de comercio electrónico y cualquier actividad digital.
  • Protección de los derechos fundamentales, actividades económicas, salud y sociales efectuadas por medio de las TIC.

Medición y seguimiento

  • Métricas sobre el uso y confianza de servicios de comercio electrónico
  • Indicadores que reflejen la problemática sobre incidentes de ciberseguridad.

2. Ciberseguridad: Sociedad

Se plantea incrementar la cultura de la ciberseguridad; fomentar la confianza de las personas para usar los servicios en línea públicos y privados; la protección de la información digital de los usuarios y las TIC; así como el impulso a mecanismos de cooperación sobre ciberseguridad.

Concienciación, cultura y prevención

  • Campañas de concienciación y prevención que contemplen autoprotección, esquemas de autorregulación y mejores prácticas.
  • Propuestas en relación al acceso de contenidos digitales que permitan la protección de adolescentes, niños y niñas.

Desarrollo de capacidades

  • Programas de estudio y certificaciones para la formación de profesionales con competencias y habilidades en ciberseguridad.

Coordinación y colaboración

  • Coordinación, colaboración y compartición de información institucional para la prevención y combate de incidentes cibernéticos, mediante la participación ciudadana, a fin de preservar la estabilidad social.

Investigación y desarrollo

  • Investigación y desarrollo enfocado a la construcción de un ciberespacio seguro y confiable para la sociedad.

Estándares y criterios técnicos

  • Coordinación y capacitación de las instancias de los tres órdenes de gobierno para la orientación de sus políticas, lineamientos y acciones hacia estándares internacionales, que coadyuven al bienestar de la población.

Protección a infraestructuras críticas

  • Procedimientos y mecanismos para la protección de las Infraestructuras Críticas de la Información e Información e Inteligencia Especializada que proporcionan servicios y productos relacionados con el bienestar social.

Marco jurídico

  • Armonización del marco jurídico nacional, con un enfoque a los derechos humanos, de carácter preventivo, y fomento al ejercicio libre, seguro y confiable de las TIC.
  • Marco institucional para mayor eficiencia en la cooperación entre policías y procuradurías.
  • Formación y actualización de perfiles en Poder Judicial sobre términos y funcionamiento de las TIC, para mejorar la investigación del delito cometido con el uso de las TIC.
  • Armonización jurídica en conductas delictivas e identificación de oportunidades puntuales para adecuar artículos del Código Penal Federal, el Código Nacional de Procedimientos Penales, en la Ley Federal de Telecomunicaciones y Radiodifusión.

Medición y seguimiento

  • Indicadores de medición de efectividad de las campañas de concienciación y cambio cultural, así como de los incidentes de ciberseguridad.
  • Generación de estadísticas oficiales.

Ciberseguridad: Gobierno

El primer documento requiere la promoción de acciones estratégicas en ciberseguridad que permita la operación continua y resiliente de las instituciones, sus sistemas de información y la prestación adecuada y segura de trámites y servicios.

Concienciación, cultura y prevención

  • Campañas de concienciación y prevención, en las que se definan esquemas de colaboración entre los distintos entes públicos y privados.

Desarrollo de capacidades

  • Políticas y programas de actualización de tecnología y de fortalecimiento de habilidades de servidores públicos.

Coordinación y colaboración

  • Cooperación entre instituciones públicas y privadas, que coadyuven a fortalecer la ciberseguridad en la gestión de información relacionada con trámites y servicios.

Investigación y desarrollo

  • Desarrollo tecnológico, la investigación e intercambio de conocimiento para fortalecer la ciberseguridad al interior de las instituciones públicas.

Estándares y criterios técnicos

  • Criterios y controles para estandarizar los procesos de seguridad de la información y el tratamiento de datos de los entes públicos.
  • Identificación del estado actual de la infraestructura y recursos para la ciberseguridad del país mediante una Política rectora de TIC para cada ente público.

