Presidente ISACA Capítulo Ciudad de México Como estamos en normativa y mejores prácticas en ciberseguridad en México Roberto Hernández Rojas Valderrama CISA, CISM, CGEIT, CRISC, PMP, ITIL, ISO27001LA, CFSP  Presidente ISACA Capítulo Ciudad de México

Resumen de la sesión anterior (Normaividad) Agenda Resumen de la sesión anterior (Normaividad) Estado de la Ciberseguridad en México Normativa relacionada Ámbitos de actuación Resultado de encuesta (2º encuentro) Mejores prácticas Marco General Caso México NOM y NMX Foro de normas, estándares y mejores prácticas

Estado de la Ciberseguridad GCI Map International Telecommunication Union (ITU)

Estado de la Ciberseguridad en México GCI 3 más altos de América 2015 Mexico is third and some 16 points behind Canada, illustrating the cybersecurity divide in the region. Like the other top ranked countries in the region, it scores best in the legal pillar with a full suite of cyber legislation covering criminality, data protection, data privacy and electronic transactions. International Telecommunication Union (ITU)

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Comercio Electrónico Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público – 04/01/2000 Ley de Obras Públicas -04/01/2000 Reformas al Código de Comercio – 29/05/2000 Reformas al Código Civil – 29/05/2000 Reformas a la Ley Federal de Protección al Consumidor – 29/05/2000 Reformas al Código Federal de Procedimientos Civiles – 29/05/2000 Ley Federal de Procedimiento Administrativo - 30/05/2000 Acuerdo que establece los lineamientos para la operación del Registro Público de Comercio – Sistema Integral de Gestión Registral – 08/09/2000 Ley de Sociedades de Inversión -04/06/2001 Norma Oficial NOM 151-SCFI 2002, Prácticas comerciales- Requisitos que deben observarse para la conservación de los mensajes de datos -04/06/2002 Protocolo de Comunicación de la IES -08/2003 Código Fiscal de la Federación -05/01/2004 Ley Federal de Protección al Consumidor -04/02/2004 Acuerdo 43/2004 del Instituto Mexicano del Seguro Social - 03/03/2004 Reglamento del Código de Comercio sobre Prestadores de Servicios de Certificación -19/07/2004 Reglas Generales a las que deberán sujetarse los Prestadores de Servicios de Certificación – 10/08/2004 Reglamento de la Ley Federal de Protección al Consumidor- 03/08/2006 Reforma de la Ley Federal de Protección al Consumidor - 29/01/2009

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Firma electrónica Infraestructura Extendida de Seguridad (IES) (Banco de México) Circular Telefax 1/2002, de 2 de enero de 2002 Circular Telefax 19/2002, de 5 de julio de 2002 Circular Telefax 19/2002 bis, de 11 de julio de 2003 Protocolo de Comunicación de la IES -08/2003 Reformas al Código de Comercio -28/08/2003 Código Fiscal de la Federación -05/01/2004 Resolución Modificaciones a la Resolución Miscelánea Fiscal -31/05/2004 Leyes sobre el uso de medios electrónicos y firma electrónica de los diversos Estados Autorización otorgada al Servicio de Administración Tributaria para actuar como prestador de Servicios de Certificación -21/09/2004 Circular Telefax 6/2005, de 15 de marzo de 2005 Circular Telefax 6/2005 bis, de 15 de marzo de 2005 Decreto por el que se expide la Ley de Firma Electrónica del Distrito Federal de 30 de octubre de 2009 Proyecto de ley de firma digital de 27 de enero de 2010 Decreto por el que se expide la Ley de Firma Electrónica Avanzada de 24 noviembre 2011 (DOF 11/01/2012) Acuerdo de 27 de febrero de 2012, por el que se dan a conocer las Reglas Generales para la gestión de trámites a través de medios de comunicación electrónica presentados ante la Secretaría de Gobernación. (DOF 09/03/2012)

