Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Ronda 1. Intercambio sobre el borrador 

Parte A. Aportes generales sobre la propuesta borrador

Las Partes A y B se desarrollaron en conjunto. En general los participantes estuvieron de acuerdo con los objetivos planteados, pero agregaron ciertas consideraciones respecto a las líneas de acción: 

DGI (Institución pública) - Carlos Vidal 

Elogió la iniciativa, pero resaltó que la estrategia requiere fondos, lo cual no es mencionado en ninguna parte del documento. Es complicado poner en balance la seguridad o la seguridad de datos, el almacenamiento o equipo de seguridad, y en el documento el punto más débil es que no se habla. 

Subraya que se debe tramar conciencia, trabajar mucho en los usuarios finales que son el punto más débil, y después trabajar en la infraestructura.  

Plantea que mucho de lo que se incorpora en la estrategia corresponde a un gasto y no a una inversión (hablando de ejecución presupuestal) y eso podría jugar en contra.  

BCU (Institución pública) - María Isabel Maroñas 

Comenta que el tema de la financiación ha sido un denominador común en todas las mesas. Otro tema reiterado ha sido la necesidad de coordinación y de darle una forma concreta a esa coordinación entre esfuerzos en distintos sectores (público, privado, academia). Menciona que se consideró desagregar la cooperación en distintas capas (estratégica, operativa). Además, como se ha repetido a lo largo de las jornadas, piensa que el pilar de cultura fue transversal y debe atravesar a todos los demás. Hay que trabajar en eso, poner el foco en distintos públicos, sensibilizar a toda la población, así como a los decisores que no necesariamente están capacitados. Si no se logra llegar a ellos, no habrá recursos. Enfatiza que si bien la capacitación de los usuarios es importante, los incidentes muchas veces tienen como protagonistas centrales a personas que son de ciberseguridad (cisadmin). Por lo tanto, hay que trabajar en la capacitación de gente que está directamente vinculada en la protección de la información y en la ciberseguridad.  

ASSE (Institución pública) - Gerardo Otero 

Coincide con que la iniciativa de llevar adelante una estrategia como esta es muy importante, y destaca que es muy importante que sea tangible para los decisores. Sostiene que el punto difícil es el tema del usuario final, que es una vulnerabilidad y no es realista pensar que se podrá llegar a todos los sectores y a todas las personas. Por lo tanto, se deben poner barreras y tomar medidas para que los usuarios finales representen un riesgo contenido. 

ASSE (Institución pública) - Adriana Peluffo 

Toma el ejemplo de Europa, donde se multa a las empresas privadas cuando no tienen los análisis correspondientes necesarios a la hora de poner un software en funcionamiento. Ya existe una ley aprobada, por lo que si las empresas no cumplen con los requisitos de análisis de riesgo y de impacto, el gobierno debería multarlas y las multas recaudadas deberían ser invertidas en ciberseguridad.  

Además, sostiene que el gobierno debe hablar con las gerencias para darle importancia a la ciberseguridad, ya que es un área que no puede estar sin recursos humanos y económicos. 

Respecto a la educación, afirma que deberían existir carreras en ciberseguridad para reforzar las capacidades. Mientras que en otros países como Argentina hay licenciaturas en ciberseguridad, en Uruguay no existen. También se podría dar oportunidades de pasantías en organismos a los estudiantes, ya que pueden representar un recurso.  

QoxIT (Sector privado) - Pablo Alzuri 

Manifiesta que es pesimista respecto al objetivo de ciberseguridad como gestión. Duda de si es factible, si hay incentivo real. Sostiene que ante todo, se debe educar a la ciudadanía para que exija la ciberseguridad. Ya existe una ley, lo que demuestra que esto no alcanza en términos de exigencia. El punto más importante es concientizar: no solo enseñarles a las personas a no caer en phishing, sino concientizarlas de que los datos les pertenecen, no son de las empresas, y éstas tienen el deber de cuidarlos. Eso es lo que debe exigir la población. Hoy en día, nadie se cambia de sociedad porque no le cuidan los datos, y por esa razón no hay financiamiento.  

