Subgrupo 2
- Moderadora: Clara Michelini, Agesic.
- Relatora: Marcelo Castillo, ICD.
- Participaron 14 (catorce) personas de 12 (doce) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Las Partes A y B se desarrollaron en conjunto.
CERTuy (Institución pública) – Natalí Paggiola
Subraya que es importante incluir a la cultura como ecosistema con un enfoque en la ciudadanía. Entiende que debe haber una estructura organizativa. Observa en general información mezclada, por ejemplo, hay línea de acción de formación en ciberdelitos, en vez que esté en este pilar. Por ejemplo, hay una línea de acción de formación en ciberdelitos, en vez de que esté en este pilar. Debería haber un presupuesto adecuado para que la ENC sea duradera.
Galileo Latam (Sector privado) - Mauro Flores
Comenta que le cuesta ver en el documento la interacción en el ecosistema, no ve cómo cada uno de los pilares aportan para generar un círculo virtuoso. También sostiene que el componente técnico debería ser más alto: no tenemos profesionales técnicos con capacidades para el desarrollo de aplicaciones y para la validación de seguridades. Es algo que se tiene enfocar de manera importante.
Señala que a veces cuando se convoca a los políticos envían a los secretarios, lo que demuestra que no se tiene un interlocutor idóneo. De la misma forma que tienen asesores especializados en otros temas, deberían tenerlos en ciberseguridad.
BPS (Institución pública) - Álvaro Arias
Coincide con que se nota la falta de mano de obra de nivel técnico. Faltan buenos arquitectos de seguridad y faltan buenos gestores en ciberseguridad. Afirma que se debe apostar por ese lado. Respecto al pilar “Ecosistema y cultura”, está flaco el fomento de la cultura de los tomadores de decisión que son quienes aprueban los presupuestos.
Pero no se trata solo de presupuesto, sino también de visión estratégica. La ENC no debería depender de una mirada de corto plazo de un período de gobierno.
Ministerio del Interior (Institución pública) - Javier Jaureguiberry
Señala que hay una pata que falta que es la de “Gobernanza del Ecosistema y Marco jurídico”. Debería haber una estructura formal y organizada que lidere para que no sean acciones puntuales. Coincide con lo que se decía de impulsar los recursos humanos capacitados y tener una buena oferta educativa.
UTE (Institución pública) - Alejandro Álvarez
Duda de cómo serían los flujos de trabajo entre organismos. Comenta que ya hubo un intento de armar mesas de trabajo con otras empresas públicas y no se logró por cuestiones de confidencialidad. Manifiesta su acuerdo con la idea de concientización de las jerarquías en temas de ciberseguridad. El año pasado se planteó un SOC cooperativo, pero no terminó saliendo. No se tiene idea del impacto que pueden tener estos temas.
EY Uruguay (Sector privado) - José Luis Vera
Concuerda con que los temas mencionados son los más considerables. Su principal preocupación tiene que ver con la separación entre lo técnico y lo político. Se está planteando una estrategia a 6 años con objetivos y necesidad de monitoreo, pero hay muchos elementos que dependen del sistema político - y se viene un nuevo gobierno. Dentro de estos objetivos no se incluye un presupuesto como para medir el desempeño de las verticales. Es algo a incorporar de alguna forma.
URSEC (Institución pública) - Fernando Hernández
Responde que todo se dispara una vez que haya un marco normativo fuerte que refleje el ecosistema, una vez que todos los organismos sepan qué rol van a tener y qué papel van a jugar.
SECIU – UDELAR (Academia) - Javier Valena
Concuerda con que se requiere mayor interacción entre los distintos sectores del ecosistema, y con que es importante que se resalte lo presupuestal. Comenta que en el ámbito de la Universidad cuentan con la aprobación para formar un CSIRT académico, pero está demorando mucho por falta de recursos y falta de conciencia de las autoridades para que se pueda dar.
Agesic (Institución pública) - Maite Rodríguez
Manifiesta que de forma general está de acuerdo con los objetivos y los lineamientos planteados. Señala que hay objetivos en otros pilares que son transversales: gobernanza, normativa – tocan en todo y capaz que por eso no lo dice en este específico.
Indica que falta concientización de los cargos que toman las decisiones.
Agesic (Institución pública) - Mateo Cabrera
Está de acuerdo en líneas generales con los lineamientos de arriba, y con que la ENC debe ser una política de Estado y no de un gobierno u otro. Resalta la importancia de mejorar las compras y las licitaciones y trabajar con el sector privado para enfrentar el problema de raíz.
