Seleccionar página

Así perfila la OEA al Coordinador para la Estrategia Nacional de Ciberseguridad

El Economista

Julio Sánchez Onofre

19 agosto de 2017

 

En las mesas de trabajo que ha organizado la Organización de los Estados Americanos (OEA) para el diseño de la Estrategia Nacional de Ciberseguridad (ENCS) han surgido críticas, recomendaciones y observaciones por parte de la academia, la industria y la sociedad civil de México, que abordan desde la homologación y definición de conceptos hasta la creación de mecanismos presupuestarios e institucionales que permitan su ejecución a largo plazo.

Pero existe un punto en común entre los distintos actores que han participado en los diálogos para la creación de esta política pública en materia de ciberseguridad: la necesidad de una entidad que garantice su implementación. La iniciativa privada, en voz de la Cámara Nacional de la Industria Electrónica, de Telecomunicaciones y Tecnologías de la Información (Canieti), propone un ente llamado Agencia Nacional de Ciberseguridad; mientras que la sociedad civil habla del establecimiento de un órgano centralizado dedicado a coordinar las acciones relacionadas con la estrategia.

Como adelantó El Economista, la OEA entregó formalmente el martes pasado sus recomendaciones en las que sugiere la figura de un Coordinador Nacional de Ciberseguridad como en el caso de Australia, Colombia o los Estados Unidos, “a fin de mejor centralizar el liderazgo en la implementación de la estrategia y coordinar con los actores nacionales pertinentes”.

“Esta autoridad central de ciberseguridad generalmente tiene amplias responsabilidades y competencias en todos los sectores”, justificó la OEA en el documento entregado a la Presidencia de la República para que sean considerados en el diseño de la ENCS.

¿Cuáles son las características que deberá tener este Coordinador Nacional? De acuerdo con la propuesta de la OEA, esta posición deberá ser nombrada por el Presidente de la República y deberá tener experiencia en la ejecución de programas de gran complejidad a nivel nacional. “También se recomienda que el Coordinador tenga una visión general de la ciberseguridad o conocimiento acerca de las tecnologías de información y comunicación”, agregó el organismo internacional que ha orientado a otros países de América Latina para la creación de sus propias estrategias.

¿Cuál es el perfil que deberá tener el Coordinador de la ENCS?

Para garantizar la eficacia de esta posición, la OEA recomienda que el Coordinador Nacional de Ciberseguridad tenga la autoridad conferida por el Presidente para asegurar que la ciberseguridad en México sea “operacionalmente efectiva y que se desarrolle según se requiere, en el marco de los objetivos establecidos en la ENCS”.

Este Coordinador deberá tener la autoridad para asegurar que los diversos departamentos gubernamentales implementen sus objetivos y sean responsables de su desempeño ante el Coordinador. Aunque “la función del coordinador no es operativa, tiene la responsabilidad de verificar los objetivos operativos y coordinación de actividades por todas los actores relevantes”.

La figura propuesta por la OEA también deberá tener la función de asegurar la distribución de presupuesto, de acuerdo con los planes del programa, y de fomentar la cooperación entre el sector público, el sector privado, academia y sociedad civil para la formulación e implementación de políticas de seguridad cibernética.

Adicionalmente deberá coordinar la preparación de reportes periódicos sobre el avance en la implementación de la ENCS.

La importancia de la gobernanza

La propuesta de la figura del Coordinador Nacional de Ciberseguridad forma parte de un marco de gobernanza que la OEA considera “fundamental” que se incluya dentro de la ENCS para definir las funciones y las responsabilidades de los distintos actores participantes en la implementación de esta política pública planteada, y que establezca cómo se dará la rendición de cuentas.

“El modelo de gobernanza también debe proporcionar un marco para el diálogo entre los distintos actores y la coordinación de diversas actividades emprendidas en el ciclo de vida de la Estrategia”, explica en el documento titulado Hacia una Estrategia Nacional de Ciberseguridad: Consolidación de las Consultas a Actores Nacionales.

La OEA explica que la coordinación para la implementación de la estrategia puede darse a través de una agencia pública asignada o creada específicamente para liderar la ciberseguridad en el país, o mediante distintas entidades públicas donde cada una tiene un papel definido.

“Por ejemplo, mientras una entidad sería encargada de desarrollar políticas de concientización y capacitación en ciberseguridad, otra sería responsable por la protección de infraestructuras críticas. Con respecto a este último modelo caracterizado por una descentralización, algunos países optaron por la creación de una comisión interinstitucional o interministerial que reúna las distintas entidades públicas de manera a garantizar una mejor coordinación de esfuerzos”, abunda en el documento.