Es importante, en este sentido, que haya capacitación docente: educar a los educadores es vital para lograr que la ciudadanía exija. No se va a lograr este cambio a través de sanciones. Si en Europa la multa funciona, señala que es porque hay un nivel de conciencia mayor.  

CGN (Institución pública) - Guillermo Freire 

Concuerda con que el tema de los recursos es importancias. Es imposible exigir que las pequeñas empresas implementen. En lugar de multar, se debería fomentar, dar beneficios para motivar a las empresas pequeñas a tener cumplimiento. 

A nivel de la legislación también es complicado, ya que se desconoce, y más en las pequeñas empresas. Incluso en los organismos públicos que tienen abogados se desconoce la legislación en la materia. Por lo tanto se debería simplificar la legislación, divulgarla de otra manera, y fomentar la creación de guías que faciliten su entendimiento y adherencia. 

También subraya que el tema de riesgos es uno de los pilares, pero no se sabe gestionar los riesgos a pesar de que AGESIC definió una metodología basada en la NIST. Sin embargo, sostiene que no termina de bajarse a tierra y no es fácil de aplicar.  

Además, cuando se habla de ciberseguridad se le asigna responsabilidad a las personas técnicas, y el resto de las personas del organismo se lavan las manos. Hay que concientizar de que todos tienen cierto rol que cumplir en la protección de la información y deben asumirlo.  

Se deben simplificar los mecanismos y procedimientos: por ejemplo, hoy hay tantos sistemas de autentificación de usuario y cambio de clave que termina siendo contraproducente.  

ASSE (Institución pública) - Stella Rossi 

Recuerda que las leyes existen: con la promulgación de la Ley 18.331, Uruguay fue pionero. Desde el punto de vista legal, el tema está afianzado. Respecto a la facilitación de la comprensión legal no pasa por la creación de manuelas ni por facilitar el lenguaje, sino que debe haber un comité interdisciplinario. No alcanza con que el técnico aplique un manual, sino que el abogado debe estar a su lado.  

Por otro lado, señala que AGESIC no es una reguladora independiente como debería ser, sino que a diferencia de los órganos que aplican sanciones en Europa, depende del Poder Ejecutivo. En Europa las empresas invierten porque es más cara la multa que puede aplicar la agencia. En Uruguay, por lo contrario, se cae en la inoperancia porque no hay poder coercitivo.  

Estima que los técnicos deben saber transmitir, y no esperar que el usuario final entienda los aspectos técnicos y específicos de la ciberseguridad.  

ANII (Institución pública) - Fabio Bonanno 

Reitera la importancia de los fondos y del desarrollo de la educación formal como la informal. Subraya la necesidad de incentivar: la seguridad tiene que ser un todo y hay muchas empresas que no tienen las capacidades necesarias. Por lo tanto, el Estado tiene que fomentar herramientas de apoyo, sobre todo para las pymes.  

Datasec (Sector privado) - Carlos Serra. 

Concuerda con que el tema de recursos es esencial y agrega que esto es una consecuencia, no una causa. Considera que la Estrategia debería obligar, tener sanciones, porque de lo contrario no va a avanzar. Sostiene que el concepto de ciberseguridad es relativamente nuevo, y hay que gestionar un cambio. El problema es, ante todo, cultural.  

En el sector público, aún falta. Por ejemplo, a veces ocurren incidentes y no tienen consecuencias. Según la propuesta, AGESIC va a auditar y tener función de percibimiento. Si esto toma estado público es distinto. Se debe empezar por la conciencia de la consecuencia de que los datos sean filtrados, y generar preocupación por la responsabilidad de los datos, que tienen un valor como otras cosas.  

