Mesa de trabajo “Ecosistema e Industria de la ciberseguridad"

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Resumen del intercambio

A continuación se presenta el informe general de la mesa de trabajo “Ecosistema e industria de la ciberseguridad” donde se encuentran sistematizados y sintetizados los aportes de cada subgrupo. Se mantuvo la estructura estipulada en la agenda de la actividad, que consistió en dos rondas de intercambio.  

Cabe destacar que, si bien cada ronda y parte se centraba en un tema delimitado, la discusión en la mayoría de los casos excedió la pregunta inicial.   

Parte 1. Ronda de intercambio sobre el borrador 

Durante esta primera ronda las personas participantes realizaron aportes sobre el borrador, identificando tanto aportes generales sobre la propuesta como aportes específicos sobre el pilar “Cultura y Ecosistema”. 

Se les preguntó: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno al ecosistema y la industria de la ciberseguridad? ¿Qué aspectos específicos de ecosistema e industria creen que podrían mejorarse o añadirse en el pilar “Cultura y Ecosistema” con el fin de potenciar el ecosistema y la industria de la ciberseguridad en Uruguay? 

Las respuestas a estas dos preguntas quedan detalladas de manera conjunta a continuación.   

Los y las participantes aplaudieron la iniciativa, y compartieron sus observaciones y sugerencias sobre el borrador de la estrategia. En términos generales, se destacó la importancia de incluir la cultura como ecosistema con un enfoque en la ciudadanía. También se hizo hincapié en que falta en todo el documento una línea de acción previa que es conseguir financiamiento y recursos humanos. Se sostuvo que la descripción de objetivos es genérica y no indica claramente el propósito final, haciendo que las líneas de acción parezcan aplicables a cualquier país. Se pidió una simplificación de los mecanismos y procedimientos.  

Los aportes específicos de los y las participantes se encuentran sistematizados en ejes temáticos: 

Educación, concientización y capacitación  

Se definió el tema de formación como prioritario para abordar la ciberseguridad en todos los niveles, y para ir formando esa fuerza laboral que se necesita. Se propuso crear nuevas carreras y/o posgrados en ciberseguridad, implementar cursos a nivel de la administración pública, y ofrecer pasantías en organismos a los estudiantes. También se subrayó que se debe cambiar el currículo de educación de la educación media en adelante.  

También se sostuvo que se debería hacer más énfasis en el fomento de la cultura de los tomadores de decisión, ya que sino no se tratará de una visión estratégica a largo plazo. Se debe capacitar en percepción del riesgo para que la estrategia sea una política de Estado. 

Se hizo hincapié en la necesidad de concientizar a todas las personas de los organismos, ya que todos tienen un cierto rol que cumplir. Aquellos que trabajan en la administración pública deben estar capacitados en ciberseguridad.  

Se enfatizó que falta mano de obra de nivel técnico, y se debe buscar una línea de acción rápida y efectiva en el tema de capacitación. Se planteó que el tema de la educación debería ser transversal.  

En cuanto a los usuarios finales, se debe educar a la ciudadanía en su conjunto para que haga presión y exija la ciberseguridad. Esto requiere capacitación docente. Se debe desarrollar la educación formal e informal. Se sugirió poner el foco en distintos públicos, dividiéndolos en sectores. Se consideró importante abordar con la formación a todas las franjas etarias, incluyendo a la franja del medio de la población a la que no se puede llegar por los sistemas educativos.  

Coordinación y cooperación 

Se sostuvo que hace falta una sección “Gobernanza del Ecosistema y Marco jurídico”: debería haber una estructura formal y organizada que lidere para que no sean acciones puntuales. 

Se señaló la necesidad de darle forma concreta a la coordinación de esfuerzos entre distintos sectores. Se deben generar interacciones en el sistema para que formen un círculo virtuoso. Se resaltó la importancia de formar grupos de trabajo para compartir experiencias, y de armar redes de colaboración.  

Incentivos para el cumplimiento 

Se habló de la posibilidad de multa, ya que cumplir debe ser más barato que incumplir. Sobre todo, se indicó que se debe fomentar y generar incentivos para las pymes. El Estado debe proporcionar herramientas de apoyo, formación y seguimiento, en especial para las pymes. Se propuso exigir certificaciones a las empresas en los pliegos de compras para armar una cadena de cumplimiento, sosteniendo que falta plasmar los requerimientos para asegurar la cadena de proveedores y que todos cumplan con determinados controles en la estrategia.  