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Protección de Datos Personales Ley para regular las Sociedades de Información Crediticia -27/12/2001 (Diario Oficial de la Federación, 17 de enero 2002) Propuesta de iniciativa de Ley Federal de Protección de Datos Personales – 14/02/2001 Propuesta de reformas al Art. 16 constitucional en materia de protección de datos personales – 21/02/2001 Ley de Protección de Datos Distrito Federal,  -26/08/2008 (Gaceta Oficial del Distrito Federal nº 434, 3 octubre 2008) Decreto por el que se expide la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y se reforman los artículos 3, fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título Segundo de la Ley Federal de Transparencia y Acceso a la información Pública Gubernamental – 27/04/2010 (Diario Oficial de la Federación, 5 de julio 2010). Leyes de Protección de Datos de los Estados Mexicanos Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares -19/12/2011 (Diario Oficial de la Federación, 21 diciembre 2011) Ley General de Protección de Datos Personales en posesión de sujetos obligados (Diario Oficial de la Federación, 26 de enero de 2017)

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Derecho a la Información Art. 6 Constitucional Modificación del artículo 6º de la Constitución 22/05/2013 Leyes de Acceso a la Información Pública de los Estados Mexicanos Reglamentos de las Leyes de Acceso a la Información Pública de los Estados Mexicanos Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental – 30/04/2002 Decreto de 20 de diciembre de 2012, de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (Diario Oficial de la Federación de 24 de diciembre de 2002) Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental – 10/06/2003 Ley de Transparencia y Acceso a la Información Pública del Distrito Federal de México – 26/02/2008 (Gaceta Oficial del Distrito Federal nº 302 de 28 marzo 2008) Reglamento Interior del Instituto Federal de Acceso a la Información y Protección de Datos (Instituto Federal de Acceso a la Información y Protección de Datos) (Diario Oficial, Lunes 29 de Octubre de 2012)

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Violación de la correspondencia Art. 173 al 177 del Código Penal Revelación de Secretos Art. 210 al 211 bis del Código Penal Acceso ilícito a sistemas y equipos de informática Art. 211 bis 1 al 211 bis 7 del Código Penal Proyecto en Decreto que reforma y adiciona diversas disposiciones al Código Penal Federal en materia de Delitos en contra de medios o sistemas informáticos, de 15 de febrero de 2012.

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Derechos de Autor Del Derecho de autor De la protección al derecho de autor De los programas de computación y las bases de datos Infracciones en materia de derecho de autor Art. 424 al 429 del Código Penal Reglamento de la Ley Federal de Derecho de Autor -15/05/1998. Ley de Propiedad Industrial De los secretos industriales De las marcas De los esquemas de trazado de circuitos integrados De las sanciones y delitos Ley del Mercado de Valores Registro de Valores Contratación y Contabilidad Bursátil

Estado de la Ciberseguridad en México (Informática Jurídica) Principales Leyes Telecomunicaciones Ley Federal de Telecomunicaciones -07/06/1995 Código Federal Penal. Reforma 8/02/06 sobre la Revelación y Acceso a los equipos Informáticos. Decreto por el que se reforman y adicionan diversas disposiciones de los artículos 6º, 7º, 27, 28, 73, 78, 94 y 105 de la Constitución Política de los Estados Unidos Mexicanos, en materia de telecomunicaciones.22/05/2013 Valor probatorio de documentos electrónicos en legislación diversa Código Civil del Estado de Veracruz Ley de Instituciones de Crédito Ley Federal de Procedimiento Administrativo -30/05/2000 Ley Federal Trabajo

Estado de la Ciberseguridad en México Normativa en Seguridad de la Información

Ámbitos de actuación lineamientos y mejores prácticas Desarrollo de normativa, lineamientos y/o mejores prácticas por sector: Infraestruturas Críticas Salud Seguridad Nacional Gobierno (expedientes, información crítica) Energía Educación / Academia Transparencia y rendición de cuentas Telecomunicaciones Financiero Urgencia

