DESCARGA
LA REVISTA AQUÍ

LA ENTREVISTA

TRANSPARENCIA, PROTECCIÓN DE DATOS PERSONALES Y CIBERSEGURIDAD

Anahiby Becerril
Doctora en Derecho y Globalización, Especialista en Derecho Digital y Ciberseguridad, Miembro de la Academia Mexicana de Ciberseguridad y Derecho Digital (AMICD)

La administración pública ha extendido la prestación de servicios públicos a través de plataformas y medios digitales. Como ciudadanos ya no requerimos una oficina cruzando la calle, sino una ventana electrónica en donde podamos realizar nuestros trámites y servicios. Además, esperamos el mismo nivel de servicio, a que nos hemos acostumbrado en el sector privado.

La gestión de la información en la administración pública es el paso para el desarrollo. La nueva etapa de madurez de las tecnologías disruptivas de esta Cuarta Revolución Industrial y su creciente adopción, aunque desproporcional, por parte de los gobiernos, se encuentra transformándolos de gobiernos digitales a gobiernos inteligentes nutridos por datos (data-driven-government); y es aquí en donde los datos públicos, la ciberseguridad y la protección de datos personales (en adelante pdp) convergen.

Con la digitalización de la información, el aumento en los flujos y capacidades de almacenamiento, transmisión, uso y reutilización de datos, estos se han vuelto el activo más valioso para el desarrollo. Por eso, ahora más que nunca el negocio del gobierno se basa en datos, en la información y conocimiento que ayude a la toma de decisiones (dikw)¹; a través de estas se crean, desarrollan y despliegan acciones para satisfacer las necesidades de la sociedad.

A grandes rasgos, podemos señalar que a la administración pública le compete el desarrollo de servicios, productos y el resguardo de información o activos de información (que pueden ser datos personales o no), que en virtud de sus atribuciones y funciones, generen, obtengan, adquieren, transformen o se encuentre en su posesión, la cual también puede estar contenida en infraestructuras críticas² o infraestructuras críticas de información, a través de las cuales se lleva a cabo la labor gubernamental. En este sentido, los sujetos obligados³ son custodios de esta.

De la misma forma en que no puede implementarse una moderna gestión de la información pública si esta no se encuentra digitalizada, tampoco puede realizarse sin tener en cuenta la ciberseguridad que se requiere para mantener los servicios e información funcionando y al alcance de los ciudadanos.

CONSIDERACIONES GENERALES EN TORNO A LA CIBERSEGURIDAD

La ciberdelincuencia le costó al mundo “5,5 billones de euros a finales de 2020”⁴, consecuencia principalmente de la explotación de vulnerabilidades, por parte de los ciberdelincuentes, de la abrupta migración al entorno digital con motivo de la pandemia de COVID-19. Esta cifra “representa la mayor transferencia de riqueza económica de la historia”, más rentable “que el comercio mundial de todas las principales drogas ilegales combinadas”⁵. Esta es una realidad mundial y nuestro país no es la excepción.

En los últimos años la palabra ciberataque ha generado temor e incertidumbre, sin embargo, debemos sensibilizarnos y generar conciencia de que ciberataques hay todos los días. Actores maliciosos, con diversas finalidades intencionalmente tratan de vulnerar a los sistemas y las personas (ingeniería social), es una industria 24/7; cuestión distinta es que estos sean exitosos.

Para entender la ciberseguridad en el sector público, debemos considerar que trabajamos con gobiernos inteligentes que se alimentan y dirigen por datos. La digitalización ha permitido transformar todo en datos para transformar al gobierno a través de estos. Los datos dependen del procesamiento, recolección y almacenamiento de computadoras para ser transformados en información y servicios. Y estas, – las computadoras-, no son seguras, ningún dispositivo o software lo es. Al igual que sucede en el mundo físico, no existe ningún sistema infalible. “Todas las computadoras se pueden infectar con malware; todas las computadoras pueden ser incautadas con ransomware. Todas las computadoras pueden ser arrastradas a una botnet. Todas las computadoras pueden sanitizarse de forma remota.”⁶

Las vulneraciones son consustanciales al software. Sumemos el uso de Internet, que en estos últimos meses ha sido el sistema nervioso a través del cual sociedades, gobiernos y economías enteras han tenido continuidad. Si consideramos la tendencia a volver todo un dispositivo o computadora, conectar todo a Internet y a los sistemas entre sí para compartir información, expandimos la superficie de ataque. Como señaló el entonces Presidente de icann⁷ en el año 2011, durante la London Conference on Cyberspace, Rod Beckstrom: 1. Anything connected to the Internet can be hacked; 2. Everything is being connected to the Internet. 3. So everything is becoming vulnerable and a new dynamic of cyber crimes countered by security measures, countered by new criminal efforts, and so forth, is now unleashed.⁸

La dependencia tecnológica incrementará cada año. Un gobierno inteligente dirigido por datos existe en el ciberespacio y su entendimiento es no como un sistema aislado, sino como parte de un ecosistema multidimensional que debe funcionar perpetuamente y de manera resistente y resiliente, disminuyendo las amenazas y posibilidad de daño, no solo a su información e ic o iic, sino a las personas.

