Estado de la Ciberseguridad en el Sector Gubernamental

Estado de la Ciberseguridad en

el Sector Gubernamental

Índice

• Introducción

• Tendencias de TIC

• Comercio electrónico Global • Comercio electrónico México • Fintech Global

• Fintech México

• Sector Gobierno Global • Sector Gobierno México • Ciberseguridad

• Índice de Ciberseguridad 2017 UIT • Normas internacionales

• Ciberseguridad en el sector Gobierno Mexicano • Estado actual

Introducción

Las Tecnologías de Información y Comunicaciones (TIC) transforman a las sociedades, permitiendo una comunicación instantánea entre personas, negocios y “cosas”, cambiando los esquemas tradicionales de las organizaciones.

Tendencias de TIC

Comercio electrónico Global Comercio electrónico México Fintech Global

Fintech México

Tendencias de TIC (comercio electrónico Global)

Ecosistema

• En

la Comunidad Económica Europea existe una

legislación de comercio electrónico desde el año 2000

(

Commerce Directive 2000/31/EC

).

• En 2015 se emitieron 16 iniciativas para desarrollar un

Estrategia de Mercado Electrónico Única donde se

incluyen:

– Servicios de información en línea.

– Venta de productos y servicios en línea. – Anuncios en línea.

– Servicios profesionales.

– Servicios de entretenimiento y servicios básicos de

Normatividad

Tendencias TIC (Comercio Electrónico en México)

• En materia normativa, hace 17 años a la Ley

de Protección al Consumidor se le incluyeron

las transacciones electrónicas.

• No existe una normativa específica de

comercio

electrónico,

que

contemple

cuestiones de comercio transfronterizo entre

otros puntos.

• En el TLCAN actual no está contemplado.

• ¿Qué pasa si nos salimos del TLCAN?.

Tendencias TIC (Comercio Electrónico en México)

Tendencias de TIC (Fintech Global)

Tendencias de TIC (Fintech Global)

• En cuanto a Marco Regulatorio Fintech de los 3 principales mercados:

1. China en 2105 elaboró las “Guías de Opinión para promover el buen Desarrollo

del Internet Financiero”, sin embargo están a nivel “Guías de Opinión” y no un marco regulatorio.

2. Reino Unido se basa actualmente en el marco normativo de EU, el cual no

tiene una única normativa Fintech, se compone de:

• Directiva de dinero electrónico. • Directiva de servicios de pago. • Directiva de anti lavado de dinero.

• Otras más como Solvencia II, MiFID II, EMIR, MAD/MAR. • En 2016 Reino Unido aprobó el Brexit…

3. En Estados Unidos de América no existe una única regulación Fintech

• Las industrias bancarias y de valores están reguladas por varias agencias federales y de los 50 estados.

• Las empresas que se dedican a préstamos, seguros y transferencia de dinero están reguladas por normativas estatales.

Tendencias de TIC (Fintech Global)

Tendencias TIC (Fintech en México)

Acorde con Finnovista, México se colocó como el mayor

mercado de la industria Fintech en América Latina, con un

crecimiento de 50 por ciento en menos de un año,

relevando a Brasil como Líder Fintech en la región.

Tendencias TIC (Fintech en México)

En materia normativa, en octubre de 2016 se propuso un

borrador de normativa de Ley Fintech, que incluye:

Se clasifica a las Fintech en cuatro categorías principales:

– Crowdfunding.

– Fondos de pago electrónico.

– Intercambio de activos virtuales (que incluye Bitcoins).

– En una cuarta categoría, llamada Empresas Innovadoras,

estarán todas las demás.

Tendencias TIC (Fintech en México)

• Facultades y Atribuciones. Las empresas Fintech serán consideradas Instituciones de Tecnologías Financieras (IFT) teniendo que ser sociedades anónimas o de responsabilidad limitada, contar con domicilio en México, y tener tanto gobierno corporativo, manuales de operación, oficinas, así como sistemas operativos, contables y de seguridad.

