Las niñas de ayer asegurando el espacio digital de las niñas de hoy

¡Te invitamos a nuestro panel virtual! En el marco del Día de las Niñas, acompáñanos en esta conversación con mujeres líderes y expertas sobre la construcción de un futuro digital seguro y confiable.

Comparativo de infraestructura institucional en ciberseguridad

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México

Registrate para seguir leyendo


Comparativo de infraestructura institucional en ciberseguridad (CERC)

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México



Conceptos y definiciones clave en las leyes internacionales de ciberseguridad



LATAM: Avances en ciberseguridad



Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Regulación Internacional e Iniciativas en México (CERC)

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México

Registrate para seguir leyendo


Regulación Internacional e Iniciativas en México (CERC)

Parámetros sobre regulación en ciberseguridad

La ciberseguridad es un desafío global, por ello es importante observar las experiencias de aquellos países que han implementado marcos regulatorios en la materia. A continuación, se presentan ejemplos de algunos países seleccionados con base en criterios de distribución geográfica y liderazgo en este ámbito:

Iniciativas Presentadas en el Congreso de México



Conceptos y definiciones clave en las leyes internacionales de ciberseguridad



LATAM: Avances en ciberseguridad



Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Ley de ciberseguridad- Criterios técnicos mínimos

¿Cuáles son los criterios técnicos mínimos que recomiendan los expertos?

Una ley de ciberseguridad que carece de criterios técnicos mínimos está destinada a ser insuficiente en su lucha contra las crecientes amenazas digitales. Es fundamental que la ley se base en las mejores prácticas y conocimientos técnicos. Al incluir criterios técnicos mínimos respaldados por expertos en ciberseguridad, se establece un estándar sólido y actualizado que las organizaciones pueden seguir para protegerse de manera efectiva contra amenazas cibernéticas.

Definiciones

  • Una terminología técnica de ciberseguridad clara y precisa en la legislación es crucial para evitar malas interpretaciones y posibles abusos legales.
  • Definir «infraestructura crítica» en sentido amplio para abarcar las tecnologías y servicios emergentes.
  • Especificar en la definición de Infraestructura Crítica de la Información que las entidades bancarias siguen su normativa única en materia de ciberseguridad o excluir de su ámbito de aplicación los bienes y la prestación de servicios privados.

Frameworks

  • Establecer marcos de intercambio de información antes de implementar sistemas de intercambio y centros de respuesta a incidentes para aumentar la transparencia de los ataques a la ciberseguridad y la utilidad de los datos actuales sobre ataques.
  • Crear un marco nacional de ciberseguridad para la protección de infraestructuras críticas.
  • Establecer un marco jurídico adaptado para la gestión de riesgos, teniendo en cuenta los atributos, amenazas, vulnerabilidades y tolerancia al riesgo propios de …

Registrate para seguir leyendo


Ley de ciberseguridad- Criterios mínimos

¿Cuáles son los criterios técnicos mínimos que recomiendan los expertos?

Una ley de ciberseguridad que carece de criterios técnicos mínimos está destinada a ser insuficiente en su lucha contra las crecientes amenazas digitales. Es fundamental que la ley se base en las mejores prácticas y conocimientos técnicos. Al incluir criterios técnicos mínimos respaldados por expertos en ciberseguridad, se establece un estándar sólido y actualizado que las organizaciones pueden seguir para protegerse de manera efectiva contra amenazas cibernéticas.

Definiciones

  • Una terminología técnica de ciberseguridad clara y precisa en la legislación es crucial para evitar malas interpretaciones y posibles abusos legales.
  • Definir «infraestructura crítica» en sentido amplio para abarcar las tecnologías y servicios emergentes.
  • Especificar en la definición de Infraestructura Crítica de la Información que las entidades bancarias siguen su normativa única en materia de ciberseguridad o excluir de su ámbito de aplicación los bienes y la prestación de servicios privados.

