La Ciberseguridad en México se ha consolidado como un tema de relevancia nacional a medida que el mundo se ha vuelto más interconectado a través del uso de redes digitales y operaciones basadas en Internet.
La seguridad de la información y una digitalización sostenible son elementos fundamentales para el espacio cibernético mexicano y el país en general, considerando su modelo económico de mercado y su importante participación en la dinámica comercial globalizada.
Ante este contexto, en las siguientes líneas profundizaremos en los datos clave sobre la Ciberseguridad en México, abordando normativas de interés y retos a superar.
Panorama de la Ciberseguridad en México
México, como muchos otros mercados de Latinoamérica y el mundo en proceso de transformación digital avanzada, está experimentando vulnerabilidades en términos de seguridad de la información a partir de la masiva adopción de Internet y la oleada de teletrabajo impulsada por la pandemia.
Un ejemplo de ello es que, de acuerdo con un reportaje de Forbes que recopiló datos de firmas expertas en Ciberseguridad, México cerró el 2021 como el país con mayor incidencia de ataques cibernéticos en América Latina, concentrando el 67% de los intentos de vulneración.
Si bien conlleva mayor eficiencia, agilidad en los procesos de empresas y ampliación del acceso a productos y servicios, la sociedad digital - en este caso la mexicana - también es más vulnerable al robo de información, los fraudes por ingeniería social (phishing) y otros ataques maliciosos que comprometen la seguridad informática y privacidad.
Considerando este escenario generado por la adopción masiva de las tecnologías de la información, veamos los principales retos, acciones y marcos regulatorios que determinan el panorama de la Ciberseguridad en México.
La paradoja de la interconectividad
La interconectividad se ha vuelto absolutamente necesaria en México, al punto que se reconoció como un derecho constitucional en 2013.
Según lo informado por el Banco Mundial, en el año 2000, el porcentaje de ciudadanos en México que tenían acceso a Internet era del 5,08%, un universo de usuarios que se extendió de forma masiva en los siguientes años, escalando a más de un 70% a partir de 2020.
Esto genera el reto de cumplir este derecho constitucional y continuar impulsando la adopción de Internet y nuevas tecnologías, pero al mismo tiempo poniendo especial atención en esquemas de Ciberseguridad aplicables para cada ámbito y accesibles tanto para particulares como para empresas.
Leyes y regulaciones aplicables
Las siguientes son las normativas más relevantes sobre la materia en el país:
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley de Protección de Datos”) y sus reglamentos, recomendaciones, lineamientos y normas análogas en materia de protección de datos.
- Ley Federal de Transparencia y Acceso a la Información Pública.
- Normas Generales previstas en la Norma Oficial Mexicana (NOM) sobre los requisitos que deberán observarse en la conservación de los mensajes de datos.
- Ley de Títulos y Operaciones de Crédito.
- Ley de Instituciones de Crédito.
- Ley de Propiedad Industrial.
- Ley de Derecho de Autor.
Además de estas normativas, legislaciones internacionales de gran relevancia a nivel mundial también tienen incidencia en las buenas prácticas de seguridad adoptadas en los ámbitos institucionales y empresariales en México.
La Regulación General de Protección (GDRP), de la Unión Europea, es un claro ejemplo de marcos internacionales que sirven de referencia para la protección de información confidencial, la autenticación y la prevención del cibercrimen en general, que con considerados dentro de México.
De igual forma, a nivel organizacional, en México son valorados estándares globales como el ISO 27000 (implantación, mantenimiento y gestión de Sistema de Gestión de Datos) para mitigar incidentes de Ciberseguridad y frustrar ataques de cibercriminales.
Al ser el principal socio comercial de Estados Unidos, empresas mexicanas también siguen de cerca estándares en materia de Ciberseguridad impulsados en el país vecino, como la Ley de Privacidad para Consumidores de California (California Consumer Privacy Act, "CCPA").
Acciones de seguridad según las leyes
De acuerdo con la legislación mexicana (especialmente, la Ley Federal de Protección de Datos), las organizaciones están obligadas a implementar medidas correctivas, preventivas y de mejora para que las medidas de seguridad sean adecuadas para evitar una brecha.
En definitiva, las empresas deben tener la posibilidad de distinguir entre los distintos tipos de daños que puedan ocurrir, ya sean materiales o inmateriales, a través de una evaluación de riesgo.
