En las mesas de trabajo que ha organizado la Organización de los Estados Americanos (OEA) para el diseño de la Estrategia Nacional de Ciberseguridad (ENCS) han surgido críticas, recomendaciones y observaciones por parte de la academia, la industria y la sociedad civil de México, que abordan desde la homologación y definición de conceptos hasta la creación de mecanismos presupuestarios e institucionales que permitan su ejecución a largo plazo.

Pero existe un punto en común entre los distintos actores que han participado en los diálogos para la creación de esta política pública en materia de ciberseguridad: la necesidad de una entidad que garantice su implementación. La iniciativa privada, en voz de la Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información (Canieti), propone un ente llamado Agencia Nacional de Ciberseguridad; mientras que la sociedad civil habla del establecimiento de un órgano centralizado dedicado a coordinar las acciones relacionadas con la estrategia.

Como adelantó El Economista, la OEA entregó formalmente el martes pasado sus recomendaciones en las que sugiere la figura de un Coordinador Nacional de Ciberseguridad como en el caso de Australia, Colombia o los Estados Unidos, a fin de mejor centralizar el liderazgo en la implementación de la estrategia y coordinar con los actores nacionales pertinentes .

Esta autoridad central de ciberseguridad generalmente tiene amplias responsabilidades y competencias en todos los sectores , justificó la OEA en el documento entregado a la Presidencia de la República para que sean considerados en el diseño de la ENCS.

¿Cuáles son las características que deberá tener este Coordinador Nacional? De acuerdo con la propuesta de la OEA, esta posición deberá ser nombrada por el Presidente de la República y deberá tener experiencia en la ejecución de programas de gran complejidad a nivel nacional. También se recomienda que el Coordinador tenga una visión general de la ciberseguridad o conocimiento acerca de las tecnologías de información y comunicación , agregó el organismo internacional que ha orientado a otros países de América Latina para la creación de sus propias estrategias.

¿Cuál es el perfil que deberá tener el Coordinador de la ENCS?

Para garantizar la eficacia de esta posición, la OEA recomienda que el Coordinador Nacional de Ciberseguridad tenga la autoridad conferida por el Presidente para asegurar que la ciberseguridad en México sea operacionalmente efectiva y que se desarrolle según se requiere, en el marco de los objetivos establecidos en la ENCS .

Este Coordinador deberá tener la autoridad para asegurar que los diversos departamentos gubernamentales implementen sus objetivos y sean responsables de su desempeño ante el Coordinador. Aunque la función del coordinador no es operativa, tiene la responsabilidad de verificar los objetivos operativos y coordinación de actividades por todas los actores relevantes .

La figura propuesta por la OEA también deberá tener la función de asegurar la distribución de presupuesto, de acuerdo con los planes del programa, y de fomentar la cooperación entre el sector público, el sector privado, academia y sociedad civil para la formulación e implementación de políticas de seguridad cibernética.

Adicionalmente deberá coordinar la preparación de reportes periódicos sobre el avance en la implementación de la ENCS.

La importancia de la gobernanza

La propuesta de la figura del Coordinador Nacional de Ciberseguridad forma parte de un marco de gobernanza que la OEA considera fundamental que se incluya dentro de la ENCS para definir las funciones y las responsabilidades de los distintos actores participantes en la implementación de esta política pública planteada, y que establezca cómo se dará la rendición de cuentas.

El modelo de gobernanza también debe proporcionar un marco para el diálogo entre los distintos actores y la coordinación de diversas actividades emprendidas en el ciclo de vida de la Estrategia , explica en el documento titulado Hacia una Estrategia Nacional de Ciberseguridad: Consolidación de las Consultas a Actores Nacionales.

La OEA explica que la coordinación para la implementación de la estrategia puede darse a través de una agencia pública asignada o creada específicamente para liderar la ciberseguridad en el país, o mediante distintas entidades públicas donde cada una tiene un papel definido.

Por ejemplo, mientras una entidad sería encargada de desarrollar políticas de concientización y capacitación en ciberseguridad, otra sería responsable por la protección de infraestructuras críticas. Con respecto a este último modelo caracterizado por una descentralización, algunos países optaron por la creación de una comisión interinstitucional o interministerial que reúna las distintas entidades públicas de manera a garantizar una mejor coordinación de esfuerzos , abunda en el documento.

Sea cual sea el consenso adoptado, lo cierto es que, apunta la OEA, es importante determinar un modelo de gobernanza para asegurar que la ENCS se implemente de manera efectiva que y todos los actores nacionales relevantes entiendan sus roles y responsabilidades .

Las observaciones

Durante los foros y mesas de trabajo convocadas por la OEA en los meses de abril y julio con representantes de la academia, el gobierno, la industria y la sociedad civil, se emitieron recomendaciones relacionadas con la definición acciones concretas, identificación explícita de las entidades o actores responsables de la ciberseguridad, un presupuesto estimado y el horizonte de tiempo para la ejecución de la ENCS.

A continuación se resumen estas observaciones y propuestas vertidas durante las mesas de trabajo, que recoge la OEA en el informe Hacia una Estrategia Nacional de Ciberseguridad: Consolidación de las Consultas a Actores Nacionales entregado al gobierno federal.

