Por: Dr. Luis Ángel Ortega Gasca.
INTRODUCCIÓN
En un mundo cada vez más digital, la ciberseguridad no es solo una preocupación, sino una NECESIDAD. En nuestra nación, la ausencia de una Agencia Nacional de Ciberseguridad representa un vacío que debemos llenar urgentemente.
Permítame invitarle a la reflexión ¿Qué pasos debería tomar esta agencia desde su primer día?, a continuación, detallo y explico las que considero acciones esenciales:
Evaluación del Terreno 🛡️
Imagina que estás construyendo una fortaleza: ¿Puedes empezar sin antes saber dónde se encuentran los puntos débiles y cuán bien están definidos y defendidos?
Antes de construir, hay que conocer el terreno. La primera tarea de la agencia debería ser realizar una auditoría exhaustiva del estado actual de la ciberseguridad en el país.
Conoce a tu enemigo y conócete a ti mismo (Sun Tzu). Esto implica de forma enunciativa, mas no limitativa:
Evaluar las capacidades actuales de respuesta a incidentes.
Reconocer, censar y caracterizar las infraestructuras críticas (energía, agua, transporte, telecomunicaciones, et. al.) y sus vulnerabilidades.
Identificar las capacidades ofensivas y defensivas, así como las necesidades de formación especializada.
Evaluar los procesos de recolección y análisis de inteligencia sobre ciber amenazas, para derivar en el establecimiento de los indicadores de compromiso apropiados.
Lo diré claramente:
La Ciberseguridad NO es solo un problema tecnológico, es un problema principalmente de PREPARACIÓN y de GESTIÓN de riesgos.
Establecimiento de Ley, Reglamento y Normatividad extendida 📜
La creación del marco regulatorio robusto, integral y transversal es crucial para establecer estándares, protocolos, criterios y la preservación de evidencias en el ciber dominio.
Después de más de DOS DECENAS de intentos legislativos para generar una ley de ciberseguridad, los que conocemos del tema encontramos áreas de oportunidad en todos los proyectos presentados -algunos más perfectibles que otros- yo sugiero que desde el ejecutivo y por decreto con su respectiva justificación, objetivos, estructura y funciones se proceda a crear la necesaria Agencia Nacional de Ciberseguridad, con el nombre que usted prefiera:
Agencia Mexicana de Ciberseguridad, Consejo Nacional de Ciberseguridad y Ciberdefensa, Instituto Nacional de Ciberseguridad, etc.
Tenemos ejemplos exitosos de creación por decreto -por citar algunos- la CFE, el INM, la CDI, el CONACYT y la CNDH. Una vez creada, se le debe encargar la segunda tarea prioritaria, ASESORAR y GUIAR al constituyente, cuerpo legislativo, organismos y secretarías de estado para:
Consensuar, generar, impulsar e implementar el paquete legal completo que necesita la nación: Ley general, reglamento, códigos, normas oficiales y adecuaciones desde una postura holística al entramado legal conveniente, sin dilación.
Que se exija a las empresas, dependencias y organismos seguir estricta y permanentemente buenas prácticas de seguridad, logrando de esta forma una sinergia que extienda la protección a los más indefensos: los ciudadanos.
Desarrollar la estrategia y las políticas nacionales de ciberseguridad.
Participar activamente en la construcción de normativas sobre los datos preservados por los operadores de telecomunicaciones, empresas y dependencias, así como en los procedimientos y normas de intercambio de indicadores para la documentación, elementos, tiempos y divulgación de incidentes y eventos, entre otros.
Así como las leyes de tránsito mantienen el orden y la seguridad para vehículos y conductores, nuestro andamiaje legal en ciberseguridad debe garantizar que la infraestructura, tráfico, movilidad y preservación de los datos se mantengan lo mejor protegidos posible.
La investigación de los ciberdelitos debe construirse con todos los elementos necesarios que recopilen evidencias irrefutables, a fin de facilitar la persecución de los delitos, siempre priorizando la alerta temprana para desarrollar acciones expeditas, incluyendo seguridad nacional y ciberdefensa del Estado-nación.
Fomento a la Innovación y Desarrollo Tecnológico 🧑💻💡
El presente y futuro de la ciberseguridad están en la innovación.
La tercera tarea de la agencia debe ser incentivar permanente la investigación y el desarrollo de nuevas tecnologías, estrategias de protección y acciones efectivas de divulgación.
En 1916 el presidente Carranza, en su decreto de creación para las industrias militares, escribió: “Hay que fabricar nuestras propias armas y municiones, si no queremos que nuestros asuntos internos los decidan aquellos que nos las proporcionan.”
En el ciber domino, el conocimiento, la innovación y la acción, son indispensables para un mundo hiperconectado. Parafraseando a Carranza: "Hay que desarrollar nuestras propias herramientas y sistemas de ciberseguridad si no queremos que nuestra infraestructura digital sea controlada por quienes nos proporcionan dichas tecnologías, y, sobre todo, si no queremos que nuestra seguridad digital sea decidida por aquellos que nos suministran sus componentes técnicos."
