La Estrategia Nacional de Ciberseguridad de 2017 no ha salido del papel y tampoco se ha convertido en una política de Estado, según la OEA y el BID.
La Estrategia Nacional de Ciberseguridad que publicó la administración de Enrique Peña Nieto al final de su sexenio debe trascender al papel, coincidieron expertos miembros de la Organización de Estados Americanos (OEA) y el Banco Interamericano de Desarrollo (BID), organizaciones que recientemente lanzaron, en colaboración con la Universidad de Oxford, el informe “Ciberseguridad 2020: riesgos, avances y el camino a seguir en América Latina y el Caribe” en el que analizan el avance que ha experimentado la región en materia de ciberseguridad desde la primera edición del documento, de 2016.
El informe asegura que México se ha integrado a un grupo de 12 países latinoamericanos que cuentan con una Estrategia Nacional de Ciberseguridad a la manera de naciones como Reino Unido, Israel o , aunque Allison Treppel, secretaria ejecutiva del Comité Interamericano contra el Terrorismo (Cicte) de la OEA, y Miguel Porrúa, coordinador del Clúster de Gobierno Digital en la División de Capacidad Institucional del Estado en el BID admiten que los países deben estar dispuestos a implementar las disposiciones de la estrategia.
“México seguramente tendría sus razones para implementar o no esta estrategia en 2017, pero es importante recalcar que una estrategia no está escrita en piedra, debe ser un documento vivo, flexible, ajustado a la realidad cambiante. Típicamente, una estrategia tiene una validez de entre tres y cinco años, entonces tampoco sería sorprendente si México decidiera revisar o estudiar nuevamente su estrategia, pero eso es decisión del gobierno mexicano”, dijo Allison Treppel en entrevista.
El informe de la OEA y el BID analiza la madurez de la ciberseguridad en los 32 países que integran la region de América Latina y el Caribe de acuerdo con cinco dimensiones:
Política y Estrategia de Ciberseguridad
Cultura Cibernética y Sociedad
Educación, Capacitación y Habilidades en Ciberseguridad
Marcos legales y regulatorios
Estándares, Organizaciones y tecnologías
Dependiendo de las acciones que tomen los países respecto de estas dimensiones, la medición establece un nivel de madurez de la capacidad de ciberseguridad que va de la etapa inicial, pasando por la formativa, la consolidada, la estratégica hasta llegar a la dinámica.
México avanza en madurez
Según el estudio, México cuenta con un nivel de madurez promedio de dos, es decir formativo, en las dimensiones Cultura y sociedad y Educación, capacitación y habilidades. A la vez, el país ha obtenido un puntaje inferior a dos en las dimensiones de “Política y estrategia” y “Estándares, organizaciones y tecnologías”. El informe destaca que en la dimensión de “Marcos Legales y Regulatorios”, México tiene un nivel de madurez de entre dos y tres, con lo que estaría entrando a la etapa consolidada en materia de marcos legislativos.
“México ha logrado avances muy importantes. En el año 2017 lanzó su estrategia nacional de ciberseguridad y ahora México es uno de 12 países que cuentan con una política nacional en materia de ciberseguridad para fomentar una sociedad digital segura”, dijo Treppel, para quien además México está desarrollando muy activamente sus Equipos de Respuesta a Emergencias de Ciberseguridad o CERT, entre los que las organizaciones enumeran al CERT-MX, de la Guardia Nacional, de tipo nacional y a los CSIRT de la Secretaría de la Defensa y de la Secretaría de Marina, de tipo militar. El informe deja fuera al CERT de la UNAM, que es de tipo académico.
Pero la Estrategia Nacional de Ciberseguridad de la que hablan la OEA y el BID en su informe y en la que en buena medida están basados los resultados del reporte que hicieron ambas organizaciones no ha salido del papel y tampoco se ha convertido en una política de Estado, como recomendó Miguel Porrúa, para quien algo importante ha sido que los participantes de la estrategia, es decir el gobierno, la iniciativa privada y la sociedad civil sepan que esta estrategia existe y que hay que contribuir a ella.
“Cada gobierno tiene la posibilidad de darle su visión, darle su matiz. Hay la oportunidad, con el nuevo gobierno, de avanzar aun más con base en ese marco que ya existe y que está bien concebido y bien diseñado”, dijo.
“Se elabora nueva estrategia”: Trend Micro
En su informe sobre su Estrategia Nacional de Seguridad Pública para 2019, la Secretaría de Seguridad y Protección Ciudadana presume que el Centro Nacional de Inteligencia (CNI) analizó un proyecto de iniciativa de ley en materia de ciberseguridad. El CNI recomendó que se estableciera un grupo de trabajo para “enriquecer el proyecto”. Desde diciembre de 2019, este proyecto radica en la Consejería Jurídica de la Presidencia de la República.
Juan Pablo Castro, director de Tecnología y Estrategias de Ciberseguridad en América Latina para Trend Micro y quien además lidera las alianzas que la compañía de ciberseguridad estadounidense ha establecido con la OEA y con la Interpol para la región latinoamericana, coincidió en que la Estrategia Nacional de Ciberseguridad de 2017 estuvo marcada por el cambio de administración y añadió que el gobierno del presidente Andrés Manuel López Obrador “tiene un nuevo enfoque por lo que se está elaborando una nueva estrategia”.
“Nosotros seguimos trabajando a nivel de colaboración con entidades específicas, como la Policía Cibernética y la División Científica mientras se elabora la estrategia y se pone en práctica”, dijo Castro en entrevista.
Tanto la OEA, como el BID aseguraron que mantienen la colaboración con las autoridades mexicanas. Miguel Porrúa dijo que “el BID ha tenido contacto con la Comisión Nacional de Seguridad, con la “comisión de agenda digital de la presidencia de la República y con la Secretaría de la Función Pública, donde está la división de gobierno digital”.
Porrúa cree que sigue habiendo un proceso de transición institucional dentro de estas entidades, lo que hace complejo el abordaje de una Estrategia Nacional de Ciberseguridad.
El directivo del BID añadió que México debe poner sobre la mesa que el mundo de la ciberseguridad está enfrentando a una industria de atacantes, con dinero y que está organizada y que para contrarrestar a esta industria, el país debe equiparse bien e invertir en recursos.
“El costo de no invertir en tecnología está bastante estudiado, anda entre .5 y 1% del PIB de la economía de cualquier país. La inversión en la agenda digital es de las más rentables del país”, dijo.
Crear una arquitectura institucional que coordine la ciberseguridad y el fortalecer a las instituciones con recursos materiales y humanos son las recomendaciones en las que coinciden los especialistas de la OEA, el BID y Trend Micro para que todos los sectores de la economía mexicana puedan responder a las amenazas de seguridad cibernética.
“Falta mucho a nivel regional. Fácilmente podríamos decir que todos los países deberían destinar más recursos a mejorar su resiliencia. Es un gran desafío convencer a los países que deberían invertir en medidas preventivas. México debería estar destinando más recursos, más atención, a proteger su infraestructura crítica”, dijo Allison Treppel.