Estándar para activar la obligación de comunicar sobre ciberincidentes relevantes en instituciones públicas

Abstract

Las instituciones públicas sufren constantemente ciberincidentes que pueden afectar la infraestructura crítica y el ejercicio de derechos de la ciudadanía. Informar a esta sobre cada ciberincidente sería impráctico, por lo que se propone un estándar para decidir en qué supuestos un ciberincidente sufrido por una institución pública debe comunicarse a la sociedad, y cómo debe ser la información para colmar el derecho a la información. Para ello se presenta el marco jurídico mexicano de ciberseguridad y de derecho a la información, sustentando la razón de por qué la atribución pública de ciberataques no sustituye al deber de informar a la sociedad. Finalmente, se analizan casos emblemáticos de ciberincidentes en instituciones públicas mexicanas aplicando el estándar propuesto.