Resultados de la encuesta ¿Desde tu punto de vista que tan importante es el que exista un registro nacional (que acredite las capacidades técnicas, experiencia profesional y comportamiento ético) de profesionistas en ciberseguridad?; (una opción)

Resultados de la encuesta En cuanto a estándares en temas de ciberseguridad para México, ¿consideras qué? (una opción): Respuesta Porcentaje Debe haber un solo estándar de aplicación general 9% Debe haber un estándar por sector (v.g. gobierno, finanzas, salud) 30% Debe haber un estándar general y especificaciones sectoriales 61% No se requieren estándares en temas de ciberseguridad 0%

Resultados del Estudio Si consideras que debe haber estándares por sector, ¿cuáles serían los más importantes? (selección múltiple) Respuesta Porcentaje Finanzas 20% Gobierno 17% Energía 13% Salud 16% Educación 10% Manufactura 7% Telecomunicaciones

Resultados de la encuesta ¿Cuál de los siguientes estándares o marcos de referencia, consideras que mejor abarca temas de ciberseguridad (una opción)? Respuesta Porcentaje COBIT 5.0 25% ISO 27001 38% ITIL 8% NIST 30%

Resultados de la encuesta ¿Cuáles consideras que son las certificaciones que un profesional requiere en materia de ciberseguridad a nivel profesional? (selección múltiple) Respuesta Porcentaje CSX 18% CISM 26% ISO 27001 LA 23% CISSP 24% CEH 9%

Estándares y buenas prácticas Marco General De aplicación General De aplicabilidad en TI ISO 37001 Anti-bribery ISO 30105 Business process outsourcing ISO 17788 Cloud Computing ISO 19600 Compliance Management ISO desarrollo de Software ISO 17963 Web Service COSO ISO 24714 Biometrics Cybersecurity Maturity (CMMI) PMP (Project Management ISO 19988 Core Business Vocabulary TIER Data Center

Estándares y buenas prácticas Marco General Unified Compliance Framework 1,000 Documentos de Autoridad mapeados 100,000+ Reglas individuales 10,000+ Controles comunes 250,000 palabras y frases en el diccionario

Normas, buenas prácticas en México La Ley Federal sobre Metrología y Normalización (LFMN) menciona distintos tipos de normas oficiales mexicanas entre las que encontramos Normas Oficiales Mexicanas (NOM).-son regulaciones técnicas de carácter obligatorio. Regulan los productos, procesos o servicios, cuando éstos puedan constituir un riesgo para las personas, animales y vegetales así como el medio ambiente en general, entre otros. Normas Mexicanas (NMX).- son elaboradas por un organismo nacional de normalización, o la SE. Establecen los requisitos mínimos de calidad de los productos y servicios, con el objetivo de proteger y orientar a los consumidores. Su aplicación es voluntaria, con excepción de los casos en que los particulares manifiesten que sus productos, procesos o servicios  son conformes con las mismas; cuando en una NOM se requiera la observancia de una NMX para fines determinados. Normas de Referencia (NRF).- son elaboradas por las entidades de la administración pública para aplicarlas a los bienes o servicios que adquieren, arrienden o contraten, cuando las normas mexicanas o internacionales no cubran los requerimientos de las mismas o sus especificaciones resulten obsoletas o inaplicables

