O México está à beira de uma mudança significativa na segurança cibernética com a introdução da proposta de lei apresentada ao Congresso em 2023. Essa iniciativa foi encaminhada aos comitês no final daquele ano e é provável que seja votada em 2024. Embora tenhamos que aguardar sua publicação para conhecer os detalhes, já podemos analisar os pontos principais dessa primeira versão para nos familiarizarmos com as novas responsabilidades das partes vinculadas a esse regulamento.
Nesse sentido, a proposta de Lei Federal de Segurança Cibernética reconhece a relevância absoluta do ambiente virtual global, suas vantagens e riscos. Ele destaca o aumento considerável do acesso à Internet no México, que já atinge uma taxa de 70%, e o crescente nível de prioridade que a segurança cibernética tem no mundo. Depois de mencionar uma série de crimes cibernéticos e ataques digitais de alto nível no país, conclui que há uma grande necessidade de promover a cultura de prevenção da segurança cibernética, apoiada pela regulamentação da segurança cibernética.
Principais definições e estrutura legal
Um dos aspectos básicos e altamente relevantes para a compreensão da iniciativa são as definições que ela estabelece em termos de segurança cibernética. Por exemplo, para fins legais, confidencialidade significa “propriedade da informação, garantindo que ela seja acessível somente ao pessoal autorizado a acessá-la”. Entre outros conceitos importantes, o Artigo 3 também define incidentes de segurança cibernética ou cibernéticos como “um ou mais eventos indesejados ou inesperados que têm uma probabilidade significativa de comprometer ou que comprometem as operações organizacionais e ameaçam a segurança das informações”.
O texto também aborda as funções e atribuições de diferentes órgãos estatais, como a Agência Nacional de Segurança Cibernética, e contempla a criação do Registro Nacional de Incidentes de Segurança Cibernética, que: “será integrado com as informações de eventos que representem um ataque, crime cibernético ou evento que tenha causado uma interrupção ou degradação importante ou relevante na operação da infraestrutura tecnológica de um órgão público ou privado”. De acordo com o Artigo 18, a obrigação de enviar informações para esse registro se aplica a gerentes de infraestrutura de informações críticas públicas e privadas e a todos aqueles que sofreram incidentes de segurança cibernética que representam um risco para sua operação ou para a segurança de dados pessoais de terceiros.
Obrigações para empresas e administradores de TI
Os títulos quatro e cinco são de interesse especial para empresas que fornecem serviços digitais, lidam com dados pessoais ou fazem uso de infraestrutura digital e de telecomunicações. Eles contêm várias obrigações para as organizações e seus administradores de TI, incluindo:
- Proteger a confidencialidade dos dados pessoais dos usuários.
- Notificar a Agência Nacional de Segurança Cibernética e a pessoa interessada, em caso de violação da segurança dos dados pessoais.
- Ter representação legal no território nacional.
- Estabelecer medidas de segurança tecnológica.
- Assumir a responsabilidade pelo uso indevido de seus serviços.
- Cancelar a assinatura de endereços IP e sites que violam a lei.
- Manter as informações necessárias para a investigação de crimes cibernéticos.
- Respeitar a confidencialidade na terceirização de serviços.
- Cooperar com autoridades internacionais sobre segurança cibernética.
- Registrar-se no Registro Nacional de Provedores de Tecnologia para Intervenção em Comunicações.
- Estabelecer medidas de segurança cibernética se fornecerem serviços bancários ou financeiros.
Recomendações para conformidade com os novos regulamentos
Em resumo, o cerne dessa iniciativa legislativa incorpora um alto grau de responsabilidade para as empresas e seus gerentes. Nesse sentido, além de conhecer os fatos, é fundamental concentrar-se na prevenção. Uma vez aprovadas, medidas de segurança adequadas também serão necessárias para estar em conformidade com a Lei Federal de Segurança Cibernética.
Portanto, aqui estão três recomendações sobre como você pode se preparar e cumprir essa nova regulamentação:
- Implemente um programa abrangente de segurança cibernética. Esse programa deve incluir medidas de segurança tecnológica, como firewalls, antivírus e sistemas de detecção de intrusão. Também deve incluir medidas de segurança organizacional, como treinamento em segurança cibernética para os funcionários e a implementação de políticas de segurança.
- Desenvolva um plano de resposta a incidentes cibernéticos. Esse plano deve descrever as medidas que você tomará no caso de um incidente cibernético, como um ataque de ransomware ou uma violação de dados pessoais.
- Estabeleça uma aliança estratégica com um provedor de serviços de segurança cibernética. Um provedor de serviços de segurança cibernética pode ajudar você a implementar e gerenciar seu programa de segurança cibernética.
A existência de uma lei sobre crimes cibernéticos é um passo importante para proteger as informações dos usuários e evitar crimes cibernéticos. Parece que a futura Lei Federal de Segurança Cibernética nos tornará corresponsáveis por sua aplicação.
Se você tem interesse em saber mais sobre o assunto, estamos à sua disposição para responder a quaisquer perguntas que você possa ter sobre a proteção de suas informações e infraestruturas digitais. Convidamos você a entrar em contato conosco ou visitar nosso site.
.svg){kind=icon}
.svg){kind=icon}
.svg){kind=icon}
