Mientras que las empresas mexicanas prevén un aumento en su presupuesto para combatir los ciberataques de manera independiente, la regulación mexicana pareciera estar un paso atrás para sancionar estos delitos, señalo IQSEC.
En ese sentido, la firma indicó que México debe delinear una Ley de Ciberseguridad que desaliente la actividad cibercriminal y a la vez dotar a las personas y a las organizaciones de instrumentos para defenderse ante los ineludibles ciberataques
Esta ley, refirió, debe incluir, dentro de su alcance, los rubros de Ciberdefensa, que se define como un subconjunto de acciones que además de identificar, visibilizar, neutralizar y controlar las amenazas cibernéticas, buscan responder de manera inmediata y/o automatizada a los ataques.
“Esto con el objetivo de salvaguardar la seguridad de activos críticos de una organización o bien de una nación, para la protección de las personas, los datos y las operaciones sustantivas”, destacó.
Agregó que el rubro de Ciberresiliencia, debe incluirse de la misma forma, la cual se debe entender como la capacidad de prepararse para superar un ciberataque y mantener la confianza de su entorno, evitando pérdidas económicas y reputacionales
Asimismo delinear una Estrategia Nacional de Ciberseguridad, que esté basada en las mejores prácticas reconocidas en la industria (desde el punto de vista de la identificación, la protección, la detección, la respuesta y la recuperación) además, establecer una postura proactiva ante cualquier ciberataque.
Al tiempo, destacó se deben establecer mecanismos de protección contra la usurpación de identidad, con instrumentos legales que castiguen y tipifiquen el uso de una identidad falsa o robada como delitos graves, así como también generar medidas de seguridad mediante lo siguiente:
a) Aquellas instituciones que prestan algún servicio donde involucre operaciones con recursos financieros (efectivo y valores), bienes o cualquier parte patrimonial de un individuo, deberán estar obligadas a hacer una validación y verificación real de la identidad de los sujetos que las realicen, llevando a cabo una comparación de los datos generales y biométricos del individuo contra los registrados ante el INE (Instituto Nacional Electoral) u otra autoridad oficial (como por ejemplo los pasaportes emitidos por la Secretaría de Relaciones Exteriores), a fin de que se tenga certeza razonable de que la persona sea quien dice ser y que el documento que presenta es auténtico.
b) Establecer sanciones contundentes y, sobre todo, facilitar a las víctimas la presentación de las denuncias correspondientes y los elementos para poder perseguir de manera eficaz a los probables responsables de la comisión del ciberdelito.
Por otro lado, IQSEC se inclinó por adoptar marcos de trabajo de ciberseguridad conforme a las mejores prácticas para que las organizaciones públicas y/o privadas puedan demostrar que han estado implementando acciones proactivas para proteger tanto la identidad de los terceros como la información confidencial que poseen, para que, en el caso de que sufran una vulneración, se asuma correctamente la responsabilidad tanto por acción como por omisión.
Además de establecer la obligatoriedad de poner salvaguardas a los datos confidenciales para que, en caso de que alguien los extraiga de manera no autorizada, estos estén cifrados, de tal forma que no puedan hacer uso de ellos.
Por último, detalló que se deben generar programas de concientización en todos los niveles de la sociedad, pudiendo establecer desde la educación básica materias o programas de concientización en el uso correcto de las tecnologías, para lograr de esta manera robustecer el eslabón más débil de la cadena que es el usuario y así lograr que todos conozcan e identifiquen ataques como, Ingeniería Social, Phishing, ataque de denegación de servicio, entre otros similares.
