México se encuentra al borde de un cambio significativo en materia de Ciberseguridad con la introducción de la propuesta de ley presentada al Congreso en 2023. Esta iniciativa fue turnada a comisiones hacia finales de ese año y es probable que se someta a votación en 2024. Aunque habrá que esperar a su publicación para conocer sus detalles, ya podemos revisar los puntos clave de esta primera versión para familiarizarnos las nuevas responsabilidades de los sujetos obligados por esta norma.
En este sentido, la propuesta de Ley Federal de Ciberseguridad parte reconocer la relevancia absoluta del entorno virtual global, sus ventajas y riesgos. Destaca el considerable aumento del acceso a Internet en México —que ya alcanza una tasa de 70%— y el creciente nivel de prioridad que la ciberseguridad tiene en el mundo. Después de mencionar una serie de sonados ciberdelitos y atentados digitales en el país, llega a la conclusión que hay una fuerte necesidad de fomentar una cultura de la prevención en temas de ciberseguridad, respaldada por una regulación en la materia.
Definiciones clave y marco legal
Uno de los aspectos básicos y de alta relevancia para entender la iniciativa son las definiciones que establece en materia de ciberseguridad. Por ejemplo, para efectos legales, por confidencialidad se entenderá “la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información”. Entre otros conceptos clave, el Artículo 3o también precisa los incidentes de ciberseguridad o cibernéticos como “uno o varios eventos no deseados o inesperados que tienen una probabilidad significativa de comprometer o comprometan las operaciones organizacionales y amenazar la seguridad de la información”.
El texto también aborda las funciones y atribuciones de distintos organismos estatales como la Agencia Nacional de Ciberseguridad y contempla la creación del Registro Nacional de Incidentes de Ciberseguridad, que: “se integrará con la información de los eventos que representan algún ataque, delito cibernético o evento que haya provocado una interrupción o degradación importante o relevante a la operación dentro de la infraestructura tecnológica de un organismo público o privado”. De acuerdo al Artículo 18, están obligados a entregar información para este registro los administradores de infraestructuras críticas de Información públicas y privadas, y todos aquellos que hayan sufrido incidentes de ciberseguridad que supongan un riesgo para su operación o para la seguridad de datos personales de terceros.
Obligaciones para empresas y administradores de IT
Los títulos Cuarto y Quinto son de especial interés para las empresas que prestan servicios digitales, manejan datos personales o hacen uso de infraestructura digital y de telecomunicaciones. Contienen una serie de obligaciones para las organizaciones y sus administradores de IT, entre las que se encuentran:
- Proteger la confidencialidad de los datos personales de los usuarios.
- Notificar a la Agencia Nacional de Ciberseguridad y al interesado en caso de violación de la seguridad de los datos personales.
- Contar con una representación legal en el territorio nacional.
- Establecer medidas de seguridad tecnológica.
- Responsabilizarse por el uso indebido de sus servicios.
- Dar de baja las direcciones IP y sitios web que infrinjan la ley.
- Conservar la información que se requiera para la investigación de delitos cibernéticos.
- Respetar la confidencialidad en la subcontratación de servicios.
- Cooperar con las autoridades internacionales en materia de ciberseguridad.
- Inscribirse en el Registro Nacional de Proveedores de Tecnología para Intervención de Comunicaciones.
- Establecer medidas de ciberseguridad si brindan servicios bancarios o financieros.
Recomendaciones para el cumplimiento de la nueva normativa
En pocas palabras, el espíritu de esta iniciativa de Ley incorpora un alto grado de responsabilidad para las empresas y sus administradores. Al respecto, además de conocer la información, enfocarse en la prevención es vital. Una vez se apruebe, contar con las medidas de seguridad adecuadas también será necesario para estar en cumplimiento de la Ley Federal de Ciberseguridad.
Por lo tanto, le presentamos tres recomendaciones para prepararse y cumplir con esta nueva regulación:
- Implemente un programa de ciberseguridad integral. Este programa debe incluir medidas de seguridad tecnológica, como firewalls, antivirus y sistemas de detección de intrusos. También debe incluir medidas de seguridad organizativas, como la capacitación de los empleados en ciberseguridad y la implementación de políticas de seguridad.
- Desarrolle un plan de respuesta a incidentes cibernéticos. Este plan debe definir los pasos que seguirá en caso de que se produzca un incidente cibernético, como un ataque de ransomware o una violación de datos personales.
- Establezca una alianza estratégica con un proveedor de servicios de ciberseguridad. Un proveedor de servicios de ciberseguridad puede ayudarle a implementar y gestionar su programa de ciberseguridad.
Tener una ley en la materia es un paso importante para proteger la información de los usuarios y prevenir los delitos cibernéticos. Todo parece indicar que la futura Ley Federal de Ciberseguridad nos hará correponsables de su cumplimiento.
Si le interesa conocer más sobre el tema, estamos a su disposición para resolver cualquier duda relacionada con la protección de su información e infraestructuras digitales. Le invitamos a contactar con nosotros o visitar nuestra página web.
.svg){kind=icon}
.svg){kind=icon}
.svg){kind=icon}