Sea cual sea el consenso adoptado, lo cierto es que, apunta la OEA, “es importante determinar un modelo de gobernanza para asegurar que la ENCS se implemente de manera efectiva que y todos los actores nacionales relevantes entiendan sus roles y responsabilidades”.

Las observaciones

Durante los foros y mesas de trabajo convocadas por la OEA en los meses de abril y julio con representantes de la academia, el gobierno, la industria y la sociedad civil, se emitieron recomendaciones relacionadas con la definición acciones concretas, identificación explícita de las entidades o actores responsables de la ciberseguridad, un presupuesto estimado y el horizonte de tiempo para la ejecución de la ENCS.

A continuación se resumen estas observaciones y propuestas vertidas durante las mesas de trabajo, que recoge la OEA en el informe Hacia una Estrategia Nacional de Ciberseguridad: Consolidación de las Consultas a Actores Nacionales entregado al gobierno federal.

Hacia una Estrategia Nacional de Ciberseguridad

Observaciones y propuestas vertidas durante las mesas de trabajo, que recoge la OEA en el informe que entregó al gobierno federal el martes 15 de agosto de 2017.

Cultura, Educación y Capacitación

Coordinación y Colaboración

Investigación y Desarrollo

Estándares y Criterios Técnicos

Marco Jurídico

 

Academia

Formar profesionales de ciencias, tecnologías, ingeniaría, matemáticas y otros técnicos altamente especializados, así como de desarrollar especialistas desde el nivel de la escuela primaria y pasando por el nivel universitario. Reconocimiento de otras disciplinas en la ciberseguridad, tales como las humanidades y la ingeniería tradicional o el personal con aptitudes técnicas.

Comprender cómo el documento de la ENCS se alinea con los mandatos existentes y otras estrategias como el manual MAGTICSI y la Estrategia Digital, incluyendo cómo se asignarán los recursos para nuevas iniciativas estratégicas y si las asignaciones actuales se verán afectadas.

Presupuesto recurrente (multianual) para la investigación en seguridad cibernética. Los fondos federales de investigación, incluidos los provenientes de la SEP y el CONACYT necesitan proporcionar fondos sostenibles en el largo plazo destinados a la educación y seguridad cibernética.

Si se imponen regulaciones gubernamentales de estándares de seguridad para la industria, es esencial considerar los aspectos económicos del Internet, tal como su uso para el comercio electrónico. Considerar la ciberseguridad en términos de riesgo y de su costo.

Necesidad de entender las ramificaciones legales de lo que la estrategia requiere, incluyendo si la legislación puede ser reformada para estar en línea con la estrategia y cómo sería esta reforma, incluyendo la necesidad de responsabilidades legales por la violación de datos.

Gobierno

Que los profesionales sean entrenados y tengan una formación mínima adecuada para su función y organización. La privacidad y la protección de datos deben formar parte del currículo nacional básico y la reforma educativa ofrece una buena oportunidad.

Por cambio de funcionarios públicos, hay una pérdida de conocimiento institucional, que debe ser gestionada para proporcionar continuidad de las políticas. Establecer mecanismos de colaboración y gestión de conocimiento.

Articulación entre academia, sector privado y los entes públicos para el financiamiento de proyectos de I+D+i (investigación, desarrollo e innovación). Tener una mejor comprensión de la actual situación de la oferta en el país de I+D+i.

Analizar la pertinencia de aplicar los estándares y buenas prácticas internacionales, por lo que es importante ampliar el objetivo de política internacional de la ENCS. Desarrollo del modelo de madurez en ciberseguridad a nivel de la Administración Pública Federal, y que ese modelo sea ampliado y aplicado a los Estados y Municipios.

Conducir un análisis y adecuación normativa de la tipificación de los delitos, a modo de garantizar su compatibilidad con la Convención de Budapest. Establecer normas para el intercambio de información y para el fortalecimiento institucional. Garantizar que todos los actores del sistema de justicia penal estén suficientemente capacitados en materia de pruebas digitales y cadena de custodia.

Sector Financiero

Que se haga énfasis sobre el tipo de capacidades se deben fortalecer por tipo de actor ya que existen capacidades operativas, administrativas, humanas, científicas, de infraestructura física y tecnológica.

