Gobierno de Sheinbaum publica política de ciberseguridad para la administración pública federal

Te puede interesar

• 

  Tecnología

  Gobierno de Sheinbaum presenta el Plan Nacional de Ciberseguridad 2025-2030

El acuerdo del DOF define a la Dirección General de Ciberseguridad como la unidad responsable de dar seguimiento a ejes estratégicos, metas y acciones, vigilar el cumplimiento y realizar evaluaciones y auditorías a dependencias y entidades federales. También prevé una plataforma para mantener la comunicación entre la autoridad y los responsables institucionales.

El gobierno fija dos plazos que presionan la ejecución de la política. En máximo 180 días naturales desde la entrada en vigor, la ATDT debe emitir lineamientos técnicos, criterios de cumplimiento y formatos oficiales; y en 60 días naturales, las dependencias y entidades deben designar formalmente a un Titular Institucional en Materia de Ciberseguridad y a su Auxiliar, y notificarlo por escrito a la ATDT.

¿A quién aplica y qué cambia en la operación?

La política es de observancia obligatoria para dependencias, órganos desconcentrados y entidades de la APF, con excepción de la Secretaría de la Defensa Nacional, la Secretaría de Marina y el Centro Nacional de Inteligencia “en lo que refiere a seguridad nacional” y a sus actividades propias.

En el diseño operativo, cada institución debe contar con un Responsable Institucional de Ciberseguridad (RIC), preferentemente distinto al titular de la unidad de TI, para actuar como punto técnico y de coordinación con la autoridad.

El documento de la política detalla que los titulares institucionales deben designar al RIC y aprobar un Plan Institucional de Ciberseguridad; mientras que el RIC debe elaborar y actualizar ese plan, coordinar su ejecución, monitorear y reportar incidentes, y gestionar procesos de autoevaluación y mejora continua.

De “defensa fragmentada” a una arquitectura federal

La política plantea un marco común organizado en ocho ejes estratégicos, desde gobernanza y gestión de riesgos hasta identidad, cadena de suministro, talento e innovación. Entre sus apuestas están la adopción de enfoques como Zero Trust e autenticación multifactor para reducir la exposición a ciberataques por credenciales comprometidas.

En materia de respuesta a incidentes, la política perfila dos piezas: el CSIRT Nacional-APF y un CSOC Nacional Federado. El CSIRT, según la política, debe establecer protocolos de notificación y una matriz de severidad, con una regla: los incidentes críticos deberán reportarse en menos de 24 horas, además de coordinar contención y recuperación entre entidades y emitir alertas con playbooks para escenarios como ataques ransomware o DDoS.

El CSOC, por su parte, se define como un centro de monitoreo 24/7, con correlación y alertamiento, caza de amenazas y emisión de boletines de inteligencia y directivas de contención.

Con la publicación en el DOF, el plan de ciberseguridad del gobierno federal deja de ser sólo una hoja de ruta y se convierte en una obligación administrativa con plazos, responsables y futuras reglas técnicas. El siguiente punto de tensión será la emisión de los lineamientos en 180 días y la capacidad de cada dependencia para demostrar su cumplimiento en auditorías federales.