Subgrupo 3
- Moderadora: María Noel Hernandez, Agesic.
- Relatora: Daniel Miranda, ICD.
- Participaron 14 (catorce) personas de 13 (trece) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
En esta primera parte, los y las participantes aportaron tanto sobre aspectos generales del borrador como sobre aspectos específicos del pilar “Ecosistema y cultura”.
SECIU - UDELAR (Academia) - Sergio Ramírez
Resaltó dos aspectos: primero, el tema de la formación en ciberseguridad le parece esencial debido a la alta escasez de personal en esa área. Habría que buscar una línea de acción que sea efectiva y rápida en el tema de educación. El segundo aspecto es el de la cooperación, colaboración y coordinación entre todos los actores en el país: habría que formalizar esa cooperación para que sea más efectiva.
Tilsor (Sector privado) - Rodrigo Martínez
Concuerda con que la falta de capacidades es lo que más duele en el área de ciberseguridad. De los cinco objetivos, el tema de la inclusión de la industria de la ciberseguridad en las estrategias lo considera muy importante. En relación al fortalecimiento de equipos de monitoreo y respuestas en las cibergestiones, es importante incluir a las personas, pero también a la MiPymes. Se debe conformar un espacio para ayudarlas y compartir buenas prácticas en materia de ciberseguridad. Otro tema es el fortalecimiento y creación del sector público: hay que fortalecerlo y darle más gobernanzas, más acceso, con un rol más de coordinación general, donde haya alguien que lidere.
Agesic (Institución pública) - Claudio Martínez
Coincide con la importancia de la educación para incentivar la industria nacional: sostiene que falta gente formada y es captada por el mercado extranjero. Es necesario que el incentivo esté enfocado en retener a los especialistas en ciberseguridad, en cómo hacer para lograr una buena remuneración en el sector público y crear doctorados o posgrados en el país.
Atos Uruguay (Sector privado) - Joaquín Pérez
Coincide con el tema de educación, y pone énfasis en el tema de los posgrados. También es necesario mejorar los centros de respuestas; Agesic no tiene capacidad para atender todo lo que abarca. Sería necesario crear más centros de respuestas, porque entiende que se está llegando a su capacidad máxima. Se une a la necesidad de atender personas, porque un ciudadano no tiene donde atenderse frente a un ataque o incidente.
CUTI (Sector privado) - Ana Lucero
Está de acuerdo con los objetivos planteados en el documento, y subraya que es necesario impulsar el desarrollo de software seguro, donde se debe seguir desarrollando el rol de CUTI. En relación con el tema de compra de equipamiento seguro, está de acuerdo con implementarlo para todos los sectores.
Respecto al segundo objetivo (“Impulsar el desarrollo de una industria de software seguro”), comenta que en la CUTI, el 80% son MiPymes. Entiende que si bien este punto está enfocado a un desarrollo seguro, hay que tener en cuenta cómo es el ecosistema.
Respecto al tema de la firma digital, está de acuerdo con mejorar el desarrollo digital, y resalta que el Estado debe sumar varias políticas para que se pueda llevar a todo el entorno.
Dinatel (Institución pública) - Virginia Alonso
Afirma que habría que incorporar la cooperación internacional y estar atentos al panorama tecnológico para ver cuáles son los nuevos desafíos. Si bien en este momento de la ciberseguridad se está elaborando una estrategia a nivel general, considera que debería haber políticas sectoriales.
Agesic (Institución pública) - Claudio Martínez
Es necesario cambiar la currícula de formación desde la educación media en adelante, ya que falta mucho en ese nivel y es muy grave: hay generaciones que no tienen las herramientas para involucrarse en el mercado laboral. La seguridad es un conjunto, y la seguridad de la información es un problema.
Con relación a la coordinación de los actores en el ecosistema uruguayo, es necesario que existan reguladores del mismo.
En cuanto a la información, hay observatorios de tecnologías por todos lados, pero falta compartir la información. Es muy difícil lograr que el sector privado comparta información, pero en materia de ciberseguridad debería ser común. Se deben auditar las infraestructuras críticas, y se debe encontrar maneras de manejarlo con las empresas privadas.