Se afirmó que debe haber planes de incentivo, entrenamientos y guías para que las pymes puedan acceder a servicios de ciberseguridad. La concienciación y los cursos son muy importantes: se sugirió generar campañas de concientización en lugar de obligaciones estrictas, cursos específicos sobre seguridad digital, y centros de asesoramiento para pymes. Además, se propuso ofrecer subsidios, incentivos y reducciones de impuestos para fomentar estas prácticas, resaltando la necesidad de inversión en este ámbito. Se debe concientizar a las empresas sobre su responsabilidad ante los ciberataques.  

Se sugirió que CERTuy o AGESIC asesoren a los compradores sobre cómo adquirir software seguro, estableciendo estándares claros de requisitos a cumplir. 

Legislación 

La legislación existe, pero se debe divulgar ya que se desconoce. Hace falta colaboración con abogados.  

Jerarquización y asignación de roles 

Se resaltó la necesidad de jerarquizar los roles y que haya consecuencias cuando ocurren incidentes. Se mencionó la posibilidad de crear una superintendencia, asimilándola a lo que es la superintendencia del Banco Central para el sector financiero. 

También se hizo hincapié en que faltan responsables de ciberseguridad: debe implementarse un referente, y se debe cumplir. Además, los políticos deberían tener interlocutores idóneos. 

Se expresó preocupación por la disponibilidad de personal para los cuatro CSIRTs planificados y se sugirió que, en lugar de centrarse en la implementación específica de estos, es más efectivo definir un nivel de seguridad a alcanzar y proporcionar un lineamiento general que guíe a cada entidad hacia ese objetivo. 

Heterogeneidad en el ecosistema  

Se mencionó que hay una gran heterogeneidad en el ecosistema, por lo que se deberían  

definir métodos para compartir y comunicar información. AGESIC debería asistir a las organizaciones con menos grado de madurez en el tema. ANII tendría que tener una estrategia institucional que apoye a estos aspectos y que no sea de un área específica de TI, sino de la institución entera.  

Monitoreo y respuesta 

Se sostuvo que se deben impulsar equipos de monitoreo y respuesta tanto a nivel público como privado.  

Se estableció la necesidad de establecer métricas claras para medir el éxito o fracaso de cada línea de acción, y comenzar por fortalecer la seguridad en empresas de desarrollo. 

También se propuso crear más centros de respuestas.  

Cooperación internacional  

Se resaltó la necesidad de cooperación internacional y de monitorear el panorama internacional. Se propuso hablar de ecosistema internacional en vez de nacional: consistiría en trabajar en las fortalezas nacionales y pedir apoyo internacional.  

Sector privado  

Debería ser un objetivo estratégico aprovechar al sector privado. Se debe especificar cómo se incentivará su participación.  

Categorización de ciberataques 

Se planteó la necesidad de categorizar las consecuencias de los ciberataques según el impacto que tienen en las organizaciones y en la sociedad en general.  

Reorganización de objetivos 

Se planteó que el objetivo 4 (“Mejorar la ciberseguridad de las MiPymes”) no debería conformar un objetivo en sí mismo. Se propuso abordar la estrategia de ciberseguridad organizando las acciones por sectores en lugar de por tamaño de empresa, priorizando aquellos sectores con mayores riesgos y vulnerabilidades conocidas, como el sector de la salud. A estos efectos, se hizo énfasis en que se debe definir cuáles son los sectores críticos y tenerlos bien identificados. 

Respecto al objetivo 5 (“Fortalecer el ecosistema de Firma Identificación digital para fortalecer el gobierno digital”), también se planteó que no debería ser un objetivo por sí mismos. Sin embargo, se hizo hincapié en la necesidad de simplificar este proceso.   

Parte 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa  

La segunda parte de intercambio sobre el borrador propuesta se dividió en tres partes centradas en aportes estratégicos que incluían plantear objetivos, proponer actividades específicas y analizar su viabilidad.  

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa  

En esta parte las personas participantes discutieron acerca de los objetivos planteados en el capítulo relativo al ecosistema e industria de la ciberseguridad del pilar “Ecosistema y cultura”. 

Los objetivos fueron generalmente validados.  

Se señaló que lo más importante es que la seguridad sea una responsabilidad proactiva a nivel estratégico, que abarque todo.  

