Seguridad de la Información

El “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal”, publicado el 6 de septiembre de 2021, por la Coordinación de la Estrategia Digital de la Presidencia de la República:

Establece como directriz que las Instituciones de la Administración Pública Federal deberán contar con un Marco de Gestión de Seguridad de la Información (MGSI), alineado a la política general de Seguridad de la Información, que cada Institución establezca de conformidad con sus objetivos y dimensionamiento.

ACUERDO por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal.

La implementación del MGSI en las instituciones de la APF es un proceso complejo que requiere el conocimientos de múltiples metodologías y expertos en distintas áreas de las tecnologías de información, seguridad informática y normatividad.

El Instituto Politécnico Nacional, por medio de la Coordinación del Centro Nacional de Cálculo - ente rector de las tecnologías de la información y la seguridad informática en la institución – coordina los esfuerzos institucionales para coadyuvar en la implementación de las tareas del MGSI, abarcando todos los pasos del proceso, basándonos en las metodologías líderes a nivel mundial, recomendadas por la Coordinación de la Estrategia Digital Nacional de la Presidencia de la República.

La seguridad informática es un tema que cada vez cobra más relevancia en el ámbito académico, debido a los riesgos y amenazas que existen en el entorno digital, tales como ataques cibernéticos, robo de información, suplantación de identidad, entre otros. Por ello, es necesario contar con un marco normativo y una estrategia que oriente y regule el uso adecuado de los recursos tecnológicos, así como la protección de los datos personales y la información confidencial que se genera y se almacena en los sistemas informáticos del IPN.

El IPN por medio de la Coordinación General del Centro Nacional de Cálculo, se ha encargado de implementar y administrar los mecanismos para la protección de los sistemas y las tecnologías de información de la institución. Sin embargo, el CENAC y sus direcciones operativas, la Dirección de Cómputo y Comunicaciones y la Dirección de Sistemas Informáticos, no pueden actuar aisladamente, ya que requieren de la colaboración y el compromiso de toda la comunidad politécnica: desde las autoridades, las unidades de informática en todas las Escuelas, Centros y Unidades, así como los estudiantes, docentes y el personal administrativo.

El Instituto Politécnico Nacional, ha desarrollado sus propias políticas y lineamientos de seguridad informática y de comunicaciones, a partir de las recomendaciones de la Coordinación de la Estrategia Digital Nacional de la Presidencia de la República, adaptadas a su contexto y necesidades específicas. Estas políticas son directrices que promueven el buen uso y cuidado de los recursos de tecnologías de información entre el personal directivo, administrativo, docente, estudiantes y terceros; mediante la notificación de las medidas y formas que deben cumplir y utilizar para proteger los componentes de los sistemas informáticos del IPN.

La implementación de estas políticas y controles mínimos de seguridad informática ha implicado un proceso de sensibilización, capacitación, supervisión y evaluación constante por parte del Centro Nacional de Cálculo plasmado en el “Programa de formación de cultura institucional de seguridad informática”. Es imprescindible el apoyo y la participación activa de todos los usuarios de los sistemas informáticos del IPN, quienes deben cumplir con las normas establecidas y reportar cualquier incidente o anomalía cibernética que detecten.

El Instituto Politécnico Nacional, ha desarrollado sus propias políticas y lineamientos de seguridad informática y de comunicaciones, a partir de las recomendaciones de la Coordinación de la Estrategia Digital Nacional de la Presidencia de la República, adaptadas a su contexto y necesidades específicas. Estas políticas son directrices que promueven el buen uso y cuidado de los recursos de tecnologías de información entre el personal directivo, administrativo, docente, estudiantes y terceros; mediante la notificación de las medidas y formas que deben cumplir y utilizar para proteger los componentes de los sistemas informáticos del IPN.

La implementación de estas políticas y controles mínimos de seguridad informática ha implicado un proceso de sensibilización, capacitación, supervisión y evaluación constante por parte del Centro Nacional de Cálculo plasmado en el “Programa de formación de cultura institucional de seguridad informática”. Es imprescindible el apoyo y la participación activa de todos los usuarios de los sistemas informáticos del IPN, quienes deben cumplir con las normas establecidas y reportar cualquier incidente o anomalía cibernética que detecten.

Tras la publicación de la Política General de Ciberseguridad para la Administración Pública Federal (APF), el Gobierno Federal activará una ruta progresiva de implementación, supervisión y fortalecimiento institucional que marcará los próximos años en materia de seguridad digital. La Agencia de Transformación Digital y Telecomunicaciones (ATDT) y la Dirección General de Ciberseguridad (DGCiber) serán las entidades responsables del acompañamiento, vigilancia y actualización continua del marco nacional de Ciberseguridad.

El Instituto Politécnico Nacional (IPN) deberá elaborar y actualizar su Plan Institucional de Ciberseguridad (PIC), que funcionará como la hoja de ruta local para cumplir con los lineamientos federales. Este PIC deberá incluir inventario de activos críticos, análisis de riesgos, prioridades institucionales, niveles de madurez y un programa anual de capacitación. Además, deberá realizar autoevaluaciones periódicas basadas en estándares como NIST, ISO o CIS, cuyos resultados alimentarán acciones de mejora continua y revisiones técnicas.

La ATDT y la DGCiber llevarán a cabo un seguimiento permanente mediante auditorías, pruebas de penetración, análisis de vulnerabilidades y verificación del cumplimiento de controles mínimos. Asimismo, deberá integrarse gradualmente al CSOC Nacional Federado y al CSIRT Nacional-APF, donde se centralizará el monitoreo continuo, la correlación de eventos y la respuesta coordinada a incidentes de ciberseguridad. Los incidentes deberán reportarse bajo protocolos estandarizados y tiempos límite previamente definidos.

Con este nuevo marco, se prevé una modernización acelerada de los controles de seguridad, una mayor coordinación interinstitucional y la adopción de mecanismos comunes que reduzcan la fragmentación normativa. El IPN deberá fortalecer su cultura interna de ciberseguridad mediante capacitación obligatoria, simulacros de crisis y actualización técnica continua. Paralelamente, el Gobierno Federal establecerá indicadores de desempeño y evaluaciones anuales basadas en un Modelo de Madurez de 5 niveles, que permitirá medir avances y orientar inversiones estratégicas. La Política será revisada formalmente dos años después de su entrada en vigor, manteniendo un ciclo constante de evolución y adaptación tecnológica.

Todas las actividades en la Administración Pública Federal alineadas al “Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal” - desde ahora Acuerdo - son auditables y observables por el Órgano Interno de Control en cada dependencia y por la Coordinación Nacional de la Estrategia Digital de la Presidencia de la República por lo que se deberán atender las disposiciones indicadas en el MGSI.