México adopta modelo Zero Trust en su Política General de Ciberseguridad para la Administración Pública Federal
Dependencias como Pemex, la Secretaría de Economía, entre otras, han sufrido ciberataques en años anteriores.
El Gobierno de México, a través de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), publicó este 17 de diciembre en el Diario Oficial de la Federación la Política General de Ciberseguridad para la Administración Pública Federal (APF).
De acuerdo con la ATDT, este marco normativo surge como una respuesta urgente ante el crítico panorama digital, considerando que en 2024 el país registró más de 324 mil millones de intentos de ciberataques.
El documento establece las bases para proteger la infraestructura crítica, garantizar la continuidad de los servicios públicos y salvaguardar los derechos digitales y datos personales de la ciudadanía.
La estrategia se articula en torno a ocho ejes que abarcan desde la gobernanza y la gestión de riesgos hasta la protección de la cadena de suministro y el fomento de una cultura de ciberseguridad.
Entre las medidas más destacadas se encuentra la adopción del modelo “Zero Trust“, que exige la verificación continua de cualquier acceso a los sistemas gubernamentales.
Asimismo, la política introduce un Modelo de Madurez Cibernética de cinco niveles que permitirá evaluar y elevar progresivamente las capacidades de defensa de cada institución de manera estandarizada.
Para la ejecución operativa de esta política, se han consolidado dos instancias fundamentales: el CSIRT Nacional-APF (Centro Nacional de Respuesta a Incidentes de Seguridad Informática) y el CSOC Nacional Federado (Centro Nacional de Operaciones de Ciberseguridad).
El primero se especializará en la coordinación técnica y recuperación ante ataques estratégicos, estableciendo protocolos que obligan a reportar incidentes críticos en un plazo no mayor a 24 horas.
Por su parte, el CSOC mantendrá una vigilancia continua las 24 horas del día, los 7 días de la semana, para detectar amenazas en tiempo real.
La implementación de esta política es de observancia obligatoria para las dependencias y entidades de la Administración Pública Federal, con excepción de las Secretarías de la Defensa Nacional, de Marina y el Centro Nacional de Inteligencia en sus funciones de seguridad nacional.
Cada institución deberá designar a un Responsable Institucional de Ciberseguridad (RIC), quien será el encargado de elaborar y ejecutar un Plan Institucional de Ciberseguridad (PIC) anual que incluya diagnósticos de riesgos y hojas de ruta para mejorar la protección de sus activos digitales.
Otro componente clave que explica el documento es el enfoque de “Ciberseguridad por diseño“, el cual exige que cualquier proyecto tecnológico gubernamental integre medidas de seguridad desde su planeación inicial hasta su conclusión.
La Política General de Ciberseguridad también busca fortalecer la soberanía tecnológica y la resiliencia mediante la profesionalización de los servidores públicos y la realización de simulacros periódicos de crisis.
Además, contempla la regulación de terceros y proveedores, imponiendo cláusulas de auditoría y requisitos mínimos de seguridad en las contrataciones de software y servicios en la Nube.
La ATDT subraya que la efectividad de esta política dependerá de una responsabilidad compartida entre el sector público, la academia y la iniciativa privada.