Subgrupo 2
- Moderadora: Noelia Rodríguez, Agesic.
- Relatora: Marcelo Castillo, Sofía Lopes, ICD.
- Participaron 14 (catorce) personas de 11 (once) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
En general, a las personas participantes de la mesa les pareció correcta la ENC. Algunas tuvieron ciertas críticas o decidieron destacar algún aspecto en particular, como se detalla a continuación:
CEIBAL (Institución pública) - Patricia
Comenta que es importante la participación de Ceibal para conocer y aportar en las discusiones desde la ciudadanía digital, no solamente en el pilar de la mesa sino que en toda la ENC.
Holberton School Uruguay (Sector privado) - Javier Valenzani
Destaca la necesidad de establecer cómo se va a desarrollar la ENC para que sea efectiva, y que no sea un documento que no puede llevarse a la práctica.
Telefónica (Sector privado) - Daniela Serafín
Valora que la ENC es un documento conciso y simple de entender.
Teledata (Sector privado) - Alejando Pereyra
Encuentra confusa la diferencia entre las líneas de acción y los objetivos a lo largo de la ENC.
UCU (Academia) - Mauro Flores
No le queda claro cómo se complementan los diferentes pilares entre sí como un sistema integrado donde los ejes se cruzan transversalmente y refuerzan una visión general. Cree que se debe de definir de forma más explícita cuál es el motor detrás de la ENC. Además, le gustaría que haya mayor desarrollo sobre cómo se va a implementar la ENC.
OWASP (Sociedad civil) - Gerardo Canedo
Cree que para que la ENC se lleve adelante eficazmente, se necesitan personas talentosas capacitadas con hard skills. Sin estos hard skills, la ENC fallará por más recursos que se dediquen. Este argumento surge a raíz de diferentes temáticas que abarca la ENC, como informática forense o protección de infraestructuras críticas, que necesitarán de técnicos capacitados en estas áreas específicas para su correcta implementación.
Agesic (Institución pública) - Magdalena Seijo
Cree que se debería de dividir y clarificar el ecosistema de la ENC de acuerdo a los diferentes roles que se requieren para llevarla a cabo, así cada uno conoce sus responsabilidades.
Identifica la falta de involucramiento de la sociedad civil dentro de la ENC.
UCU (Academia) - Mauro Flores
Cuestiona si Uruguay cuenta con personas capacitadas en los diferentes roles de las diversas áreas de la ENC para llevarla adelante.
Propone que se incorpore una explicación sobre la importancia de la ciberseguridad como preocupación que sirva como justificación de la ENC.
Agesic (Institución pública) - Magdalena Seijo
Añade que esta explicación debe incluir datos objetivos y estadísticos, como algunos que mencionó Alejandro: un 6% de los profesionales en el área de tecnologías de la información caen en ciberataques y dentro de otros sectores el porcentaje es del 25-35%.
Agesic (Institución pública) - Fabiana Santellán
Como justificación de la ENC, agrega que se debe establecer el contexto actual de Uruguay, donde se mencione lo que ya hay en materia de ciberseguridad.
OWASP (Sociedad civil) - Gerardo Canedo; Teledata (Sector privado) - Alejando Pereyra; Yamandú Magallanes
No creen que la ENC se encuentre escrita de una forma que sea comprensible a todos los públicos, sino que solo a personas que conocen de tecnologías de la información. Por lo tanto, es necesario tener diferentes tipos de comunicación de la ENC dependiendo del público objetivo y un glosario que elimine posibles variaciones y matices terminológicos.
Teledata (Sector privado) - Alejando Pereyra
Agrega que se debe definir el alcance del público de la ENC, donde se determine a qué públicos llegará el documento y cómo lo recibirán.
Agesic (Institución pública) - Magdalena Seijo
En base a esta visión, defiende que la ENC es un documento para que actores como instituciones públicas e instituciones privadas lo tomen como marco de referencia sobre ciberseguridad, sin la intención de que sea para un público general. Ella encuentra esto correcto, pero cree que se debe de explicitar.
