Análisis

Ciberseguridad, el plan de acción que puede salvar a tu empresa de la crisis: el caso de México

Suscríbete
Grecia Navarro
- de lectura

Grecia Navarro es una abogada mexicana que acaba de crear su propia firma, Click & Law, especializada en derecho digital. Con este artículo sobre aspectos de ciberseguridad en las empresas de México retoma su colaboración con Derecho Práctico. Por cierto, Grecia estará hasta final de mes en Madrid, no sólo para seguir formándose y asistir a los eventos que organiza la Escuela de Práctica Jurídica de la UCM y el Global LegalTech Hub, sino también para visitar la sede de INCIBE en nuestro país.

En la actualidad, la ciberseguridad es fundamental para iniciar un negocio, ya que existe un gran interés en tener presencia digital en el mercado. Según la Encuesta Global de Emprendimiento de GoDaddy México 2024, el 94% de los emprendedores consideran que tener presencia digital les garantiza una ventaja competitiva, permitiéndoles llegar a más consumidores dentro del país y, por lo tanto, aumentar las ventas.

Sin embargo, los emprendedores deben considerar medidas de ciberseguridad dentro del presupuesto dado que la cifra de intentos de ciberataque aumenta, pues en los primeros meses del año pasado se registraron aproximadamente 31 mil millones según Reuters; cifras alarmantes para el comercio en línea.

Es por eso que, independientemente del tamaño de la empresa, los ciberdelincuentes buscan un blanco fácil, donde puedan beneficiarse económicamente y si no cuentas con ninguna medida de seguridad puedes ser una víctima más, lo que ellos buscan es la sustracción de información de los clientes, datos bancarios, datos sensibles e información de la empresa, como la cartera de clientes, el know-how, secretos industriales, entre otros. Los daños colaterales incluyen la desconfianza de los usuarios, mala reputación y, sobre todo, pérdidas económicas en ventas.

En México, contamos con la Ley Federal de Protección de Datos Personales en Posesión de Particulares y su Reglamento, que obliga el cumplimiento a las personas físicas y morales que tratan datos personales. Dentro de la legislación se establecen las medidas de seguridad:

  • Físicas: Medidas con o sin el uso de las TIC, empleadas para prevenir accesos no autorizados, proteger los equipos, darles mantenimiento y garantizar el borrado seguro de los datos.
  • Administrativas: Incluyen la gestión, soporte y revisión a nivel organizacional, la clasificación de la información, así como la promoción de una cultura de protección de datos personales, que consiste en la sensibilización y capacitación del personal.
  • Técnicas: Estas medidas requieren acompañamiento tecnológico, como el acceso limitado de los usuarios a las bases de datos según sus funciones, mantenimiento de sistemas, entre otros.

Por lo que a la fecha ha sido el marco legal qué protege los derechos de los usuarios, sin embargo, desde 2010 la Ley no ha sido reformada, por lo que no ha avanzado al ritmo de la tecnología actual. Debido a su rápido avance, surgen nuevos riesgos asociados con la ciberdelincuencia, que incluyen nuevas tácticas, ingeniería social y ataques a los sistemas.

Desde 2017, contamos con una Estrategia Nacional de Ciberseguridad que busca fomentar la cultura de ciberseguridad. Algunas instituciones, como el Instituto Federal de Telecomunicaciones (IFT), tiene un micrositio de ciberseguridad para que la ciudadanía pueda informarse y acceder a contenido relacionado.

En el micrositio se encuentra el Manual Básico de Ciberseguridad para la Micro, Pequeña y Mediana Empresa del Centro de Respuesta a Incidentes Cibernéticos de la Dirección General Científica de la Guardia Nacional, que ofrece un plan de acción de ciberseguridad, resumido en los siguientes rubros:

  • Empleados: Consiste en reclutar personal apto para el puesto.
  • Seguridad en los dispositivos móviles: Medidas para el uso de dispositivos en el comercio electrónico, como el uso de software de seguridad (antimalware) actualizado, cifrado de información y dispositivos, y establecer un procedimiento de denuncia en caso de extravío.
  • Seguridad en la red: Control de acceso a la red Wi-Fi de la empresa, evitar el uso de almacenamiento externo en los dispositivos, implementar contraseñas seguras, asegurar la red interna y evaluar los términos del servicio contratado en la nube, entre otros.
  • Prevención de estafas y fraudes electrónicos: Capacitación del personal para reconocer tácticas de ingeniería social utilizadas por ciberdelincuentes, como phishing, vishing, smishing o malware como ransomware.
  • Privacidad y seguridad de datos: Además del cumplimiento de la legislación mencionada, es esencial fortalecer la protección de la privacidad. Se debe considerar tener un inventario de datos, una política de privacidad, un plan para la sustracción o pérdida de información y una estrategia de seguridad en capas.
  • Seguridad en los sistemas informáticos y sitios web: El emprendedor debe reforzar la seguridad en la infraestructura de red y servidor web, estableciendo roles y responsabilidades, identificando riesgos y desarrollando estrategias de mitigación.
  • Seguridad en servicios de correo electrónico: Dado que muchas empresas utilizan el correo electrónico como canal de comunicación interno y externo, se debe considerar tener filtros de correos, capacitar al personal y proteger la información sensible contenida en los correos.
  • Políticas de seguridad: Su finalidad es salvaguardar la información dentro de la empresa, incluyendo políticas sobre el uso de internet, evaluación de sitios web accesibles para empleados, uso correcto de redes sociales y capacitación al personal sobre información confidencial que requiere protección.
  • Respuesta a incidentes de seguridad: Es probable que existan brechas a pesar de las medidas de seguridad implementadas. Por ello, se debe contar con un plan de respuesta inmediata ante incidentes para identificar y mitigar su impacto.
  • Seguridad de las operaciones: Este proceso busca impedir el acceso a la información sensible del comercio electrónico mediante la planificación y ejecución de actividades esenciales para el éxito operativo, incluyendo la identificación de información crítica, análisis de amenazas y vulnerabilidades, evaluación de riesgos y control de acceso a los sistemas de pago, utilizando una pasarela de pago segura.
  • Seguridad física: Implementar medidas de seguridad físicas es importante para proteger el acceso a las instalaciones de la empresa y evitar riesgos de acceso indebido a la información.

El plan de acción de ciberseguridad puede orientar a los emprendedores, ya que el mundo digital exige cada vez más protección ante las amenazas en línea. No basta con la Ley de Datos Personales de 2010: México necesita tomar medidas adicionales.