ESTRATEGIA NACIONAL DE CEBERSEGURIDAD ME 2 0 17 1 CONTENIDO RESUMEN EJECUTIVO 2 JUSTIFICACION 5 INTRODUCCION 7 CONTEXTO INTERNACIONAL 9 CONTEXTO NACIONAL 13 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD 16 MARCO INSTITUCIONAL 25 GLOSARIO 27 ANEXO PROCESO COLABORATIVO HACIA UNA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD 30 www gob mx ciberseguridad 2 RESUMEN EJECUTIVO La Estrategia Nacional de Ciberseguridad es el documento que establece la vision del Estado mexicano en la materia a partir del reconocimiento de A La importancia de las tecnologias de la informacion y comunicacion TIC como un factor de desarrollo politico social y economico de Mexico en el entendido de que cada vez mas individuos estan conectados a Internet y que tanto organizaciones privadas como publicas desarrollan sus actividades en el ciberespacio B Los riesgos asociados al uso de las tecnologias y el creciente numero de ciberdelitos C Las necesidad de una cultura general de ciberseguridad El aumento de riesgos amenazas y ataques informaticos sofisticados el surgimiento de nuevas formas y tecnicas para aprovechar vulnerabilidades asi como el incremento de conductas delictivas que se cometen a traves de las TIC son circunstancias que hacen de la ciberseguridad un tema complejo A lo anterior se suma la naturaleza global del ciberespacio y la concurrencia de diferentes soberanias y marcos juridicos En terminos economicos de acuerdo con el reporte Tendencias de seguridad en America Latina y el Caribe1 el cibercrimen le cuesta al pais entre 3 000 y 5 000 millones de dolares al ano Ademas se advierte que los riesgos y amenazas en el ciberespacio son problemas internacionales que han ganado presencia en diferentes espacios y mecanismos de dialogo y cooperacion Los riesgos y amenazas en el ciberespacio pueden constituir un posible ataque a la dignidad humana a la integridad de las personas a la credibilidad reputacion y patrimonio de las empresas y las instituciones publicas asi como afectaciones a la seguridad publica o incluso la seguridad nacional Diversos paises han desarrollado estrategias de ciberseguridad con sus propias circunstancias y particularidades en razon de su capacidad economica social y politica Algunas de las estrategias ya estan en una etapa de madurez y se encuentran en su segunda o tercera version con varios anos de implementacion y experiencia con instituciones consolidadas y recursos dedicados al tema Otros paises llevan pocos anos o incluso meses de haber publicado su estrategia de ciberseguridad Los diferentes grados de avance de los paises y sus estrategias de ciberseguridad dejan en claro la necesidad e importancia de impactar positivamente a los individuos organizaciones privadas academia e instituciones de gobierno con acciones concretas en ciberseguridad Reporte Tendencias de seguridad en America Latina y el Caribe OEA disponible en el sitio de Internet https www sites oas org cyber Documents 2014%20-%20Tendencias%20de%20Seguridad%20Cibern%C3%A 9tica%20en%20Am%C3%A9rica%20Latina%20y%20el%20Caribe pdf consultado en octubre 2017 1 www gob mx ciberseguridad 3 La Estrategia Nacional de Ciberseguridad ENCS define objetivos y ejes transversales plasma los principios rectores identifica a los diferentes actores involucrados y da claridad sobre la articulacion de esfuerzos entre individuos sociedad civil organizaciones privadas y publicas en materia de ciberseguridad ademas senala el modelo de gobernanza para la implementacion seguimiento y evaluacion de la Estrategia En Mexico el Gobierno de la Republica en su rol de facilitador promovio espacios de dialogo discusion y aprendizaje mediante foros y talleres en un proceso de colaboracion denominado Hacia una Estrategia Nacional de Ciberseguridad de marzo a octubre de 2017 En estos espacios los distintos actores de la sociedad compartieron ideas inquietudes y propuestas en materia de ciberseguridad que arrojaron grandes coincidencias sobre las necesidades que debia atender la Estrategia tales como Que la ENCS articule el desarrollo de las acciones de ciberseguridad que sirvan a individuos empresas e instituciones publicas del Estado mexicano Colaboracion y cooperacion entre los diferentes sectores como pieza clave para el desarrollo seguimiento y evaluacion de la Estrategia Conocer la dimension de los riesgos y amenazas en el ciberespacio el estado que guarda la ciberseguridad en el pais la construccion de un diagnostico nacional asi como obtener evidencia para mejorar la toma de decisiones en materia de ciberseguridad Contemplar el escenario global como parte de la problematica y la diplomacia como via para entablar dialogos y acuerdos que permitan hacer frente a los riesgos amenazas y ciberdelitos Desarrollar capital humano especializado en materia de ciberseguridad Promover el uso responsable de las TIC y reforzar una cultura de ciberseguridad que contemple acciones de concientizacion educacion y formacion En el caso de Mexico si bien es cierto que no existia una Estrategia durante la presente administracion se impulsaron acciones por parte del gobierno de la Republica y existian ejercicios y esfuerzos valiosos en la materia por parte de la sociedad civil organizaciones privadas comunidad academica comunidad tecnica e instituciones publicas en los diferentes poderes y ordenes de gobierno www gob mx ciberseguridad 4 El objetivo general de la Estrategia Nacional de Ciberseguridad es identificar y establecer las acciones en materia de ciberseguridad aplicables a los ambitos social economico y politico que permitan a la poblacion y a las organizaciones publicas y privadas el uso y aprovechamiento de las TIC de manera responsable para el desarrollo sostenible del Estado Mexicano Para cumplir con el objetivo general se establecen 5 objetivos estrategicos 1 2 3 4 5 Sociedad y derechos Economia e innovacion Instituciones publicas Seguridad publica Seguridad nacional Para el desarrollo de la ENCS se consideran tres principios rectores A Perspectiva de derechos humanos B Enfoque basado en gestion de riesgos C Colaboracion multidisciplinaria y de multiples actores Para alcanzar los objetivos estrategicos se desarrollaran 8 ejes transversales 1 2 3 4 5 6 7 8 Cultura de ciberseguridad Desarrollo de capacidades Coordinacion y colaboracion Investigacion desarrollo e innovacion TIC Estandares y criterios tecnicos Infraestructuras criticas Marco juridico y autorregulacion Medicion y seguimiento En una etapa inicial la Comision Intersecretarial para el Desarrollo del Gobierno Electronico CIDGE a traves de la Subcomision de Ciberseguridad sera la encargada de coordinar al Gobierno de la Republica y articular los esfuerzos de los diferentes actores para la implementacion y seguimiento de la Estrategia El exito de la ENCS radica en la colaboracion de las diferentes partes interesadas y en la corresponsabilidad ante la adopcion y uso de las TIC Este es un documento vivo que pretende actualizarse constantemente conforme la dinamica social lo requiera www gob mx ciberseguridad 5 JUSTIFICACION La Estrategia Nacional de Ciberseguridad se fundamenta en el Plan Nacional de Desarrollo 2013-2018 de igual forma es transversal y contribuye de manera importante al logro de los objetivos del Programa para un Gobierno Cercano y Moderno 2013-2018 al Programa Nacional para la Seguridad Publica 2014-2018 y al Programa para la Seguridad Nacional 2014-2018 Ante el uso cada vez mas generalizado de las TIC en las actividades cotidianas de individuos organizaciones privadas y publicas aunado a su importancia como un factor de desarrollo politico social y economico el valor economico de la informacion asi como el riesgo inherente del uso de dichas tecnologias se considera necesario contar con una Estrategia Nacional