La mayoría de los participantes de la mesa mencionaron la necesidad de un glosario para aclarar, homogeneizar y no dejar cuestiones aisladas.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
CEIBAL (Institución pública) - Patricia
Comparte que desde Ceibal se promueve la mirada crítica en cuanto al uso de tecnología y el desarrollo de habilidades para la navegación responsable y segura. En Ceibal se encuentran desafíos en cuanto a la formación docente, lo que se propone a nivel de educación y la tecnología disponible para acompañar este desarrollo. Es crucial que Ceibal acompañe principalmente en el pilar de Cultura, especialmente alineándolo con la estrategia de soberanía digital de Ceibal.
Holberton School Uruguay (Sector privado) - Javier Valenzani
Cree importante trabajar en la educación sobre ciberseguridad desde la infancia para impulsar la importancia del tema. El enfoque en los niños es fundamental considerando el amplio acceso que tienen al ciberespacio. Tienen que contar con la conciencia sobre cómo cuidarse. Además, los niños pueden movilizar esta información, funcionando como agentes de comunicación con otras personas como sus padres.
También pide más capacitación específica y profunda, ya que tener personas capacitadas y con experiencia en ciberseguridad es importante.
Telefónica (Sector privado) - Daniela Serafín
Percibe la educación como el área principal de la ENC. Le gustaría profundizar en la concientización, y hace especial énfasis en la importancia de que llegue al interior del país, no solo a Montevideo.
UCU (Academia) - Mauro Flores
Ve que el pilar de Cultura está muy focalizado en el sistema educativo, pero hay muchas personas que no acceden debido a que ya pasaron por la etapa educativa. Éstas también deben formar parte del público objetivo del pilar. Por lo tanto, le parece que se debe considerar cómo incorporar a este público, lo cual actualmente no se encuentra detallado.
OWASP (Sociedad civil) - Gerardo Canedo
Percibe la generación de capacidades en hard skills un aspecto crucial dentro del pilar de Cultura. En particular destaca la identificación de talento, donde se necesita identificar y dar un espacio a las personas apasionadas por las diferentes áreas de la ciberseguridad para que puedan contribuir al correcto desarrollo de la ENC. Enfatiza que no se debe limitar la identificación de talento a personas con educación formal, sino que se deben captar talentos en ciberseguridad según su conocimiento, sin importar su tipo de educación.
UTU (Academia) - Mario Montesdeoca
Encuentra necesario que se forme una cultura y sistema de información sobre ciberseguridad. Comenta que en UTU se comenzó a formar tecnólogos de ciberseguridad en 2023 y en la actualización de la currícula hubo avances en lo digital, pero no necesariamente con un enfoque de ciberseguridad, por lo que hay que aprovechar la oportunidad que presenta la ENC. Hace falta mayor detalle en la currícula estudiantil sobre las habilidades específicas para formar ciudadanos capacitados en términos de ciberseguridad. A la vez, se debe de actualizar a los docentes, que no tuvieron formación en ciberseguridad. En cuanto a la educación terciaria en el área de tecnologías de la información, comenta que los planes de estudio están comenzando a incorporar la ciberseguridad como tema. Se puede percibir entonces cómo en diferentes tipos de educación formal la ciberseguridad está apareciendo como área de interés; esto demuestra que ya hay indicios de generar una cultura de ciberseguridad, por lo que no se está comenzando desde cero. Relacionado a otros públicos por fuera del sistema educativo, propone crear grupos de educación en ciberseguridad para padres dentro de las escuelas como una iniciativa para concientizar a parte de esa población que ya pasó por el sistema educativo. Finalmente, cree importante ver la experiencia de otros países en formar una cultura de ciberseguridad en el ámbito educativo.
Agesic (Institución pública) - Andrés Pastorini
Sostiene que estaría bueno que, para llegar a más personas, el pilar abarque más allá de las instituciones educativas y culturales. Haciendo referencia a la educación terciaria vinculada a las tecnologías de la información, afirma que debe integrarse la ciberseguridad a los planes de estudio.