Tenemos que desarrollar nuestras propias capacidades de defensa cibernética en sus diferentes niveles para poder responder de manera autónoma a amenazas y ataques, abordando tanto asuntos internos como externos.
Debemos:
Colaborar con universidades y centros de investigación nacionales y globales para nutrir y desarrollar una fuerza especializada que coadyuve tanto a la formación DE NUEVAS GENERACIONES como para acelerar el desarrollo nacional.
Financiar proyectos de investigación en ciberseguridad a través de becas, fondos y otras estrategias, incluyendo las tributarias.
Reforzar las instituciones de investigación con laboratorios de innovación, centros de desarrollo acelerado, incubadoras de negocios e iniciativas de corto mediano y largo plazo para fomentar persistentemente la evolución positiva y el desarrollo tecnológico nacional.
El efecto positivo que generará la aceleración del desarrollo de la industria tecnológica local y de las especialidades en ciberseguridad no solo fortalecerá la postura de la nación, sino que también impulsarán nuestra economía y nuestra innovación.
La industria de ciberseguridad puede generar empleo y desarrollo tecnológico.
En el terreno de los intangibles, como el software y servicios:
¿Qué será más conveniente para el país?
1.- Adquirir licencias y elementos de tecnología de origen extranjero, que generan algunos empleos e impuestos locales en una pequeña proporción vs. los recursos recibidos.
O bien,
2.- Adquirir servicios, desarrollos, tecnología y consultoría de las empresas nacionales, permitiendo e incentivando que la mayoría de los recursos recibidos por ellas permeen en la economía nacional mediante salarios, adquisiciones, infraestructura, impuestos, etc.
Creo que la respuesta es obvia para todos y se puede lograr sin trastocar los tratados y compromisos internacionales.
Dado que en toda carrera siempre es mejor estar al frente que tratar de alcanzar al resto, ¿estás de acuerdo que debemos acelerar la marcha?
Educación continua, Ciber preparación y Ciber conciencia 🎓📢
En un barco, no solo el capitán necesita saber nadar: todos deben estar preparados en caso de emergencia. La ciberseguridad no es solo para los técnicos.
Es vital que, sin excluir a nadie, la Agencia Nacional, como cuarta tarea, se dedique a garantizar que todos los habitantes, estudiantes, profesores, padres, servidores públicos de todos los niveles, ejecutivos, directivos y empleados comprendan la importancia de proteger la información -suya y de los demás- y emprendan las acciones recomendables. La Agencia Nacional debería:
Emitir las guías de Ciberseguridad y los elementos mínimos a incorporar en los programas de formación continua para comunicar las recomendaciones de forma clara, sencilla y precisa a los diferentes grupos focalizados.
Crear recomendaciones y programas para combatir las ciberadicciones.
Coordinar y ejecutar campañas de concientización en ciberseguridad.
Implementar los programas de formación continua para todos los niveles.
Establecer los criterios y métodos para apoyar a las empresas nacionales en temas de Ciberseguridad.
Detectar los talentos nacionales (especialistas, empresas, instituciones) para impulsar su desarrollo.
Identificar las oportunidades de asociación público – privadas que contribuyan al objetivo.
Colaboración Internacional 🌐🤝 e Interinstitucional
Una comunidad de vecinos vigilantes hace sentido, como los comités de ayuda mutua: Todos cuidan de todos para mantener la seguridad del vecindario.
El ciberespacio no tiene fronteras; la colaboración con otras naciones y organizaciones internacionales es la quinta tarea, esencial para compartir inteligencia y mejores prácticas.
Establecer alianzas con agencias de ciberseguridad extranjeras.
Participar en simulacros y ejercicios internacionales.
Respuesta a Incidentes y Capacidad de Recuperación 🚨🔄
Prepararse para lo inevitable es clave. La agencia para su sexta tarea debe establecer protocolos claros para responder e informar de incidentes cibernéticos.
Crear equipos de respuesta rápida.
Desarrollar planes de recuperación ante desastres.
Tener un extintor en casa no evitará incendios, pero sí te permitirá actuar rápidamente y en mejores condiciones en caso de que ocurra uno.
La creación de una Agencia Nacional de Ciberseguridad es una urgencia que no podemos darnos el lujo de seguir ignorando.
Conclusión
Llamen a la entidad gubernamental encargada de ejecutar este conjunto de ideas como ustedes prefieran: Consejo, Secretariado Ejecutivo, Subsecretaría, Dirección General, etcétera
Lo importante es que no dejemos de actuar de inmediato.
Las ideas que presenté no solo establecerían una base sólida, sino que también enviarían un mensaje claro.
Una nación se conforma por su territorio, población y gobierno: debemos ser efectivos en demostrar que en México estamos completamente comprometidos con la protección de nuestros ciudadanos, así como la infraestructura y activos digitales de la nación.
Acerca del autor.
México
Consultor en Seguridad Integral, Ciberseguridad, TI y Telecomunicaciones.
Envía tus dudas o comentarios a ortgas@tuta.io
Antecedentes de lo aquí expuesto: https://lnkd.in/gANC4BV4