de Ciberseguridad que articule las acciones dirigidas a individuos organizaciones privadas e instituciones publicas La tendencia de la digitalizacion conlleva a que mas personas usen tecnologias que mas servicios esten conectados a Internet e incluso que dependan de sistemas de informacion para su funcionamiento lo que implica que se incrementen las vulnerabilidades riesgos y amenazas La Union Internacional de Telecomunicaciones ha senalado en diversos informes que los ciberataques aumentaron un 30 por ciento entre 2011 y 2012 afectando a 550 millones de personas en todo el mundo y ocasionando perdidas economicas de 110 000 millones de dolares El Modelo de Madurez de Capacidad de Seguridad Cibernetica desarrollado en el estudio Informe Ciberseguridad 2016 Estamos preparados en America Latina y el Caribe 2 senala que el cibercrimen le cuesta al mundo hasta US$575 000 millones al ano lo que representa 0 5 por ciento del producto interno bruto global Eso es casi cuatro veces mas que el monto anual de las donaciones para el desarrollo internacional En America Latina y el Caribe este tipo de delitos nos cuestan alrededor de US$90 000 millones al ano Con esos recursos podriamos cuadruplicar el numero de investigadores cientificos en nuestra region Con relacion al informe de 2014 Tendencias de Seguridad Cibernetica en America Latina y el Caribe3 patrocinado por la Organizacion de Estados Americanos OEA se estima que los costos inherentes a la comision de los delitos informaticos Banco Iberoamericano de Desarrollo BID 2016 Ciberseguridad Estamos preparados en America Latina y el Caribe disponible en https digital-iadb leadpages co ciberseguridad-en-la-region 3 Reporte Tendencias de seguridad en America Latina y el Caribe OEA disponible en el sitio de Internet https www sites oas org cyber Documents 2014%20-%20Tendencias%20de%20Seguridad%20Cibern%C3%A 9tica%20en%20Am%C3%A9rica%20Latina%20y%20el%20Caribe pdf 2 www gob mx ciberseguridad 6 alrededor del mundo ascendieron a 113 000 millones de dolares y en Mexico representaron 3 000 millones dolares En Mexico los internautas han pasado de 40 a 65 5 millones en tan solo 4 anos 2012 a 2016 De acuerdo al reciente estudio Habitos de los Internautas en Mexico de la Asociacion Mexicana de Internet MX4 en Mexico se han registrado hasta 70 millones de cibernautas en 2016 La Policia Federal a traves de la Division Cientifica impulso una Estrategia de Ciberseguridad para fortalecer entre otros la concientizacion social sobre el uso responsable de las TIC Ademas el numero de incidentes ciberneticos identificados se ha triplicado de 2013 a 2016 pasando de cerca de 20 mil incidentes a mas de 60 mil mientras que la presencia de sitios web apocrifos con fines de fraude se incremento un 11 por ciento entre 2015 y 2016 llegando a cerca de 5 mil la propagacion de virus informaticos con afectaciones en Mexico crecio un 57 por ciento de 2015 a 2016 llegando a cerca de 40 mil eventos destaca el grado de sofisticacion utilizado por los ciberdelincuentes en algunos de los casos Por su parte la Comision Nacional para la Proteccion y Defensa de los Usuarios de Servicios Financieros CONDUSEF senala que5 durante el primer trimestre del 2011 el fraude cibernetico paso del 7 por ciento 38 mil 539 quejas de las reclamaciones por posible fraude al 42 por ciento 639 mil 857 quejas en el mismo periodo del 2017 El monto reclamado en el primer trimestre de 2017 asciende a mil 167 millones de pesos del cual se abono el 53 por ciento del total y el 90 por ciento de los asuntos se resolvieron a favor del usuario En cuanto al canal por donde mas se presenta el fraude cibernetico el 91 por ciento es por comercio electronico y llama la atencion el incremento de las operaciones por internet para personas fisicas y de banca movil 167 por ciento y 74 por ciento respectivamente en comparacion al ano anterior Por su parte en 2017 el promedio mensual de fraudes ciberneticos en comercio electronico fue de 193 mil casos cuando el ano anterior era de solo 131 mil En cuanto a fraudes ciberneticos en banca movil en el mes de marzo de 2017 se presento una cifra historica con 3 mil 682 casos En ese sentido es claro que solo la suma de los esfuerzos de todos los involucrados en materia de ciberseguridad permitira disenar y construir los cimientos en torno al uso y aprovechamiento de las TIC en un ambiente libre responsable y confiable que permita el desarrollo de capacidades aprovechamiento de oportunidades el crecimiento economico politico y social de la poblacion Asociacion de Internet Mx estudio Habitos de los Internautas en Mexico 2017 https www asociaciondeinternet mx es 5 Vease CONDUSEF https www gob mx cms uploads attachment file 240895 RECLAMACIONES_IMPUTABLES_A_UN_POSIBLE_F RAUDE_2011-2017_ver5 pdf 4 www gob mx ciberseguridad 7 INTRODUCCION Considerando que las actividades que se realizan en el ciberespacio tambien tienen impacto en el mundo fisico resulta apremiante contar con un referente en materia de ciberseguridad con la finalidad de impulsar la innovacion tecnologica y economica del pais contribuyendo a la vez al fortalecimiento de las instituciones publicas y al cumplimiento y respeto de los derechos humanos En este sentido la ENCS es el documento estrategico del Estado mexicano en materia de ciberseguridad Dada la complejidad y naturaleza transfronteriza de las dinamicas de la era digital se advierte la necesidad de abordar la ciberseguridad de forma integral colaborativa holistica y transversal La meta es que cualquier esfuerzo que aborde dicho fenomeno evolucione en el tiempo siempre apostando al esfuerzo conjunto de todos los sectores sociales La Estrategia Nacional de Ciberseguridad busca contribuir al desarrollo sostenible de Mexico teniendo como sustento varios principios rectores vinculados con la ciberseguridad A Perspectiva de derechos humanos B Enfoque basado en gestion de riesgos C Colaboracion multidisciplinaria y de multiples actores En una primera fase la Estrategia Nacional de Ciberseguridad aborda brevemente el contexto internacional en materia de ciberseguridad describiendo los diferentes escenarios y mecanismos internacionales tanto vinculantes como no vinculantes que guardan relacion con el tema y en los que participa el Estado mexicano La finalidad es mostrar la gran relevancia que ha tomado la ciberseguridad en la agenda internacional de la cual nuestro pais es actor importante Posteriormente se desarrolla el contexto nacional el cual senala el desarrollo digital del pais el sector de telecomunicaciones y usuarios de Internet asi como algunas referencias necesarias que se han elaborado en Mexico respecto a la ciberseguridad La parte toral de este documento describe los objetivos estrategicos y ejes transversales Por una parte los objetivos estrategicos senalados constituyen los cinco entornos a proteger y de los cuales se derivan acciones generales que benefician a la sociedad civil al sector privado las instituciones publicas y las comunidades academicas y tecnicas atendiendo a las particularidades de cada uno de estos actores De la mano de los cinco objetivos estrategicos se plantean ocho ejes transversales los cuales constituyen la columna vertebral de la Estrategia Nacional de www gob mx ciberseguridad 8 Ciberseguridad mismos que tambien serviran como base para el desarrollo del plan de implementacion correspondiente Asimismo se contempla el de marco institucional el cual sera parte del modelo de gobernanza de la ciberseguridad y que da cuenta de como el Gobierno de la Republica coordinara el tema de ciberseguridad por medio de las dependencias competentes para que en el futuro se establezcan los canales de cooperacion y participacion de los multiples actores interesados en el tema www gob mx