La segunda línea de defensa es jerarquizar al CISO, lo que existe a nivel financiero. Podría crearse, a estos efectos, una superintendencia. Si se jerarquizan los roles y hay consecuencias deberían aparecer recursos. 

Señala que actualmente, en muchos organismos se encuentran agujeros pero éstos quedan en un informe y no tienen consecuencia. Al año siguiente se hacen las mismas observaciones. Hay que definir motores. 

Respecto al sector privado, no hay poder coercitivo. Señala que un 14% de las empresas privadas no tiene antivirus. Propone exigir certificaciones a las empresas en los pliegos de compras para armar una cadena de cumplimiento.  

El problema, sostiene, no se arregla solamente mediante la capacitación (si bien también es necesaria). Faltan los incentivos, sean positivos o negativos.  

CGN (Institución pública) - Guillermo Freire 

Concuerda con la importancia de los recursos, y añade que hay heterogeneidad en todo el ecosistema. Recalca que se deben definir los métodos para compartir y comunicar información. Comenta que desde la CGN se hicieron varios esfuerzos con AGESIC para cooperar e intercambiar información de ciberseguridad con organismos públicos antes de que AGESIC se centralizara. Subraya las dificultades asociadas a este tipo de esfuerzos: hay disparidad en los organismos públicos. Desde el punto de vista técnico, hay mucho por trabajar. Hay que darles la misma cantidad de recursos a todos para equiparar, desde un lugar central. La construcción de un ecosistema no será posible, subraya, sin recursos económicos y humanos.   

IM (Institución pública) - Luis Garcimartín 

Concuerda con que la normativa no tiene efecto sin penalización, y que las regulaciones son fundamentales. Piensa que podría implementarse una multa. Comenta que en la IM crearon un comité de seguridad, y regularmente se hace un informe que contiene los problemas grandes y es enviado a la dirección. Subraya que es fundamental porque es una forma de transferir el riesgo.  

Manifiesta que también hay una falta grande de responsables de ciberseguridad, a nivel público y privado. Se suele mandar a las personas que trabajan en TI como responsables, pero no tienen tiempo para la ciberseguridad. Debería haber un referente contratado específicamente, que pase lista de lo que se debe hacer a las empresas que manejan datos de ciudadanos, y que por lo tanto tienen que protegerlos. Por ahí se les debería exigir que tengan un responsable de ciberseguridad. 

BID (Institución pública) - Ariel Nowersztern  

Ya que surgió muy destacadamente el tema de recursos, señala que AGESIC invierte hace años millones de dólares por año en tema de ciberseguridad, y está previsto que esto siga en los años que viene. Hay programas multianuales, hay recursos y muchos van al ecosistema: se estableció un laboratorio, se otorgaron becas, se creó un marco de ciberseguridad para que las empresas y las instituciones lo utilicen, se generó un currículo de ciberseguridad para entrenar profesionales. 

Plantea un interrogante: ¿si una empresa del sector privado no quiere ciberseguridad, hasta dónde interviene el gobierno? El Estado puede proporcionar información y conocimiento, facilitar la disponibilidad de profesionales y de proveedores de ciberseguridad, tener un estándar accesible y herramientas de autoevaluación, pero si la empresa no es crítica y su falla causa más daño a ella misma, no hay necesidad de imponer regulaciones.  

Subraya que se está invirtiendo en ecosistema pero hay que hacerlo de manera específica, con un plan, mostrando los beneficios. La ENC es esencial para generar una hoja de ruta y una base para priorizar las inversiones. El tema es más cómo utilizar y cómo asignar los recursos existentes.   

Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa 

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa  

Los objetivos fueron generalmente validados.  

Se señaló que lo más importante es que la seguridad sea una responsabilidad proactiva a nivel estratégico, que abarque todo.  

