Blindaje digital oficial: México formaliza su política de ciberseguridad
Gobierno activa política federal de ciberseguridad
¿Qué aprobó el gobierno y por qué importa?
El Gobierno de México formalizó la Política General de Ciberseguridad para la Administración Pública Federal (APF) tras su publicación en el Diario Oficial de la Federación (DOF). Con ello, la administración encabezada por Claudia Sheinbaum convirtió un anuncio previo en una regla obligatoria con fechas claras y responsables definidos. El acuerdo, emitido por la Agencia de Transformación Digital y Telecomunicaciones (ATDT), fija el marco que ordena la protección de la información pública y de las comunicaciones oficiales frente a riesgos digitales crecientes.
Además, la medida activa un proceso institucional que busca pasar de acciones aisladas a una arquitectura común. Por lo tanto, el gobierno pretende reducir brechas operativas y elevar estándares mínimos en todas las dependencias federales. A partir de ahora, la Dirección General de Ciberseguridad asume la conducción técnica, el seguimiento de metas y la evaluación del cumplimiento.
¿Cuáles son los plazos y las nuevas obligaciones?
La política establece dos tiempos que marcan el ritmo de ejecución. Primero, en 60 días naturales, cada dependencia y entidad debe nombrar a un Titular Institucional en Ciberseguridad y a su auxiliar, y notificarlo por escrito a la ATDT. Segundo, en 180 días, la agencia debe publicar lineamientos técnicos, criterios de cumplimiento y formatos oficiales que aterrizan la política en procedimientos concretos.
En paralelo, cada institución debe designar a un Responsable Institucional de Ciberseguridad (RIC), preferentemente distinto del área de TI, para coordinar acciones técnicas con la autoridad. Asimismo, los titulares deben aprobar un Plan Institucional de Ciberseguridad. El RIC elabora y actualiza ese plan, coordina su ejecución, reporta incidentes, impulsa autoevaluaciones y promueve la mejora continua.
¿A quién aplica y qué cambia en la operación diaria?
La norma aplica a dependencias, órganos desconcentrados y entidades de la APF. Sin embargo, excluye a Sedena, Semar y al Centro Nacional de Inteligencia en lo relativo a seguridad nacional y a sus funciones propias. En consecuencia, la cobertura resulta amplia y homogénea para la mayoría del aparato federal.
En cuanto al modelo técnico, la política define ocho ejes estratégicos que van desde gobernanza y gestión de riesgos hasta identidad, cadena de suministro, talento e innovación. Además, promueve enfoques como Zero Trust y autenticación multifactor para disminuir riesgos por credenciales comprometidas.
Por último, el esquema de respuesta integra dos piezas clave: el CSIRT Nacional-APF y un CSOC Nacional Federado. El primero fija protocolos, severidades y reportes, con la regla de notificar incidentes críticos en menos de 24 horas. El segundo opera un monitoreo 24/7, correlaciona alertas, caza amenazas y emite boletines y directivas de contención. Con estas reglas, el plan deja de ser una guía y se vuelve una obligación administrativa sujeta a auditorías.
🚀 Si buscas mantenerte al día con las noticias nacionales e internacionales más relevantes 🌐
