Subgrupo 4
- Moderadora: Noelia Rodríguez, Agesic.
- Relatora: Marta Manent, Mauro Parada, ICD.
- Participaron 10 (diez) personas de 7 (siete) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Se salteó la parte A de la primera ronda para comentar los objetivos específicos del pilar “Ecosistema y Cultura”. Los aportes se encuentran organizados según cada objetivo.
Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”
Grant Thornton (Sector privado) - Ignacio Lagomarsino
Comparte su preocupación sobre la falta de medidas específicas y señala que Uruguay ya tiene organismos nacionales similares a los propuestos. Considera innecesario gastar en nuevas herramientas cuando ya existen, y sugiere que el Estado debe asignar recursos humanos para utilizarlas. Destaca la necesidad de que las pymes tengan acceso a servicios de ciberseguridad de calidad. Elogia al Banco Central por sus regulaciones y resalta la importancia de la educación en la estrategia de ciberseguridad. Subraya que la estrategia nacional debe establecer objetivos específicos para todas las organizaciones del Estado, en lugar de simplemente imponer la creación de un SOC, que puede ser costoso para muchas empresas.
IM (Institución pública) - Fernando Rodríguez
Apoya la creación de la red pero enfatiza que no debe hacerse solo por el hecho de crearla. Destaca la importancia de la coordinación y la comunicación efectiva, enfatizando que el contenido y propósito deben estar claramente definidos y bien integrados. Cuestiona la necesidad de que cada sector tenga su propio CSIRT y sugiere la posibilidad de tener una estructura general con coordinación centralizada.
URUDATA (Sector privado) - José Callero
Critica que la descripción de objetivos es genérica y no indica claramente el propósito final, haciendo que las líneas de acción parezcan aplicables a cualquier país. Valora la especificidad de la línea sobre la creación de un CSIRT ciudadano. Señala la necesidad de incluir una línea de acción sobre la sostenibilidad de las iniciativas para asegurar su continuidad a lo largo del tiempo. Sugiere que, dado que ya existen CSIRTs, el plan debe considerar lo que ya está en marcha. Plantea que el rol de los CSIRTs debe ser la coordinación entre todos, y cuestiona la inclusión de aspectos normativos como líneas de acción, considerándolos más como herramientas para alcanzar objetivos.
MIEM (Institución pública) - María José Franco
Expresa dudas sobre cómo funcionarán los CSIRTs en distintos sectores, considerando que algunos tendrán más riesgo que otros. Se cuestiona la comunicación entre los CSIRTs y la población general, y si habrá espacios para canalizar denuncias. Además de los recursos humanos y materiales, le preocupa la disponibilidad de recursos para las diferentes verticales. Visualizar la implementación de estas estructuras en otros sectores le parece complicado. Propone la idea de un CSIRT ciudadano para fomentar capacidades en cultura y perfil técnico.
URSEC (Institución pública) - Agustín Hill
Busca comprender la finalidad de los ejercicios planteados en la línea 2, cuáles serían, y bajo qué línea estratégica.
OWASP (Sociedad civil) - Gerardo Canedo
Enfatiza que es fundamental establecer una obligación legal o un sistema de beneficios y castigos para asegurar el cumplimiento del monitoreo de seguridad, ya que las personas tienden a no verlo necesario hasta que enfrentan problemas. Además, resalta la falta de claridad sobre quién aplicará estas normas y el nivel punitivo correspondiente, subrayando que cumplir debe ser más económico que incumplir. Expresa preocupación por la disponibilidad de personal para los cuatro CSIRTs planificados y sugiere que, en lugar de centrarse en la implementación específica de estos, es más efectivo definir un nivel de seguridad a alcanzar y proporcionar un lineamiento general que guíe a cada entidad hacia ese objetivo.
Agesic (Institución pública) - Adolfo Nidegger
Comenta que le gustaría agregarle la parte de estandarización, porque plantea que las soluciones deben realizarse de forma integral. A su vez, plantea una clasificación de infraestructuras críticas para sectores públicos y privados, donde se categorice el nivel de criticidad del mismo.
MIEM (Institución pública) - Gabriel Artucio
Expresa dudas sobre la estandarización, destacando la dificultad de aplicarla en ambientes y organismos heterogéneos. Cuestiona cómo medir efectivamente con estándares en contextos tan diversos. Además, considera poco práctico establecer la obligatoriedad de tener un CSIRT en todos los ámbitos y sugiere evaluar en qué áreas sería adecuado implementarlos e integrarlos.