• En materia de gestión de riesgos. Establece mecanismos de transparencia, defensoría y protección a los clientes, principalmente a través de la Condusef. Las fintech, principalmente las que manejan activos virtuales, deberán divulgar los riesgos a los que están sujetos sus clientes en sus medios publicitarios y contratos.

• Las materias de identificación plena y en la de protección a

usuarios, la Ley Fintech será de una responsabilidad casi idéntica a

la que tienen los bancos.

Tendencias TIC (Fintech en México)

• Las

Naciones

Unidas,

realiza

cada

dos

años

la Encuesta de Gobierno Electrónico, el cual es un

informe global que e valúa el uso de las Tecnologías de

la

Información

y

Comunicación

para

impulsar

la

eficiencia, transparencia, rendición de cuentas, acceso a

servicios públicos y participación ciudadana en los

gobiernos de los países miembro de la Organización de

las Naciones Unidas.

• Desde 2001 se han emitido 9 informes, el último en julio

de 2016.

Índice de e-gobierno (Naciones Unidas)

• Los Estados miembros son clasificados de acuerdo al

Índice de Desarrollo de Gobierno Electrónico (EGDI, por

sus siglas en inglés), compuesto por tres dimensiones:

– El Índice de Telecomunicaciones e Infraestructura

(TII) provisto por la Unión de Telecomunicaciones.

– EL (HCI) índice de Capital Humano 2, provisto por la

UNESCO.

– El Índice de Servicios en Línea (OSI) de datos

recolectados

por

una

encuesta

independiente

aplicada a los 193 países miembro de las Naciones

Unidas.

Índice de e-gobierno (Naciones Unidas)

Índice de e-gobierno (Naciones Unidas) 10 naciones con mayor índice EGDI

Tendencias de TIC (Sector Gobierno Global)

Índice de e-gobierno (Naciones Unidas)

Portal Gob.mx

Ciberseguridad

La Unión Internacional de Telecomunicaciones (UIT)

genera el

Índice Global de Seguridad Cibernética, que

mide el compromiso de los 193 estados miembros de la

UIT con la seguridad cibernética.

Este reporte se ha emitido 2 veces, en 2014 y el último en

julio de 2017.

• El índice Global de Ciberseguridad (GCI por sus siglas en inglés), está compuesto de cinco pilares:

1. Legal: Basado en la existencia de Instituciones y marcos de trabajo legales

relacionados con la ciberseguridad y el cibercrímen.

2. Técnicos: Basado en la existencia de Instituciones y marcos de trabajo técnicos

relacionados con la ciberseguridad y el cibercrímen.

3. Organizacional: Basado en la existencia de instituciones de estrategia y

coordinación para políticas para el desarrollo de la ciberseguridad a nivel nacional.

4. Construcción de capacidades: Basada en la existencias de programas de

investigación y desarrollo, educación y entrenamiento, profesionales certificados y agencias públicas que fomenten la construcción de capacidades.

5. Cooperación: Basada en la existencia de marcos de trabajo de cooperación y

asociación, así como redes para intercambio de información.

Mapa de Calor GCI

Nivel de cumplimento: (verde el mayor, rojo menor)

3 más altos de América

Acorde con la UIT “México. Tiene un registro alto en el pilar

legal, con una legislación completa que cubre criminalidad,

protección de datos, privacidad de datos y

transacciones

electrónicas.”

• En abril de 2016 la Comunidad Económica Europea emitió la Regulación General de Protección de Datos (GDPR por sus siglas en inglés) que entrará en efecto en Mayo de 2018 para las empresas:

• Con presencia en un país de la Comunidad.

• Que no tenga presencia en EU pero que procese datos personales de residentes Europeos.

– Esta disposición protege los datos de los residentes Europeos correspondientes a:

• Datos de identidad básicos como nombres, direcciones, números de identificación. • Datos Web, como localización, Dirección IP, Datos “Cookie” y tags RFID.

• Datos de salud y genéticos. • Datos Biométricos.

• Datos Raciales o étnicos. • Opiniones políticas.

• Orientación Sexual.

