Ciberseguridad como estrategia nacional
En México, por ejemplo, recién se han acordado estrategias
de ciberseguridad para el sector financiero y para
el país en general. En octubre de 2017, la Secretaría
de Hacienda y Crédito Público (SHCP), dio a conocer la
Estrategia Nacional en Materia de Ciberseguridad, que
busca evitar riesgos cibernéticos en el sector financiero
del país. Esta estrategia tiene cinco pilares: fortalecer
controles para la prevención de ciberdelitos, colaborar
en proyectos para su prevención, crear mecanismos para
intercambio seguro de información entre instituciones
del sector, actualizar el marco regulatorio y fomentar la
cultura de ciberseguridad.
Una vez definida la estrategia nacional, es preciso asegurar
que las políticas y regulaciones sobre información
y tecnología existentes, definan las obligaciones del
gobierno, la sociedad y las instituciones privadas en su
implementación; en donde se proteja la privacidad y
la información de manera holística. Un marco legal analizado
en su conjunto, es un habilitador de la ciberseguridad
nacional en cualquier país.
Es necesario asegurar que los crímenes cibernéticos estén
tipificados de manera clara, y que la investigación
y fiscalización de estas actividades delictivas sea eficaz.
Los delitos cibernéticos abarcan una gran cantidad de
conductas, desde afectaciones financieras y tecnológicas,
hasta robo de identidad y trata de personas. Por
un lado, tales conductas caen dentro de figuras legales
tradicionales, como robo, falsificación o fraude, pero el
uso de la tecnología para cometer el ilícito, llevó a la
necesidad de tipificarlas de forma específica.
Con la finalidad de establecer una estrategia de ciberseguridad
más acorde a las prácticas de la industria,
es necesario considerar las cinco fases incluidas en el
marco de ciberseguridad de NIST, que comprenden:
Identificar, Proteger, Detectar, Responder y Recuperar.
Fase 1: Identificar
En esta fase se pretende realizar o contar con un inventario
de las tecnologías clave que utiliza la organización, además
de contar con el conocimiento de qué información es
necesaria para reconstruir la infraestructura desde cero. Por
lo tanto, y en caso de no contar con alguno, se debe realizar
un inventario de la información clave que la organización
usa y almacene, además de identificar y dar seguimiento a
las posibles amenazas.
Fase 2: Proteger
Evaluar las medidas de protección que se requieren para que
la organización se encuentre lo más preparada posible para
un incidente cibernético. Establecer políticas de protección