La academia no incorpora iniciativas porque faltan profesionales. Otro de los problemas que tenemos es la legislación en Uruguay, ya que demoran mucho en desarrollarse leyes.
URSEC (Institución pública) - Nelson Rodríguez
Piensa que no habrá un verdadero impulso hasta que no suceda un ataque grande, lo que podría ser muy grave para la ciberseguridad debido al tamaño del país. Sin embargo, valora mucho esta instancia y sostiene que la estrategia debería ser una política de Estado.
Respecto al tema de comparto de información, es complejo porque el sector privado va a otra velocidad y las políticas de Estado muchas veces van en otra dirección.
En cuanto al tema de la educación, debería ser transversal.
Teledata (Sector privado) - Alejandro Pereyra
Con relación a los objetivos, le parece que el que es relativo a las MiPymes (“Mejorar la ciberseguridad de las MiPymes”) debería estar como línea de acción en vez de como objetivo general.
También le parece que en lugar de ecosistema nacional, se debería hablar de ecosistema internacional, ya que las empresas venden a nivel internacional. Sostiene que sería bueno pensar fuera de la caja. Trabajar en las fortalezas nacionales y pedir apoyo en lo internacional trayendo gente que nos apoye en el sistema del monitoreo es parte de esa colaboración internacional.
Además, subraya que en el marco del ecosistema se debe aprovechar mucho al privado: eso debería ser el objetivo estratégico.
Finalmente, subraya que se necesitan recursos financieros. Sin presupuesto no va a funcionar: debería figurar en el documento.
Fortinet (Sector privado) - Gastón Sancassano
Coincide con la necesidad de capacitación y estudio y considera que hay que trabajar mucho en el tema de monitoreo y respuesta. Agregaría que se deben impulsar equipos de monitoreo y respuestas tanto a nivel público como privado. Respecto al tema de educación, señala la dificultad de llegar a los sectores de mayor edad.
Patria Investments (Sector privado) - Leonardo Martins
Menciona que en Santander armaron una red de colaboración para coordinar sobre lo sucedido y las acciones a llevar a cabo cuando tenían un incidente. La colaboración es clave. Resalta que “el lema en ciberseguridad debe ser que no competimos, sino que colaboramos”. Además destaca que Santander tiene la obligación de reportar las incidencias al BCU.
En cuanto a la formación de profesionales, es clave y es urgente la formación en las escuelas.
En cuanto a las pymes, menciona que en Santander se generó un servicio para las pymes en cinco pilares, y sostiene que sería bueno implementar un servicio parecido a nivel nacional para hacer la formación y el acompañamiento a la pymes.
ANCAP (Institución pública) - Andrea Parada
En el documento se diferencia claramente entre cultura y capacidad. Sin embargo, sería importante continuar trabajando en el tema competencias. La ciberseguridad es transversal a toda la tecnología, por lo tanto debería ser transversal a todas las carreras, para que se tome como algo natural. Se requiere que los docentes den esos conocimientos desde el principio. Es necesario trabajar desde las escuelas sobre la percepción del riesgo. Los padres dan tecnología a sus hijos, sin tener en cuenta el riesgo para minimizarlo y sin difundir los peligros asociados.
En cuanto al ecosistema y la colaboración, es esencial trabajar en colaboración en todos los ámbitos, en base a que todos tenemos un enemigo común, por eso debemos fortalecer nuestra capacidad.
MRREE (Institución pública) - Daniel Pesce
Comparte lo que se ha dicho de falta de capacitación. Es importante la capacitación en las primeras líneas de la educación, donde es fundamental. Sin embargo, subraya que la masa de población que está en el medio, que queda sin ser absorbida por los centros educativos, también es un problema importante. Es necesario por lo tanto llegar desde otro lado y generar una capacitación a nivel general como lo están haciendo los bancos en avisar por ejemplo sobre los fraudes cibernéticos.
Comparte lo que se ha venido mencionando: es necesario dividir el tema en temáticas verticales, ya que ayudaría en los niveles de intervención.
También concuerda con que respecto al tema de la globalización, se debe contar con una mirada como Estado. Por ejemplo, ahora nuestros activos están en la nube. En Europa hicieron su propia nube. Tal vez sería bueno aprender de eso y analizar su viabilidad. Debemos tener mucho cuidado en concientizar a los desarrolladores, pero también tenemos que pensar en la cadena de suministros para que lo que nos entregan esté evaluado en ciberseguridad.