• El Parlamento Europeo en julio de 2016 emitió la “Directiva en Seguridad de Redes y Sistemas de Información” (Directiva NIS) dio 21 meses a los países de la Comunidad para trasladar esta Directiva a sus legislaciones nacionales, esta directiva requiere:

– A los Estados Miembros estar preparados con tecnología apropiada, por ejemplo: Equipos de Respuesta Incidentes (CSIRT por sus sigas en inglés) y una autoridad NIS competente.

– Cooperación entre todos los Estados Miembro, facilitando la cooperación e intercambio de información.

– Una cultura de seguridad entre sectores vitales para la economía, tales como energía, transporte, agua, bancos, infraestructura bancaria y de mercado, salud e infraestructura digital. Los negocios en estos sectores identificados como operadores de servicios esenciales, tienen que tomar las medidas de seguridad apropiados y notificar los incidentes graves a la autoridades nacionales

Ciberseguridad en el sector Gobierno Mexicano Estado actual

Ciberseguridad en el Sector Gobierno Mexicano

(Estado Actual)

Policía Cibernética

La Policía Cibernética Federal, fue creada en diciembre de

2002, depende de la Policía Federal Preventiva, sus

principales funciones son:

– Detectar fraudes.

– Falsificaciones.

– Delitos contra menores.

– Delitos Cibernéticos.

– Patrullajes en la supercarretera de la información.

– Investigación del crimen computacional.

Policía Cibernética

En

2016 se emitió un modelo

homologado para policías

cibernéticas el cual tiene como objetivo

“Sentar las bases de coordinación para incrementar la capacidad del Estado Mexicano en la prevención y atención de Delitos cibernéticos proponiendo un modelo de operación para las Policías Cibernéticas Estatales, así como canales de comunicación.”

El modelo Incluye

– Los procesos de operación de la Policía Cibernética Estatal. – La metodología de implementación basada en 5 fases.

– Los recursos materiales y humanos para la operación de una Unidad Cibernética Estatal.

– Las capacidades necesarias para la integración de los procesos

operativos.

Policía Cibernética

Plantea 3 niveles de madurez, para que en 2018 los estados

cuenten con unidades cibernéticas, acorde con la situación

actual de madurez:

– Nivel 2. Estados que cuentan con unidades cibernéticas establecidas y en operación.

– Nivel 1. Estados que cuentan con unidades cibernéticas con operación básica.

– Nivel 0. Estados que cuentan con unidades cibernéticas con operación mínima o no cuenta con unidad cibernética.

Estrategia Nacional de Ciberseguridad (ENCS)

En agosto de 2017 el Comité Especializado en Seguridad de

la Información (CESI) publicó el documento de trabajo

“Hacia una estrategia Nacional de Ciberseguridad”, con

el objetivo de:

“Propiciar que individuos, empresas y entes públicos de los diferentes poderes y órdenes de gobierno realicen sus actividades con el uso de tecnologías de información y comunicación, incluyendo el ciberespacio; de manera libre, confiable segura y resiliente, y con ello impulsar el desarrollo económico social y político de México”.

Esta estrategia está propuesta para que sea obligatorio para

el Poder Ejecutivo Federal.

Estrategia Nacional de Ciberseguridad (ENCS)

Estrategia Nacional de Ciberseguridad (ENCS)

Tres fases de desarrollo:

• Corto plazo: El resto de 2017, lo cual implica la

construcción de la ENCS en el resto del semestre.

• Mediano Plazo: El resto de la Administración 2013-2018.

Dejar bases para la implementación de la ECNS.

• Largo Plazo: A 2030, seguimiento y actualización

periódica de la ENCS.

Marco Normativo

En julio de 2010, las Secretaría de la Función Pública emitió la primera versión del MAAGTIC, desde su inicio el manual fue diseñado como un “Marco rector de procesos fundamentado en las mejores prácticas, de manera que se tenga una cobertura total de la gestión de las unidades administrativas de Tecnologías de la Información y Comunicaciones, así como de los servicios que estas áreas proporcionan a sus usuarios”. Inicialmente este proceso contemplaba 11 macro procesos, no se incluyeron los relacionados con la seguridad de la información.