Ante este panorama la ciberseguridad se ha convertido en un habilitador para generar la confianza requerida por el uso emergente de las tic, como una respuesta mundial a la pandemia del COVID-19. Consolidándose de una “opción tecnológica” a una necesidad social.

LA CIBERSEGURIDAD EN EL ÁMBITO DE LA ADMINISTRACIÓN PÚBLICA

La Constitución establece en el inciso A, párrafo I del artículo 6º la obligación de los sujetos obligados⁹ de documentar todo acto que derive del ejercicio de sus facultades, competencias o funciones, esta constituye información pública¹⁰. A su vez, la lgtaip y la Ley General de Archivos (lga), establecen que los sujetos obligados son responsables de la conservación y resguardo de la información que de conformidad con sus facultades, competencias o funciones esté bajo su custodia, con independencia del soporte documental en el cual se encuentren.

El artículo 11 de la lga refiere que los sujetos obligados deberán resguardar los documentos contenidos en sus archivos; además de aplicar métodos y medidas para su organización, protección y conservación, considerando su estado y el espacio para su almacenamiento que permitan su conservación¹¹; así como procurar su resguardo digital. Por su parte el artículo 41 señala que, además de los procesos de gestión previstos en el artículo 12¹², para la gestión documental electrónica se deberá contemplar la “incorporación, asignación de acceso, seguridad, almacenamiento, uso y trazabilidad”.

De esta forma los sujetos obligados, como ya lo referimos, se vuelven custodios de la información por tanto responsables de su cuidado. Por lo que deben contar con medidas que permitan garantizar la integridad, disponibilidad, accesibilidad y trazabilidad, ya sea en físico o electrónico de esta información. Ante lo cual, para mantener las características de la información dentro del proceso del ciclo del dato, deben considerarse las medidas técnicas, físicas y administrativas necesarias para su adecuado resguardo, tal y como lo señala la legislación aplicable.

La Ley General de Protección de datos Personales en Posesión de Sujetos Obligados (lgpdppso)
obliga a estos -sujetos obligados-, a cumplir con el deber de seguridad, el cual implica el desarrollar e implementar medidas técnicas, físicas y administrativas en materia de seguridad y en su caso de ciberseguridad para la protección de datos personales
(artículos 31, 32, 33, 34, 35, 36, 39, 42), así como el resguardo de la información pública
(como custodios que son de la misma al ser sujetos obligados en términos de la  lgtaip y lga ).

Se puede desarrollar como una estrategia global en la implementación de un sistema de gestión de seguridad de información y para el tratamiento de datos personales.

Para cumplir con lo anterior se considera que el sujeto obligado deberá tener una estrategia de ciberseguridad (o seguridad de la información), implementada al interior de este, además de un gobierno de seguridad que coordine la implementación de un Sistema de Gestión de Seguridad de la Información, con las áreas administrativas que intervengan; a partir de las atribuciones que cada área tenga y a los activos de información (pública, confidencial, reservada o datos personales) que con motivo de sus facultades y atribuciones tengan en posesión.

Desde el año 2014 se contaba con el maacticsi¹³, el cual se conformaba por once grupos o macroprocesos y treinta y un procesos, de los cuales se consideran tres grupos que buscaban propiciar la operación ágil y oportuna de las actividades tic en las Instituciones, incluyendo la conformación de un Grupo Estratégico de Seguridad de la Información para los entes del sector público. Este se consideraba el principal Manual en materia tic de la administración pública federal.

El 6 de septiembre de 2021 fue publicado en el DOF el Acuerdo por el que se emiten políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y la comunicación, y la seguridad de la información¹⁴ en la Administración Pública Federal. Este documento entre cuyos objetivos se encuentra “emitir políticas y disposiciones” sobre la seguridad de la información, define a esta última como: “la capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como su autenticidad, trazabilidad y no repudio”. Respecto a las medidas de seguridad de la información (si), el Acuerdo establece que se deberá contar con un Marco de Gestión de Seguridad de la Información (mgsi), alineado a la política de SI que procure los máximos niveles de confidencialidad, integridad y disponibilidad de la información. Por lo que ahora, para procurar la seguridad de la información que se encuentre en su posesión, los sujetos obligados de la administración pública federal deberán cumplir con el Acuerdo antes referido.