ciberseguridad 9 CONTEXTO INTERNACIONAL La falta de cultura de ciberseguridad y responsabilidad en el uso de las TIC puede generar constantes riesgos y amenazas en el ciberespacio La vulnerabilidad de los sistemas de informacion puede afectar gravemente a las personas su informacion su patrimonio su reputacion e incluso su dignidad La globalizacion y la hiperconectividad exigen soluciones centradas en la colaboracion internacional de manera precisa eficaz y eficiente Ante la complejidad de la sociedad en la era digital y los retos que representa el uso y aprovechamiento de las TIC en la sociedad de la informacion es importante plantear el tema de la ciberseguridad con la optica del contexto internacional para lo cual se enuncian a continuacion algunos espacios o mecanismos En el seno de la Organizacion de las Naciones Unidas ONU la Cumbre Mundial sobre la Sociedad de la Informacion CMSI fomenta una vision centrada en las personas 6 tanto en sus primeras dos fases llevadas a cabo en 2003 y 2005 como en el proceso de revision de la implementacion de sus resultados en 20157 El Grupo de Expertos Gubernamentales GEG 8 fue creado para analizar las amenazas retos y dimensiones de la ciberseguridad asi como para consolidar recomendaciones y guias sobre el uso pacifico de las TIC la aplicacion del derecho internacional en el ciberespacio normas voluntarias medidas para el fomento de la confianza y la estabilidad y el fortalecimiento de capacidades nacionales Mexico forma parte del GEG La Comision de Prevencion del Delito y Justicia Penal CCPCJ elaboro un estudio acerca de los delitos ciberneticos que busca fortalecer el intercambio de experiencias y buenas practicas y generar oportunidades de cooperacion y asistencia tecnica que permitan el apoyo tactico y operativo a los Estados frente a los usos con fines delictivos de las TIC incluyendo Internet 9 Cumbre Mundial sobre la Sociedad de la Informacion Declaracion de Principios de Ginebra Documento WSIS-03 Geneva 4-S 12 de mayo de 2004 parrafo 1 disponible en http www itu int net wsis docs geneva official dop-es html 7 Resolucion 70 125 de la Asamblea General de Naciones Unidas parrafos 48 a 54 8 Mediante la resolucion Avances en la esfera de la informacion y las telecomunicaciones en el contexto de la seguridad internacional disponible en https www un org disarmament es los-avances-en-la-informatizacion-y-las-telecomunicaciones-en-el-contex to-de-la-seguridad-internacional 9 Oficina de las Naciones Unidas contra la Droga y el Delito Declaracion de Doha - Informe del 13 Congreso de las Naciones Unidas sobre la Prevencion del Delito y Justicia Penal julio de 2015 vease en http www unodc org documents congress Declaration V1504154_Spanish pdf 6 www gob mx ciberseguridad 10 El Foro para la Gobernanza de Internet IGF por sus siglas en ingles desde 2014 incluye los Foros de Mejores Practicas10 en temas de ciberseguridad Mexico fue anfitrion de la reunion del IGF en 2016 en la cual se abordo la ciberseguridad como un fenomeno multifactorial que es y sera pieza clave para el desarrollo sostenible En la Union Internacional de Telecomunicaciones UIT se desarrolla el Indice Global de Ciberseguridad encuesta11 que mide el compromiso de los paises en el tema mediante tres categorias Mexico al igual que otros 76 paises se identifica en una etapa de maduracion en tanto que solo 21 paises son ubicados en etapa lider En el marco de la Organizacion para la Cooperacion y Desarrollo Economicos OCDE durante la Reunion Ministerial de Economia Digital de 2016 los paises participantes se comprometieron a colaborar para aprovechar el potencial de la economia digital 12 En cuanto a ciberseguridad Mexico junto con otros 40 paises suscribio 3 factores 1 Reducir barreras para el comercio electronico nacional e internacional 2 Desarrollar estandares tecnicos globales que permitan la interoperabilidad y un Internet seguro estable abierto y accesible 3 Desarrollar con los tomadores de decisiones estrategias para la privacidad y proteccion de datos enfatizando la transparencia en el sector publico El Banco Interamericano de Desarrollo BID en conjunto con la Organizacion de los Estados Americanos OEA y el Centro Global de Capacitacion de Seguridad Cibernetica GCSCC de la Universidad de Oxford publico el documento Ciberseguridad Estamos preparados en America Latina y el Caribe13 que ubica a Mexico en un escaso nivel de implementacion en los componentes de Politica y Estrategia y Tecnologias 14 En la OEA el programa de seguridad cibernetica del Comite Interamericano contra el Terrorismo CICTE lidera la plataforma hemisferica de cooperacion internacional y asistencia tecnica en ciberseguridad Recientemente la OEA acordo Best Practice Forums disponible en http intgovforum org multilingual content best-practice-forums-4 Union Internacional de Telecomunicaciones Global Cybersecurity Index 2017 19 de julio de 2017 disponible en https www itu int dms_pub itu-d opb str D-STR-GCI 01-2017-R1-PDF-E pdf 12 Organizacion para la Cooperacion y Desarrollo Economicos Declaracion Ministerial sobre la Economia Digital Innovacion Crecimiento y Prosperidad Social 23 de junio de 2016 disponible en http www oecd org centrodemexico medios declaracion-ministerial-sbore-la-economia-digital htm 13 Banco Interamericano de Desarrollo y Organizacion de los Estados Americanos Ciberseguridad Estamos preparados en America Latina y el Caribe 14 de marzo de 2016 disponible en https digital-iadb leadpages co ciberseguridad-en-la-region 14 Su contenido se actualizara a finales de 2017 lo que daria espacio a evaluar avances despues de la definicion de la ENCS 10 11 www gob mx ciberseguridad 11 la creacion de un Grupo de Trabajo sobre Medidas de Fomento a la Confianza en el Ciberespacio que busca crear herramientas que consideren los avances internacionales logrados por el GEG de la ONU o en otros foros ajustandolos a las necesidades e intereses de la region En Latinoamerica la Agenda Digital para America Latina y el Caribe eLAC cuenta con cinco pilares de implementacion 15 En el pilar de gobernanza para la Sociedad de la Informacion destaca el Objetivo 19 Promocion de la seguridad privacidad proteccion de datos y confianza en el uso de Internet y el Objetivo 20 Prevencion y combate del ciberdelito mediante estrategias y politicas de ciberseguridad Coordinarse a nivel local y regional entre equipos de respuesta ante acontecimientos En el marco de la Alianza del Pacifico en diciembre de 2016 se aprobo la Agenda Digital con el precepto de Potenciar la cooperacion en materia de seguridad digital y fomento de la confianza en el uso de las TIC 16 Dicha agenda posee una hoja de ruta con cuatro ejes 1 economia digital 2 conectividad digital 3 gobierno digital y 4 ecosistema digital que buscan mejorar la competitividad de los paises que la conforman por medio de las TIC y la promocion de la economia digital En cuanto al Foro Economico Mundial WEF por sus siglas en ingles este define a la resiliencia y seguridad cibernetica como condiciones clave para el desarrollo tecnologico y economico En 2016 el Consejo de la Agenda Global en Ciberseguridad publico su libro blanco orientado a senalar los obstaculos existentes en el sector publico y privado que dificultan la colaboracion y la adopcion de mejores practicas en materia de ciberseguridad 17 Ademas identifico en su Informe de Riesgos Globales 2017 al robo masivo de datos y ciberataques en el escenario de riesgo para dicho ano senalando tambien el reto que representan las tecnologias emergentes en lo relativo a su gobernanza 18 En el caso de la Corporacion para la Asignacion de Nombres y Numeros en Internet ICANN por sus siglas en ingles la organizacion cuenta con organizaciones de apoyo y comites asesores con grupos de trabajo