Una entidad autónoma en la que confluyan esfuerzos públicos y privados se levanta como una nueva alternativa para enfrentar los problemas de la ciberseguridad en el país.
Las amenazas al entorno digital preocupan a sectores públicos y privados: todos los usuarios IT están expuestos. Para crear conciencia en la sociedad sobre la importancia del uso responsable de las nuevas tecnologías, se llevó a cabo la 5a Semana Nacional de Ciberseguridad. Del 25 al 29 de noviembre.
La actividad fue organizada por la División Científica de la Secretaria de Seguridad y Protección Ciudadana (SSPC) de la Guardia Nacional. El programa abordó cinco temáticas y tuvo cinco sedes dentro de la Ciudad de México: Seguridad ciudadana y derechos humanos en el ciberespacio, en la SSPC; infraestructuras críticas, en la Escuela de Graduados Jenkins de la UDLAP; MIPYMES, en la oficina nacional de CANIETI; legislación mexicana, en la Academia diplomática Instituto Matías Romero; Ciberseguridad de niños, niñas y adolescentes, en el Parque Naucalli.
Reto conjunto
Durante el panel “Seguridad cibernética empresarial. Retos y desafíos”, la moderadora Jimena Mora, directora de seguridad digital de Microsoft Latinoamérica, afirmó que para el próximo año se estima que las pérdidas por ciberdelitos ascenderán a ocho billones de dólares en el mundo y tan solo en los últimos 12 meses, las familias de ransomware han registrado un crecimiento de 755%.
Los dos participantes por parte del Gobierno mexicano fueron Oliver González, comisario en jefe, encargado interino de la Dirección General Científica Guardia Nacional y Salma Jalife, subsecretaria de comunicaciones y desarrollo tecnológico de la Secretaría de Comunicaciones y Transportes.
González indicó que se requiere un ente que orqueste acciones de ciberseguridad en el país, como una agencia nacional en la materia y que principal reto es cambiar el enfoque para ver a la ciberseguridad como un área de oportunidad. En su opinión, esta dependencia tiene capacidad para generar ingresos para el país, exportar tecnología para este nicho con los consecuentes beneficios para la población.
Por su parte, Jalife dijo que es necesario enfocarse en el eslabón más débil de la cadena, el usuario. “El reto más importante es transmitir conocimientos de ciberseguridad y fortalecer o empoderar la persona para que sepa a qué retos se enfrenta y pueda sortearlos en el mundo digital. A propósito de herramientas de este tipo, cabe recordar que esta dependencia presentó en septiembre pasado un simulador de ciberseguridad desarrollado en conjunto con la OEA.
En este último punto, coincidió Karen Méndez, asesora jurídica de Tech Mahindra de México, al señalar que “si bien todos los temas de ciberseguridad tienen qué ver con procesos, tecnologías y personas, empoderar al factor humano es fundamental”.
¿Quién “le pone el cascabel al gato”?
Los otros tres panelistas provenientes del sector privado coincidieron en que se requiere un organismo que concentre las acciones nacionales de ciberseguridad y que en él haya participación mixta.
Para Sissi de la Peña, gerente de comercio digital de la Asociación Latinoamericana de Internet, ALAI, el hecho de que Internet democratizado el acceso a la información implica que todos los usuarios sean conscientes de los riesgos que corren y se protejan.
Mientras que Gilberto Vicente, director del área de Ciberseguridad en Cisco México, subrayó que esa democratización debe traducirse en mejores prácticas y en medios asequibles para protección. “Es apremiante la necesidad de ayudar de forma equitativa a organizaciones de todos los tamaños y a los nativos digitales, que son parte de esta problemática de todos”.
Kiyoshi Tsuru, quien dirige en México The Software Alliance, BSA, puso el dedo en la llaga, ya que dijo que al hablar de las “tres C” de ciberseguridad, conciencia, cultura y coordinación, debe haber un organismo “que vaya a 100 km/h” para implementar planes estratégicos, permear protocolos y mejores prácticas que lleguen como cultura diaria de higiene IT al ciudadano y se vuelven parte de su vida cotidiana.
En opinión de Tsuru, el área que encabeza Jalife sería la indicada, porque tiene una estructura clara, puede convocar a la academia y al sector civil para ponerlos de acuerdo y trabajar juntos.
La ciberseguridad requiere un ataque transversal
La subsecretaria de comunicaciones y desarrollo tecnológico de la SCT destacó que una estrategia de ciberseguridad debe ser transversal. “No puede pensarse en una entidad exclusiva para dirigir esta iniciativa. Se necesitaría un cuerpo colegiado de distintas instituciones con diferentes perfiles, donde la toma de decisiones se haga mediante una red transversal. En esta red deberían participar academia, industria, sociedad civil y los tres órdenes de Gobierno”, afirmó Jalife.
La funcionaria señaló dos componentes como claves al pensar en ciberseguridad, la parte del ciberdelito y la de la tecnología que proteja información relevante.
En esta temática, hay que recordar que durante el Kaspersky Cybersecurity Summit, Roberto Martínez Yllescas, director del Centro de la OCDE en México para América Latina, afirmó la mejor manera de enfrentar los riesgos de ciberseguridad es coordinar a distintas dependencias de los gobiernos para así actuar de manera proactiva y previsora.
Avances en el camino
En el Capítulo V del Reglamento de la Ley de la Guardia Nacional a propósito de la Unidad de Órganos Especializados por Competencia, el comandante de la institución será auxiliado por una Dirección General Científica. Entre las funciones de esta última estará “vigilar, identificar, monitorear y rastrear la red pública de Internet, para prevenir conductas delictivas”.
El antecedente de esta Dirección está en la División Científica de la Policía Federal, que hasta mediados de este año era responsable del Centro Nacional de Respuesta a Incidencias Informáticas (CERT MX).
Oliver González afirmó que hoy la Guardia Nacional tiene uno de los laboratorios de forensia digital más grandes de América Latina, con personal altamente especializado y cuentan con un área de innovación tecnológica.
En México hay otros equipos de respuesta ante incidentes de seguridad informática (CSIRT, por su sigla en inglés) públicos, como el CSIRT de la Universidad Nacional Autónoma de México (CERT UNAM), el CSIRT de la Universidad Autónoma de Chihuahua (CERT UACH) y el CSIRT del Centro de Investigación e Innovación en Tecnologías de la Información y Comunicación ( CERT Infotec).
Otros países de la región tienen equipos de ciberseguridad dependientes de instituciones públicas, como el caso de el Grupo de Respuesta a Emergencias Cibernéticas de Colombia, colCERT, que tiene como responsabilidad central la coordinación de la ciberseguridad y ciberdefensa nacional, enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del Ministerio de Defensa Nacional.
En Chile tienen el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, que depende del Ministerio del Interior y Seguridad Pública del Gobierno de Chile. Entre sus objetivos está el proveer información y asistencia a la Red de Conectividad del Estado y, en general, al Ciberespacio Gubernamental, así como promover la protección de las infraestructuras de información críticas país (CIIP por sus siglas en inglés) y recursos claves.
Mientras que en Perú existe el Centro de Gestión de Riesgos Digitales, PeCert, que depende de la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros y lidera los esfuerzos para resolver, anticipar y enfrentar ciberdesafíos; coordina la defensa ante ciberataques para proveer a la nación una postura segura en el ámbito de la seguridad digital.
No obstante, la institución de la que se habló en el panel tendría una responsabilidad mucho mayor, porque sería la responsable de la estrategia de ciberseguridad nacional e involucraría a todos los ámbitos de la sociedad. ¿Prosperará la idea?