Subgrupo 1
- Moderadora: Arianne Palau, Agesic.
- Relatora: Marta Manent, Sabrina Piffaretti, ICD.
- Participaron 9 (nueve) personas de 6 (seis) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Instituto Militar de Estudios Superiores (Institución pública) - Johnny Da Silva
Las líneas de acción del objetivo 1 son “identificar”, “fortalecer” e “implementar”. Sin embargo, partimos de la base entonces de que ya existe una capacidad mínima de ciberdefensa, pero en ningún lado se propone hacer un estudio de cuál es la capacidad de ciberdefensa que tenemos. Quizás falte una línea de acción que consista en identificar cuál es la capacidad real, actual de ciberdefensa respecto a lo que se busca a futuro
UDE (Academia) - Daniel Jenci
A su vez se debe definir un estándar para que todas las organizaciones se entiendan y manejen terminología, lenguajes y estructuras comunes.
Unidad de Ciberdefensa del Ejército (Institución pública) - Pablo Camps
Concuerda con la necesidad de definir “ciberdefensa” para poder hablar de capacidades actuales en ciberdefensa.
Por otro lado, subraya que AGESIC tiene estadísticas y hay mucho trabajo hecho. Se deben conocer los trabajos que ya están, los antecedentes, y recoger toda la información para no repetir el trabajo. Eso es lo primero en la elaboración de la estrategia: identificar cuáles son los medios que contamos para hacer frente a una amenaza.
Con relación a establecer alianzas estratégicas con organizaciones extranjeras, también ya hay varias, tanto bilaterales como multilaterales. En la parte de ciberdefensa hay foros donde se integra eso.
Además, la respuesta es fundamental: si no hay respuesta, los atacantes perseverarán.
UDE (Academia) - Daniel Jenci
Más allá de todo eso, menciona que hay un problema de base: los profesionales que construyen o compran cosas no son conscientes de la seguridad, por lo que no alcanza con capacitar en ciberseguridad. Faltan normativas.
MATRIZ y empresas del Grupo ANCAP (Sector privado) - Daniel Perez
Menciona que la parte de seguridad industrial debería estar incluida en todo esto. Si bien la línea de acción iii del Objetivo 1 (“Implementar ejercicios conjuntos, a nivel nacional, que reproduzcan eventos mayores de desastres”) está mucho más aceitada a nivel de TI, donde hay más iniciativa de llevar a cabo esos ejercicios, en la parte industrial falta sensibilización. Es importante que haya normativas, así como hay obligaciones de hacer simulacros de incendios. Debe haber conciencia de los riesgos. Lo mismo para desarrollar planes de respuesta nacional. Aboga por que se marque esa diferencia entre TI y el sector industrial, que debería estar incluido.
Agesic (Institución pública) - Nicolás Correa
Cree prioritario identificar y establecer una línea de base de la situación actual de la ciberdefensa para poder medir los avances y determinar en qué aspectos hay que trabajar más.
Armada Nacional de Uruguay (Institución pública) - Pablo Santos
Se debe definir un glosario que establezca qué entendemos por los términos más importantes, para hablar todos el mismo idioma sobre ciberseguridad y ciberdefensa.
Armada Nacional de Uruguay (Institución pública) – Alejandro Vega
Propone que se necesita un paso previo a esto; definir un conjunto de capacidades mínimas que deben tener los organismos que se van a encargar de esta estrategia y del cumplimiento de estas líneas de acción.
Armada Nacional de Uruguay (Institución pública) - Pablo Santos
Plantea la necesidad de identificar qué capacidades se necesitan para responder a estas líneas de acción, qué organismos tiene la capacidad para responder y, si no existen, generar esas capacidades. Propone ver todos los antecedentes en ciberseguridad para no repetirlos. Hay que preguntarse: con qué medios contamos, cuáles son las amenazas, si tenemos estadísticas, y cuáles son los principales ciberataques que se han perpetuado en el país.