Agesic (Institución pública) - Fabiana Santellán
Sugiere incluir antecedentes sobre ciberseguridad en Uruguay, ya que algunos decisores carecen de esta información. Propone separar la cultura y la industria como pilares independientes debido a su importancia. También considera necesario establecer un nuevo SOC o CSIRT, pero advierte que debe hacerse con una visión estratégica y no simplemente por crear estructuras nuevas.
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro”
Grant Thornton (Sector privado) - Ignacio Lagomarsino
Plantea la cuestión de quién financiará la implementación de software seguro, sugiriendo que se deben ofrecer incentivos para mejorar la seguridad del software. Considera que si el Estado exige software seguro sin antes incentivar su desarrollo, no habrá proveedores disponibles. Propone establecer un roadmap que categorice a las empresas para que mejoren su seguridad y sean competitivas, junto con una agencia que supervise estos requisitos y promueva la educación en el tema.
URUDATA (Sector privado) - José Callero
Sugiere que el CERTuy o Agesic deberían asesorar a los compradores sobre cómo adquirir software seguro, estableciendo estándares claros de requisitos a cumplir. Propone que la línea de acción se refiera directamente a "establecer los lineamientos para la compra de software seguro", sin especificar, para abarcar todos los tipos de software.
OWASP (Sociedad civil) - Gerardo Canedo
Destaca la importancia del compliance, señalando que en Uruguay falta un enfoque real en este aspecto. Critica la práctica de afirmar cumplimiento con estándares como OWASP Top 10 sin realizar análisis o verificaciones. Propone que además de sancionar, se debería ofrecer incentivos o ventajas comerciales para aquellos que cumplan con criterios de seguridad verificables. Además, considera que el compliance debería verse como una ventaja competitiva, no solo como un gasto.
Objetivo 3: “Posicionar la industria de ciberseguridad nacional”
Grant Thornton (Sector privado) - Ignacio Lagomarsino
Señala que el documento menciona la necesidad de cooperación entre sectores, pero sin un respaldo concreto, parece ficticia. Argumenta que el sector privado no cooperará a menos que el Estado promueva incentivos, roles, metas y un marco claro de trabajo que beneficie a ambos sectores. Aunque la estrategia enfatiza la importancia del sector privado, no especifica cómo se incentivará su participación.
URUDATA (Sector privado) - José Callero
Sugiere que la descripción del objetivo incluya un contexto u objetivo estratégico claro, en lugar de términos vagos como "pujante". Insiste en que se debe hablar de manera más concreta y específica, con líneas de acción precisas. Se necesita una visión estratégica que marque claramente hacia dónde se quiere ir y qué se busca lograr.
Agesic (Institución pública) - Alejandro Arancio
Agregaría “innovación” donde dice “investigación y desarrollo” en la línea de acción iii.
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes”
Grant Thornton (Sector privado) - Ignacio Lagomarsino
Destaca que, aunque existen proveedores de ciberseguridad, las pymes no pueden pagar por estos servicios debido a los altos costos. Esto afecta negativamente su seguridad. Propone que debe haber planes de incentivo, entrenamientos y guías para que las pymes puedan acceder a servicios de ciberseguridad. Considera importantes los incentivos, la concienciación y los cursos, sugiriendo campañas de concientización en lugar de obligaciones estrictas.
Intentencia de Montevideo (Institución pública) - Fernando Rodríguez
Sugiere que, al igual que el Plan Ceibal proporcionó computadoras a cada niño, las pymes deberían tener garantizado el acceso a la ciberseguridad como un derecho. Propone que se ofrezca una capa de servicios de ciberseguridad a las pymes a través de proveedores especializados.
URUDATA (Sector privado) - José Callero
Destaca la necesidad de categorizar las consecuencias de los ciberataques según el impacto que tienen en las organizaciones y en la sociedad en general. Subraya la importancia de concientizar a las empresas sobre sus responsabilidades en la prevención de ciberataques y menciona que en muchos países europeos se sanciona la falta de medidas preventivas más que el ciberataque en sí mismo.
MIEM (Institución pública) - María José Franco
Señala que las pymes son incentivadas hacia lo digital y el uso de medios de pago electrónicos, pero carecen de la capacidad financiera para adoptar estas tecnologías de manera segura. Destaca la necesidad de trabajar en este aspecto para que las pymes puedan acceder a los recursos necesarios para su digitalización segura.