en distintos temas entre ellos ciberseguridad Las autoridades nacionales participan a traves del Comite Asesor Gubernamental y los trabajos relacionados con temas de Comision Economica para America Latina y el Caribe Agenda Digital para America Latina y el Caribe eLAC2018 7 de agosto de 2015 disponible en http repositorio cepal org handle 11362 38886 16 Alianza del Pacifico Declaracion de Cali 30 de junio de 2017 Anexo I parrafo 8 disponible en https alianzapacifico net wpdmdl 9850 17 World Economic Forum Global Agenda Council on Cybersecurity White Paper abril 2016 disponible en http www3 weforum org docs GAC16_Cybersecurity_WhitePaper_ pdf 18 World Economic Forum The Global Risks Report 2017 enero 2017 disponible en http www3 weforum org docs GRR17_Report_web pdf 15 www gob mx ciberseguridad 12 seguridad en la gestion de identificadores unicos de Internet se realizan a traves del Grupo de Trabajo sobre Seguridad Publica19 de dicho comite En materia de gobernanza de Internet tambien se discute sobre ciberseguridad ademas de los trabajos del Foro para la Gobernanza de Internet IGF existen esfuerzos nacionales y regionales por parte de la comunidad de multiples partes interesadas La Reunion Regional Preparatoria de America Latina y el Caribe para el Foro para la Gobernanza de Internet LACIGF es el espacio para que los diferentes actores toquen cuestiones de politicas relacionadas con Internet desde un enfoque regional y se celebra anualmente desde 2008 20 A nivel local existen los Dialogos sobre Gobernanza de Internet surgidos en 2013 Por otro lado la tendencia internacional en esta materia indica que los incidentes y ataques ciberneticos estan aumentando en frecuencia grado de afectacion y sofisticacion Los gobiernos y las empresas a nivel global reconocen la necesidad de contar con marcos medidas y capacidades de seguridad de la informacion y ciberseguridad mas robustas asi como de la cooperacion e intercambio de informacion para hacer frente al creciente numero de ataques informaticos amenazas y riesgos en el ciberespacio asi como la prevencion y atencion de delitos que se cometen a traves de las TIC o contra las TIC En este contexto la Union Internacional de Telecomunicaciones ha senalado en diversos informes que los ciberataques aumentaron un 30 por ciento entre 2011 y 2012 afectando a 550 millones de personas en todo el mundo y ocasionando perdidas economicas de 110 000 millones de dolares Con relacion al informe de 2014 Tendencias de Seguridad Cibernetica en America Latina y el Caribe21 patrocinado por la Organizacion de Estados Americanos OEA se estima que los costos inherentes a la comision de los delitos informaticos alrededor del mundo ascendieron a 113 000 millones de dolares y en Mexico representaron 3 000 millones dolares Internet Corporation for Assigned Names and Numbers GAC Public Safety Working Group disponible en https gacweb icann org display gacweb GAC Public Safety Working Group 20 Reunion Preparatoria para el Foro de Gobernanza de Internet LACIGF disponible en https lacigf org 21 Vease Reporte Tendencias de seguridad en America Latina y el Caribe OEA disponible en el sitio de Internet https www sites oas org cyber Documents 2014%20-%20Tendencias%20de%20Seguridad%20Cibern%C3%A 9tica%20en%20Am%C3%A9rica%20Latina%20y%20el%20Caribe pdf 19 www gob mx ciberseguridad 13 CONTEXTO NACIONAL Como en la mayoria de los paises en Mexico el uso de las tecnologias de la informacion y comunicacion se ha potenciado en los ultimos anos gracias al desarrollo del sector de telecomunicaciones al fomento de la inversion privada y la estabilidad economica y politica en el plano internacional aunado a las politicas publicas y el marco institucional y juridico que favorece la digitalizacion de Mexico Este uso generalizado y los diferentes factores economicos politicos y socioculturales han propiciado que en Mexico segun datos del Inegi22 al segundo trimestre de 2016 el 59 5 por ciento de la poblacion de seis anos o mas en Mexico se declare usuaria de Internet El 68 5 por ciento de los cibernautas mexicanos tiene menos de 35 anos El 47 0 por ciento de los hogares del pais tienen conexion a Internet El uso de Internet esta asociado al nivel de estudios entre mas estudios mayor uso de la red Internet se utiliza principalmente como medio de comunicacion para la obtencion de informacion en general y para el consumo de contenidos audiovisuales Los usuarios de telefonia celular representan el 73 6 por ciento de la poblacion de seis anos o mas y tres de cada cuatro usuarios cuentan con un telefono inteligente s martphone En el marco del Plan Nacional de Desarrollo 2013-2018 dentro del Programa para un Gobierno Cercano y Moderno 2013-2018 se establecio la Estrategia Digital Nacional cuya finalidad es impulsar la digitalizacion de Mexico a traves de acciones como gobierno digital datos abiertos inclusion y habilidades digitales servicios de salud y educacion a traves de las TIC el uso de TIC en servicios financieros entre otras Es importante fortalecer la ciberseguridad para que todos los servicios publicos principalmente los digitales y los derechos de las personas se realicen sin barreras de manera confiable y con resiliencia con miras a fortalecer la confianza en el uso de las TIC y en la relacion entre instituciones publicas sector privado y la sociedad en general Durante 2017 el estudio realizado por el sector privado denominado Evaluacion de la Ciberseguridad en Mexico Brechas y Recomendaciones en un Mundo Hiper-Conectado obtuvo algunos hallazgos relevantes como 23 INEGI 2017 Panorama general sobre el acceso a Internet y otras TIC en los hogares Disponible en http www inegi org mx saladeprensa aproposito 2017 internet2017_Nal pdf 23 El pasado octubre la Camara Nacional de la Industria Electronica de Telecomunicaciones y Tecnologias de la Informacion CANIETI en conjunto con la Asociacion Mexicana de Tecnologias de la Informacion AMITI y la Asociacion de Internet MX presentaron los resultados del estudio denominado Evaluacion de la Ciberseguridad en Mexico Brechas y Recomendaciones en un Mundo Hiper-Conectado informacion disponible en el sitio de Internet de CANIETI http www canieti org Comunicacion prensa boletinesdeprensa Presentaindustria aspx 22 www gob mx ciberseguridad 14 La necesidad de contar con una Agencia de Ciberseguridad Nacional que coordine la estrategia que se esta definiendo y genere la ruta critica de la gobernanza en Internet y que ademas coadyuve a generar certeza y confianza en el nuevo ecosistema digital La importancia de redefinir el marco juridico para la ciberseguridad armonizando las legislaciones federales y estatales garantizando la proteccion a datos personales y estimulando la comparticion de informacion Un marco que dote a los cuerpos policiacos de herramientas adecuadas Garantizar la proteccion de infraestructura critica sobre todo la ciberresiliencia bajo un enfoque de gestion de riesgo para que se tengan mecanismos y protocolos claros para la recuperacion de los sistemas El desarrollo de habilidades y competencias para el nuevo ecosistema digital definiendo claramente las nuevas habilidades que seran necesarias ampliando desarrollando y reclutando el mejor talento posible Por otra parte de acuerdo al mismo estudio del sector privado las brechas mas importantes de las organizaciones mexicanas se encuentran en cuanto a clasificacion de informacion metricas de ciberseguridad capacitacion en continuidad de negocio o ciber resiliencia asi como pruebas de vulnerabilidades por terceros Ademas son las grandes organizaciones quienes tienen una mayor percepcion del riesgo estan orientadas a la transformacion digital son conscientes de amenazas y de la necesidad de actuar ante ellas pero sobre todo tienen una