Menciona como vital la coordinación entre los organismos públicos, la academia y el sector privado. La mayoría de las infraestructuras críticas están en manos privadas por lo que tendría que haber parámetros de ciberseguridad con el sector privado y la academia, así como medidas de higiene sobre ciberseguridad.
Dice que ya se poseen las capacidades por lo que hay que bajar a tierra esas líneas de acción, determinando quién tiene la responsabilidad de hacerlo. Se deben tomar las líneas de acción y ver cuáles organismos tienen la capacidad para responder, qué es lo que deben hacer (tarea concreta), quién es el responsable y qué recursos se tienen para llevarla adelante. La normativa para legislar esto es otro punto que identifica como clave.
También menciona el papel fundamental de la academia en la concientización de la población. Las oportunidades de capacitación de los recursos deben estar explícitas en la estrategia y ser parte del documento.
Unidad de Ciberdefensa del Ejército (Institución pública) - Javier Soria
Menciona a la inteligencia artificial vinculada a las capacidades y la capacidad de respuesta ante amenazas (automatización de procesos). Aún falta mucho y en tema de capacidades defensivas y ofensivas este fenómeno es clave. Cree que lo estamos viendo de reojo y es algo que incide mucho en el tema de fortalecer las capacidades.
Agesic (Institución pública) - Víctor Blanco
Refiere que no hay que olvidar definir el alcance de los objetivos, así como sus limitantes. Esto lo tiene que hacer cada organismo para ayudar a mitigar cualquier incidente en ciberseguridad.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Las líneas de acción propuestas por la mesa, para complementar las actuales, son:
Identificar el estado actual de la ciberdefensa.
Desarrollo de un glosario de términos referidos a la ciberseguridad y ciberdefensa (se especificó que la ciberseguridad es parte de todo el ecosistema mientras que la ciberdefensa es más específica).
Una vez desarrollado lo anterior, abordar los lineamientos de acción del borrador:
IA como factor de desarrollo de capacidades e identificación de amenazas.
Incluir a la seguridad industrial y al personal operativo.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
La priorización acordada es la siguiente:
Lo primero es tener como punto de partida las definiciones de ciberdefensa y de función de capacidades de ciberdefensa. Se planteó que la pata de ciberdefensa se refiera, como lo establece la Ley 18.650, a la ciberdefensa militar. Se subrayó que todo parte de la ciberseguridad y que todos tenemos que cumplir en nuestros ámbitos, incluso en el ámbito personal, para hacer a toda la red segura.
Se debe identificar el estado actual planteado en las líneas de acción que están propuestas: quiénes hoy tienen capacidades, cuáles son las acciones, cuáles son los organismos que tienen capacidad, en qué consiste la respuesta. Cuando se habla de respuesta a incidentes hay un matiz a tener en cuenta: el agresor podría ser un Estado. En el mundo físico ya está resuelto, son las Fuerzas Armadas quienes se encargan de eso, por lo que se podría establecer que sea igual en el ámbito ciberespacial, ya que se trata de la protección del ciberespacio como ámbito de la soberanía del Estado.
Otro punto importante que vino a colación es el tema de la OT, que debe estar incluida en ejercicios y en simulacros.
Además, se identificaron como otros actores a incluir a los entes autónomos, especificando que debe haber un responsable en cada uno.
La normativa tiene que ser clara respecto a la definición de los incidentes de ciberdefensa para que el ente autónomo lo reconozca como un ataque, y pueda llamar por ejemplo al SINAE al cual hay que agregarle un área de ciberseguridad/ciberdefensa. El SINAE, que hoy en día no tiene un componente de atención y respuesta ante ciber-emergencias, deberá referirlo a quien corresponda.
El SINAE debe tener un rol en lo que es la determinación de una ciberemergencia, así como pasa frente a desastres naturales. Debe tener la capacidad de actuar, de reaccionar, de movilizar medios del Estado en respuesta a una ciber-emergencia.