Agesic (Institución pública) - Adolfo Nidegger
Propone abordar la estrategia de ciberseguridad organizando las acciones por sectores en lugar de por tamaño de empresa, priorizando aquellos sectores con mayores riesgos y vulnerabilidades conocidas, como el sector de la salud. Sugiere también una atención especial a la tercerización de servicios, dado que muchos ataques a grandes empresas comienzan en proveedores más pequeños. Destaca la necesidad de establecer métricas claras para medir el éxito o fracaso de cada línea de acción, y enfatiza comenzar por fortalecer la seguridad en empresas de desarrollo.
Agesic (Institución pública) - Fabiana Santellán
Propone la creación de centros de asesoramiento para pymes en temas de ciberseguridad, así como cursos específicos sobre seguridad digital. Además, sugiere que se ofrezcan subsidios, incentivos y reducciones de impuestos para fomentar estas prácticas, resaltando la necesidad de inversión en este ámbito.
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital”
OWASP (Sociedad civil) - Gerardo Canedo
Expresa preocupación sobre la aceptación de estas firmas en la práctica.
Grant Thornton (Sector privado) - Ignacio Lagomarsino
Plantea dudas sobre la validez jurídica y la resolución de disputas en casos que involucran contratos firmados electrónicamente. Se resalta la necesidad de fiscalizar y asegurar el cumplimiento de la ley en cuanto al uso de firmas electrónicas.
Agesic (Institución pública) - Adolfo Nidegger
Menciona la necesidad de regular los sellos de competencia para las firmas electrónicas avanzadas, como los utilizados por profesionales como escribanos y abogados.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
Esta ronda también se organizó en torno a los objetivos del pilar. Se detallan los aportes estratégicos y las priorizaciones según cada uno.
Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta”
Desarrollar estándares y guías claras para la creación y operación de CSIRTs.
Definir métodos específicos para medir el éxito y la efectividad de las iniciativas de ciberseguridad.
Establecer obligaciones legales claras o implementar un sistema de incentivos y sanciones para garantizar el cumplimiento de las normativas de ciberseguridad.
Asegurar la disponibilidad de recursos humanos capacitados y recursos materiales suficientes para la implementación y operación de CSIRTs.
Considerar la creación de un CSIRT ciudadano para fomentar la cultura de ciberseguridad y desarrollar perfiles técnicos adecuados.
Definir estrategias claras y sostenibles para la continuidad de las iniciativas de ciberseguridad.
Fomentar la coordinación entre los diferentes CSIRTs y otros organismos para asegurar una comunicación efectiva.
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro”
Promover el cumplimiento de normativas y estándares verificables como los de OWASP.
Implementar mecanismos para la evaluación y certificación de software seguro, incluyendo beneficios comerciales para quienes cumplan con estos criterios.
Crear incentivos económicos, como subsidios y reducciones de impuestos, para promover el desarrollo y adquisición de software seguro.
Establecer programas de formación y guías prácticas para desarrolladores y empresas sobre cómo implementar y mantener software seguro.
Asegurar que las compras del Estado se realicen solo a proveedores que cumplan con los estándares de software seguro, incentivando al mercado a mejorar sus prácticas.
Crear una agencia que supervise y eduque en temas de seguridad del software.
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes”
Desarrollar programas que ofrezcan a las pymes acceso a servicios de ciberseguridad a través de proveedores calificados.
Establecer planes de incentivo, entrenamiento y guías específicas para pymes en ciberseguridad.
Implementar campañas de concientización y capacitación sobre ciberseguridad para pymes.
Ofrecer cursos prácticos sobre temas específicos como respaldos de datos y seguridad en redes sociales.
Categorizar las pymes según el riesgo y el impacto de un ciberataque para priorizar las medidas de seguridad.
Fomentar la implementación de buenas prácticas de ciberseguridad en sectores críticos y en la cadena de suministro.
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital”
Regular el uso de sellos de competencia en firmas electrónicas avanzadas para garantizar la autenticidad y competencia de los firmantes.
Asegurar que las firmas electrónicas avanzadas sean ampliamente aceptadas y reconocidas legalmente.
Exigir el cumplimiento de la normativa existente que permite el uso de firmas electrónicas en documentos legales.
Implementar mecanismos de fiscalización para asegurar que las firmas electrónicas sean utilizadas y aceptadas correctamente en todas las instancias legales y comerciales.