¿Cuándo se creó la Asociación Mexicana de Ciberseguridad (AMECI)? ¿Cuáles son sus principales objetivos?
AMECI se creó en abril de 2017. Se trata de una organización cien por cien mexicana que tiene como objetivo ofrecer consultorías, capacitación y estrategias relacionadas con la seguridad de la información y la ciberseguridad a todos los sectores de la industria. También difundimos temas relacionados con el establecimiento de la cultura de la seguridad de la información por medio de nuestras redes sociales, blogs y canales de vídeo, así como de conferencias.
Contenido relacionado: Ignacio Sotelo (AMECI): “Los chips cerebrales representan un desafío para la ciberseguridad”
Iniciamos con la concienciación para el manejo y cuidado de la información y apoyamos en la implementación de un sistema de gestión de seguridad de la información (SGSI), el cual aplica a la mayoría de las organizaciones. De igual forma, brindamos nuestro apoyo en lo relativo a la revisión tecnológica y la adopción de las mejores prácticas. Y analizamos vulnerabilidades asociadas.
¿Cuáles son las estrategias, leyes y normativas nacionales que existen en México sobre ciberseguridad y seguridad de la información?
Actualmente, no se cuenta con una ley general que sirva de guía y ayuda a las organizaciones mexicanas. Lo más cercano fue la Estrategia Nacional de Ciberseguridad, que tuvo su última revisión en noviembre de 2017 y no ha sido impulsada ni mucho menos actualizada. Han existido diversas iniciativas expuestas por diferentes representantes legislativos. Pero se han quedado sin avance significativo, ya que no convencen en los términos y objetivos que se requieren como parte de una estrategia nacional de ciberseguridad.
¿Cómo es la relación de AMECI con los organismos oficiales y las autoridades de seguridad pública mexicanos? ¿Existe voluntad de colaboración y diálogo?
AMECI ha participado en diferentes foros e iniciativas. Sin embargo, no se ha tenido la respuesta esperada. Nuestro objetivo es que existan lineamientos con un completo desinterés en beneficiar a entes o marcas. Lo que se ha buscado es que los lineamientos o leyes sean del interés nacional, sin intermediación de terceros, y que se cuente con apoyos importantes por parte de las entidades de gobierno. Pero, desafortunadamente, no se cumplen estos objetivos. Actualmente, AMECI forma parte de un grupo multidisciplinario que está formando una nueva propuesta que será expuesta para la revisión de las cámaras legislativas.
En comparación con otros países de América Latina, ¿cuál es el nivel de las organizaciones mexicanas en materia de ciberseguridad y protección de la información?
Sobre dicha cuestión, seguimos de cerca los reportes que generan instancias con mayor cobertura y apoyo. El que consideramos más acertado es el informe de ciberseguridad publicado por la Organización de los Estados Americanos (OEA), cuyos resultados se basan en la madurez respecto a diversos factores que no distan mucho de lo que AMECI ve en las organizaciones mexicanas. Dicho reporte evalúa cinco dominios y sus respectivas subcategorías: política y estrategia de seguridad cibernética; cultura cibernética y sociedad; formación, capacitación y habilidades de seguridad cibernética; marcos legales y regulatorios; y, por último, estándares, organizaciones y tecnologías.
México tiene un avance en relación al periodo anterior. Sin embargo, nosotros, que estamos cerca y atendemos de forma directa a las organizaciones, nos damos cuenta de que aún existe un gran rezago en la adopción de mejores prácticas no solo en ciberseguridad, sino en un contexto mayor que es la seguridad de la información.
Relacionada con la pregunta anterior, ¿la ciberseguridad y la seguridad de la información son asignaturas pendientes en las pequeñas y medianas empresas mexicanas?
Definitivamente, sí. En lo relativo a la legislación, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares es una iniciativa madura en términos legales, pero dista mucho de su cumplimiento y aplicación. México requiere una estrategia objetiva que permita cumplir los objetivos de las pequeñas y medianas empresas y sea el fortalecimiento para garantizar la seguridad a sus usuarios. AMECI apoya en diversas líneas. Pero es necesario un apoyo mayor de autoridades para que los efectos sean tangibles y positivos.
¿Qué servicios ofrece AMECI? ¿Cómo ayuda la asociación a que las organizaciones mexicanas sean más ciberseguras?
AMECI tiene tres líneas de acción bien definidas para el apoyo de las organizaciones mexicanas. En primer lugar, capacitación en tres niveles: concientización y formación para usuarios en general, formación a nivel técnico para la prevención y tratamiento de riesgos asociados a la seguridad y capacitación a niveles ejecutivos y dirección para transmitir la importancia de la adopción de la seguridad.
También nos ocupamos de la revisión técnica de la infraestructura de las organizaciones para determinar e identificar los riesgos y vulnerabilidades y prever consecuencias desfavorables.
En tercer lugar, apoyamos a las organizaciones en la implementación de planes estratégicos de seguridad de la información y no solo en ciberseguridad; además, identificamos los riesgos y su tratamiento en los recursos técnicos, de personas y de los procesos.
Es importante destacar que AMECI tiene una herramienta gratuita online para diagnosticar riesgos de seguridad. La misma podrá servir a las organizaciones para conocer el grado de riesgo y, a partir de los resultados, sugerir las acciones a realizar para mitigar los riesgos encontrados.
En lo relativo a la capacitación y concientización, ¿podría detallar cuál es la oferta de la asociación?
Derivado de la pandemia, hemos identificado la preocupación de las organizaciones y empresas acerca del conocimiento que deben tener los colaboradores en temas de identificación, prevención y atención a los ataques por medios digitales. Y no solo considerar el nuevo esquema de home office, sino también el ambiente en instalaciones empresariales. AMECI ofrece entrenamiento a través de cursos online, virtuales y presenciales. En nuestra plataforma de capacitación disponemos de dos cursos de ciberseguridad indispensables para usuarios y empresas.
