Plenario
- Moderadora: Orlando Garcés, OEA.
- Relatora: Olivia Dominguez, Sofía Lopes, Marta Manent, Daniel Miranda, Sabrina Piffaretti, ICD.
- Participaron 33 (treinta y tres) personas de 19 (diecinueve) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
ESMADE (Institución pública) - Claudio López
Abre el diálogo comentando que la Estrategia detalla las líneas a futuro que debemos seguir en materia de ciberseguridad. El esquema concebido fue uno de defensa en profundidad: cuanto más grave la situación que se pueda dar, hay un mecanismo de respuesta nuevo para levantar. Parte de la discusión fue la clasificación de los incidentes según su gravedad. Basándose en la experiencia internacional, se llegó a la conclusión que hoy en día las mayores agresiones del ciberespacio se llevan a cabo con fines financieros, y las víctimas son víctimas colaterales. Sin embargo, si bien no es siempre el caso, esto no quiere decir que no puedan tocar órganos críticos. El incidente ocurrido en Costa Rica, un país parecido a Uruguay, lo demuestra. Es un evento que se separa de la norma: no se buscaba un beneficio financiero, sino que se buscaba el daño, el colapso del país. Los responsables manifestaron que fue una prueba – es decir, se piensa volver a intentar en el futuro. Es nuestro deber, por lo tanto, no tomarlo como un hecho casual que ya pasó; podría pasar algo así en Uruguay. ¿Qué pasaría si, de repente, las infraestructuras críticas caen? No podemos esperar ese momento que ojalá no se presente: debemos pensar soluciones antes.
MDN (Institución pública) - Rivera Elgue
El Subsecretario destaca la necesidad de la iniciativa y enfatiza la importancia de definir claramente términos como amenazas y agresiones, así como implementar medidas preventivas y educativas en la defensa en profundidad. Señala que la mayoría de las infraestructuras críticas en Uruguay son de propiedad estatal, lo cual exige una gran coordinación debido a la autonomía administrativa de estas empresas. Esta situación dificulta la asignación de responsabilidades y la creación de un plan de protección eficaz. Subraya la problemática de la designación de responsabilidades en el país y la necesidad de definir claramente quién se encarga de qué. Menciona al sistema nacional de emergencia como un ejemplo de estructura con distintos niveles de responsabilidad, y señala que el principal obstáculo en la administración de infraestructuras críticas es la falta de control y asignación de responsabilidades. Además, destaca la importancia de incluir a todos los actores relevantes en las discusiones y definiciones, citando la coordinación efectiva durante la pandemia de 2020 como un ejemplo de la importancia de tener un plan nacional con objetivos claros y responsabilidades asignadas.
SIEE (Institución pública) - Jorge Alliaume
Reafirma la importancia de lo mencionado anteriormente, señalando que un estudio de campo comprobó que uno de los principales obstáculos es la falta de un responsable principal para la infraestructura física y la implementación de medidas de seguridad.
ANCAP (Institución pública) - Osvaldo Barrios
Coincide con la necesidad de definir un vocabulario común y claros conceptos sobre ciberseguridad, especialmente en relación con incidentes en infraestructuras críticas. Plantea que un incidente en una infraestructura crítica podría indicar un problema mayor y que es crucial identificar responsables específicos. También subraya la importancia de criterios de aceptación de niveles mínimos de ciberseguridad en organismos que manejan infraestructuras críticas y menciona los esfuerzos de ANCAP en capacitación, destacando la necesidad de equipos multidisciplinarios y técnicos. Propone que el SINAE, debido a su rol en coordinación, podría ser el regulador adecuado. Además, señala que ya hay un trabajo en marcha en ANCAP, incluyendo una revisión y evaluación nacional de riesgos, y enfatiza la necesidad de generar continuidad en estos esfuerzos y la inclusión de actores privados.
Unidad de Ciberdefensa del Ejército (Institución pública) - Pablo Camps
Primero, encuentra crucial definir el término de “ciberdefensa”, ya que hay diferentes concepciones: por un lado, entre el nivel internacional y el nivel nacional; y, por otro lado, dentro de la legislación y la experiencia. Encontrar una definición común es un punto de partida crucial para luego poder definir las responsabilidades de cada uno.
Luego hace un detalle sobre la evolución de la normativa relacionada a la ciberseguridad:
Ley Marco de Defensa Nacional (2010): Modernizó el concepto de “Defensa Nacional” e incorporó las actividades civiles dentro de la Defensa Nacional. A la vez, enfoca la defensa nacional al bienestar de la población, aplicándolo, naturalmente, de forma total al ciberespacio.
