Reprueba Sedena en ciberseguridad

La ASF realizó un semáforo de madurez de los controles de ciberseguridad de la dependencia durante 2020, de los 20 aspectos evaluados, solo dos tuvieron un desempeño aceptable: la configuración segura de los equipos de red, tales como cortafuegos, enrutadores y conmutadores, y el control de acceso inalámbrico.

 "La Sedena no proporcionó información respecto a si la gestión de herramientas antimalware se realiza de forma centralizada, así como del responsable de su gestión.

 "No se cuenta con mecanismos de análisis, restricción y bloqueo de medios extraíbles que se ejecuten de forma automática, cuando éstos se conectan a los equipos de cómputo y/o servidores", alertó la ASF.

 Entre la lista irregularidades, la Auditoría detectó que Sedena carece de la definición de un procedimiento de respuesta a incidentes de ciberseguridad.

 Tampoco hay evidencia que acredite que la Secretaría cuenta con comunicación con organizaciones, autoridades o equipo de respuesta para emergencias informáticas, con la finalidad de notificar vulnerabilidades o incidentes de gran importancia.

 "No se realizan pruebas de escenarios de incidentes de seguridad cibernética con los usuarios de la Sedena, con la finalidad de validar que la estrategia de respuesta definida por la Secretaría es adecuada y suficiente en caso de una contingencia", agrega el informe.

 Víctor Ruiz, especialista en ciberseguridad, consideró que falta una cultura interna para prevenir ciberataques.

 "El problema es el nivel de riesgo que tienen como instituciones. Incluso si contratan a alguna empresa externa a que les desarrolle su plan de ciberseguridad -con todo y las soluciones de hardware y software que necesitan- no existe una cultura interna que evite que se presenten los ciberataques y, lo peor de todo, no evita que dichos ciberataques sean exitosos", dijo.