El Chief Information Security Officer se encarga de la gestión y protección adecuada de la información que maneja una empresa para prevenir ciberataques o el robo de datos.
La seguridad actual de las empresas es una cuestión que va mucho más allá de la protección física. Las organizaciones gestionan una gran cantidad de información cuya seguridad es fundamental. El CISO (Chief Information Security Officer) es el perfil encargado de proteger y mantener la seguridad de los datos ante posibles ciberataques o robo de los mismos.
Datos personales de clientes, facturas de proveedores, proyectos para concurrir a concursos públicos, detalles técnicos de un producto… La información que manejan actualmente las empresas es un activo único que debe gestionar, almacenar y proteger de forma adecuada. Se trata de una cuestión que repercute en el día a día de una organización (tanto a nivel de negocio como de reputación) pero que, además, es una exigencia a nivel legal.
Principales funciones de un CISO
La principal función de un CISO o director de seguridad es proteger la información que maneja una organización. Entre sus cometidos se incluye:
- Definir la estrategia de seguridad en función de las necesidades de la organización.
- Diseñar las políticas en seguridad.
- Prevenir ciberataques.
- Definir cómo actuar en caso de sufrir un ciberataque.
- Reportar a dirección cualquier incidente relacionado con la ciberseguridad.
- Detectar vulnerabilidades en materia de protección de información.
- Supervisar que se cumpla la normativa en seguridad de la información.
- Velar por el correcto uso de información sensible y datos personales.
- Formar y sensibilizar a todos los departamentos sobre la importancia de la ciberseguridad.
Requisitos para ser CISO
El CISO es un profesionalista asociado a la alta dirección cuyo cometido debe estar alineado con los objetivos empresariales de la compañía para la que trabaja. De él depende, en gran medida, la ciberseguridad de la organización.
La formación de base de un director de seguridad está asociada al área de la informática, las matemáticas o las telecomunicaciones, con títulos como la Licenciatura en Ingeniería en Sistemas Computacionales y, posteriormente, una Maestría en Ciberseguridad. Además, esta Maestría incluye la preparación para única el certificado auditor interno ISO 27001, norma internacional de Seguridad de la Información.
Además de experiencia en el sector, un CISO debe acreditar sus conocimientos en seguridad informática con certificaciones reconocidas a nivel internacional, como la Certified Security Systems Security Professional (CISSP), la Certified Information Security Manager (CISM) o la Certified in Risk and Information Security Control (CRISC).
El perfil de un buen CISO se complementa con otro tipo de habilidades como el liderazgo, la capacidad de análisis y dotes de comunicación.
La figura del CISO es cada vez más necesaria en las empresas para garantizar el buen uso de los datos, la seguridad de los mismos y anticiparse a posibles ciberataques. En el caso de aquellas empresas que no pueden integrar este perfil dentro de su plantilla pueden hacerlo a través de una consultoría externa.
Ciberdelincuencia en México
México es el país de América Latina en el que se han registrado más intentos de ciberataques en los primeros seis meses del 2022. Según un informe de Fortinet, América Latina sufrió 137 mil millones de intentos de ciberataques en el período mencionado, de los cuales 85 mil millones corresponden a México. Esto representa un incremento del 40% con respecto al mismo periodo del año anterior.
En los últimos 4 años, múltiples instituciones gubernamentales mexicanas han sido atacadas por cibercriminales. Entre ellas se encuentran: el Instituto Mexicano del Seguro Social (IMSS), Pemex, Bancomext, Lotería Nacional, la Comisión Federal de Electricidad (CFE) y, más recientemente, la Secretaría de la Defensa Nacional el 25 de octubre de este año.
Por su parte, reportes de la División Científica de la Policía Federal indican un aumento en la proporción de ataques más sofisticados y dirigidos (como el phishing y el ransomware), y una disminución de los ataques DDoS.
Ley Federal de Ciberseguridad en México
La ciberseguridad afecta a todas las organizaciones independientemente de su tamaño o sector. Lógicamente, se agrava en aquellos casos donde se maneja información más sensible, en los cuales la figura del CISO se hace imprescindible. De hecho en la actualidad, México no cuenta con legislación en materia de ciberseguridad. Esto ha llevado a que múltiples instituciones gubernamentales, así como también empresas privadas y personas naturales, sean víctimas de ciberataques. A pesar de que desde el 2018 se han propuesto 11 iniciativas de leyes sobre ciberseguridad, ninguna ha llegado a concretarse.