D-CSIRT (2015): A nivel del Ministerio de Defensa, se crea este Equipo de Respuesta a Incidentes de Seguridad Informática de Defensa.
Decreto en el ámbito de la Comisión Interministerial de Defensa Nacional, ámbito permanente del CODENA (2018): Trató el tema de la protección de infraestructuras críticas y se incorporó en este concepto de protección la dimensión ciberespacial, destacando la necesidad de no solo proteger la seguridad física, sino también proteger contra el daño en el ciberespacio.
Modificación de la Ley Orgánica de las Fuerzas Armadas (2019): Se dio un paso importante en el ciberespacio como un ámbito de soberanía del Estado. Deja de ser una cuestión tratada desde la voluntad para pasar a ser una directiva de comenzar a desarrollar este tipo de capacidades para estar a la altura de la misión. También se impulsa la tarea de participar en la ciberseguridad y la ciberdefensa. Sin embargo, la redacción tiene matices.
Aprobación de la propuesta de Política de Defensa Nacional, formulada por el Consejo de Defensa Nacional (CODENA) (2020): Establece directivas para el quinquenio a nivel nacional de seguir con equipos de respuesta y fortalecer el ecosistema de ciberseguridad. Además, en el ámbito del CODENA en coordinación con el SINAE impulsa la evolución y protección natural de las infraestructuras críticas físicas y ciberespaciales, y fomenta al Ministerio de Defensa Nacional a avanzar en la creación de un ámbito conjunto de trabajo y generar capacidades dentro de las Fuerzas Armadas.
Esta evolución representa el rol que tiene la Unidad de Ciberdefensa del Ejército.
La ciberdefensa es una cuestión que puede tener igualdad y correspondencia con el anterior medio físico. Cuenta con diferentes responsabilidades y niveles en que se puede escalar hasta llegar a ser un problema de defensa nacional. Por este motivo, es crucial seguir trabajando en una definición, agregando la dimensión “ciber”.
Entiende que ya hubo una mesa específica de infraestructuras críticas, pero cree que es muy importante para el rol de las Fuerzas Armadas en la ciberdefensa. Como punto de partida, hay que definir el umbral que permitirá saber qué es crítico y qué no. Esto debe ser definido a nivel nacional, no solo en el ámbito de la defensa u otra área específica. Así se marcará un estándar conocido de ciberseguridad que todos podrán cumplir. Por este motivo, la protección de las infraestructuras críticas no es trivial.
Desde la perspectiva de las capacidades de la ciberdefensa, las Fuerzas Armadas están trabajando desde la directiva de 2019 con la Modificación de la Ley Orgánica de las Fuerzas Armadas. Sin embargo, aún hay avances por hacer.
Es fundamental ponerse de acuerdo sobre qué es la ciberdefensa, qué es ciberseguridad, y quién tiene cada rol y responsabilidad en estos ámbitos. La ciberdefensa no es posible si no se conoce qué se debe defender. Ya hay ciertos consensos sobre el tema, pero no se encuentra de forma segura o explícita, por lo que hay que ponerse de acuerdo. Por este motivo reitera que el punto de partida debe de ser el glosario.
Unidad de Ciberdefensa del Ejército (Institución pública) - Pedro Gómez
Recuerda la mesa de infraestructuras críticas, donde se comentó lo que se está haciendo para el desarrollo de las infraestructuras críticas por parte del SINAE en colaboración con Agesic.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
UDELAR (Academia) - Alejandro Blanco
Está de acuerdo con la necesidad de definir claramente los términos y menciona una deficiencia en la formación de grado en ciberseguridad. Señala que es importante desambiguar la información sobre infraestructuras críticas para evitar confusiones. Propone retomar los trabajos de definición de infraestructuras críticas de información iniciados en 2014 para evitar errores pasados. Destaca la importancia de crear grupos de trabajo para avanzar en la implementación de tácticas y en la práctica, señalando que hasta el momento ha sido difícil definir responsables y llevar las estrategias a la acción y operativa.
MATRIZ y empresas del Grupo ANCAP (Sector privado) - Daniel Perez
Subraya la importancia de que todos los actores trabajen en conjunto, sabiendo de qué se está hablando en este ámbito de la ciberseguridad. Es importante generar una infraestructura de trabajo. Se debería seguir pensando en qué recursos e información se pueden ir compartiendo en los espacios de articulación entre los organismos.