alta percepcion de que pueden ser vulneradas lo que las lleva a adoptar las mejores practicas en ciberseguridad Destacan entre los principales hallazgos que solo el 65 3 por ciento de las organizaciones participantes se consideran medianamente preparadas para hacer frente a las amenazas Ademas el 59 7 por ciento de ellas manifesto que la transformacion digital es necesaria para el exito de la estrategia del negocio Para el 57 7 por ciento de los participantes las areas de operaciones finanzas y reputacion de marca son las de mayor impacto en caso de un ataque El 47 54 por ciento considera que existe un incremento alarmante de amenazas nuevas y mas complejas por lo que estan actuando en el tema y 46 7 por ciento indico que existe una probabilidad media de que sus activos digitales sean robados o danados 24 Por otro lado a fin de contribuir a la Meta Nacional Un Mexico en Paz del Plan Nacional de Desarrollo 2013-2018 la Policia Federal a traves de la Division Cientifica han logrado atender mas de 51 000 denuncias ciudadanas y mas de 200 000 V ease el estudio Evaluacion de la Ciberseguridad en Mexico Brechas y Recomendaciones en un Mundo Hiper-Conectado informacion disponible en el sitio de Internet de CANIETI http www canieti org Comunicacion prensa boletinesdeprensa Presentaindustria aspx 24 www gob mx ciberseguridad 15 incidentes ciberneticos se han desactivado cerca de 17 000 sitios fraudulentos y emitido mas de 2 000 alertas de ciberseguridad dirigidas a instituciones publicas y privadas La Estrategia Nacional de Ciberseguridad es de naturaleza transversal y se articula con otros programas y estrategias y se desprende de lo senalado en el propio Plan Nacional de Desarrollo 2013-2018 en apego a los valores y principios que establece la Constitucion Politica de los Estados Unidos Mexicanos www gob mx ciberseguridad 16 ESTRATEGIA NACIONAL DE CIBERSEGURIDAD Vision En 2030 Mexico sera una nacion resiliente ante los riesgos y amenazas en el ciberespacio que aprovecha con responsabilidad el potencial de las TIC para el desarrollo sostenible en un entorno confiable para todos Objetivo general Fortalecer las acciones en materia de ciberseguridad aplicables a los ambitos social economico y politico que permitan a la poblacion y a las organizaciones publicas y privadas el uso y aprovechamiento de las TIC de manera responsable para el desarrollo sostenible del Estado Mexicano Principios La Estrategia contempla como principios rectores lo siguientes A Perspectiva de derechos humanos Contemplar en las diferentes acciones en materia de ciberseguridad la promocion respeto y cumplimiento de los derechos humanos entre otros la libertad de expresion el acceso a la informacion el respeto a la vida privada la proteccion de datos personales la salud educacion y trabajo B Enfoque basado en gestion de riesgos Contar con la capacidad de manejar escenarios de incertidumbre por medio de enfoques preventivos y correctivos con la intencion de minimizar el impacto de las cambiantes amenazas y riesgos del ciberespacio C Colaboracion multidisciplinaria y de multiples actores Enfoque basado en la colaboracion multidisciplinaria de las diferentes partes actores y sectores con un enfoque de gobernanza de internet en materia de ciberseguridad que permita el desarrollo integral transversal y holistico de la Estrategia y facilite la participacion abierta y transparente de los mismos www gob mx ciberseguridad 17 Estructura de la Estrategia Nacional de Ciberseguridad La Estrategia Nacional de Ciberseguridad es el documento que plasma las acciones generales que ha de desarrollar el Estado mexicano en su conjunto sociedad civil academia sector privado e instituciones publicas para que se obtenga el maximo beneficio de las TIC en un entorno confiable y resiliente que se traduzca en beneficios para todos La estrategia para lograr el objetivo general plantea 5 objetivos estrategicos cuyo desarrollo requiere de 8 ejes transversales los cuales estan articulados son interdependientes y contribuyen a alcanzar cada uno de los objetivos estrategicos Todas las acciones de cada eje transversal seran desarrolladas sobre los 3 principios rectores De manera grafica la estructura de la Estrategia Nacional de Ciberseguridad puede observarse a continuacion www gob mx ciberseguridad 18 Objetivos estrategicos I Sociedad y derechos Generar las condiciones para que la poblacion realice sus actividades de manera responsable libre y confiable en el ciberespacio con la finalidad de mejorar su calidad de vida mediante el desarrollo digital en un marco de respeto a los derechos humanos como la libertad de expresion vida privada y proteccion de datos personales entre otros II Economia e innovacion Fortalecer los mecanismos en materia de ciberseguridad para proteger la economia de los diferentes sectores productivos del pais y propiciar el desarrollo e innovacion tecnologica asi como el impulso de la industria nacional en materia de ciberseguridad a fin de contribuir al desarrollo economico de individuos organizaciones privadas instituciones publicas y sociedad en general III Instituciones publicas Proteger la informacion y los sistemas informaticos de las instituciones publicas del pais para el funcionamiento optimo de estas y la continuidad en la prestacion de servicios y tramites a la poblacion IV Seguridad publica Incrementar las capacidades para la prevencion e investigacion de conductas delictivas en el ciberespacio que afectan a las personas y su patrimonio con la finalidad de mantener el orden y la paz publica V Seguridad nacional Desarrollar capacidades para prevenir riesgos y amenazas en el ciberespacio que puedan alterar la independencia integridad y soberania nacional afectando el desarrollo y los intereses nacionales www gob mx ciberseguridad 19 Ejes transversales 1 C ultura de ciberseguridad Es el conjunto de valores principios y acciones en materia de concientizacion educacion y formacion que se llevan a cabo por la sociedad academia sector privado e instituciones publicas que inciden en la forma de interactuar en el ciberespacio de forma armonica confiable y como factor de desarrollo sostenible La cultura de ciberseguridad abonara al cumplimiento de los 5 objetivos estrategicos mediante el desarrollo de politicas publicas estrategias programas proyectos acciones e iniciativas que Contribuyan a la promocion cumplimiento y proteccion de los derechos de individuos y organizaciones publicas y privadas con enfasis en la proteccion de ninas ninos y adolescentes en el ciberespacio y sus derechos Favorezcan el maximo aprovechamiento y uso responsable de las tecnologias de la informacion y comunicacion la convivencia armonica y el desarrollo de actividades en el ciberespacio Incentiven la innovacion y la economia para el desarrollo sostenible Fortalezcan la prevencion de riesgos y conductas delictivas que afectan a individuos organizaciones privadas y publicas Incrementen la confianza y continuidad de los servicios y tramites digitales publicos y privados Contribuyan a la prevencion de riesgos que pudieran afectar a las infraestructuras criticas de informacion y operacion 2 D esarrollo de capacidades Es el conjunto de acciones encaminadas a la generacion y fortalecimiento de las capacidades organizacionales de capital humano y recursos tecnologicos en materia de ciberseguridad que permitan a la sociedad academia sector privado e instituciones publicas contar con los recursos para la gestion de riesgos y amenazas en el ciberespacio asi como el incremento de la resiliencia nacional El desarrollo de capacidades ayudara al cumplimiento de los 5 objetivos estrategicos mediante el desarrollo de politicas publicas estrategias programas proyectos acciones e iniciativas que Incentiven el