Más generalmente, se plantearon algunas observaciones respecto a los objetivos establecidos en la propuesta borrador.
Los y las participantes consideraron que sería importante agregar en los objetivos un enfoque internacional para pensar un ecosistema internacional en vez de solo nacional.
También se hizo hincapié en que falta en todo el documento una línea de acción previa que es conseguir financiamiento y recursos humanos. Es fundamental para pensar proyectos que sean efectivamente realizables.
Además, en el documento las líneas de acción están desarrolladas de forma muy genéricas y a veces no quedan claros los alcances, el impacto y los involucrados.
Respecto a las infraestructuras críticas, se considera que tal vez en lugar de hablar de infraestructura crítica sea mejor hablar de servicios críticos. En cuanto a su definición, se considera que será política porque son los tomadores de decisión que deciden el riesgo que quieren asumir. Además, se destaca que las infraestructuras críticas son dinámicas e irán variando rápidamente con el correr de los años. Se debe ir evaluando y ajustándola.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Se definió el tema de formación como prioritario para abordar la ciberseguridad en todos los niveles, y para ir formando esa fuerza laboral que se necesita.
Se considera importante abordar con la formación todas las franjas etarias, pero en particular la franja del medio de la población a la que no se puede llegar por los sistemas educativos.
Otro aspecto a potenciar es la coordinación entre todos los actores públicos, privados, academia, organizaciones sociales, etc.
Es importante definir cuál es el sector crítico para tenerlo bien identificado.
Es necesario contar con una visión de seguridad de la información en forma integral para las industrias y las empresas.
Es necesario, importante y urgente la designación de presupuestos y recursos que no es menor.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Los objetivos fueron en gran medida validados. A continuación se detallan los comentarios, aportes y propuestas hechos sobre cada uno de ellos.
Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”
El objetivo se da como validado, con los siguientes aportes:
Se considera importante incluir a sociedad civil que no aparece en la descripción del objetivo: se habla del ámbito público, privado, la academia, pero no de sociedad civil.
Se plantea que es necesario darle una figura jurídica al tema de la ciberseguridad, a través de la creación de una agencia nacional de ciberseguridad. En ese sentido hay que ver la institucionalidad que se le quiere dar, que le permita tener presupuesto y que se le otorgue poder entre otras cosas para hacer la vigilancia y control de los organismos. Se plantea que el rol de Agesic podría ser más de regulador, de órgano rector. Se resalta que se debe definir más claramente el rol de Agesic.
Se proponer hacer tres niveles de capacitación: un nivel para la población que aún está en el sistema educativo, otro para la gente que ya ha pasado por el sistema educativo o que está fuera de la educación, y el tercero para los tomadores de decisiones. Hay una escuela de gobierno, pero no se da un curso de ciberseguridad. Sería importante que haya un bloque de ciberseguridad en las carreras de relaciones internacionales.
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro”
El objetivo se da como validado, con los siguientes aportes:
Hay una dualidad en lo planteado en el título del objetivo, donde se impulsa solamente el desarrollo. Sería bueno que se considere que también somos consumidores de software. Se propone titular al objetivo “Impulsar el desarrollo, la adquisición y el uso del desarrollo de software seguro.”
En relación con el software seguro, se plantean dudas sobre el concepto. Es difícil determinar si un software es seguro. Además surge la pregunta sobre lo que significa garantizar compras seguras del Estado.
Se considera importante no solo enfocarse en formación, sino también en analizar cómo la empresa está asegurada frente a un ataque. Eso requeriría un monitoreo.
Objetivo 3: “Posicionar la industria de ciberseguridad nacional”
El objetivo se da como validado, con los siguientes aportes:
La primera línea de acción (“Incentivar la industria nacional de ciberseguridad”) es demasiada abstracta. Sería necesario ampliarla y concretizarla un poco más.
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes”
Se plantean dudas acerca de la necesidad de posicionar a las pymes como uno de los objetivos, cuando hay otra cantidad de cosas también importantes que deberían ser incluidas.
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital”
Se plantean dudas acerca de lo que significa la identificación digital.