LACNIC (Sociedad civil) - Graciela Martínez
Considera que el documento es una estrategia, para la cual es importante la participación de todas las fuerzas que están involucradas en el tema de ciberseguridad. Se busca alcanzar ciertos objetivos que estén al alcance de todos. Las actividades se podrían llevar a cabo con proyectos puntuales; para eso es importante saber cuáles son las infraestructuras críticas. Se acaba de decir que el ciberespacio es un ámbito de soberanía nacional, lo que cambia mucho la fuerza que debe tener esta estrategia y es muy importante. También hay que definir cuál es el impacto que se produce en la infraestructura crítica para saber cuándo el sistema de emergencia tiene que actuar. Como estrategia general lo planteado está bien, y no hay que empantanarse en situaciones puntuales. Hay que definir bien lo que sería un impacto para una ciberdefensa; es importante a la hora de prepararnos para actuar de forma proactivamente. El compromiso tiene que ser que la política de ciberseguridad se escriba y se ejecute, porque un ataque puede suceder en cualquier momento.
Armada Nacional de Uruguay (Institución pública) - Pablo Santos
Considera que es fundamental ponernos de acuerdo en los términos, principalmente porque, si bien dentro del Ejército se pueden entender porque emplean los mismos términos, están trabajando muchas agencias del Estado. Hay que empezar definiendo los términos “ciberseguridad”, “ciberdefensa”. También cuando se hace referencia a los accidentes mayores, destaca que es fundamental esclarecer los criterios para definirlos.
Otro aspecto que destaca como fundamental es la necesidad de identificar todas las organizaciones del Estado que tienen capacidades para responder a incidentes. Hay muchas organizaciones y agencias del Estado que tienen capacidades tanto desde el punto de vista de Recursos Humanos como de recursos materiales para responder a un ciberataque; deben ser identificados para agregarlos a la Estrategia y otorgarles responsabilidades.
Señala que hay muchos trabajos y esfuerzos hechos por separado, y considera que tienen que nuclearse. Debe haber una institución que nuclee todos esos esfuerzos para elaborar una estrategia.
También propone definir los desafíos de seguridad cibernética, y subraya que es importante que haya un Observatorio que identifique cuáles son las principales amenazas y cuáles son los principales objetivos para poner prioridades.
UDE (Academia) - Daniel Jenci
Comenta que hay dos temas importantes que son: prevenir y actuar conjuntamente. Hay un problema de base que es quiénes construyen y quiénes ejecutan los sistemas de seguridad. Es necesario contar con recursos humanos capacitados, sino habrá un problema en la esencia de los sistemas críticos. Si la población está capacitada es un punto importante para establecer estándares, así como es imprescindible la capacitación de los técnicos a nivel de todas las infraestructuras críticas. Hay responsabilidad de la academia en la formación y en establecer estándares más altos. Es necesario tener sistemas más resistentes.
UTE (Institución pública) - Evelyn Antón
Hace hincapié en la ausencia de representantes de la gestión de infraestructuras críticas de Uruguay, y la necesidad de que estos expertos definan las infraestructuras críticas, no los directores. Subraya la importancia de clarificar las responsabilidades: se debe tener un CSO para coordinar los altos cargos y un equipo que esté al tanto de lo que se maneja a nivel nacional sobre las infraestructuras críticas. A su vez, los organismos deben estar coordinados entre sí; se debe mejorar eso. Además, señala que no solo deben considerarse los ciberataques, sino también otros factores como los desastres naturales y siniestros causados por animales. Agrega que en EE.UU. y en la UE ya existen normas e inventarios definidos para estos escenarios, que se podrían tomar como referencia. Hay que ir más rápido.
DNA (Institución pública) - Álvaro Saldarini
Trae a la mesa el ejemplo mencionado de ciberataque en Costa Rica, que lo vivió de cerca debido a su trabajo en Aduanas y vio así el gravísimo impacto. Además, comenta que durante la pandemia de COVID-19 se agudizaron los intentos de hackear información, porque, a partir de ese momento, la información de las operaciones comenzó a tener un costo; debido a esto, tuvieron que comenzar a tomar medidas y acciones. Sin embargo, la Aduana no debe de tener una política única, sino que tiene que haber una política nacional. Esto se debe a que todos los organismos están correlacionados, por lo que si uno cae, el resto también lo hace. Por tanto, hay que tener una política de colaboración.