desarrollo de capital humano mediante la formacion de i Especialistas y profesionales de la ciberseguridad ii Lideres profesionales de la ciberseguridad como conductores de estrategias y politicas iii Profesionales de la investigacion y desarrollo para la industria y el comercio de la ciberseguridad www gob mx ciberseguridad 20 iv Profesionales de la investigacion y persecucion de los delitos que se cometen a traves de las TIC asi como de la procuracion e imparticion de justicia Establezcan la organizacion que debera prevalecer en lo publico y privado a fin de i Posicionar a la ciberseguridad a nivel estrategico en las organizaciones publicas y privadas ii Establecer los mecanismos de participacion ciudadana en materia de ciberseguridad Generen la infraestructura tecnologica necesaria para i El desarrollo tecnologico nacional de ciberseguridad para el fortalecimiento gradual de la ciberseguridad en Mexico ii Incrementar las capacidades tecnicas para la identificacion y gestion de incidentes ciberneticos a nivel nacional 3 Coordinacion y colaboracion Es el conjunto de acciones orientadas a coordinar y establecer los canales de colaboracion entre las distintas instituciones publicas academia sociedad civil y organizaciones privadas en materia de ciberseguridad en los diferentes ejes transversales con la finalidad de consolidar el ecosistema de ciberseguridad y obtener la capacidad resiliente necesaria para establecer los mecanismos preventivos proactivos y reactivos que brinden confianza y tranquilidad a la poblacion en el uso y aprovechamiento de TIC El desarrollo de acciones de coordinacion y colaboracion apoyara el cumplimiento de los 5 objetivos estrategicos a traves de la implementacion de acciones que Fortalezcan la cooperacion y colaboracion internacional Identifiquen los mecanismos de coordinacion y cooperacion entre los distintos actores involucrados a nivel nacional Definan y apliquen el modelo de gobernanza de ciberseguridad entre sociedad civil sector privado academia e instituciones publicas para compartir informacion y mejores practicas en materia de ciberseguridad Establezcan protocolos y canales de comunicacion que fortalezcan la confianza reciprocidad y estimulen la responsabilidad social de todos los actores 4 Investigacion desarrollo e innovacion en TIC Es el conjunto de acciones orientadas a establecer los mecanismos para fomentar la investigacion desarrollo e innovacion en el uso y aprovechamiento de las tecnologias en materia de ciberseguridad con la finalidad de favorecer el desarrollo de capital humano e innovacion tecnologica en la materia e impulsar el mercado nacional de ciberseguridad www gob mx ciberseguridad 21 que favorezca el desarrollo de capacidades y la madurez del ecosistema nacional Las acciones derivadas de la investigacion desarrollo e innovacion en TIC permitiran consolidar los 5 objetivos estrategicos a traves de la generacion de nuevos modelos y tecnologia orientados a minimizar los riesgos y vulnerabilidades inherentes a las tecnologias mediante Establecimiento de politicas programas acciones e iniciativas que detonen y consoliden el ecosistema de ciberseguridad en Mexico entre academia sociedad civil sector privado y sector publico para detonar innovacion en TIC relacionadas a ciberseguridad Promocion de investigacion cientifica y tecnologica que impulse el desarrollo de capacidades en materia de ciberseguridad Impulso del mercado nacional en materia de ciberseguridad que favorezca la autonomia tecnologica a nivel nacional y detone economia nacional en dicho sector 5 Estandares y criterios tecnicos Es el conjunto de acciones enfocadas al desarrollo adopcion y fortalecimiento de los estandares criterios tecnicos y de normalizacion en materia de ciberseguridad que permitan la homologacion y aplicacion de las mejores practicas y procesos en el uso y adopcion de las TIC en un entorno de ciberseguridad El desarrollo de estandares y criterios tecnicos ayudara al cumplimiento de los 5 objetivos estrategicos mediante Establecimiento de criterios normas y metodologias para la generacion uso y adopcion de hardware y software con la finalidad de fortalecer el ecosistema de ciberseguridad y disminuir riesgos y vulnerabilidades inherentes a la tecnologia Definicion de los marcos de referencia para fortalecer la ciberseguridad de organizaciones privadas y publicas academia y sociedad en general Promocion de la participacion de la comunidad academica tecnica y cientifica en el desarrollo y fortalecimiento de estandares metodologias y normalizacion en materia de ciberseguridad Identificacion y en su caso fomento del uso de estandares y mejores practicas internacionales en materia de ciberseguridad 6 Infraestructuras criticas Conjunto de acciones encaminadas a establecer las acciones y mecanismos necesarios para minimizar la probabilidad de riesgos y vulnerabilidades inherentes en el uso de las TIC para la gestion de infraestructuras criticas asi como para fortalecer la capacidad de resiliencia para mantener la www gob mx ciberseguridad 22 estabilidad y continuidad de los servicios en caso de sufrir un incidente de ciberseguridad El conjunto de medidas y acciones encaminadas a proteger las infraestructuras criticas ayudara al cumplimiento de los 5 objetivos estrategicos mediante el desarrollo de politicas programa de desarrollo de capital humano y acciones orientadas a El establecimiento de politicas y acciones que se llevaran a cabo en el marco de la Ley de Seguridad Nacional y demas instrumentos aplicables y aplicables en materia de seguridad nacional y en colaboracion con las instancias de seguridad nacional 7 Marco juridico y autorregulacion Impulsar y establecer acciones y mecanismos necesarios para la adecuacion del marco juridico nacional vinculado a la ciberseguridad y de autorregulacion por parte de los concesionarios permisionarios distribuidores de servicios de TIC incluida la modificacion a efecto de brindar certeza juridica al actuar de los intermediarios de Internet y la sociedad en general que permita el uso y aprovechamiento de las TIC y sana convivencia en el ciberespacio Las acciones orientadas a la adecuacion del marco juridico nacional y el desarrollo de mecanismos de autorregulacion en la era digital son vitales para el desarrollo de la digitalizacion en el mundo y clave para la prevencion de riesgos y amenazas la investigacion y sancion de los delincuentes en la era digital aunado a que es clave para fortalecer la confianza entre sociedad sector privado e instituciones publicas Lo anterior ayudara al cumplimiento de los 5 objetivos estrategicos mediante El desarrollo de capacidades de operadores juridicos y tomadores de decisiones en instituciones publicas y privadas asi como a la sociedad civil sobre el ecosistema digital la gobernanza de Internet y la ciberseguridad para analizar y proponer modificaciones o armonizacion legislativa acorde a las necesidades de la sociedad de la informacion que permita afrontar los riesgos y amenazas en materia de ciberseguridad La certeza juridica para que las instituciones publicas y privadas puedan desarrollar sus tareas en un entorno de cooperacion donde las instancias de procuracion de justicia que incrementen su eficacia en la investigacion prevencion persecucion y en la sancion a las personas ciberdelincuentes El analisis y establecimiento de mecanismos y procedimientos de autorregulacion que favorezca la construccion de confianza entre individuos sector publico y organizaciones privadas con apego a derecho www gob mx ciberseguridad 23 La homologacion y armonizacion de codigos penales y leyes complementarias en relacion a ciberdelitos asi como de las herramientas juridicas con las que cuentan las instancias de procuracion de justicia para la