Tiempo de lectura aprox: 3 minutos, 52 segundos
“La desconfianza es la madre de la seguridad”
Aristófanes
Luis Bartolini Esparza
En esta sociedad cada vez más inmersa en el mundo virtual conviviendo al mismo tiempo con lo que conocemos como realidad, y que día a día, a veces sin darnos cuenta, muchas de las cosas que ordinariamente hacemos como escribir esta nota en una computadora e irla viendo en su pantalla, pertenecen al universo de lo digital y ya no material como pudo ser hace algunos años con una máquina de escribir, tu paquete de hojas bond, cinta entintada y líquido para cubrir errores, mientras escuchabas ese motivante aguacero que se producía cuando estabas inspirado al presionar las duras teclas mecánicas a la mayor velocidad posible para no perder el “hilo”. Tu mayor miedo, que se te extraviara, dañara o robaran el “original” sobre todo si no le habías sacado copia. Básicamente, seguridad física de la información.
Los neologismos que se van creando a partir del desarrollo tecnológico difícilmente encuentran desde el punto de vista lingüístico, definiciones que los describan en todo su contenido, quedándose en la mayoría de los casos cortas en relación con su verdadero alcance. Por ejemplo, según el Diccionario de la Lengua Española el anglicismo castellanizado Ciber, indica relación con redes informáticas; mientras que la palabra Seguro es un calificativo que como primera acepción implica “Libre y exento de riesgo”. Ambas se ven superadas por lo que en su conjunto representa la Ciberseguridad, sobre todo en últimos tiempos.
En virtud de lo antes dicho, puede haber muchas definiciones de Ciberseguridad, algunas más complejas que otras, pero esencialmente consideran elementos comunes. La Unión Europea de nueva cuenta a la vanguardia en la regulación de estos temas, emitió el 17 de abril de 2019 un Reglamento comunitario en la materia conocido como Ley de Ciberseguridad, en el que define en su Artículo 2, Ciberseguridad como: “todas las actividades necesarias para la protección de las redes y sistemas de información, de los usuarios de tales sistemas y de otras personas afectadas por las ciber amenazas”; y Ciber amenaza como: “cualquier situación potencial, hecho o acción que pueda dañar, perturbar o afectar desfavorablemente de otra manera las redes y los sistemas de información, a los usuarios de tales sistemas y a otras personas”. El ámbito de aplicación es general e incluso, en el mismo ordenamiento, de manera orgánica también se establece la creación y funcionamiento de la Agencia de la Unión Europea para la Ciberseguridad (“ENISA”).
Sin perjuicio de lo anterior, a la par los diversos sectores económicos e industriales, incluyendo los organismos y autoridades financieras nacionales e internacionales han ido avanzando en el desarrollo de marcos regulatorios específicos aplicables a sus actividades, en este caso al sector financiero y las operaciones que realiza. Así las cosas, en materia financiera donde los principales bienes a preservar son información, valores en sentido amplio y propiamente el dinero en el mundo, se han desarrollado múltiples estudios, análisis y no pocas regulaciones para tales efectos. Podemos ver dentro de la información pública del Banco de Pagos Internacionales, del Fondo Monetario Internacional, del Banco Mundial o a niveles nacionales de la SEC en Estados Unidos o el Banco de México, el tema de la ciberseguridad como parte relevante de su agenda.
A guisa de ejemplo, el Financial Stability Institute parte del Banco de Pagos Internacionales (BIS) publicó en 2017 un documento mediante el cual se establecen importantes criterios a considerar en las regulaciones nacionales y precisamente en junio de 2023, acaban de publicar el documento de actualización del anterior. Obviamente se trata de temas complejos que requieren por su naturaleza mayor profundidad en su estudio y exposición, pero para efectos de esta nota creo relevante destacar que, bajo la óptica de este organismo, ya estamos en materia de ciberseguridad financiera en la segunda generación, siendo la primera generación la descrita en 2017.
El referido documento intitulado “Banks’ cyber security – a second generation of regulatory approaches” distingue en forma gráfica los principales criterios que caracterizaron a la primera generación comparada con los de segunda generación: (i) Conceptualmente, la 1ª Generación estaba enfocada a lograr un fuerte perímetro (como línea de defensa), mientras que la 2ª Generación está enfocada en adoptar una mentalidad que parta de la base de que puede darse una violación o rompimiento de las barreras de seguridad; (ii) En la 1ª Generación, la visión estaba alineada con las Tecnologías de la Información y sus marcos de seguridad; mientras que en la 2ª Generación es eso pero dentro del contexto del marco de resiliencia operacional; (iii) En lo que a requerimientos respecta, la 1ª Generación privilegiaba el robustecimiento de las capacidades de seguridad, controles de seguridad para el manejo de riesgos, y relaciones con terceros muy supervisadas; y en el caso de la 2ª Generación hay un énfasis total en mejorar las capacidades de resiliencia, dentro de los controles considerar como clave de nueva cuenta la ciber resiliencia y en las relaciones con terceros, tener como punto clave la ciber resiliencia en dichas relaciones.
En suma, además de precisar entre otros aspectos la importancia de las pruebas de stress, la continua y oportuna compartición de información respecto de los incidentes que en materia de ciber ataques se presenten, etc., el principio que se vuelve rector de cualquier estrategia ya no es el de la fortaleza impenetrable e infalible; es por el contrario, la asunción del hecho de que no es impenetrable ni infalible y por lo tanto, el enfoque es a estar preparados para ese evento contingente que sí se va a dar pero tener los planes y esquemas que permitan responder resilientemente en aras de mitigar los posibles daños y mantener la continuidad operativa, con agilidad y el menor costo posible. En otras palabras, construir un barco pensando que porque está muy bien hecho es imposible que se hunda, lleva a consecuencias trágicas y por ello, más bien hay que pensar en los sistemas de alerta con que debe contar, ubicaciones satelitales en tiempo real, así como en eficientes embarcaciones de emergencia que servirán en caso de requerirse para salvar a los pasajeros y la tripulación.
En México, además de las diversas disposiciones administrativas específicamente emitidas por las autoridades financieras para ese sector y los tipos penales especiales codificados para sancionar la cibercriminalidad, en la Gaceta Parlamentaria del pasado 25 de abril se publicó la iniciativa de Ley de Ciberseguridad que actualmente sigue en el proceso legislativo y busca regular también forma general esta materia, incluyendo la creación de la denominada Agencia Nacional de Ciberseguridad.
Finalmente, el tema es apasionante y al mismo tiempo un fuerte reto que requiere de serios esfuerzos multidisciplinarios para lograr marcos normativos que realmente sirvan para responder eficaz, eficiente y oportunamente ante la nueva realidad virtual y sus ciber amenazas, procurando en la medida de lo posible anticiparse a ellas pero sin caer en la ingenuidad de pensar que lo robusto de la seguridad de un sistema informático impedirá que pueda presentarse bajo ciertas circunstancia una violación a sus perímetros y defensas.
