Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Aportes Estratégicos, priorización e identificación de actores para el pilar de la mesa 

En este subgrupo, las tres partes de la ronda se desarrollaron en conjunto.  

Agesic (Institución pública) - Pablo Pajon 

Comenta que las líneas estratégicas son trabajar en la prevención, así como en auditorias integrando a otros organismos que trabajan en ciberseguridad. Es necesaria la prevención para lo cual es importante conocer cuáles son las brechas que tienen los organismos y el país. 

MI (Institución pública) - Javier Jaureguiberry 

Valida los objetivos de la estrategia. Identifica dos líneas de acción adicionales: la necesidad de legislar sobre el rol claro que tiene el Ministerio de Defensa en un ciberataque y la importancia de generar un órgano de gestión independiente. A la legislación le falta profundizar las potestades del Ministerio de Defensa porque no queda claro cuál es su responsabilidad y su alcance en la actuación frente a un ciberataque. 

ANCAP (Institución pública) - Osvaldo Barrios 

Subraya que en las líneas de acción es necesario hacer la integración de los distintos documentos respecto a lo que entendemos como infraestructuras críticas, en especial lo que se está haciendo en la Secretaría de Inteligencia.  

Es necesario recopilar la información para no volver a pasar por los mismos problemas y situaciones que ya se han tenido.  

Es importante acordar lo que entendemos por ciberdefensa y ciberseguridad.  

Es importante tener claro cuáles son las infraestructuras críticas, armando un listado, así como los criterios para identificar un ataque a una infraestructura técnica y su grado de gravedad (sea por cantidad de personas afectadas o por afectación en el producto bruto interno). También se debe decidir qué grado de información se comparte en el caso de un ataque. Finalmente, hay que definir qué grado de involucramiento tiene el Ministerio de Defensa cuando se afectan las infraestructuras críticas.  

UDELAR (Academia) - Alejandro Blanco 

Afirma que hay que definir lo que se entiende por Infraestructura crítica y definir el ámbito (especificar si es solo de información o si también se incluyen activos físicos). También tiene que existir un órgano que articule y dé los lineamientos políticos, y una continuidad al trabajo ya que la experiencia ha demostrado que es necesario que pase por revisiones. Ese órgano debe tener un mecanismo definido para ejercer control y hacer efectivas las propuestas. Sería importante ver que es lo que ya hay hecho. Por ejemplo, ya existe una normativa según la cual todos los organismos deben tener un responsable de seguridad, pero no se cumple en su totalidad. Por más modelos, marcos regulatorios y estándares que se definan, si no tenemos un mecanismo que pueda medir el grado de cumplimiento y lograr hacerlo cumplir, no será efectivo.  

También hay que definir la ciberseguridad y la ciberdefensa, que tienen áreas de contacto, y evaluar el alcance de las responsabilidades. El tercer eje es la parte de formación. Sin gente preparada en estos temas, es muy difícil llevar adelante una estrategia y controlarla. 

BPS (Institución pública) - Luis Repetto 

Destaca que es muy relevante que el Ministerio de Defensa esté en esta reunión. 

También resalta que los laboratorios farmacéuticos deberían formar parte de la infraestructura crítica. 

Respecto a la responsabilidad, es como en cualquier empresa. El directorio establece las políticas, la gerencia los planes estratégicos y la auditoría interna mira lo que se ha hecho.  

SIEE (Institución pública) - Jorge Alliaume 

Concuerda con que es necesario identificar la infraestructura crítica, y agrega que se debe concientizar a nivel político del riesgo cibernético y a los responsables de las infraestructuras críticas. Hay otros actores que faltan en esta instancia, como OSE y ciertos actores del ámbito privado.  

Hay que trabajar en la parte técnica, pero es necesario también hacer ejercicios de simulacros frente a ataques cibernéticos. 

UTE (Institución pública) - Evelyn Antón 

Para lograr el cumplimiento del marco de ciberseguridad se debe tener un grado de madurez donde cada uno debe cumplir las normativas, y debe haber un control para que se cumplan. Hay que obligar a nivel normativo a mejorar. Por último, hay que educar a toda la población en ciberseguridad, por ejemplo, a todos los usuarios del Plan Ceibal.  

Agesic (Institución pública) - Joaquín Cabrera 

Respecto al tema de infraestructura critica, se debe analizar cuáles son los disparadores para que se separe el ámbito civil del militar. En ciberseguridad se abren muchas ramas, por lo que se debe determinar quién tiene que intervenir y en qué casos.  

ESMADE (Institución pública) - Claudio López 

Hay que publicar inmediatamente el estudio de infraestructuras críticas que ya se ha hecho. En cuanto a definir cuando un evento es ciberseguridad o ciberdefensa, hay que tener en cuenta que cuando es un evento que se repite, ahí entra al ámbito de defensa nacional. El criterio del impacto en el producto bruto interno puede ser engañoso en algunos casos, por lo que es importante evaluar el impacto nación más allá del monetario. Sería necesario contar con un Comité de emergencia en ciberseguridad, que se convoque ante cualquier incidente para definir si es un evento de defensa nacional. 

DNSFFAA (Institución pública) - Enzo Barreto 

Hace énfasis en que se necesita un marco legal o un punto de dónde partir. Es importante tomar lo que ya está hecho y empezar a trabajar desde eso. Es necesario contar con un glosario y definir conceptos como las infraestructuras críticas. Se debe continuar con la articulación entre los organismos, crear un grupo que entienda del tema y que corra la información.