persecucion de los mismos 8 M edicion y seguimiento Es el conjunto de politicas y acciones encaminadas al fomento y desarrollo de mecanismos homologados de medicion que permitan dar seguimiento a los resultados obtenidos de la implementacion de la Estrategia Nacional de Ciberseguridad y su impacto en el desarrollo social y economico del pais con la finalidad de identificar las areas de oportunidad para su mejora continua El desarrollo de mecanismos de medicion y seguimiento ayudara al cumplimiento de los 5 objetivos estrategicos mediante la generacion de estadisticas e indicadores que permitan La colaboracion conjunta de actores para la elaboracion de metodologia que permita la construccion de diagnostico nacional sobre riesgos y amenazas en el ciberespacio El establecimiento de estadisticas centralizadas relacionadas con la implementacion y el impacto de la ciberseguridad y de la Estrategia en los sectores economicos politicos y sociales La obtencion de datos para la mejora continua y actualizacion de la Estrategia Nacional de Ciberseguridad www gob mx ciberseguridad 24 Alcance y futuro La Estrategia Nacional de Ciberseguridad es un documento pensado para evolucionar conforme a las necesidades de la sociedad en torno a la ciberseguridad con la finalidad de tener la capacidad de adaptacion y mejora continua frente a los retos riesgos amenazas y vulnerabilidades inherentes a las futuras tecnologias y la nueva dinamica social en el corto mediano y largo plazo Es tambien el documento que reafirma la vision de que la ciberseguridad es un habilitador para el desarrollo del potencial de la digitalizacion del pais y pieza clave para el desarrollo sostenible de Mexico y el mundo Existen riesgos y amenazas en el ciberespacio y tambien evolucionan las tecnicas de generacion de malware y conductas delictivas incluso mas rapido de lo que puede reaccionar una politica publica o la regulacion por ello debemos prepararnos para conocer y atemperar los posibles riesgos que traeran las tecnologias La Estrategia Nacional de Ciberseguridad es un documento vivo que marcara la ruta para el desarrollo de la ciberseguridad en Mexico con un enfoque integral transversal holistico y con la colaboracion de las diferentes partes interesadas es decir sociedad civil instituciones publicas sector privado y comunidades tecnica y academica www gob mx ciberseguridad 25 MARCO INSTITUCIONAL A nivel nacional existen diferentes esfuerzos en materia de ciberseguridad tanto de instituciones publicas como privadas ademas de esfuerzos de comunidades tecnicas y academicas y de la sociedad civil El Gobierno de la Republica en el marco de la Comision Intersecretarial para el Desarrollo del Gobierno Electronico CIDGE 25 en el mes de octubre de 2017 mediante acuerdo adoptado por unanimidad en la Comision acordo la creacion de la Subcomision de Ciberseguridad la cual esta presidida por la Secretaria de Gobernacion a traves de la CNS Policia Federal Division Cientifica Entre los integrantes de esta subcomision se encuentran diversas dependencias y entidades de la Administracion Publica Federal lo anterior con la finalidad de que la Estrategia Nacional de Ciberseguridad cuente con un desarrollo integral holistico y transversal desde el Ejecutivo Federal y permita la vinculacion con diferentes partes interesadas es decir sociedad civil sector privado comunidades tecnica y academica e instituciones publicas de los distintos poderes y de los diferentes ordenes de gobierno incluida cualquier institucion publica con autonomia Entre otras tareas la Subcomision de Ciberseguridad se encargara de Aprobar y dar a conocer la Estrategia Dar seguimiento y coordinar la implementacion de la ENCS en colaboracion con las diferentes dependencias y entidades de la APF Impulsar los esquemas de colaboracion y cooperacion interinstitucional en materia de ciberseguridad y Fomentar la colaboracion y cooperacion con los diferentes actores interesados sociedad civil sector privado comunidades tecnicas y academicas De conformidad con el articulo Tercero fraccion III y Decimo Noveno del Acuerdo que tiene por objeto crear en forma permanente la Comision Intersecretarial para el Desarrollo del Gobierno Electronico publicado en el Diario Oficial de la Federacion el 09 de diciembre de 2005 y el Acuerdo Tercero del Acta de la 18 Sesion Ordinaria de la Comision Intersecretarial para el Desarrollo del Gobierno Electronico del 11 de octubre de 2017 se creo la Subcomision de Ciberseguridad integrada por las siguientes autoridades 1 Division Cientifica de la Policia Federal quien la preside 2 Jefe de la Unidad de Innovacion y Estrategia Tecnologica de la Oficina de la Presidencia de la Republica 3 Unidad de Gobierno Digital de la Secretaria de la Funcion Publica y 4 Los titulares de las Unidades de Tecnologias de la Informacion y Comunicaciones de la Secretarias de Gobernacion de Economia de Educacion Publica y de Hacienda y Credito Publico asi como el titular de la Unidad de Tecnologia de la Informacion y Comunicaciones de la Procuraduria General de la Republica La Subcomision de Ciberseguridad tiene como objetivos i Articular los esfuerzos del Ejecutivo Federal y generar los criterios generales para que todas las dependencias y entidades de la Administracion Publica Federal contribuyan a la generacion de la ENCS y den seguimiento a la misma mediante acciones generales y especificas a desarrollar en el resto de la administracion ii Promover la participacion y colaboracion de la sociedad civil sector privado academia comunidad tecnica y organismos internacionales en materia de Ciberseguridad Establecer el Plan de Implementacion de la ENCS y iii Proponer el fortalecimiento institucional del ente responsable de dar seguimiento a la ENCS La Subcomision de Ciberseguridad cuenta con los siguientes invitados permanentes SEDENA SEMAR SAT CNBV PROFECO CONDUSEF IPN CONACYT CENACE SRE SSA STCNS-OPR y SE-SIPINNA 25 www gob mx ciberseguridad 26 Implementacion de la ENCS La Subcomision de Ciberseguridad establecera los grupos de trabajo para el desarrollo de cada uno de los ejes transversales que de manera directa impactaran en los diferentes objetivos estrategicos Los grupos de trabajo permitiran integrar esfuerzos acciones y propuestas de los diferentes actores acorde a las capacidades y atribuciones de cada una de las partes Rol de la Subcomision de Ciberseguridad en materia de seguridad nacional La Subcomision sera el vinculo formal con el Consejo de Seguridad Nacional a traves del Comite Especializado en Seguridad de la Informacion Las acciones necesarias para dar cumplimiento al objetivo estrategico de seguridad nacional deberan ser aprobadas en el seno del Consejo de Seguridad Nacional y su implementacion estara a cargo del Comite Especializado en Seguridad de la Informacion en coordinacion con la Subcomision de Ciberseguridad en el ambito de su competencia www gob mx ciberseguridad 27 GLOSARIO Activo s de informacion Toda aquella informacion y medio que la contiene que por su importancia y el valor que representa para cualquier dependencia o entidad de la APF los Poderes Legislativo y Judicial los organos constitucionales autonomos las empresas productivas del Estado los Gobiernos Estatales Municipales y Delegacionales asi como los particulares debe ser protegido para mantener su confidencialidad disponibilidad e integridad acorde al valor que se le otorgue Activos de TIC Los programas de computo bienes informaticos soluciones tecnologicas sistemas o aplicativos sus componentes las bases de datos o archivos electronicos y la informacion contenida en estos Amenaza s Cualquier posible acto que pueda causar algun tipo de dano a los activos de informacion de las dependencias o entidades de la APF los Poderes Legislativo y