La ciberresiliencia y la continuidad operativa representan un desafío para las industrias en México, dado el crecimiento de las amenazas digitales y la necesidad de contar con regulaciones que establezcan lineamientos claros para la gestión de incidentes y la protección de infraestructuras críticas. Esta situación puede afectar la capacidad de respuesta ante riesgos cibernéticos y comprometer la estabilidad de los procesos industriales, señaló Enrique Poceros durante su participación en la mesa redonda “Ciberseguridad en construcción: Diagnóstico legislativo en México y Latinoamérica”.
En el marco del II Congreso de Ciberseguridad de Infraestructuras Críticas y Servicios Esenciales de México (CIBER2CMX), el Chief Technology Officer de Roue compartió que la falta de certidumbre legal y la eliminación de entes reguladores, como la Comisión Nacional de Hidrocarburos (CNH) y la Comisión Reguladora de Energía (CRE), ha dificultado de manera considerable la seguridad en infraestructuras críticas, como la industria del gas, petróleo y energía del país, al no existir una unificación regulatoria.
«Existen diferentes regulaciones para instalaciones que producen energía, agua, gas, petróleo y sus derivados, pero no están unificadas. Esto genera un marco más complejo, ya que, ante una incidencia relacionada con el control y operación de los sistemas, surge la interrogante sobre cuál es el procedimiento a seguir por las autoridades competentes».
En la actualidad, la ciberseguridad en sectores clave como el energético y manufacturero está respaldada por diversas normativas y regulaciones como la Ley de Seguridad Nacional, la cual establece la ciberseguridad como un aspecto importante para la protección de infraestructuras críticas; y la Norma Oficial Mexicana 151 (NOM-151), que aborda la gestión de documentos electrónicos y su seguridad.
En este sentido, sin embargo, el ingeniero Enrique Poceros resaltó la necesidad de fortalecer el marco regulatorio para mejorar la protección de infraestructuras críticas.
«Si bien no es viable tener una ley para cada sector, es fundamental contar con una normativa específica en ciberseguridad que identifique y priorice la protección de infraestructuras críticas», indicó.
Además, destacó la relevancia de adoptar modelos de regulación inspirados en otras experiencias internacionales. Como ejemplo, mencionó los marcos regulatorios existentes en Latinoamérica, como la Ley Marco en Chile y el Decreto 338 en Colombia, que establecen estrategias sectoriales para fortalecer la ciberseguridad.
Estos marcos permiten definir lineamientos claros y requisitos mínimos de seguridad para mitigar riesgos en sectores esenciales, como el eléctrico, los gasoductos y las refinerías.
«Contar con una regulación adecuada y con entidades especializadas es clave para fortalecer la resiliencia de estos sectores», afirmó.
Finalmente, subrayó la importancia de establecer responsabilidades claras tanto para empresas privadas como para entidades públicas, asegurando la continua colaboración entre ambas partes. Asimismo, destacó la necesidad de fomentar la educación y concientización en todos los niveles para fortalecer la seguridad en sistemas ciberfísicos, tecnológicos y cibernéticos.
«La educación es clave, desde el ámbito gubernamental hasta el empresarial, para generar conciencia y fortalecer la protección de infraestructuras críticas», concluyó.
Regulaciones claras: El pilar de la seguridad y la transformación digital en México
En su intervención, Luis Espejel, gerente Sr. de Ciberseguridad OT de Sempra Infraestructura, concordó con lo señalado por Enrique Poceros, destacando la importancia de un marco legal, pero enfatizando que la verdadera eficacia depende de un cambio cultural en su aplicación.
«Creo que una parte que nos falta es el tema cultural desde el punto de vista de cómo se aplica la ley, porque hay muchas leyes que en la práctica podrían no tener una responsabilidad hacia las entidades y empresas participantes en México».
Además, en cuanto a las infraestructuras críticas, subrayó que es complicado contar con una ley específica para cada sector, lo que hace que los reglamentos sean esenciales. «Como decía Enrique, los reglamentos se vuelven súper importantes, son guías de higiene básica sobre cómo superar un sistema y cuáles son los riesgos o las medidas mitigables», resaltó.