Protección a infraestructuras críticas

  • Protección y medidas de gestión de riesgo y de protección a infraestructuras críticas de los entes públicos.
  • Instauración de canales de comunicación seguros para coordinación ante posibles ataques y resiliencia.

Marco jurídico

  • Análisis y armonización del marco jurídico, instrumentos y esquemas de cooperación internacional que define el actuar de los entes públicos y privados, para establecer políticas, acciones y procesos que incrementen la ciberseguridad.

Medición y seguimiento

  • Indicadores y metodología para medir las capacidades de prevención y respuesta a los incidentes registrados por los entes públicos.
  • Esquemas de cooperación con el sector privado.
  • Proceso gradual de adopción voluntaria de los procesos referidos en el Manual de Gestión de Tecnologías de la Información y Seguridad Informática (MAGTICSI).

Ciberseguridad: Seguridad Nacional

El gobierno plantea el diseño de acciones en materia de ciberdefensa, por parte de las fuerzas armadas, para la protección contra ataques cibernéticos nacionales e internacionales, así como mecanismos para la protección de la información digital crítica e infraestructuras críticas relacionadas con la Seguridad Nacional.

Concienciación, cultura y prevención

  • Campañas de concienciación y prevención dedicadas a las instancias de Seguridad Nacional, considerando ciberseguridad, comunicaciones, y manejo de información general, personal y laboral.

Desarrollo de capacidades

  • Formación de funcionarios expertos en ciberseguridad y una base de conocimientos centralizada.

Coordinación y colaboración

  • Mecanismos de colaboración y cooperación entre dependencias vinculadas con la Seguridad Nacional para el intercambio de información e inteligencia.

Investigación y desarrollo

  • Desarrollo tecnológico, investigación e intercambio de conocimiento a fin de fortalecer la ciberseguridad en las dependencias que cuenten con Infraestructura Crítica de la Información del Estado Mexicano.

Estándares y criterios técnicos

  • Marcos normativos que faciliten la estandarización del proceso de seguridad de la información y el tratamiento de activos de información en las Instancias de Seguridad Nacional.

Protección a infraestructuras críticas

  • Identificación de las Infraestructuras Críticas de la Información mediante la integración y actualización de un Catálogo Nacional de las Infraestructuras Críticas de la Información (CNICI).
  • Fortalecimiento del marco institucional en materia de Infraestructuras Críticas de la Información.
  • Protocolos de comunicación y cooperación entre los sectores involucrados para la ciberdefensa en situaciones de un ciberataque que afecte las Infraestructuras Críticas de la Información o Información e Inteligencia Especializada, con una posible afectación al orden y paz social.

Marco jurídico

  • Adecuación del marco jurídico en Seguridad Nacional y su relación con ciberseguridad.
  • Armonización de la legislación en relación a delitos en relación a delitos como ciberterrorismo, delitos que usan TIC para su comisión (ciberdelitos), ciberataques y ciberamenazas, el cual debe contemplar la investigación y sanción correspondiente.

Medición y seguimiento

  • Metodología, análisis y prácticas de gestión de riesgos y vulnerabilidades.
  • Planes de continuidad y recuperación ante desastres, así como evaluaciones de impacto.
  • Estadísticas globales para conocer las tendencias de los incidentes cibernéticos.

Enlaces para profundizar en la materia

Les compartimos estos enlaces sobre estrategias de ciberseguridad, desde diseños globales o guías recopiladas por la Unión Internacional de Telecomunicaciones (UIT) hasta las experiencias nacionales de Canadá, Colombia, Jamaica y Panamá.

ENLACE: Estrategias de ciberseguridad en el sitio de la UIT

ENLACE: Estrategia de ciberseguridad del Reino Unido

ENLACE: Estrategia de ciberseguridad de Canadá

ENLACE: Estrategia de ciberseguridad de Colombia

ENLACE: Estrategia de ciberseguridad de Jamaica

ENLACE: Estrategia de ciberseguridad de Panamá

Fuente: julio.sanchez@eleconomista.mx
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s