Frameworks

  • Establecer marcos de intercambio de información antes de implementar sistemas de intercambio y centros de respuesta a incidentes para aumentar la transparencia de los ataques a la ciberseguridad y la utilidad de los datos actuales sobre ataques.
  • Crear un marco nacional de ciberseguridad para la protección de infraestructuras críticas.
  • Establecer un marco jurídico adaptado para la gestión de riesgos, teniendo en cuenta los atributos, amenazas, vulnerabilidades y tolerancia al riesgo propios de cada organización. Capacitar a las organizaciones para priorizar las actividades críticas y asignar las inversiones estratégicamente para obtener el máximo impacto.

Mecanismos de colaboración

  • Promover la colaboración público-privada para la ciberseguridad mediante el establecimiento de normas, certificación, educación y una junta de revisión de la seguridad.
  • Los ciberdelitos afectan a la información, los sistemas informáticos y las redes, por lo que la ciberdefensa es una responsabilidad colectiva. Los mecanismos de colaboración entre el Estado y el sector privado son cruciales para evitar responsabilizar de los delitos a los proveedores de servicios de Internet, que proporcionan conectividad, pero no controlan su uso.
  • Utilizar el modelo de los Centros de Análisis e Intercambio de Información (ISACs por sus siglas en inglés) para mejorar la comunicación entre sectores industriales.

Recomendaciones

  • Garantizar que la legislación se adapta a los rápidos cambios tecnológicos en materia de ciberseguridad mediante la creación de un consejo consultivo especializado que se encargue de las actualizaciones periódicas.
  • Mantener actualizadas las políticas de seguridad de la información, alineadas con la normativa y realizar evaluaciones periódicas de los riesgos para abordar las vulnerabilidades.
  • Incluir requisitos de notificación de violaciones de propiedad intelectual.
  • Impartir formación obligatoria sobre ciberseguridad al personal, establecer controles de acceso y garantizar medidas de seguridad física y de la red.
  • Supervisar y auditar los sistemas para identificar incidentes de seguridad y mantener la continuidad de la actividad y los planes de recuperación en caso de catástrofe para la resiliencia operativa.
  • Salvaguardar los datos personales y sensibles, cumplir la legislación sobre privacidad y crear planes de respuesta a incidentes para una gestión eficaz de la seguridad.
  • Mantener un equilibrio entre la protección de datos y la privacidad es crucial. Las leyes deben salvaguardar tanto los datos como los sistemas informáticos, respetando al mismo tiempo la privacidad y la libertad de expresión de las personas. Definir claramente los límites y las condiciones de las excepciones para evitar usos indebidos.
  • Pueden ser necesarias excepciones para los investigadores de ciberseguridad que identifiquen vulnerabilidades del sistema para mejorar la seguridad y salvaguardar la información.
  • Para garantizar el cumplimiento de la normativa financiera, la ley debe excluir explícitamente a las entidades financieras de la categoría de proveedores de servicios de infraestructura digital y especificar que deben seguir una legislación específica a efectos de autenticación.
  • Informar de los incidentes críticos que provoquen la pérdida de confidencialidad, integridad o disponibilidad de la información y que afecten a la seguridad y resistencia de los sistemas operativos.

Regulación redundante

  • Evitar la regulación redundante para las entidades reguladas a nivel federal, al tiempo que se establece una norma básica de ciberseguridad.
  • Las entidades que proveen servicios a bancos (relacionados con sistemas informáticos, bases de datos o procesos operativos) también tienen una regulación especial en las Disposiciones de Carácter General aplicables a Instituciones de Crédito (CUB) donde: (i) se requiere incluso aviso o autorización de la Comisión Nacional Bancaria y de Valores (CNBV); (ii) se prevé que se podrá ordenar la suspensión de los servicios cuando se pueda ver afectada la estabilidad financiera, la continuidad operativa de la entidad o la protección de los intereses del público y (iii) se prevé regulación relacionada con la integridad, seguridad, confidencialidad, resguardo y confiabilidad en el manejo de la información generada con motivo de la prestación de los servicios.