También se recomendó definir qué es el ecosistema que pretendemos atender. Se sugirió que se trataba de los profesionales – las personas, los equipos – dedicados a la ciberseguridad. Se enfatizó la visión de que Uruguay cuente con un ecosistema vibrante, al frente del conocimiento, que atienda las necesidades del país. Los objetivos serían mantener o impulsar elementos del ecosistema para lograr esa visión. Actualmente faltan profesionales de ciberseguridad: hay que tener líneas de trabajo para generar más profesionales. También se debe fortalecer la interconectividad en el ecosistema, tanto mediante canales formales como mediante “hubs de conocimiento” más informales. Un ecosistema fuerte es un elemento clave para que el país logre altas capacidades en ciberseguridad.  

Se enfatizó la necesidad de un marco normativo fuerte y transparente, de concientización y capacitación, y se subrayó la importancia de desarrollar un plan de acción unificado. 

Se propuso agregar como objetivo la necesidad de identificar sectores especialmente sensibles para empezar (por ejemplo, la salud) y enmarcarlos dentro del pilar “Ecosistema y cultura”. 

Se emitieron ciertas observaciones respecto a cada objetivo, detalladas a continuación.  

Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta” 
  • El fortalecimiento contemplado no debe ser solamente técnico: los equipos en las empresas públicas también deben ser fortalecidos en el sentido que su opinión debe contar en la toma de decisiones de la empresa. 
  • La segunda línea de acción de este objetivo, “Generar y establecer una serie de ejercicios anuales específicos para los equipos,” es demasiado específica.  
  • Se propuso agregar una cuarta línea de acción que consista en elaborar un plan de acción general que unifique a todos.  
  • Se sugirió que el intercambio podría incluir a otros países de la región.  
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro” 
  • Se propone titular al objetivo “Impulsar el desarrollo, la adquisición y el uso del desarrollo de software seguro.” 
  • Se considera importante no solo enfocarse en formación, sino también en analizar cómo la empresa está asegurada frente a un ataque. Eso requeriría un monitoreo. 
Objetivo 3: “Posicionar la industria de ciberseguridad nacional” 
  • La primera línea de acción (“Incentivar la industria nacional de ciberseguridad”) es demasiada abstracta. Sería necesario ampliarla y concretizarla un poco más. Además, se debe definir cómo se va a medir algo tan poco concreto.  
  • Respecto a su línea de acción i, “Incentivar la industria nacional de ciberseguridad”, se sostuvo que el esfuerzo también debe venir del lado de la empresa. Por lo tanto, es necesario incentivar no solamente al sector público, sino también al privado: se debe generar un esfuerzo de control para las empresas que brindan servicios.  
  • Además, se señaló que hoy existen incentivos para las pymes, pero no hay incentivos específicamente para empresas de ciberseguridad. Se hizo una distinción entre las empresas de ciberseguridad y las empresas que tienen datos de los ciudadanos, y se debatió acerca de la necesidad de agregar un objetivo respecto a los mecanismos de reconocimiento.   
  • Respecto a la segunda línea de acción, “Promover los mecanismos y ámbitos para la participación academia-público-privada”, se plantearon las dificultades asociadas a la ley de ciberdelito que se está por aprobar, que no contiene mecanismos de aceptación para las herramientas de hacking ético. Se pidió generar una salvaguarda para la seguridad ofensiva, asimilada al “porte de arma”. 
  • En la línea de acción iii (“promover la investigación y desarrollo en ciberseguridad”), se propuso reemplazar “promover” por “posicionar”. 
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes” 
  • Se plantearon dudas acerca de la necesidad de posicionar a las pymes como uno de los objetivos, cuando hay otra cantidad de cosas también importantes que deberían ser incluidas. 
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital” 
  • Se plantearon dudas acerca de lo que significa la identificación digital. 
  • Se discutió acerca de si este objetivo debería entrar en la estrategia de ciberseguridad, y si debería constituir un objetivo. También se cuestionó su inclusión en el pilar “Ecosistema y cultura”. 
  • Se agregó que se debería marcar la necesidad de mejorar la identificación. Se propuso delegar todo en AGESIC y que sea obligatorio en los trámites.  
  • Se subrayó que hay que impulsar la firma digital y electrónica, y debe ser aceptada por todas las oficinas del Estado. