El Gobierno de México formalizó la Política General de Ciberseguridad para la Administración Pública Federal tras su publicación en el Diario Oficial de la Federación, con lo que estableció un marco obligatorio para fortalecer la protección de la información y los sistemas digitales de las dependencias federales.
El acuerdo fue emitido por la Agencia de Transformación Digital y Telecomunicaciones, instancia facultada para definir protocolos de seguridad en materia de información y comunicaciones, así como para establecer instrumentos normativos y operativos aplicables a la administración pública.
Con la entrada en vigor de esta política, se fijaron plazos específicos para su implementación. En un periodo máximo de 60 días naturales, las dependencias y entidades deberán designar a un Titular Institucional en Materia de Ciberseguridad, así como a un Responsable Institucional de Ciberseguridad y su auxiliar. Además, en un plazo de hasta 180 días, deberán emitirse los lineamientos técnicos, criterios de cumplimiento y formatos oficiales que guiarán su aplicación.
La Dirección General de Ciberseguridad será la encargada de supervisar el cumplimiento de la política, dar seguimiento a los ejes estratégicos, evaluar avances y realizar auditorías a las instituciones federales. También se contempla la creación de una plataforma de comunicación permanente entre la autoridad y los responsables institucionales.
La política es de observancia obligatoria para las dependencias, órganos desconcentrados y entidades de la administración pública federal, con excepción de las áreas relacionadas con seguridad nacional y funciones específicas de defensa e inteligencia.
Cada institución deberá contar con un Responsable Institucional de Ciberseguridad, preferentemente distinto al titular del área de tecnologías de la información, quien tendrá a su cargo la elaboración, actualización y ejecución del Plan Institucional de Ciberseguridad, así como el monitoreo y reporte de incidentes y la mejora continua de los procesos de protección digital.
El documento establece ocho ejes estratégicos que abarcan desde la gobernanza y la gestión de riesgos hasta la identidad digital, la cadena de suministro, el desarrollo de talento y la innovación tecnológica. Entre las medidas destacadas se encuentran la adopción de esquemas como Zero Trust y la autenticación multifactor para reducir vulnerabilidades.
En materia de atención a incidentes, se plantea la operación de un CSIRT Nacional y un Centro de Operaciones de Seguridad federado, encargados de la detección, respuesta y coordinación ante amenazas cibernéticas. Los incidentes considerados críticos deberán ser reportados en un plazo menor a 24 horas.
Con esta publicación, la estrategia de ciberseguridad del gobierno federal pasa de ser un plan de acción a convertirse en una obligación administrativa con responsabilidades definidas, plazos claros y mecanismos de supervisión que deberán ser acreditados por las dependencias en futuras evaluaciones.
You must be logged in to post a comment Login