Infraestructuras críticas de información

Para la protección de las Infraestructuras Críticas de Información deberán estar a cargo de aquellas entidades públicas o privadas que las gestionen, siguiendo las siguientes disposiciones de ciberseguridad:

  1. Evaluación de riesgos: Las entidades responsables deberán realizar evaluaciones periódicas de los riesgos para la seguridad de la información, identificando las posibles vulnerabilidades y amenazas a sus infraestructuras críticas.
  2. Implantación de controles de seguridad: Las entidades implantarán controles de seguridad adecuados y proporcionales al nivel de riesgo identificado en sus infraestructuras críticas, incluyendo mecanismos de protección de datos, control de accesos, seguridad física y medidas de prevención y detección de intrusiones.
  3. Coordinación con autoridades reguladoras y organismos especializados: Las entidades responsables deben establecer mecanismos de coordinación y cooperación con las autoridades reguladoras y organismos especializados en ciberseguridad, para recibir asesoramiento y apoyo técnico en la protección de sus infraestructuras críticas.
  4. Formación y concienciación: Las entidades deberán proporcionar formación y concienciación en materia de ciberseguridad a su personal para garantizar que comprenden sus responsabilidades y están mejor preparados para hacer frente a posibles ciberamenazas.
  5. Supervisión y respuesta ante incidentes: Las entidades responsables implantarán sistemas de monitorización y respuesta ante incidentes, incluyendo la creación de equipos de respuesta ante incidentes de seguridad de la información y el desarrollo de planes de acción y recuperación ante incidentes.
  6. Planes de continuidad y recuperación: Las entidades elaborarán y mantendrán planes de continuidad de la actividad y de recuperación en caso de catástrofe para garantizar la resistencia de sus infraestructuras críticas en caso de incidente de seguridad o evento adverso.
  7. Cumplimiento normativo y auditorías: Las entidades responsables garantizarán el cumplimiento de los reglamentos y normas de ciberseguridad aplicables y realizarán auditorías periódicas internas y externas para evaluar la eficacia de sus medidas de protección.
  8. Notificación de incidentes y colaboración con las autoridades: Las entidades comunicarán oportunamente a las autoridades competentes cualquier incidente de seguridad que afecte a sus infraestructuras críticas y colaborarán con ellas en la investigación y resolución de incidentes.

Estos criterios mínimos proporcionan un marco claro y práctico que guía en la implementación de medidas de seguridad adecuadas, lo que resulta en una protección más robusta de los datos, sistemas y activos digitales contra posibles ciberataques. Al garantizar que la ley de ciberseguridad contenga los criterios técnicos mínimos recomendados por expertos, se fortalece la capacidad de las organizaciones para enfrentar los desafíos del ciberespacio.

Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics

Irreductibles para una Ley en Ciberseguridad

El Sector Privado y el CERC consolidan análisis a las iniciativas existentes

¿Qué debe tener una ley?

