Nuevo marco normativo de ciberseguridad
El 7 de abril se presentó el nuevo marco normativo de ciberseguridad, a través de un decreto del Poder Ejecutivo. Participaron el prosecretario de Presidencia de la República, Dr. Diego Cánepa; el ministro de Industria, Energía y Minería, Ing. Roberto Kreimerman; y el director ejecutivo de AGESIC, Ing. José Clastornik.
Según Clastornik, la ciberseguridad es un tema en el que el gobierno ha puesto foco. Explicó que el nuevo marco normativo tiene tres lineamientos base sobre los dominios de Internet, sobre los correos electrónicos en la Administración Central y sobre los centros de procesamientos de datos. Respecto a los dominios, Clastornik explicó que lo que se busca es definir estándares.
Sobre los correos electrónicos comentó que “muchas veces se usan correos inadecuados (privados o ubicados fuera del territorio nacional) factor que condiciona la capacidad del Estado de proteger los datos”. Sobre este aspecto agregó que el lineamiento sobre correos electrónicos “determina el cifrado en lo que es el envío de información y el tránsito de correos que garanticen la seguridad”.
Respecto al lineamiento sobre Centros de Datos, Clastornik comentó: “queremos que estén ubicados en Uruguay, para que se respete nuestro marco legal y que garanticen un adecuado funcionamiento.
El Director Ejecutivo de AGESIC explicó que los organismos tendrán 90 días para elaborar un plan de acción que contemple el nuevo marco sobre ciberseguridad y que la Agencia actuará como fiscalizador del cumplimiento.
“Es una satisfacción que esté disponible; levantan el piso para que todos trabajemos igualando para arriba”, concluyó.
Por su parte Kreimerman señaló que “celebramos el trabajo y la realización de este Decreto. Uruguay ha ido creciendo en el desarrollo de las telecomunicaciones, se ve claramente en los rankings internacionales”. “El crecimiento del uso de las TIC son un importante producto de exportación que nos ubica primeros en el avance”.
El Ministro comentó que “para nosotros el trabajo realizado por Presidencia y AGESIC demuestran que es un buen momento para que se avance y dé el ejemplo”.
Cánepa explicó que se necesita mucha claridad política para colaborar avanzando en conjunto, con una visión integral y común. Este decreto no es un hecho aislado, resume con mucha simpleza un cambio muy importante”. El Prosecretario explicó que estas acciones no son de ahora, sino que cuando se pensaba la primera Agenda Digital Uruguay (ADU) se discutió mucho cuál era el camino a seguir en materia de ciberseguridad”.
Cánepa expresó que “parte de los cambios que generamos son la acumulación de una estrategia correcta”. Se refirió a los avances en la materia, como la creación del CERTuy en 2008 con el fin de proteger la información crítica del Estado. “El factor clave en el avance de las TIC es la generación de confianza en su uso”.
“La creencia en la existencia de protocolos es fundamental. Hay información que genera repercusiones y debemos tener responsables. La claridad de identificar dominios y sub dominios de las casillas de mail es fundamental, es necesario emplear protocolos”, afirmó.
“El decreto busca un mínimo, ahora estamos en condiciones de la estandarización porque estandarizar es simplificar”. En términos de seguridad de la información este Decreto determina algo muy importante: que la información física debe estar alojada en Uruguay, hoy contamos con la infraestructura para hacerlo”.
“Lo más importante es que estos cambios estructurales que vienen a cambiar la visión integral, tienen que ser internalizados por los funcionarios del Estado y de ello depende el éxito”, concluyó.
El nuevo marco normativo
El decreto determina tres lineamientos básicos sobre:
- Dominios de Internet: este lineamiento garantiza un uso adecuado de los nombres de dominios de Internet de la Administración Central (gub.uy y mil.uy), así como su estandarización. De esta manera facilita el acceso a la información a los usuarios y la actualización de la información de contacto de sus responsables.
- Correo electrónico institucional: la Administración Central deberá implementar correos institucionales seguros con dominios gubernamentales (gub.uy y mil.uy) que garanticen un alto nivel de confidencialidad en el tráfico de información.
- Centros de procesamiento de datos: los centros de procesamiento de datos que utilice la Administración Central deben estar ubicados en territorio nacional y contar con recursos técnicos adecuados para garantizar integridad, disponibilidad y confidencialidad.
Todos los organismos deberán adoptar esta medida de forma obligatoria y tendrán 90 días posteriores a la publicación del decreto para presentar un plan de acción a AGESIC. La Agencia oficiará como fiscalizadora en el cumplimiento de las normas de seguridad establecidas en dicho decreto a los efectos de cumplir con la normativa.
Material relacionado
Descargar Decreto (.pdf 404 KB)