Hacia una Estrategia Nacional de Ciberseguridad

Observaciones y propuestas vertidas durante las mesas de trabajo, que recoge la OEA en el informe que entregó al gobierno federal el martes 15 de agosto de 2017.

Cultura, Educación y Capacitación Coordinación y Colaboración Investigación y Desarrollo Estándares y Criterios Técnicos Marco Jurídico
Academia Formar profesionales de ciencias, tecnologías, ingeniería, matemáticas y otros técnicos altamente especializados, así como de desarrollar especialistas desde el nivel de la escuela primaria y pasando por el nivel universitario. Reconocimiento de otras disciplinas en la ciberseguridad, tales como las humanidades y la ingeniería tradicional o el personal con aptitudes técnicas. Comprender cómo el documento de la ENCS se alinea con los mandatos existentes y otras estrategias como el manual MAGTICSI y la Estrategia Digital, incluyendo cómo se asignarán los recursos para nuevas iniciativas estratégicas y si las asignaciones actuales se verán afectadas. Presupuesto recurrente (multianual) para la investigación en seguridad cibernética. Los fondos federales de investigación, incluidos los provenientes de la SEP y el CONACYT necesitan proporcionar fondos sostenibles en el largo plazo destinados a la educación y seguridad cibernética. Si se imponen regulaciones gubernamentales de estándares de seguridad para la industria, es esencial considerar los aspectos económicos del Internet, tal como su uso para el comercio electrónico. Considerar la ciberseguridad en términos de riesgo y de su costo. Necesidad de entender las ramificaciones legales de lo que la estrategia requiere, incluyendo si la legislación puede ser reformada para estar en línea con la estrategia y cómo sería esta reforma, incluyendo la necesidad de responsabi-lidades legales por la violación de datos.
Gobierno Que los profesionales sean entrenados y tengan una formación mínima adecuada para su función y organización. La privacidad y la protección de datos deben formar parte del currículo nacional básico y la reforma educativa ofrece una buena oportunidad. Por cambio de funcionarios públicos, hay una pérdida de conocimiento institucional, que debe ser gestionada para proporcionar continuidad de las políticas. Establecer mecanismos de colaboración y gestión de conocimiento. Articulación entre academia, sector privado y los entes públicos para el financiamiento de proyectos de I+D+i (investigación, desarrollo e innovación). Tener una mejor comprensión de la actual situación de la oferta en el país de I+D+i. Analizar la pertinencia de aplicar los estándares y buenas prácticas internacionales, por lo que es importante ampliar el objetivo de política internacional de la ENCS. Desarrollo del modelo de madurez en ciberseguridad a nivel de la Administración Pública Federal, y que ese modelo sea ampliado y aplicado a los Estados y Municipios. Conducir un análisis y adecuación normativa de la tipificación de los delitos, a modo de garantizar su compatibilidad con la Convención de Budapest. Establecer normas para el intercambio de información y para el fortalecimiento institucional. Garantizar que todos los actores del sistema de justicia penal estén suficientemente capacitados en materia de pruebas digitales y cadena de custodia.
Sector Financiero Que se haga énfasis sobre el tipo de capacidades se deben fortalecer por tipo de actor ya que existen capacidades operativas, administrativas, humanas, científicas, de infraestructura física y tecnológica. Falta información oportuna sobre modos de operación que se detecten y sean compartidos en forma segura, confidencial y eficiente de manera que se pueda prevenir la materialización de incidentes en otras entidades expuestas al mismo riesgo. Revisar la conveniencia de crear un Foro de discusión y análisis con las múltiples partes interesadas para abordar los asuntos de ciberseguridad mediante la investigación, el desarrollo y la innovación. Que una entidad coordinadora nacional se encargue de identificar y compilar los estándares y criterios técnicos que aplican por sector económico; en el sector financiero existen estándares, metodologías y procedimientos relacionados con la gestión de riesgos. Consultar con el sector financiero asuntos particulares relacionados con los mecanismos de autenticación únicos y su implicación con la ciberseguridad.
Sociedad Civil Establecer una responsabilidad compartida entre el gobierno y los usuarios de la población general acerca del uso del Internet. Las campañas de sensibilización deben adaptarse a públicos específicos y deben incluir mensajes a todos los ciudadanos, incluidos los ciudadanos marginados. Establecer una clara demarcación de funciones, responsabilidades y rendición de cuentas, ya que hay muchos esfuerzos a nivel nacional en materia de seguridad cibernética y digital, y deben coordinarse Los grupos de la sociedad civil deberían disponer de financiamiento para investigación de temas como la privacidad de los datos relacionados con violencia doméstica y de género. Actualmente son financiadas por fundaciones estadounidenses y europeas. El cumplimiento de ISO 27000 casi se ha logrado en México; sin embargo, recomendaron que el Gobierno colaborara más con el sector privado para fomentar una relación de confianza y colaboración en caso de robo de datos. Ratificar el Convenio de Budapest, dado que el delito cibernético no se limita al nivel nacional, sino es un problema mundial. Generar mecanismos suficientes para garantizar el cumplimiento de los requisitos de presentación de informes cuando existe una violación de datos.

Fuente:

julio.[email protected]