  • La ciberseguridad debe atenderse como una responsabilidad compartida, por lo que su marco regulatorio NO debe reducirla a una capacidad exclusiva del Estado. De ahí que se debe incluir a la academia, la sociedad civil, la industria de ciberseguridad, tanto en la generación de la ley, así como sujetos de ésta, previendo el cuidado de infraestructuras críticas, gestión de riesgos, concientización y cultura de la ciberseguridad.
  • Enfocarse en establecer protocolos mínimos para afrontar ataques y amenazas más que sancionar a la sociedad, para lo cual se deberán establecer obligaciones claras y concretas en la materia. El objetivo de la ley no debe ser controlar a la sociedad sino procurar lo necesario para que todos gocemos de un ciberespacio seguro.
  • Tomar en consideración los compromisos adoptados por México en la materia, así como atender a las mejores prácticas internacionales y sus definiciones, por lo que habrá de establecer obligaciones, estándares, requisitos, protocolos, establecimiento de certificaciones, etc.
  • Es necesaria una estructura institucional multidisciplinaria con los recursos necesarios y el marco regulatorio pertinente para su eficacia. Así como, el establecimiento claro y definido de la competencia de las autoridades.
  • Articular, de manera transversal, con otras entidades encargadas del proceso de implementación de políticas públicas sobre ciberseguridad, como lo son el IFT y el INAI.
  • Procurar una mayor coordinación y la homologación con otros ordenamientos existentes como: i) Ley de General de Protección de Datos Personales en Posesión de Sujetos Obligados; ii) Ley General de Protección de Datos Personales en Posesión de Sujetos Privados; iii) Disposiciones acordadas en acuerdos comerciales internacionales como: T-MEC, TIPAT, y Alianza del Pacífico; iv) Estrategia Digital Nacional y el Acuerdo de Políticas y Disposiciones para uso de TICs en la APF.
  • No militarizar el ciberespacio. Por lo que para cualquier intervención de este tipo siempre debe cumplirse con las condiciones y requisitos de la Constitución y la Ley de Seguridad Nacional.
  • Debe respetar los derechos humanos, se destacan en la materia los derechos a la privacidad, intimidad, identidad, la protección de los datos personales, la propiedad y la libertad de las personas en sus diversas vertientes. Por lo que debe evitar censurar e intervenir de forma excesiva tales derechos. Por ejemplo, se deben omitir registros innecesarios que pudieran invadir la privacidad de las personas u omitir obligaciones para los ciudadanos que pudieran inhibir la libertad de expresión.
  • Los delitos que contemple la ley deberán estar delimitados y descritos adecuadamente. La ley deberá establecer figuras delictivas especializadas en ciberseguridad.
  • Dejar de manifiesto que la Ley tiene asidero constitucional, ¿Cómo? pudiera ser pertinente que en la exposición de motivos se refiera a la facultad del Congreso de la Unión para legislar sobre tecnologías de la información y la comunicación, radiodifusión, telecomunicaciones, incluida la banda ancha e internet, contenida en la fracción XVII del artículo 73 fundamental; así como establecer entre los objetivos de la ley el garantizar el desenvolvimiento seguro en el ciberespacio que surge de dichas tecnologías, garantizando con ello el derecho a su acceso, el derecho a la información, el derecho a no ser molestado en su persona o posesiones, entre otros derechos.
  • Del punto anterior derivaría el que la Ley de Ciberseguridad debe ser Federal, tal como sucede con la Ley Federal de Telecomunicaciones y Radiodifusión, lo que no significa que no tenga aplicación en los Estados, sino que su aplicación es por parte de autoridades federales, por lo que las asambleas legislativas, por ejemplo, no podrán legislar respecto de ciberdelitos.
  • Sin embargo, de estimarse que la ciberseguridad es una materia donde existe la concurrencia, es necesario dejar perfectamente establecidas en una ley general las competencias de los diferentes órdenes de gobierno, para que de esta forma tanto Entidades Federativas como Municipios estén en posibilidad de, por un lado, legislar en la materia respetando los lineamientos de la ley y, perseguir e investigar los delitos. Pero es de destacar que algo que caracteriza a todos los proyectos de iniciativas analizados es que no contienen una correcta distribución de competencias.
  • Adicionalmente, es importante considerar que en el Senado se encuentran otras iniciativas en materia de ciberseguridad, destacándose principalmente las siguientes: (i) del senador Miguel Ángel Mancera (PRD), del 02 de septiembre de 2020; y (ii) de la senadora Lucia Trasviña (Morena) del 06 de abril de 2021; las cuales no han sido dictaminadas.
  • Habría que revisar si existe la posibilidad de que se realice un dictamen de Comisiones que considere las iniciativas por parte del Congreso.

*Recomendaciones a septiembre de 2023.

Mantén tu protección al máximo

Despliegue
Centro de tecnologías
Inventario

Cumplimiento
IR Management Tool
Insights
Batuta AI

ZeroAPT
Threat Intel
SOC
Forensics