ANII (Institución pública) - Mauricio Rinaldi
Muestra su preocupación por los recursos humanos y la preparación, y sostiene que se debe tener claro el flujo entre los actores. Además, subraya que hay distintas organizaciones que tienen distintos grados de madurez en este tema, por lo que Agesic debería asistir a las menos maduras. ANII tendría que tener una estrategia institucional que apoye a estos aspectos y que no sea de un área específica de TI sino de la institución entera.
LIDECO (Sociedad civil) - Bernardo Quesada
Reafirma la importancia de formar grupos de trabajo. Comenta que Agesic había formado grupos con LIDECO que se cortaron por falta de recursos. Hay que retomarlo para compartir experiencias y conocimientos. Habría que organizar sensibilizaciones con los políticos, con los decisores: los que conocen de este tema deberían sensibilizar a quienes toman las decisiones.
Apoya lo que se dijo acerca de que las organizaciones tienen niveles diferenciales de aprendizaje, y Agesic debería apoyar a las rezagadas. Además, se debe sensibilizar al usuario final.
Galileo Latam (Sector privado) - Mauro Flores
Hay un tema importante que es de la percepción del riesgo: hoy en día los tomadores no tienen percepción del riesgo en estos temas y en base a eso no toman las decisiones que se deberían tomar. En la actualidad muchos de los procesos judiciales implican cuestiones tecnológicas, pero como país no tenemos las capacidades, por ejemplo, para hacer un análisis forense siguiendo reglamentaciones internacionales. Hay una falta de entendimiento.
Agesic (Institución pública) - Estefanía Almeyda
Agradece la iniciativa del documento. Le preocupa que la población y los estudiantes de la maestría que está haciendo no estén motivados por estudiar o meterse en temas de ciberseguridad. En el marco de la academia, señala que no tuvo ninguna materia, ni un taller sobre ciberseguridad, y por lo tanto no tuvo la oportunidad de acercarse al tema y darse cuenta de si le interesa o no. No hay materias en la currícula: cuando alguien se ve motivado a especializarse en el tema es a nivel de posgrado. Sostiene que desde Agesic se ofrecen capacitaciones, y que al menos la gente que está en la Administración Pública debe estar capacitada en Ciberseguridad.
Además, señala que siempre se cuestiona a los que toman decisiones, a la falta de presupuesto, y cree que lo que se puede hacer es proponer y mostrar los objetivos que se persiguen, para no quedarse sólo en la cultura de cuestionar. Sugiere proponer lo que se quiere hacer en materia de ciberseguridad y que los decisores gestionen el presupuesto.
EY Uruguay (Sector privado) - José Luis Vera
Sostiene que está faltando en la discusión la seguridad en la cadena de suministros. Comenta que en EY Uruguay trabajan en auditorías y a veces pasa que hay clientes que tienen contratados servicios de almacenamiento y se debe terminar auditando a los proveedores. Le parece que falta aplicar este aspecto en la estrategia y plasmar los requerimientos para asegurar la cadena de proveedores y que todos cumplan con determinados controles.
Galileo Latam (Sector privado) - Mauro Flores
Señala que el problema de las auditorías es que se focaliza mucho en los procesos, pero no en la eficiencia. Está de acuerdo con lo que se menciona de las auditorías, pero también hay que complementarlas con la medición de la eficiencia y la eficacia.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Durante la segunda ronda, los participantes discutieron acerca de los objetivos planteados en el pilar "Cultura y Ecosistema". Se sugirió crear un plan de acción general que unifique a todos los actores del ecosistema, así como un servicio de ciberinformación que registre los incidentes cibernéticos que ocurren en el país. También se mencionó la importancia de establecer redes colaborativas entre los SOC (Centros de Operaciones de Ciberseguridad) para compartir información y compartir indicadores de compromiso.
Se identificaron varios aspectos clave para abordar eficientemente los retos y desafíos en el ecosistema y la industria de la ciberseguridad. Algunos de los más resaltados se resumen a continuación.
Necesidad de un marco normativo fuerte y transparente
Se marcó la necesidad de que se fije un marco normativo fuerte y transparente que refleje el ecosistema en ciberseguridad y establezca responsabilidades claras para los diferentes actores públicos y privados.
Se propuso crear un reglamento que establezca responsabilidades claras para las empresas, organizaciones y particulares que manejan datos personales y confidenciales.
Se sugirió crear un sistema de sanciones efectivas para las empresas y organizaciones que incumplen las normas de ciberseguridad. A la vez, definir un proceso claro y transparente para reportar incidentes cibernéticos y compartir información sobre riesgos y vulnerabilidades.
Concientización, capacitación, formación y educación en ciberseguridad
Se remarcó la importancia de capacitar a los tomadores de decisiones y profesionales técnicos en ciberseguridad. Se sugirió crear programas de formación en ciberseguridad para los tomadores de decisiones y profesionales técnicos, especialmente en áreas como la gestión de riesgos, seguridad de la información y respaldo de datos.
Se dijo que hay que mejorar la conciencia y la formación en ciberseguridad entre los jóvenes y los estudiantes. Se mencionó la importancia de incluir educación en ciberseguridad en el currículum escolar, desde la educación primaria hasta la universidad. En ese sentido, se propuso crear materiales educativos y recursos para padres y educadores sobre cómo enseñar a los niños sobre ciberseguridad.
También se planteó crear un certificado o diploma en ciberseguridad que acredite la competencia y habilidades en este campo.
Se sugirió crear campañas publicitarias y educativas para concienciar a los ciudadanos sobre la importancia de la ciberseguridad y acerca de cómo protegerse contra ataques cibernéticos.
Desarrollo de un plan de acción unificado
Se remarcó la importancia de desarrollar un plan de acción que unifique a los diferentes actores del ecosistema y promueva la colaboración y el intercambio de información. En ese sentido, se sugirió crear un plan que incluya al gobierno, empresas, organizaciones civiles y academia.
Se propuso crear un comité interinstitucional que coordine esfuerzos y recursos para implementar el plan de acción.
Se mencionó la importancia de establecer indicadores clave de rendimiento para medir el progreso del plan de acción.
Redes colaborativas entre SOC
Se propuso crear un sistema de alerta temprana para detectar e informar incidentes cibernéticos importantes.
Se mencionó la importancia de establecer protocolos claros para compartir información confidencial entre los SOC (Centros de Operaciones de Ciberseguridad). Se sugirió crear una red colaborativa entre los SOC para compartir información e indicadores de compromiso.
Medición
Se espera que la propuesta de ENC contenga lineamientos y que los objetivos sean SMART para luego medirlos. Es difícil ver cómo se van a medir ciertas líneas de acción como las relativas a “incentivar”.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Durante la segunda parte de la segunda ronda, los y las participantes examinaron cada objetivo planteado en el pilar “Cultura y Ecosistema” y se discutieron actividades y acciones que deberían desarrollarse para llevarlos a cabo.
Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”
Se hizo hincapié en la necesidad de unir los SOCs para que compartan información, sobre todo los indicadores de compromiso.
Se propuso agregar una cuarta línea de acción que sea elaborar un plan de acción general que unifique a todos. Se destacó la necesidad de formar redes colaborativas para defenderse contra un mismo vector de ataque.
También se sugirió agregar un servicio de Ciberinformación que registre los ciberincidentes que ocurren en el país.
Esto comprende definir qué organismos deberían tener un SOC (se mencionó a UTE, ANCAP y OSE)
Se resaltó que ante todo, se debe cambiar la mentalidad para que se comparta la información, que se haga un régimen colaborativo. Tiene que haber una normativa – capaz para que sea obligatorio es necesario un marco jurídico que lo efectivice. En la normativa tiene que decir que debe ser obligatorio compartir, se debe definir qué, cómo y quién tiene que compartir los datos en ciberseguridad -al menos entre SOCs.
Sin embargo, también se deben considerar las especificidades de los sectores. Por ejemplo, no se puede violar el secreto bancario.
Se sugirió que el intercambio podría incluir a otros países de la región.
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro”
Se destacó la necesidad de definir los criterios para identificar a un software seguro. Hay que definir precisamente qué tienen que cumplir las empresas para que tengan parámetros a los que ajustar sus acciones y comportamientos y cuando presenten sus softwares den cuenta de esos procesos seguros. También se deben establecer criterios de riesgos. No es necesario que todos los involucrados en los procesos sepan mucho de seguridad sino de cómo manejarse con los procedimientos fijados en base a criterios claros que hay que cumplir.