Teledata (Sector privado) - Alejando Pereyra
Enfatiza que se debe priorizar concientizar a los senadores y diputados, ya que son los que llevarán adelante el documento final de la ENC y están familiarizados con la ciberseguridad.
MEC (Institución pública) - Leonardo Latorre
En cuanto a lo que pretende sobre educación el pilar de Cultura, lo ve muy amplio para que lo abarque todo el MEC, que, según él, no tiene el poder o la capacidad coercitiva para poner este tipo de planes en marcha. Menciona a la ANII y al CFE como actores que deben participar en el pilar. Además, considera que respecto al alcance, debe haber una distinción entre dos públicos: por un lado, aquellos que ya perciben la necesidad de la ciberdefensa debido a que viven de cerca los problemas vinculados al ciberespacio, como las empresas; por otro lado, aquellos que no son conscientes del riesgo del ciberespacio. Al definirse los públicos del pilar también se deben de considerar los dispositivos móviles como un enfoque de público, ya que desde el MEC ya tuvieron la experiencia de desarrollar un sistema de gestión con herramientas para PC, pero resultó que el público utilizaba dispositivos móviles y no PCs.
Agesic (Institución pública) - Fabiana Santellán
Aporta que en el mundo de la ciberseguridad, el comportamiento de las personas de cara a la ciberseguridad es un tema importante, por lo que no se puede pretender tener una ENC que no abarque la cultura. Entiende que la Estrategia de Ciudadanía Digital tiene puntos de contacto con la ENC, pero no abarca el tema de la ciberseguridad en toda su grandeza. La cultura no es un mundo exclusivamente técnico como otras áreas; la cultura se entiende como las acciones tomadas basadas en valores, preconceptos, percepción del riesgo entre otros factores a trabajar. Implica diferentes dimensiones y niveles de abordaje que dependen de la etapa de vida, el sector, el ámbito de educación, entre otros. Se entiende que no todas las personas pasarán nuevamente por el sistema educativo para aprender sobre ciberseguridad, por lo que se debe de inculcar esta cultura mediante campañas de concientización. Propone que se establezca una unidad o un equipo al que la población pueda llamar cuando tenga algún problema o duda relacionado a la ciberseguridad, y piensa que este equipo podría posiblemente liderar las campañas de concientización.
También explica que la violencia en línea es importante en la ENC, ya que varios índices internacionales de la fortaleza de la ciberseguridad de un país toman como indicador la manera de abordar de manera institucional la violencia en línea en el país.
Por otro lado, defiende que las maestras y los maestros necesitan de una educación profunda sobre el tema antes de pasar los conocimientos a los niños. Comparte que el nuevo plan educativo contempla la ciudadanía digital, pero no puede transmitirse a los niños correctamente porque los docentes no están calificados.
UTU (Academia) - Mario Montesdeoca
Dice que él participó cuando se hicieron los programas de formación de docente nuevos y la ciberseguridad no era un tema de importancia, cuando a raíz de la ENC podría —y debería— serlo.
Agesic (Institución pública) - Magdalena Seijo
Cree que los docentes ya cuentan con la formación necesaria, lo único que les hace falta son las herramientas y materiales detallados que puedan revisar antes de llevarlos al aula para que también los niños aprendan.
Propone diferentes temas que deben incorporarse a la educación de ciberseguridad: privacidad, huella digital e inteligencia artificial.
Teledata (Sector privado) - Alejando Pereyra
Comenta que, en varias ocasiones, los niños saben más que sus padres en cuanto a tecnologías de la información, por lo que son ellos quienes educan a sus padres en materia de ciberseguridad en muchos casos.
