Mèxic està a punt de fer un canvi significatiu en matèria de ciberseguretat amb la introducció de la proposta de llei presentada al Congrés el 2023. Aquesta iniciativa es va sotmetre a estudi per part de les comissions cap a finals d'aquell any i és probable que es voti el 2024. Tot i que caldrà esperar que la llei es publiqui per poder-ne conèixer els detalls, ja podem revisar els punts clau d'aquesta primera versió per familiaritzar-nos amb les noves responsabilitats dels subjectes obligats per aquesta norma.
En aquest sentit, la proposta de Llei Federal de Ciberseguretat pretén reconèixer la rellevància absoluta de l'entorn virtual global, i els seus avantatges i riscos. Destaca el considerable augment de l'accés a Internet a Mèxic (que ja arriba al 70%) i el fet que la ciberseguretat tingui un nivell de prioritat cada vegada més alt arreu del món. Després d'esmentar un seguit de ciberdelictes i atacs digitals que han tingut un gran ressò al país, arriba a la conclusió que hi ha una forta necessitat de fomentar una cultura de prevenció en temes de ciberseguretat, emparada per una regulació en la matèria.
Definicions clau i marc legal
Un dels aspectes bàsics i de gran rellevància per entendre la iniciativa són les definicions que estableix en matèria de ciberseguretat. Per exemple, a efectes legals, "confidencialitat" fa referència a "la propietat de la informació, que garanteix que només hi pot accedir el personal autoritzat". Entre altres conceptes clau, l'article 3 també descriu els incidents de ciberseguretat o cibernètics com a "un o diversos esdeveniments no desitjats o inesperats que tenen una probabilitat significativa de comprometre (o que comprometen) les operacions organitzacionals i d'amenaçar la seguretat de la informació".
El text també aborda les funcions i les atribucions de diferents organismes estatals, com ara l'Agència Nacional de Ciberseguretat, i contempla la creació del Registre Nacional d'Incidents de Ciberseguretat, que "s'integrarà amb la informació dels esdeveniments que representin algun atac, delicte cibernètic o esdeveniment que hagi provocat una interrupció o una degradació importants o rellevants en l'operació dins de la infraestructura tecnològica d'un organisme públic o privat". D'acord amb l'article 18, estan obligats a lliurar informació per a aquest registre els administradors d'infraestructures crítiques d'informació públiques i privades, i tots aquells que hagin patit incidents de ciberseguretat que suposin un risc per a la seva operació o per a la seguretat de dades personals de tercers.
Obligacions per a empreses i administradors de TI
Els títols quart i cinquè són especialment interessants per a les empreses que presten serveis digitals, gestionen dades personals o utilitzen infraestructures digitals i de telecomunicacions. Contenen un seguit d'obligacions per a les organitzacions i els seus administradors de TI, entre les quals hi ha:
- Protegir la confidencialitat de les dades personals dels usuaris.
- Enviar una notificació a l'Agència Nacional de Ciberseguretat i a la persona interessada en cas que es produeixi una violació de la seguretat de les dades personals.
- Comptar amb una representació legal al territori nacional.
- Establir mesures de seguretat tecnològica.
- Responsabilitzar-se per l'ús indegut dels seus serveis.
- Donar de baixa les adreces IP i els llocs web que infringeixin la llei.
- Conservar la informació que es requereixi per a la investigació de delictes cibernètics.
- Respectar la confidencialitat en la subcontractació de serveis.
- Cooperar amb les autoritats internacionals en matèria de ciberseguretat.
- Inscriure's al Registre Nacional de Proveïdors de Tecnologia per a Intervenció de Comunicacions.
- Establir mesures de ciberseguretat si ofereixen serveis bancaris o financers.
Recomanacions per al compliment de la nova normativa
En poques paraules, aquesta proposta de llei incorpora un alt grau de responsabilitat per a les empreses i els seus administradors. En aquest sentit, a més de conèixer la informació, és fonamental centrar-se en la prevenció. Un cop s'aprovi la Llei Federal de Ciberseguretat, també serà necessari comptar amb les mesures de seguretat adequades per tal de complir-la.
Per tant, t'oferim tres recomanacions perquè et preparis per complir aquesta nova regulació:
- Implementa un programa de ciberseguretat integral. Aquest programa ha d'incloure mesures de seguretat tecnològica, com ara tallafocs, antivirus i sistemes de detecció d'intrusos. També ha d'incloure mesures de seguretat organitzatives, com ara la capacitació dels empleats en matèria de ciberseguretat i la implementació de polítiques de seguretat.
- Desenvolupa un pla de resposta a incidents cibernètics. Aquest pla ha de definir els passos que seguiràs en cas que es produeixi un incident cibernètic, com ara l'atac d'un programari de segrest o una violació de dades personals.
- Estableix una aliança estratègica amb un proveïdor de serveis de ciberseguretat. Un proveïdor de serveis de ciberseguretat et pot ajudar a implementar i gestionar el teu programa de ciberseguretat.
Tenir una llei en la matèria és un pas important per protegir la informació dels usuaris i evitar els delictes cibernètics. Tot sembla indicar que la futura Llei Federal de Ciberseguretat ens farà corresponsables del seu compliment.
Si vols més informació sobre el tema, estem a la teva disposició per resoldre qualsevol dubte relacionat amb la protecció de la teva informació i les teves infraestructures digitals. Posa't en contacte amb nosaltres o visita la nostra pàgina web.
.svg){kind=icon}
.svg){kind=icon}
.svg){kind=icon}