El ámbito de aplicación del MAAGTICSI es en el Poder Ejecutivo, los Poderes Legislativo, Judicial así como los Organismos Constitucionalmente Autónomos, en ocasiones utilizan como referencia este Manual para desarrollar sus propias normativas en materia de TIC.

Marco Normativo MAAGTICSI

Se han emitido 5 versiones del MAAGTICSI y se ha modificado su estructura sustituyendo los macro procesos por procesos donde ya se incluye el tema de Seguridad de la Información, la versión más reciente fue publicada el 4 de febrero de 2016 y establece los 9 procesos siguientes:

• Planeación Estratégica (PE).

• Administración del Presupuesto y las Contrataciones (APCT). • Administración de Servicios (ADS).

• Administración de la Configuración (ACNF).

• Administración de la Seguridad de la Información (ASI). • Administración de Proyectos (ADP).

• Administración de Proveedores (APRO). • Administración de la Operación (AOP).

• Operación de los controles de seguridad de la información y del ERISC (OPEC).

Dentro de las distintas evaluaciones en materia de TIC que la Auditoría Superior de la Federación ha realizado, así como un estudio de madurez de las TIC basado en COBIT 5.0 que se llevó a cabo en la CP 2014 a las entidades de la Administración Pública Federal, se detectaron las siguientes áreas de oportunidad en el MAAGTICSI:

• Es de aplicación general y no define criterios de aplicación específicos, por ejemplo: por sector o tamaño de la entidad, lo que ha provocado que para algunas Instituciones como son las del sector financiero, hacendario o energético, la norma contenga pocos procesos y controles acorde con la criticidad de la información y procesos que este tipo de entidades manejan. Por otro lado, hay entidades que carecen o cuentan con muy poco

• Carece de criterios de evaluación con los cuales se pueda identificar el nivel de madurez de cada uno de los procesos que propone, las mejores prácticas internacionales recomiendan implantar este tipo de procesos bajo un esquema evolutivo el cual con base en la mejora continua permita la maduración de los procesos.

• Los 9 procesos definidos en el MAAGTICSI, no contemplan funciones relevantes que se tienen que llevar a cabo en área de TIC, como desarrollo de sistemas y la gestión de riesgos, la continuidad, cambios e incidentes; aunque refiere que se pueden utilizar estándares nacionales y mejores prácticas, no deja establecido bajo qué criterios se deben utilizar por lo que en la práctica pocas entidades las aplican.

Análisis comparativo de MAAGTICSI contra COBIT 5.0

Con la finalidad fortalecer la normatividad en materia de TIC, la ASF identificó las áreas de oportunidad en el MAAGTICSI comparándola contra la mejor práctica internacional COBIT 5.0.

Nivel de Cumplimiento del

MAAGTICSIO Cantidad de procesos de COBIT 5.0

Cumple (mayor al 80%) 1

Cumple Parcialmente (del 50% al

80%) 14

Cumple Mínimamente (menor al

50%) 6

No Cumple 16

Total 37

De las auditorías realizadas de 2013 a la fecha en materia de TIC, la ASF ha detectado los principales retos en ciberseguridad:

• Falta de apego a la normatividad de las entidades.

• No existe una adecuada clasificación de la información y definición de controles requeridos acorde con su nivel de criticidad.

• Falta de personal especializado.

• Carencia de Sistemas de Gestión de Seguridad. • Carencia de planes de continuidad .

• Falta de esquemas de seguridad en el desarrollo de sistemas. • Mala segregación de funciones.

Conclusiones

Para contar con un esquema de Ciberseguridad Nacional, es necesario la incorporación y participación de todos los sectores, es por ello que se tiene que contemplar:

• Un proceso continuo que tiene que evolucionar y dar respuesta a los nuevos desafíos de ciberdelitos.

• Desarrollar normativas, estándares y mejores prácticas que abarquen a sectores públicos y privados.

• Esquemas de comunicación y respuesta a incidentes integrales entre el sector público, privado, sociedad civil; así como con otros países y entidades internacionales.