Las empresas gastaron 114 mil millones de dólares en 2018 en seguridad cibernética; aun así, fuimos testigos de brechas de seguridad significativas. La ciberseguridad se ha convertido tanto en una necesidad para los gobiernos y las empresas privadas como en una responsabilidad importante si no se realiza correctamente.
A pesar de gastar miles de millones en seguridad cibernética, las empresas aún no lo están haciendo bien en este aspecto. Tomemos el ejemplo del phishing. A pesar de ser uno de los tipos más comunes de ataques cibernéticos y de que las compañías instituyen una capacitación constante en un intento por evitar que los empleados hagan clic en los enlaces, sigue siendo uno de los tipos de ataques cibernéticos más exitosos.
A medida que los ciberdelincuentes se vuelven más inteligentes y mejoran sus métodos de ataque, un número cada vez mayor de gobiernos están creando agencias de ciberseguridad para proteger tanto a sus instituciones como a los ciudadanos de estos ataques.
El gobierno actual de México ha delineado su estrategia para prevenir el ciberdelito con la creación de una Ley de seguridad informática que permitiría la constitución de una Agencia Nacional de Seguridad Informática.
Además, México es uno de los siete países de América Latina que adaptará la Recomendación del Consejo sobre Inteligencia Artificial de la Organización para la Cooperación y el Desarrollo Económicos (OCDE).
Al firmar esta recomendación, que consta de cinco principios de responsabilidad y confiabilidad de inteligencia artificial (IA), México reafirma su compromiso de favorecer la expansión tecnológica y se posiciona como un actor clave para la cooperación internacional dentro del ámbito de las políticas públicas.
Estos son pasos significativos hacia adelante y una clara muestra del compromiso de México de asegurar la información privada de sus ciudadanos y las instituciones gubernamentales. Sin embargo, hay una variedad de consideraciones que deben tenerse en cuenta para que su éxito.
La primera consideración es la rendición de cuentas. Es de gran importancia que la Agencia propuesta indique claramente en sus estatutos quién supervisará su trabajo y cuáles son sus limitaciones. Una Ley de transparencia a la que los ciudadanos tengan acceso soberano, ya que ayudará a asegurarles que la función de la Agencia es supervisar la seguridad de sus datos y no controlar estos.
Dichos estatutos también reunirán los esfuerzos de las diferentes ramas de la policía, asignando actividades y responsabilidades. Actualmente, existe una falta de comunicación entre la Policía Federal y la Policía Cibernética, lo que afecta el rastreo de los delitos.
Al crear un cuerpo específico de delitos informáticos, las actividades no se duplicarán y los diferentes organismos de la policía cibernética sabrán cuáles son las actividades específicas que están obligados a ejecutar. En la mayoría de los casos, muchos ciudadanos ni siquiera saben que existe un organismo ante el cual pueden presentar quejas por robo de información o hacking informático.
La Agencia propuesta y la Ley que la creará se incluirán en el Plan Nacional de Desarrollo. Esto ofrece la oportunidad de asignar a este nuevo organismo la responsabilidad de educar a la ciudadanía sobre seguridad informática y la protección de datos. Además, tanto los ciudadanos como las instituciones privadas se beneficiarán de esta campaña educativa.
Muchas brechas de seguridad comienzan con un error humano, y tener un público informado ayudará a mitigar el riesgo de que un empleado permita que un ciberdelincuente acceda a la red de la empresa para lanzar un ataque exitoso. También ayudará a los ciudadanos a evitar ser víctimas de estafas y ataques de phishing, o de que su información financiera personal se vea comprometida.
El proceso de desarrollo de esta Agencia debe involucrar a expertos académicos en la materia y también incluir organizaciones privadas, que pueden proporcionar experiencia técnica y ayudar en la implementación de los sistemas requeridos por la Agencia.
Las múltiples formas de ciberdelito sólo aumentarán a medida que nuestras sociedades continúen con su digitalización. Esto ha sido entendido por el gobierno mexicano y otros gobiernos del mundo como el Reino Unido, que creó su Centro Nacional de Seguridad Cibernética en 2016.
Rendición de cuentas, responsabilidades claras y el compromiso de involucrar a la ciudadanía en general en una cultura de seguridad cibernética, son fundamentales para la creación de una Agencia Nacional de Seguridad Informática exitosa y un país más seguro.
Por Laura Jiménez, Directora Regional de Daktrace en América Latina.