Normas, buenas prácticas NOM relacionadas con seguridad Clave Descripción NOM-064-SCT3-2012 QUE ESTABLECE LAS ESPECIFICACIONES DEL SISTEMA DE GESTIÓN DE SEGURIDAD OPERACIONAL (SMS: SAFETY MANAGEMENT SYSTEM). NOM-117-SCT3-2016 QUE ESTABLECE LAS ESPECIFICACIONES PARA LA GESTIÓN DE LA FATIGA EN LA TRIPULACIÓN DE VUELO. NOM-EM-004-ASEA-2017 ESPECIFICACIONES Y REQUISITOS EN MATERIA DE SEGURIDAD INDUSTRIAL, SEGURIDAD OPERATIVA Y PROTECCIÓN AL MEDIO AMBIENTE PARA EL DISEÑO, CONSTRUCCIÓN, PRE-ARRANQUE, OPERACIÓN, MANTENIMIENTO, CIERRE Y DESMANTELAMIENTO DE ESTACIONES DE SERVICIO CON FIN ESPECÍF PROY-NOM-009-SEGOB-2015 MEDIDAS DE PREVISIÓN, PREVENCIÓN Y MITIGACIÓN DE RIESGOS EN CENTROS DE ATENCIÓN INFANTIL EN LA MODALIDAD PÚBLICA, PRIVADA Y MIXTA NOM-019-SCFI-1998 SEGURIDAD DE EQUIPO DE PROCESAMIENTO DE DATOS.(CANCELA A LA NOM-019-SCFI-1994) (SE RATIFICA POR CINCO AÑOS SEGÚN RESOLUCIÓN PUBLICADA EN EL D. O. F. EL 29/06/2005) PROY-NOM-019-SCFI-2016 EQUIPOS DE TECNOLOGÍAS DE LA INFORMACIÓN Y SUS EQUIPOS ASOCIADOS, ASÍ COMO EQUIPO DE USO EN OFICINA-REQUISITOS DE SEGURIDAD (CANCELARÁ A LA NOM-019-SCFI-1998).

Normas, buenas prácticas en México NMX relacionadas con seguridad (Catálogo NYCE NMX 102 de TI) No Norma 1 NMX-I-27000-NYCE-2014 2 NMX-I-27001-NYCE-2009 3 NMX-I-27002-NYCE-2009 4 NMX-I-27005-NYCE-2011 5 NMX-I-27006-NYCE-2011 6 NMX-I-10373-1-NYCE-2009 7 NMX-I-14443-1-NYCE-2009 8 NMX-I-7816-1-NYCE-2010 9 NMX-I-21549-1-NYCE-2011 10 NMX-I-21549-2-NYCE-2011 11 NMX-I-21549-4-NYCE-2011 12 NMX-I-21549-5-NYCE-2011 13 NMX-I-21549/06-NYCE-2009 14 NMX-I-21549/07-NYCE-2009 15 NMX-I-086/01-NYCE-2006 16 NMX-I-086/02-NYCE-2006 17 NMX-I-086/03-NYCE-2006 Descripción Sistema de Gestión de seguridad de la información (vocabulario) Sistema de Gestión de seguridad de la información (Requisitos) Sistema de Gestión de seguridad de la información Buenas prácticas) Sistema de Gestión de seguridad de la información (Gestión del Riesgo) Sistema de GSI (Organismos que realizan auditorías) Tarjetas de identificación método de prueba Tarjetas de identificación con circuitos integrados - de proximidad Tarjetas de identificación con circuitos integrados Tarjetas sanitarias de pacientes (estrucutra general) Tarjetas sanitarias de pacientes (objetivos comunes) Tarjetas sanitarias de pacientes (Datos clínicos ampliados) Tarjetas sanitarias de pacientes (Datos de identificación) Tarjetas sanitarias de pacientes (Datos de administrativos) Tarjetas sanitarias de pacientes (Datos de medicación) Adminsitración de seguridad de TI Administración de seguridad de TI

Normas, buenas prácticas en México NMX relacionadas con seguridad (Catálogo NYCE NMX 102 de TI) No Norma 18 NMX-I-126-NYCE-2012 19 NMX-I-141-NYCE-2008 20 NMX-I-194-NYCE-2009 21 NMX-I-209-NYCE-2013 22 NMX-I-289-NYCE-2013 23 NMX-J–C–I–489–ANCE– ONNCCE-NYCE–2014 Descripción Sistemas electrónicos de apuestas Seguridad y confidencialidad de documentos electrónicos Dispositivos de juegos electónicos Métodos de Análisis forense Centros de datos de alto desempeño

Foro de Normas, estándares y buenas prácticas Caso ISO 27000

Foro de Normas, estándares y buenas prácticas Foro en construcción http://cibseg.foroactivo.com

Muchas Gracias……..