También se recomendó definir qué es el ecosistema que pretendemos atender. Se sugirió que se trataba de los profesionales – las personas, los equipos – dedicados a la ciberseguridad. Se enfatizó la visión de que Uruguay cuente con un ecosistema vibrante, al frente del conocimiento, que atienda las necesidades del país. Los objetivos serían mantener o impulsar elementos del ecosistema para lograr esa visión. Actualmente faltan profesionales de ciberseguridad: hay que tener líneas de trabajo para generar más profesionales. También se debe fortalecer la interconectividad en el ecosistema, tanto mediante canales formales como mediante “hubs de conocimiento” más informales. Un ecosistema fuerte es un elemento clave para que el país logre altas capacidades en ciberseguridad. Es una de las patas de la mesa y hay que incluirlo.  

Además, se planteó que en el objetivo “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”, el fortalecimiento contemplado no debe ser solamente técnico: los equipos en las empresas públicas también deben ser fortalecidos en el sentido que su opinión debe contar en la toma de decisiones de la empresa.  

Se planteó que la segunda línea de acción de este objetivo, “Generar y establecer una serie de ejercicios anuales específicos para los equipos,” es demasiado específica. Efectivamente se deben generar mecanismos para revalidad y certificar, pero eso ya es bajar un escalón. Hay que poner plazos realistas, medidas realistas y no perder de vista que hay un cambio cultural de por medio que hay que lograr. 

Se propuso agregar como objetivo la necesidad de identificar sectores especialmente sensibles para empezar (por ejemplo, la salud) y enmarcarlos dentro del pilar de ecosistema. Se debe establecer una distinción para aquellos sectores que distorsionan al país si caen. Estos sectores no necesariamente coinciden con las infraestructuras críticas (por ejemplo, pueden incluir a las pymes, que son vulnerables por la cantidad de personas que pueden verse afectadas).   

Respecto al objetivo relativo a la firma e identificación digital, se afirmó que se debe seguir ampliando y se deben generar mecanismos de reconocimiento a nivel internacional. Es importante que sea reconocido en otros países para generar confianza.  

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

A lo largo de la discusión se hizo hincapié en algunas cuestiones específicas.  

Se hizo especial referencia al objetivo “Posicionar la industria de ciberseguridad nacional.” Respecto a su línea de acción i, “Incentivar la industria nacional de ciberseguridad”, se discutió cómo pedir niveles de seguridad, y se sostuvo que el esfuerzo también debe venir del lado de la empresa. Por lo tanto, es necesario incentivar no solamente al sector público, sino también al privado: se debe generar un esfuerzo de control para las empresas que brindan servicios. Se propuso crear un listado de empresas que cumplan los requisitos o estándares mínimos, que vaya más allá del carrito de compras del Estado.  

Además, se señaló que hoy existen incentivos para las pymes, pero no hay incentivos específicamente para empresas de ciberseguridad. Se hizo una distinción entre las empresas de ciberseguridad y las empresas que tienen datos de los ciudadanos, y se debatió acerca de la necesidad de agregar un objetivo respecto a los mecanismos de reconocimiento.   

Respecto a la segunda línea de acción, “Promover los mecanismos y ámbitos para la participación academia-público-privada”, se plantearon las dificultades asociadas a la ley de ciberdelito que se está por aprobar, que no contiene mecanismos de aceptación para las herramientas de hacking ético. Se expresó temor a que se frene la investigación y el desarrollo por temor a ser penalizado, y se pidió homologarlo y generar una salvaguarda para la seguridad ofensiva, asimilada al “porte de arma”. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados   

Se manifestó que, como no se puede atacar todo al mismo tiempo, se debería empezar identificando a los sectores prioritarios para priorizar los esfuerzos. También se subrayó la importancia de seguir generando estas instancias que faciliten los intercambios.  

Se recalcó que para lograr los objetivos se necesitan recursos, y que hay que establecer responsabilidades claras. También es muy importante pensar en cómo incentivar la industria nacional de ciberseguridad.   

Se debe establecer un plan de acción claro y ejecutable.