La regulación en ciberseguridad en México debe alinearse de acuerdo con una estrategia nacional, de acuerdo con Jamie Brown, director global de Asuntos de Gobierno de Tenable, quien se presentó en un foro organizado por la empresa en colaboración con la oficina del Sector Comercial de la Embajada de Estados Unidos en México.  

“Una estrategia nacional de ciberseguridad es útil porque al final, los ciberataques están afectando a individuos, países, a las industrias privadas, organizaciones no lucrativas y a los gobiernos, por lo que ninguna organización o entidad regional puede por sí misma hacer una estrategia de defensa en contra de estos”, dijo Brown en entrevista con El Economista.

Según el más reciente reporte Informe de incidentes cibernéticos y tendencias de brechas de seguridad 2018 de la Online Trust Alliance de Internet Society, los más de 2 millones de incidentes cibernéticos que se reportaron a nivel global en 2018 provocaron pérdidas económicas equivalentes a 45,000 millones de dólares. La Internet Society refiere que esta cifra es conservadora, debido a que muchos incidentes cibernéticos no se denuncian, por lo que las cifras realidad pueden ser mucho mayores.

En México, después de varios foros de discusión y de toda una serie de mesas de trabajo con la participación de actores gubernamentales y de la Iniciativa Privada, a principios de agosto del 2017, la oficina de la Presidencia presentó el primer documento de trabajo para la creación de una política pública en México en materia de ciberseguridad. El documento final de la Estrategia Nacional de Ciberseguridad, como se le llamó a esta política publica,  vio la luz en noviembre del 2017. 

Pero el sector financiero se había adelantado a esta iniciativa, pues en octubre del 2017, el entonces secretario de Hacienda y posterior candidato presidencial del PRI, José Antonio Meade, anunció los Cinco Principios para el Fortalecimiento de la Ciberseguridad para la Estabilidad del Sistema Financiero Mexicano. De acuerdo con Gilberto Pérez, director general adjunto de Regulación Estructural de la CNBV, quien también participó en el foro organizado por Tenable, la actual regulación en materia de ciberseguridad financiera está basada tanto en los principios de la Estrategia Nacional de Ciberseguridad como en los cinco principios planteados por la Secretaria de Hacienda.

Para Brown, es común que el sector financiero sea pionero en el establecimiento de medidas regulatorias en materia de ciberseguridad. “Esto es común y también sucede en Estados Unidos, en donde el sector financiero, tanto desde el punto de vista tecnológico como regulatorio, tiende a ser un líder, debido a que son las instituciones más atacadas por el dinero que tienen”, dijo. 

No obstante, el directivo de Tenable agregó que una estrategia nacional de ciberseguridad debe cubrir a todos los sectores, aunque vio como una opcion viable que las políticas y normativa se alineen con la regulación financiera. “Nosotros en el sector de TI, servimos a estas organizaciones y si hay alineación y consistencia entre regulaciones, esto nos permite continuar sirviendo a estas diferentes industrias y dedicar más recursos para mejorar la seguridad”, dijo. 

Agencia Nacional de Ciberseguridad 

Sobre la propuesta de la senadora Jesús Lucía Trasviña Waldenrath, del grupo parlamentario de Morena, acerca de crear una Ley de Seguridad Informática, la cual daría paso a una Agencia Nacional de Seguridad Informática (ANSI), Brown aseguró que contar con una sola agencia que tenga visibilidad y que guie a otras agencias es una muy buena aproximación, pues puede impulsar la consistencia necesaria entre sectores.

Según el proyecto de decreto de la ley propuesta por Morena, a esta agencia correspondería determinar y coordinar la política estatal en materia de ciberseguridad y “dictar los lineamientos que permitan articular las acciones” en esta materia que son “aplicables a los ámbitos social, económico y político”.

“Si diferentes agencias operan de forma independiente sin contar con conexiones o con una alineación, entonces tienes silos y eso puede conducir a contar con malas defensas solo porque no puedes conseguir lo que denominamos economías de escala entre distintos sectores. Contar con una sola agencia que trabaje junto a las agencias de cada sector en ciberseguridad puede ayudar a impulsar esta alineación, aunque algunos sectores tienen sus propias necesidades que tienen que ser atendidas”, dijo el especialista de Tenable.

De acuerdo con Brown, no hay muchos ejemplos de una ley general de ciberseguridad como de de estrategias nacionales. La Unión Europea tiene el Acta de Ciberseguridad que busca fortalecer su Agencia de Ciberseguridad y crear un régimen de certificaciones a través de todos los países que la integran. Japón también tiene una estrategia nacional de ciberseguridad y Estados Unidos cuenta con el marco de referencia NIST, que es implementado por diversas agencias gubernamentales. 

“No hay muchas leyes generales que le digan a todas las organizaciones lo que deben hacer, pero sí hay leyes que establecen estrategias nacionales que fortalecen alineaciones entre agencias e industrias”, dijo.      

Brown explicó que lo apropiado al hablar de regulaciones en ciberseguridad es establecer estándares mínimos que todas las organizaciones deben implementar y en algunos casos, estándares específicos dependiendo del nivel de criticidad de la infraestructura que se busque proteger, aunque aclaró que ninguna normativa debe ser muy especifica ni debe obligar a implementar una tecnología en particular. 

“Lo que debes hacer es establecer un objetivo y la gestión de riesgo les permite a las organizaciones en particular decidir cuál es el camino correcto para alcanzar ese objetivo; adicionalmente, la ley tiene que reconocer que distintas organizaciones tendrán distintas amenazas y distintas prioridades y debe permitir a las organizaciones dedicarse a combatir estas amenazas, debe permitirles priorizar lo que es más importante para ellas”, dijo. 

Atribución y sanciones, rol del gobierno

Brown afirmó que el rol clave que el gobierno debe desempeñar en materia de ciberseguridad abarca las funciones de atribución de los incidentes y de sanción. “Desde el lado de la industria, nosotros estamos enfocados en la protección y el desarrollo de tecnología que ayude a las industrias a protegerse en los eventos. Desde el lado del gobierno, debe haber disuasión, es decir que los ataques necesitan tener consecuencias y penalizaciones”, dijo. 

Aseguró que el que los gobiernos establezcan sanciones efectivas ayuda a mitigar las motivaciones de los ciberdelincuentes, aunque es necesario ser muy cuidadoso en este sentido, debido a que la atribución es compleja. “No quieres acusar al individuo incorrecto, pero en los casos en los que hay suficiente evidencia es apropiado hacer acusaciones y que entre gobiernos amigos compartan información criminal”, dijo.

Brown adelantó que aún está por verse si las sanciones en contra de empresas y organizaciones que, por  no establecer controles o por omisión, permitieron la exposición de bases de datos o la vulneración de sus sistemas, son en realidad efectivas. “Creo que algo es mejor que nada, pero creo que es difícil en este momento decir cuán efectivas han sido las sanciones. Necesitamos ver en un periodo de tiempo cómo los gobiernos están haciendo la atribución de ataques y cómo están aplicando las sanciones; espero que tengan un efecto, pero ahora es difícil de decir”.  

[email protected]