Como premisa, el daño material debe ser priorizado antes que el inmaterial, y todo dependerá de:
- La empresa.
- El contexto.
- El procesamiento de la información respecto a los datos que hayan sido comprometidos.
Identificar los potenciales riesgos particulares de cada industria es un punto clave para todos los negocios que sean víctimas de un ciberdelito.
Determinados sectores, como la sanidad y la banca, por ejemplo, deben dar a las empresas la libertad necesaria para adaptar sus propias políticas internas, además de los marcos normativos generales.
Comprometer la Ciberseguridad en México sobre las bases de datos, sitios, programas o equipos, a raíz de la falta de implementación de las medidas de seguridad requeridas, constituye una infracción administrativa a la Ley de Protección de Datos.
Sin duda, este es un punto clave para el compliance (cumplimiento) de las empresas mexicanas que manejan datos de terceros.
5 acciones clave para proteger a una empresa en el contexto mexicano
En los últimos años se ha construido todo un marco legal para fomentar la Ciberseguridad, especialmente, a nivel empresarial.
De igual forma, como país clave en la dinámica global comercial, México considera experiencias, aprendizajes y prácticas que forman parte de marcos regulatorios internacionales, de mercados referencia como el europeo, por ejemplo.
Para alinearse a este entorno enfocado en la mitigación de las vulnerabilidades y el ciberataque, evitando riesgos legales y reputacionales, las empresas en México pueden considerar acciones clave como:
1. Hacer una constante evaluación de Ciberseguridad
Los sistemas de TI deben ser evaluados constantemente en búsqueda de posibles brechas de seguridad que los hagan más sensibles al delito informático. Además, esto sirve para determinar áreas de mejora.
La finalidad de una evaluación de Ciberseguridad es detallar cualquier posible riesgo cibernético capaz de generar atascos de seguridad o accesos indebidos.
2. Trazar una estrategia de Ciberseguridad y plan de ruta
En este punto, se debe definir un plan de ruta para resguardar los sistemas empresariales de manera personalizada y adaptada a las necesidades puntuales de cada empresa.
De este modo, podremos optimizar los costos y planear modelos de corporate governance (gobierno corporativo) realmente efectivos.
3. Apoyarse en servicios gestionados de Ciberseguridad
Contratar especialistas en Ciberseguridad es una estrategia crítica para fortalecer los sistemas empresariales.
Estos realizarán diariamente pruebas de control y mantenimiento, entre otros servicios de soporte técnico de alto valor.
4. Asegurar el hardware
Con tanta atención prestada a la adquisición de los tipos de software de seguridad cibernética más nuevos y sofisticados, a menudo se pasa por alto la protección de la seguridad del hardware de la empresa. No obstante, la pérdida o el robo de dispositivos es una amenaza real a tener en cuenta.
Comience su estrategia de prevención de ataques cibernéticos con lo básico: proteja todos los dispositivos con una contraseña compleja y compártala únicamente con el usuario de cada equipo.
No pase por alto la eficacia de conectar físicamente las computadoras a los escritorios. Esta es una forma simple pero efectiva de evitar que los intrusos se lleven el equipo de la empresa y los datos confidenciales que contienen.
5. Cifrar y hacer copias de seguridad de los datos
Una estrategia efectiva de protección contra delitos cibernéticos debe constar de dos elementos:
- Evitar el acceso físico a datos confidenciales.
- Hacer que esos datos sean inútiles si caen en las manos equivocadas.
Las empresas pueden lograr esto último con el cifrado de datos. El cifrado de datos es una solución eficiente para las filtraciones de información sensible, en caso de que ocurran.
Debemos asegurarnos de cifrar todos los datos confidenciales de la red corporativa y sus sistemas informáticos, incluida la información de los clientes, los datos de los empleados y todos los datos comerciales.
Esto representa una capa adicional de seguridad que garantiza la privacidad, incluso, cuando se hayan producido vulneraciones dentro de los sistemas y los atacantes hayan superado la red perimetral de Ciberseguridad.
¡Gracias por leernos! Ya conoce cómo es el panorama de Ciberseguridad en México.
Ahora que tiene a la mano estadísticas y acciones claves para protegerse, considerando las particularidades del mercado mexicano, puede valorar la implementación de una solución integral para resguardar sus sistemas críticos de TI.
Por esa razón, lo invitamos a que conozca nuestra oferta de Ciberseguridad, basada en un portafolio integral que cubrirá todas sus necesidades.