OEA (Institución pública). Organización de los Estados Americanos. Alexander Crowther
Está parcialmente de acuerdo con esto, en el sentido que los nativos digitales conocen mucho de manipulación, pero no entienden de ciberhigiene. Pone el ejemplo del programa de educación y concientización Salto de Tigre en Estonia como un caso de éxito que resultó en altos niveles de ciberhigiene en toda la población. Por lo tanto, comenzar por la educación universal es clave para obtener resultados a largo plazo. De esta forma, se podrá llegar a un estado donde todos los uruguayos practican ciberhigiene y son capaces de prevenir problemas. No se pueden prevenir los ataques, por lo que hay que prepararse y educarse para ello.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Hubo un debate sobre si la cultura y el ecosistema deberían de encontrarse en el mismo pilar o ser pilares diferentes, donde por un lado hay un pilar de Cultura y por otro lado un pilar de Ecosistema. El argumento a favor de dejar Cultura y Ecosistema como pilar unido fue que los actores del ecosistema, como la industria y la educación, determinan y aportan a la cultura; dejar Cultura solo en temas de educación y concientización le quita valor a la necesidad de hard skills y capacitación en áreas como la industria. El argumento a favor de dejar Cultura y Ecosistema en pilares separados fue que se tratan actores y acuerdos distintos, además de que a algunos les dificulta encontrarle integridad al pilar.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se propusieron una serie de acciones a implementar en el pilar “Cultura y Ecosistema”:
Implementar conductas higiénicas en ciberseguridad; definir qué es lo correcto y qué conductas son problemáticas.
Generar interés y participación activa de la población en el tema de ciberseguridad.
Adaptar la bajada educativa para que sea accesible a diferentes actores.
Hacer alianzas internacionales para capacitación y experiencias en el uso de equipos forenses.
Enfatizar en campañas de concientización y asignar cometidos a la institucionalidad creada para velar por el cumplimiento.
Cambiar la estrategia de comunicación, mostrando de forma activa cómo se realizan ataques cibernéticos.
Identificar en qué áreas Uruguay es fuerte y buscar colaboración en las áreas donde no lo es.
Dividir el monitoreo por especialidades y fomentar la cooperación entre IT y OT.
Definir grupos específicos para campañas de ciberseguridad, utilizando diferentes canales de comunicación.
Apoyar a los docentes en su formación en ciberseguridad y generar espacios de formación paralelos a la formación docente.
Incentivar la colaboración con la industria si no se logra desde el sistema político.
Involucrar al sector privado e internacional para implementar la estrategia, considerando las limitaciones de recursos especializados.
También se marcó como ejemplo específico que puede pensarse de manera más general la necesidad de definir un protocolo de captura de evidencia procesal y generar capacidades, invirtiendo en la capacitación de las personas. Para ello se propone crear un laboratorio forense, pero se requiere gente competente para operarlo e inversión de dinero.
Además, varios participantes de la mesa mencionaron la percepción del riesgo como un indicador necesario al fomentar una cultura de ciberseguridad en diversos actores. Se entiende que percibir los ciberataques como una amenaza es un gran disparador para que se tomen medidas en todas las verticales de respuesta y prevención. En particular se destaca la percepción del riesgo del sector privado.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Las acciones identificadas como prioritarias – o al menos las más fundamentales - son:
Coordinar esfuerzos con AGESIC y otros organismos relevantes para fortalecer el ecosistema de ciberseguridad.
Abordar la cultura en tres niveles: general, educativa formal y especializada.
Incentivar la formación de los docentes en ciberseguridad y crear programas de apoyo y capacitación continua.
Fomentar campañas de concientización y definir marcos conceptuales para cada segmento de la población. Transmitir la percepción del riesgo al resto de la población para que el tema sea de seguridad pública general.
Definir habilidades mínimas y conocimientos necesarios para cada grupo de población y sectores estratégicos.
Incluir asesores en tecnología para los tomadores de decisiones que no entienden el tema.
Crear un sistema de alertas para comunicar riesgos y amenazas de manera efectiva.
Cambiar el nombre del CSIRT para hacerlo más amigable y accesible.
Acordar ayuda privada e internacional, y generar una economía de escala con la región. Paralelamente, se planteó la colaboración con organismos internacionales y actores privados para implementar la estrategia de manera efectiva.
Como actores, se mencionó al sector público, al sector privado, al ANII y al CFE.