Judicial los organos constitucionales autonomos las empresas productivas del Estado los Gobiernos Estatales Municipales y Delegacionales asi como los particulares Catalogo Nacional de Infraestructuras Criticas de Informacion Relacion de las Infraestructuras Criticas de Informacion de los diferentes sectores del pais Ciberamenaza Riesgo potencial relacionado a las vulnerabilidades de los sistemas informaticos e infraestructura fisica y pasiva de las redes publicas de telecomunicaciones de permitir causar dano a los procesos y continuidad de las infraestructuras Criticas de Informacion las Infraestructuras de Informacion Esenciales asi como la seguridad de las personas Ciberataque Accion realizada a traves de las redes de telecomunicaciones con el objetivo de danar las Infraestructuras Criticas de Informacion las Infraestructuras de Informacion Esenciales asi como la seguridad de las personas Ciberdefensa Conjunto de acciones recursos y mecanismos del estado en materia de seguridad nacional para prevenir identificar y neutralizar toda ciberamenaza o ciberataque que afecte a la infraestructura critica nacional Ciberdelincuencia Actividades que llevan a cabo individuo s realiza n que utilizan como medio o como fin a las Tecnologias de la informacion y comunicacion Ciberespacio Es un entorno digital global constituido por redes informaticas y de telecomunicaciones en el que se comunican e interactuan las personas y permite el ejercicio de sus derechos y libertades como lo hacen en el mundo fisico Ciberseguridad Conjunto de politicas controles procedimientos metodos de gestion de riesgos y normas asociadas con la proteccion de la sociedad gobierno economia y seguridad nacional en el ciberespacio y las redes publicas de telecomunicacion www gob mx ciberseguridad 28 Confiabilidad de la Informacion La informacion generada debera ser adecuada para sustentar la toma de decisiones y la ejecucion de las misiones y funciones Datos personales Cualquier informacion concerniente a una persona fisica identificada o identificable Delitos ciberneticos o Ciberdelitos Acciones delictivas que utilizan como medio o como fin a las tecnologias de la informacion y comunicacion y que se encuentran tipificados en algun codigo penal u otro ordenamiento nacional Informacion Conjunto de datos organizados y procesados incluidos en documentos y en activos de TIC Infraestructura s Critica s de Informacion ICI Las infraestructuras de informacion esenciales consideradas estrategicas por estar relacionadas con la provision de bienes y de prestacion de servicios publicos esenciales y cuya afectacion pudiera comprometer la Seguridad Nacional en terminos de la ley de la materia Infraestructura s de Informacion Esencial es IIE Las redes servicios equipos e instalaciones asociados o vinculados con Activos de Informacion Tecnologias de Informacion y Comunicaciones TIC y Tecnologias de Operaciones TO cuya afectacion interrupcion o destruccion tendria un impacto mayor en la operacion de las instituciones Internet Conjunto de redes de telecomunicaciones que a traves de la red publica de telecomunicaciones ofertan servicios y comunicaciones digitales Riesgo La posibilidad de que una amenaza aproveche una vulnerabilidad y cause una perdida o dano sobre los activos de TIC las infraestructuras criticas o los activos de informacion Seguridad de la informacion Capacidad de preservar la confidencialidad integridad y disponibilidad de la informacion asi como su autenticidad auditabilidad proteccion a la duplicacion no repudio y legalidad Autenticidad Busca asegurar la validez de la informacion en tiempo forma y distribucion Asimismo garantiza el origen de la informacion validando el emisor para evitar la suplantacion de identidades Auditabilidad Define que todos los eventos de un sistema deben poder ser registrados para su control posterior Proteccion a la duplicacion Consiste en asegurar que una transaccion solo se realiza una vez a menos que se especifique lo contrario asi como en impedir que se grabe una transaccion para su posterior reproduccion con el objeto de simular multiples peticiones del remitente original No repudio Se refiere a evitar que una entidad organo o persona que haya enviado o recibido informacion alegue ante terceros que no la envio o recibio Legalidad Referido al cumplimiento del marco juridico al que esta sujeta la institucion de que se trate www gob mx ciberseguridad 29 TIC Tecnologias de Informacion y Comunicaciones que comprende los equipos de computo programas de computacion servicios y dispositivos de impresion que sean utilizados para almacenar procesar con convertir proteger transferir y recuperar informacion datos voz imagenes y video TO Tecnologias de Operacion Hardware o software que detecta o genera un cambio a traves del control y o monitoreo de dispositivos fisicos procesos y eventos en las instituciones Vulnerabilidades Las debilidades identificadas en la ciberseguridad dentro de las dependencias o entidades de la APF los Poderes Legislativo y Judicial los organos constitucionales autonomos las empresas productivas del Estado los Gobiernos Estatales Municipales y Delegacionales asi como los particulares que potencialmente permiten que una amenaza afecte los activos de TIC a la Infraestructura Informacion Esencial asi como a los Activos de Informacion www gob mx ciberseguridad 30 ANEXO PROCESO COLABORATIVO HACIA UNA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD El proceso de desarrollo de la Estrategia Nacional de Ciberseguridad ENCS se llevo a cabo con apoyo y participacion de diferentes actores en Mexico sociedad civil sector privado comunidad tecnica y academica e instituciones publicas de los tres poderes y de los diferentes ordenes de gobierno Las fechas en las cuales se llevaron a cabo discusiones en la materia fueron 17 marzo 2017 Inauguracion de la Campana Ciberseguridad Mexico 2017 C5 Ecatepec Estado de Mexico 19 y 20 de abril 2017 Taller de multiples partes interesadas en colaboracion con OEA Secretaria de Relaciones Exteriores 16 y 17 de mayo 2017 Reuniones de seguimiento con las partes interesadas Oficina de la Presidencia de la Republica 1 y 2 de junio 2017 Taller de multiples partes interesadas Tec de Monterrey Campus Ciudad de Mexico 11 de julio 2017 Foro de discusion Senado de la Republica Ciudad de Mexico 12 y 13 de julio 2017 Taller de multiples partes interesadas en colaboracion con OEA Hotel Fiesta Americana Reforma Ciudad de Mexico 15 de agosto 2017 Foro de discusion Museo Memoria y Tolerancia Ciudad de Mexico 6 de septiembre 2017 Presentacion del Estudio Evaluacion de la Ciberseguridad en Mexico Brechas y Recomendaciones en un Mundo Hiper-Conectado CANIETI Ciudad de Mexico 11 septiembre 2017 Taller para compartir buenas practicas sobre Seguridad Cibernetica Instituto Federal de Telecomunicaciones Ciudad de Mexico 11 de octubre 2017 Creacion de la Subcomision de Ciberseguridad de la CIDGE Ciudad de Mexico 16 de octubre 2017 Primera sesion de la Subcomision de Ciberseguridad de la CIDGE Ciudad de Mexico 20 de Octubre 2017 Conversatorio Ciberseguridad y Proteccion de Datos Personales INAI Ciudad de Mexico 23 de octubre 2017 Foro CNBV sobre Ciberseguridad Fortaleciendo la ciberseguridad para la estabilidad del sistema financiero mexicano Ciudad de Mexico 26 de octubre 2017 Segunda sesion de la Subcomision de Ciberseguridad de la CIDGE Ciudad de Mexico 8 y 9 noviembre 2017 5to Encuentro Latinoamericano de Ciberseguridad Ciberdelitos e Informatica Forense UNAM-INFOTEC Ciudad de Mexico www gob mx ciberseguridad                     National Security Archive    Suite 701  Gelman Library  The George Washington University    2130 H Street  NW  Washington  D C  20037    Phone  202 994‐7000  Fax  202 994‐7005  nsarchiv@gwu edu