Falta información oportuna sobre modos de operación que se detecten y sean compartidos en forma segura, confidencial y eficiente de manera que se pueda prevenir la materialización de incidentes en otras entidades expuestas al mismo riesgo.

Revisar la conveniencia de crear un Foro de discusión y análisis con las múltiples partes interesadas para abordar los asuntos de ciberseguridad mediante la investigación, el desarrollo y la innovación.

Que una entidad coordinadora nacional se encargue de identificar y compilar los estándares y criterios técnicos que aplican por sector económico; en el sector financiero existen estándares, metodologías y procedimientos relacionados con la gestión de riesgos.

Consultar con el sector financiero asuntos particulares relacionados con los mecanismos de autenticación únicos y su implicación con la ciberseguridad.

Sociedad Civil

Establecer una responsabilidad compartida entre el gobierno y los usuarios de la población general acerca del uso del Internet. Las campañas de sensibilización deben adaptarse a públicos específicos y deben incluir mensajes a todos los ciudadanos, incluidos los ciudadanos marginados.

Establecer una clara demarcación de funciones, responsabilidades y rendición de cuentas, ya que hay muchos esfuerzos a nivel nacional en materia de seguridad cibernética y digital, y deben coordinarse

Los grupos de la sociedad civil deberían disponer de financiamiento para investigación de temas como la privacidad de los datos relacionados con violencia doméstica y de género. Actualmente son financiadas por fundaciones estadounidenses y europeas.

El cumplimiento de ISO 27000 casi se ha logrado en México; sin embargo, recomendaron que el Gobierno colaborara más con el sector privado para fomentar una relación de confianza y colaboración en caso de robo de datos.

Ratificar el Convenio de Budapest, dado que el delito cibernético no se limita al nivel nacional, sino es un problema mundial. Generar mecanismos suficientes para garantizar el cumplimiento de los requisitos de presentación de informes cuando existe una violación de datos.

 

Gobierno digital bajo fuego, hackers prefieren páginas oficiales

El sol de México

Manrique Gandaría

20 de agosto de 2017

 

Los ataques cibernéticos en México han ido en aumento: entre 2013 y mayo de 2017 se han detectado cinco mil 51 agresiones virtuales contra páginas del gobierno federal.

Este año, se han registrado agresiones a páginas oficiales de los estados de México, Zacatecas, Hidalgo y Sinaloa.

Por otra parte, la Policía Federal reportó que en 2016 recibió cerca de nueve mil denuncias ciudadanas por los delitos de fraude, difamación y suplantación de la identidad, principalmente.

En lo que va de este año, los delitos más frecuentes han sido robo de contraseñas en redes sociales, acoso y amenazas.

En cuanto a las amenazas en contra de menores, desde 2010 se ha detenido a 129 personas por el delito de pornografía infantil.

De acuerdo con la autoridad federal, los delincuentes se hacen pasar por otro menor de edad para obtener información, imágenes o cualquier otro dato para atacar a los niños, por lo que recomendó a los padres de familia mantener una estrecha comunicación y monitoreo de las actividades en internet de los más pequeños del hogar.

De 2013 y hasta mayo pasado, la Unidad de la Policía Cibernética de la Policía Federal, detectó cinco mil 51 ataques cibernéticos que afectaron a las páginas del gobierno federal, a través de la modificación de contenidos y denegación del servicio. Los ataques más constantes han sido a las páginas de Presidencia, PGR, Sedena, Seguridad Pública, Cisen, el gobierno de Tlaxcala y los congresos de Oaxaca y Nayarit, el Congreso de la Unión, el gobierno capitalino, el SAT, el INE, los partidos, PRD, PRI, Verde Ecologista, Nueva Alianza y hasta la excandidata presidencial, Josefina Vázquez Mota.

El personal operativo de la policía cibernética tiene la capacidad de reaccionar ante incidentes de seguridad informática en la infraestructura informática, colaborando con los distintos órdenes de gobierno y actores sociales.

En este sentido afirma que de 2012 a la fecha ha atendido 173 mil 524 incidentes en la red, que tuvieron que ver con denegación de servicio, acceso no autorizado de sistemas de información, divulgación no autorizada de información, ataques o escaneo de equipos y redes, envió de correos spam, y phishing.

Tan solo el año pasado la policía cibernética recibió 8 mil 852 denuncias ciudadanas vía correo electrónico, siendo el fraude al comercio electrónico, (dos mil 332 denuncias) la difamación (737), la suplantación de identidad (343), la extorsión (249), el fraude nigeriano (83), pornografía infantil (129) los delitos más denunciados en 2016.