CONSIDERACIONES FINALES

Las tecnologías disruptivas están en auge, durante los últimos años la inteligencia artificial y la robótica han supuesto una vuelta conceptual a la forma de entender la gestión de la información dentro del sector público. En este sentido, un gobierno digital podrá tener una ventaja competitiva solo si gestiona a un nivel de excelencia la información empleando la innovación tecnológica, organizando de manera imaginativa sus estructuras y procesos, así como la inteligencia individual y colectiva de sus empleados públicos. Para lo cual también resulta necesario asegurar la travesía por el espacio público digital.

En un gobierno dirigido por datos y centrado en el usuario, la conformación de estrategias de ciberseguridad dentro de los sujetos obligados debe considerar la capacitación a los usuarios finales, así como que la estrategia de ciberseguridad integral y transversal. Para ello, se necesita la coordinación de esfuerzos que, considerando a la ciberseguridad como un elemento habilitador del cumplimiento de las obligaciones de transparencia, así como de la pdp, bien podría generarse dentro del Sistema Nacional de Transparencia (snt).

 

¹ a través del modelo dikw: data, information, knowledge y wisdom.

²  La infraestructura crítica se refiere a los activos, sistemas y redes, ya sean físicos o virtuales, tan vitales para el funcionamiento de un país que su incapacitación o destrucción tendría un efecto debilitante en la seguridad nacional, la seguridad económica nacional y la salud pública. Es aquella cuyo funcionamiento incorrecto, incluso por un tiempo limitado, puede afectar negativamente la economía de sujetos o grupos individuales, que traen consigo pérdidas económicas o inclusive humanas.

³ Entendido en el ámbito de lo establecido en el art´ciulo 1ª de la ley general de transparencia y acceso a la información pública (lgtaip).

⁴ Nai Fovino I., Barry G., Chaudron S., Coisel I., Dewar M., Junklewitz H., Kambourakis G., Kounelis I., Mortara B., Nordvik J.p., Sanchez I. (Eds.), Baldini G., Barrero J., Coisel I., Draper G., Duch-Brown N., Eulaerts O., Geneiatakis D., Joanny G., Kerckhof S., Lewis A., Martin T., Nativi S., Neisse R., Papameletiou D., Ramos J., Reina V., Ruzzante G., Sportiello L., Steri G., Tirendi S., cybersecurity, our digital anchor, eur 30276 en, publications office of the european union, luxembourg, 2020, isbn 978-92-76-19957-1, doi:10.2760/352218, jrc121051.

⁵ Ibídem, p. 7.

⁶ Bruce Schneier, “click here to kill everybody. security and survival in a hyper-connected world”, norton & company, Nueva York, 2018, p. 26.

⁷ Acrónimo en inglés para: internet corporation for assigned names and numbers

⁸ “1) Todo lo que esté conectado al Internet puede ser pirateado; 2) Todo está conectado a Internet; 3) Entonces todo se vuelve vulnerable y se desata una nueva dinámica de ciberdelitos contrarrestados por nuevo es esfuerzos criminales, y así sucesivamente, ahora se ha desatado” (traducción de la autora).

⁹ De conformidad con el artículo 6, inciso a, fracción I constitucional constituyen sujetos obligados: cualquier autoridad, entidad, órgano y organismo de los poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal.

¹⁰ Si bien la información puede ser clasificada como reservada o confidencial, los sujetos obligados tienen la obligación de custodiar dicha información.

¹¹ La lga en su artículo 4 fracción xviii, señala: “conservación de archivos: al conjunto de procedimientos y medidas destinados a asegurar la prevención de alteraciones físicas de los documentos en papel y la preservación de los documentos digitales a largo plazo;”

¹² Artículo 12. Los sujetos obligados deberán mantener los documentos contenidos en sus archivos en el orden original en que fueron producidos, conforme a los procesos de gestión documental que incluyen la producción, organización, acceso, consulta, valoración documental, disposición documental y conservación, en los términos que establezcan el Consejo Nacional y las disposiciones jurídicas aplicables. Los órganos internos de control y sus homólogos en la federación y las entidades federativas, vigilarán el estricto cumplimiento de la presente Ley, de acuerdo con sus competencias e integrarán auditorías archivísticas en sus programas anuales de trabajo.

¹³ El Acuerdo que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y las comunicaciones, y en la seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en Dichas Materias, publicado en el dof el 8 de mayo de 2014

¹⁴ El documento brinda las siguientes definiciones: Activo de información: la información, los datos y los recursos que la contienen, procesan y transmiten, que por la importancia y valor que representa para una Institución, deben ser protegidos (art.2, fracción II); Activo de información esencial: el activo de información cuya destrucción, pérdida, alteración o falla tendría un grave impacto consecuencia en la funcionalidad de la infraestructura de tic o en los servicios que soporta.