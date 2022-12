El 67% de los ejecutivos de empresas mexicanas encuestados por PwC cree que “un mayor intercambio de información pública y transparencia en asuntos cibernéticos es un riesgo y puede conducir a la pérdida de una ventaja competitiva”, de acuerdo con el Digital Trust Insights 2023 de PwC.

Por qué importa. La notificación de incidentes de ciberseguridad a las autoridades es una buena práctica en materia de seguridad cibernética, que podría ser incluida en una próxima regulación sobre ciberseguridad en México.

El 85% de los consultados dijo que “el aumento de los informes (de ciberseguridad) a los inversionistas será un beneficio neto para la organización y todo el ecosistema”.

Para el 82% de las empresas, “las divulgaciones obligatorias de incidentes cibernéticos que requieren formatos comparables y consistentes son necesarias para ganar la confianza de las partes interesadas”.

El 62% de los ejecutivos encuestados por PwC dijo que cuando comparte “información sobre incidentes cibernéticos en nuestra organización con las autoridades encargadas de hacer cumplir la ley, nuestra organización recibe asistencia directa y tangible para responder a las amenazas”.

Es decir que, según las respuestas dadas por las empresas mexicanas, a la vez que están preocupadas por las afectaciones competitivas que les podría provocar el compartir información en materia de ciberseguridad, ya están tomando acciones para notificar incidentes cibernéticos ante la propia organización y las autoridades.

Para Juan Carlos Carrillo, director de Ciberseguridad y Protección de Datos de PwC, esto se debe a dos motivos: a que no hay un piso parejo para todas las empresas mexicanas y a que no hay alicientes ni castigos para quien notifique o no un incidente de ciberseguridad.

“Cuando no hay un piso parejo y una empresa sufre un incidente cibernético y lo publica, esto tiene un efecto negativo que no sufren competidores que también sufrieron un incidente y no lo publicaron. Como no hay una regulación para todos por igual, entonces yo no lo digo porque el de enfrente tampoco lo dice”, dijo Carrillo en entrevista.

Zanahoria y palo

Carrillo añadió que dentro de la regulación mexicana no existe ningún aliciente ni un castigo ejemplar para aquellas empresas que notifiquen o dejen de notificar a las autoridades que fueron víctimas de un ataque cibernético. No hay ni una zanahoria ni un palo.

“¿Cuál es la ventaja de que yo te avise que tuve esa filtración? ¿El gobierno me va a ayudar? La regulación mexicana en materia de protección de datos personales en posesión de particulares te obliga a notificar a los titulares de los datos, ni siquiera a las autoridades, y si no lo hago, tal vez me abran una investigación y me sancionen, pero no hay un beneficio por hacerlo”, dijo Carrillo.

La nueva edición del Digital Trust Insights 2023 de PwC, para cuya edición mexicana la consultoría encuestó a 147 ejecutivos mexicanos de las áreas de tecnología, información, finanzas, seguridad de la información, así como directores generales, entre julio y agosto de 2022, profundiza acerca de la potencial llegada de una regulación en materia de ciberseguridad a México.

En septiembre pasado, el legislador de Morena, Cristóbal Arias Solís, presentó una iniciativa de proyecto de decreto para crear un Centro Nacional de Seguridad Cibernética. La propuesta del senador Arias se suma a las 13 iniciativas de creación de leyes y reforma de artículos en materia de ciberseguridad que se han presentado ante el Congreso de la Unión y que podrían concretarse próximamente en una regulación en materia de ciberseguridad en México.

Para Juan Carlos Carrillo, la regulación en ciberseguridad debería contemplar al menos los siguientes dos aspectos:

Una entidad de gobierno dedicada exclusivamente a atender las denuncias de la ciudadanía y de las empresas en materia de delitos digitales.

Una comisión de ciberseguridad que proteja la infraestructura del propio gobierno federal.

Para el ejecutivo de PwC, lo que los legisladores mexicanos deben evitar a la hora de regular en materia de ciberseguridad es establecer desigualdades, valles y montañas, entre los distintos sectores para cumplir obligaciones y buenas prácticas en materia de ciberseguridad que retrasen el desarrollo de las compañías frente a otras jurisdicciones.

