Todas las dependencias federales, incluidos sus órganos administrativos desconcentrados, deberán nombrar a un Responsable Institucional de Ciberseguridad (RIC) para febrero próximo, de acuerdo con la Política General de Ciberseguridad para la Administración Pública Federal.
Publicada el miércoles por la Agencia de Transformación Digital y Telecomunicaciones (ATDT), la política contempla también la implementación del enfoque Zero Trust, que integra un modelo integral de gestión de identidades y accesos (IAM, por sus siglas en inglés) y la adopción de la autenticación multifactor (MFA), así como la elaboración de lineamientos específicos sobre DevSecOps para asegurar que la seguridad se integre desde las primeras fases del ciclo de vida del software
Además, contempla la aplicación un modelo integral y dinámico de gestión de riesgos, capaz de identificar, analizar, priorizar y tratar amenazas de manera uniforme en todas las instituciones, que incluye la elaboración de inventarios y clasificaciones de activos críticos, el desarrollo de una metodología general de riesgos y la creación de un tablero unificado de control que permita visualizar los niveles de exposición y vulnerabilidad.
Y se impulsará la profesionalización del personal responsable de la ciberseguridad, asegurando su formación continua y su actualización frente a nuevas tecnologías y vectores de ataque.
Para dar a conocer el documento, la ATDT publicó el miércoles en el Diario Oficial de la Federación (DOF) el acuerdo por el que se emite la Política General de Ciberseguridad para la Administración Pública Federal, mismo que en primer transitorio establece que entrará en vigor el 18 de diciembre de 2025.
Su publicación ocurre semanas después de que la ATDT presentara el Plan Nacional de Ciberseguridad. Ahora, la dependencia tendrá hasta mediados de junio de 2026 para emitir los lineamientos técnicos, criterios de cumplimiento y formatos oficiales para la implementación de la política.
¿Qué tareas tendrá un RIC?
De acuerdo con la política, la persona titular del RIC deberá de ser, preferentemente, diferente al titular de la Unidad de las Tecnologías de la Información y Comunicación (UTIC) u homólogo de la dependencia o entidad.
El RIC —añade— fungirá como punto de contacto y de coordinación técnica entre el titular de la UTIC y la Dirección General de Ciberseguridad de la ATDT, encargada de dar seguimiento a los ejes estratégicos, metas y acciones establecidas en la Política General de Ciberseguridad para la Administración Pública Federal.
Entre sus tareas, está elaborar y actualizar el Plan Institucional de Ciberseguridad y coordinar su ejecución; realizar el Plan de Gestión de Riesgos de Ciberseguridad Institucional; monitorear y reportar incidentes conforme al protocolo general; gestionar los procesos de autoevaluación, auditoría y mejora continua, así como fomentar la capacitación interna y difundir buenas prácticas en la institución.
El nombramiento del RIC es responsabilidad del titular de cada dependencia, pero deberá notificarse por escrito a la ATDT, según se establece el cuarto transitorio del acuerdo.
El Plan Nacional de Ciberseguridad contempla para 2026 y 2027 la creación de la Red Nacional de Contactos de Ciberseguridad, que fungirá como un mecanismo institucionalizado de coordinación, comunicación y colaboración entre los RIC de todas las dependencias y entidades federales.