Para este año las denuncias más constantes son: robo de contraseña en redes sociales (532), acoso (194), amenazas (323), difamación (329), suplantación de identidad (136), y extorsión (130). La unidad de la policía cibernética, depende de la Coordinación para la prevención de Delitos Electrónicos, la cual se constituyó formalmente el 17 de mayo de 2010, pero fue hasta el 2012 que comenzó a generar registros de páginas web apócrifas, ya sea a través de la denuncia ciudadana, requerimiento de alguna autoridad. De mayo de 2010 a mayo de este año, han dado de baja 17 mil 978 páginas web que, por sus características referían hechos probablemente constitutivos de delito.

A través de una solicitud de información, la Comisión Nacional de Seguridad (CNS) dependencia de la cual depende la policía cibernética, señaló a El Sol de México que en los últimos siete años, ha monitoreado 33 mil 600 páginas en internet para detectar conductas que representen peligro para la ciudadanía o la seguridad.

El ataque más grande a sitios web se registró el 16 de septiembre de 2011, cuando la red internacional “Anonymous” se atribuyó el ataque a varios sitios web de Presidencia, PGR, Sedena, Seguridad Pública, Cisen, el gobierno de Tlaxcala y los congresos de Oaxaca y Nayarit. En junio de 2015 también jaqueó la página del Congreso de la Unión y en marzo de 2016, las páginas de cultura del gobierno capitalino y el SAT del gobierno federal sufrieron ataques cibernéticos. También se han reportado ataques a las páginas del IFE (hoy INE), al PRD, Nueva Alianza, Partido Verde, el PRI, y la excandidata presidencial, Josefina Vázquez Mota.

Delincuentes en la red, a la caza de menores de edad

Ante una falta de legislación en la red, la policía cibernética refiere que las páginas de internet con algún contenido pornográfico, no pueden ser consideradas como ilegales, toda vez que la pornografía podría no ser un hecho ilícito si deliberadamente una persona decide hacer uso de dicho medio para la obtención de un fin y en razón de ello, ha creado su sitio web, en consecuencia, -señala- “los sitios que pudieran estar relacionados con ilícitos de trata de personas, en sus diversas modalidades de explotación sexual, no se puede determinar si éstos son ilícitos, o no, a través del monitoreo en la red pública de internet”.

Para saber si una página está relacionada con algún delito, se requiere una exhaustiva investigación que realice en concreto la autoridad ministerial, pues será la que en su momento determine si existe o no la comisión de algún delito que requiere conocer el ciudadano, y será la Procuraduría General de la República (PGR) quien lleve a cabo las investigaciones. En este rubro la policía cibernética señala que en los últimos siete años, ha monitoreado 33 mil 600 páginas en internet para detectar conductas que representen peligro para la ciudadanía o la seguridad.

Es así que entre mayo y diciembre de 2010, fueron monitoreadas 847 páginas, en 2011, 308 mil 186 en 2012, tres mil 327 en 2013, nueve mil 120 en 2014, 10 mil 839 en 2015, ocho mil 937 en 2016 y en este año cuatro mil 119. La policía cibernética refiere que dada la situación actual que vive el país, con la existencia de diversos grupos delictivos enfocados a no solo vulnerar la ciberseguridad, no se puede dar a conocer las direcciones IP, asociadas a los sitios que han sido dados de baja por representar riesgo a la seguridad. Advierte que de dar a conocer las direcciones de páginas web dadas de baja, podría incrementar las conductas asociadas al fraude, suplantación de identidad, así como el uso ilícito de datos personales y delincuencia organizada.

Pese a los esfuerzos de la dependencia federal por alertar a los cibernautas sobre los peligros al navegar en la red, en los últimos siete años, solo se han podido detener y consignar ante la PGR a 129 personas por pornografía infantil, siendo el 2015 cuando se detuvo al mayor número con 34.

La policía cibernética identificó el método más común que utilizan los delincuentes cibernéticos para detectar a menores de edad en la red. En este caso el delincuente cibernético se hace pasar por otro menor de edad para obtener no solo su edad, sino información personal, imágenes o cualquier otro dato, y al momento que los niños, niñas y adolescentes utilizan las redes sociales sin la adecuada supervisión, el delincuente a través de las conversaciones puede detectar dicha situación, lo cual hace más vulnerable a los menores de edad y que sean víctimas de cualquier conducta delictiva.