Ley de ciberseguridad- Criterios mínimos
abril, 3, 2024
9 minutos de lectura
¿Cuáles son los criterios técnicos mínimos que recomiendan los expertos?
Una ley de ciberseguridad que carece de criterios técnicos mínimos está destinada a ser insuficiente en su lucha contra las crecientes amenazas digitales. Es fundamental que la ley se base en las mejores prácticas y conocimientos técnicos. Al incluir criterios técnicos mínimos respaldados por expertos en ciberseguridad, se establece un estándar sólido y actualizado que las organizaciones pueden seguir para protegerse de manera efectiva contra amenazas cibernéticas.
Definiciones
- Una terminología técnica de ciberseguridad clara y precisa en la legislación es crucial para evitar malas interpretaciones y posibles abusos legales.
- Definir «infraestructura crítica» en sentido amplio para abarcar las tecnologías y servicios emergentes.
- Especificar en la definición de Infraestructura Crítica de la Información que las entidades bancarias siguen su normativa única en materia de ciberseguridad o excluir de su ámbito de aplicación los bienes y la prestación de servicios privados.
Frameworks
- Establecer marcos de intercambio de información antes de implementar sistemas de intercambio y centros de respuesta a incidentes para aumentar la transparencia de los ataques a la ciberseguridad y la utilidad de los datos actuales sobre ataques.
- Crear un marco nacional de ciberseguridad para la protección de infraestructuras críticas.
- Establecer un marco jurídico adaptado para la gestión de riesgos, teniendo en cuenta los atributos, amenazas, vulnerabilidades y tolerancia al riesgo propios de cada organización. Capacitar a las organizaciones para priorizar las actividades críticas y asignar las inversiones estratégicamente para obtener el máximo impacto.
Mecanismos de colaboración
- Promover la colaboración público-privada para la ciberseguridad mediante el establecimiento de normas, certificación, educación y una junta de revisión de la seguridad.
- Los ciberdelitos afectan a la información, los sistemas informáticos y las redes, por lo que la ciberdefensa es una responsabilidad colectiva. Los mecanismos de colaboración entre el Estado y el sector privado son cruciales para evitar responsabilizar de los delitos a los proveedores de servicios de Internet, que proporcionan conectividad, pero no controlan su uso.
- Utilizar el modelo de los Centros de Análisis e Intercambio de Información (ISACs por sus siglas en inglés) para mejorar la comunicación entre sectores industriales.
Recomendaciones
- Garantizar que la legislación se adapta a los rápidos cambios tecnológicos en materia de ciberseguridad mediante la creación de un consejo consultivo especializado que se encargue de las actualizaciones periódicas.
- Mantener actualizadas las políticas de seguridad de la información, alineadas con la normativa y realizar evaluaciones periódicas de los riesgos para abordar las vulnerabilidades.
- Incluir requisitos de notificación de violaciones de propiedad intelectual.
- Impartir formación obligatoria sobre ciberseguridad al personal, establecer controles de acceso y garantizar medidas de seguridad física y de la red.
- Supervisar y auditar los sistemas para identificar incidentes de seguridad y mantener la continuidad de la actividad y los planes de recuperación en caso de catástrofe para la resiliencia operativa.
- Salvaguardar los datos personales y sensibles, cumplir la legislación sobre privacidad y crear planes de respuesta a incidentes para una gestión eficaz de la seguridad.
- Mantener un equilibrio entre la protección de datos y la privacidad es crucial. Las leyes deben salvaguardar tanto los datos como los sistemas informáticos, respetando al mismo tiempo la privacidad y la libertad de expresión de las personas. Definir claramente los límites y las condiciones de las excepciones para evitar usos indebidos.
- Pueden ser necesarias excepciones para los investigadores de ciberseguridad que identifiquen vulnerabilidades del sistema para mejorar la seguridad y salvaguardar la información.