El reciente hackeo a la Secretaría de la Defensa Nacional (Sedena) puso en marcha la creación de la «versión cero» de una Ley Federal de Ciberseguridad, preparada por el Senado de la República y la Comisión de Ciencia y Tecnología e Innovación de la Cámara de Diputados. Para ello, han buscado y analizado estudios nacionales e internacionales para comprender mejor el vacío legal en que se encuentra el país actualmente.
Fecha de publicación
Se esperaba que la nueva Ley Federal de Ciberseguridad fuese publicada en el mes de diciembre del 2022. Sin embargo, hasta la fecha, no está disponible para ser descargada por el público general.
¿Qué contempla la nueva ley?
Esta propuesta de Ley tiene 11 títulos, en los que se distribuyen 71 artículos. En estos, se consideran al menos cuatro planteamientos centrales:
- Garantizar la seguridad nacional mediante la defensa del espacio digital.
- Crear un marco legal que permita sancionar o tipificar los ciberataques.
- Realizar pruebas de penetración o pentesting anualmente a las instituciones públicas y privadas.
- Crear una Agencia Nacional de Ciberseguridad controlada por el Ejecutivo, similar a los modelos seguidos por la Unión Europea, Estados Unidos y Brasil.
Comisión Intersecretarial de TIC y de la Seguridad de la Información
Recientemente, el gobierno federal anunció la creación de una Comisión Intersecretarial de Tecnologías de Información y Comunicación (TIC), y de la Seguridad de la Información, para sustituir la Comisión para el Desarrollo del Gobierno Electrónico creada en el 2005.
Su finalidad es establecer cómo deben coordinarse e implementarse las políticas federales en materia de TIC y de seguridad de la información, impulsando actividades y estrategias para su aprovechamiento. Por ello, es probable que sus decisiones tengan impacto en el contenido preciso de la nueva ley de ciberseguridad.
Otras leyes de ciberseguridad en México
Previo a la creación de esta nueva Ley Federal de Ciberseguridad, en México no existía una ley dedicada específicamente a regular las medidas preventivas, correctivas y penales que podrían tomarse contra un ciberataque. Algunas leyes y normas mencionan la seguridad de la tecnología de la información (TI), pero dejan muchos vacíos legales y áreas grises.
Parte de las leyes, reglamentos y normativas actualmente vigentes en México que hacen mención a la ciberseguridad son las siguientes:
- Constitución Política de los Estados Unidos Mexicanos (CPEUM)
- Ley Federal de Telecomunicaciones y Radiodifusión (LFTR)
- Norma Federal de Transparencia y Acceso a la Información Pública (LFTAIP)
- Ley Federal del Derecho de Autor (LFDA)
- Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP)
- Código Penal Federal (CPF)
- Estrategia Nacional de Ciberseguridad 2017 (ENCS)
- Programa Nacional de Seguridad 2014-2018.
Es probable que, para poder poner en práctica la nueva Ley, sea necesario modificar estas leyes y normativas con la finalidad de mantener la coherencia de la legislación.
¿Quién se encarga de la ciberseguridad en México?
En México, actualmente, existen tres organismos con competencias en materia de ciberseguridad: el CERT-MX, la Policía Federal y el INAI.
CERT-MX
El Centro de Respuesta a Incidentes Cibernéticos de la Dirección General Científica de la Guardia Nacional se encarga de «brindar los servicios de apoyo en la respuesta a incidentes cibernéticos que afectan a las instituciones en el país que cuentan con infraestructura crítica de información».
También se aseguran que las instituciones gubernamentales cumplan con el Manual Administrativo de Aplicación General de Tecnologías de Información y Comunicaciones y de Seguridad de la Información (MAAGTICSI), que fue desarrollado tomando como ejemplo normas internacionales como la ISO 27001.
Policía Federal
La División Científica de la Policía Federal de México se encarga de investigar y dar seguimiento a las actividades delictivas cometidas a través de Internet. Trabajan en colaboración con el CERT-MX.
INAI
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) se encarga de garantizar el acceso a información pública y la protección de datos personales.