Se discutió acerca de cómo generar las capacidades para exigirlo. Se sugirió generar incentivos, o crear una certificación de software seguro. También se habló de establecer una normativa que estipule un plazo de certificación de software seguro que luego impida, si no se cumple, presentarse a compras públicas o licitaciones. Agesic debería proveer los recursos para que las empresas, pagando, se hagan de las herramientas que se necesitan. Por la tienda virtual, los que estén habilitados como desarrolladores deberían tener softwares seguros.
Objetivo 3: “Posicionar la industria de ciberseguridad nacional”
Hay que apuntar al conocimiento especializado y garantizar que la investigación acompañe. No sólo se trata de promover la investigación (aunque la ANII debería tener proyectos que promuevan la investigación en ciberseguridad), también hay que evaluar cómo se está investigando. Habría que generar un instituto en Ciberseguridad. Es importante generar las capacidades, motivar a la gente y ayudar a las empresas.
En la línea de acción III (“promover la investigación y desarrollo en ciberseguridad”), se propuso reemplazar “promover” por “posicionar”.
Es necesario hacer un relevamiento de qué hay en la región y qué hace falta para buscar complementariedad. También habría que hacer un estudio de los servicios que existen en el sector privado, para buscar nichos vacíos. Hay que hacer un relevamiento que haga sentido según las necesidades y capacidades nacionales.
Capaz se podría fortalecer el programa de becas existente para hacer cursos de posgrado en ciberseguridad.
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes”
Se mencionó que las MiPymes tienen poco presupuesto y en general quieren contratar un servicio. Lo que habría que buscar en estas líneas de acción es desarrollar un servicio de asesoramiento para complementar. Por ejemplo, se podría desarrollar un servicio en el que las MiPymes pagan una suma módica por mes y reciben herramientas, computadoras, servicios de autentificación, etc. También se pueden ofrecer consultorías para obtener madurez. Podría ser Antel con un programa para pymes, u ofrecer computadores como CEIBAL. Sin embargo, se señaló que la falta de capacidades y de especialistas en ciberseguridad podría ser un problema.
Existen caminos (por ejemplo, por el Ministerio de Industria, Energía y Minería a través de la Dirección de MyPymes), pero hay que ver qué normativa establece responsabilidades.
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital”
Se discutió acerca de si este objetivo debería entrar en la estrategia de ciberseguridad, y si debería constituir un objetivo. También se cuestionó su inclusión en el pilar “Ecosistema y cultura”.
Se agregó que se debería marcar la necesidad de mejorar la identificación. Se propuso delegar todo en Agesic y que sea obligatorio en los trámites.
Se subrayó que hay que impulsar la firma digital y electrónica, y debe ser aceptada por todas las oficinas del Estado.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Las personas participantes de la mesa enumeraron a los distintos actores vinculados según cada objetivo.
Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”
Además del sector público y del privado, se resaltó que se requiere una figura coordinadora y se destacó que los reguladores son jugadores importantes. Para generar este tipo de reglamentación hay que meter a los reguladores de cada uno de los sectores (Banco Central, URSEA, JUNASA, así como prestadores de salud, etc.)
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro”
Además del sector público, del sector privado y de la academia, se hace hincapié en las entidades que deben estar involucradas de Presidencia: ARCE (Agencia Reguladora de Compras Estatales), AGESIC, OPP (Oficina de Planeamiento y Presupuesto de la República). También se debe involucrar a las comunidades en ciberseguridad como OWASP (“Open Worldwide Application Security Project”), y a referentes como CUTI (Cámara Uruguaya de Tecnologías de la Información).
Objetivo 3: “Posicionar la industria de ciberseguridad nacional”
Además del sector público y del privado, se subrayó la necesidad de que la ANII brinde apoyo, y de que la academia para que no se trate de formación sólo a nivel de posgrado.
También deben estar involucradas las comunidades internacionales.
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes”
Como actores, se mencionó al Ministerio de Trabajo, al Ministerio de Educación, al Ministerio de Industría, Energía y Minería, a Datacenter, a ANDE (Agencia Nacional de Desarrollo), ANTEL, y a gremiales de pymes.
En todos los objetivos se destacó la importancia de que Agesic cumpla un rol vital de coordinación y que prevea herramientas y asistencia.
Se destacó que faltan muchas habilidades blandas. No se puede abarcar todo al mismo tiempo, por lo que es necesario empezar definiendo prioridades.