- Para garantizar el cumplimiento de la normativa financiera, la ley debe excluir explícitamente a las entidades financieras de la categoría de proveedores de servicios de infraestructura digital y especificar que deben seguir una legislación específica a efectos de autenticación.
- Informar de los incidentes críticos que provoquen la pérdida de confidencialidad, integridad o disponibilidad de la información y que afecten a la seguridad y resistencia de los sistemas operativos.
Regulación redundante
- Evitar la regulación redundante para las entidades reguladas a nivel federal, al tiempo que se establece una norma básica de ciberseguridad.
- Las entidades que proveen servicios a bancos (relacionados con sistemas informáticos, bases de datos o procesos operativos) también tienen una regulación especial en las Disposiciones de Carácter General aplicables a Instituciones de Crédito (CUB) donde: (i) se requiere incluso aviso o autorización de la Comisión Nacional Bancaria y de Valores (CNBV); (ii) se prevé que se podrá ordenar la suspensión de los servicios cuando se pueda ver afectada la estabilidad financiera, la continuidad operativa de la entidad o la protección de los intereses del público y (iii) se prevé regulación relacionada con la integridad, seguridad, confidencialidad, resguardo y confiabilidad en el manejo de la información generada con motivo de la prestación de los servicios.
Infraestructuras críticas de información
Para la protección de las Infraestructuras Críticas de Información deberán estar a cargo de aquellas entidades públicas o privadas que las gestionen, siguiendo las siguientes disposiciones de ciberseguridad:
- Evaluación de riesgos: Las entidades responsables deberán realizar evaluaciones periódicas de los riesgos para la seguridad de la información, identificando las posibles vulnerabilidades y amenazas a sus infraestructuras críticas.
- Implantación de controles de seguridad: Las entidades implantarán controles de seguridad adecuados y proporcionales al nivel de riesgo identificado en sus infraestructuras críticas, incluyendo mecanismos de protección de datos, control de accesos, seguridad física y medidas de prevención y detección de intrusiones.
- Coordinación con autoridades reguladoras y organismos especializados: Las entidades responsables deben establecer mecanismos de coordinación y cooperación con las autoridades reguladoras y organismos especializados en ciberseguridad, para recibir asesoramiento y apoyo técnico en la protección de sus infraestructuras críticas.
- Formación y concienciación: Las entidades deberán proporcionar formación y concienciación en materia de ciberseguridad a su personal para garantizar que comprenden sus responsabilidades y están mejor preparados para hacer frente a posibles ciberamenazas.
- Supervisión y respuesta ante incidentes: Las entidades responsables implantarán sistemas de monitorización y respuesta ante incidentes, incluyendo la creación de equipos de respuesta ante incidentes de seguridad de la información y el desarrollo de planes de acción y recuperación ante incidentes.
- Planes de continuidad y recuperación: Las entidades elaborarán y mantendrán planes de continuidad de la actividad y de recuperación en caso de catástrofe para garantizar la resistencia de sus infraestructuras críticas en caso de incidente de seguridad o evento adverso.
- Cumplimiento normativo y auditorías: Las entidades responsables garantizarán el cumplimiento de los reglamentos y normas de ciberseguridad aplicables y realizarán auditorías periódicas internas y externas para evaluar la eficacia de sus medidas de protección.
- Notificación de incidentes y colaboración con las autoridades: Las entidades comunicarán oportunamente a las autoridades competentes cualquier incidente de seguridad que afecte a sus infraestructuras críticas y colaborarán con ellas en la investigación y resolución de incidentes.
Estos criterios mínimos proporcionan un marco claro y práctico que guía en la implementación de medidas de seguridad adecuadas, lo que resulta en una protección más robusta de los datos, sistemas y activos digitales contra posibles ciberataques. Al garantizar que la ley de ciberseguridad contenga los criterios técnicos mínimos recomendados por expertos, se fortalece la capacidad de las organizaciones para enfrentar los desafíos del ciberespacio.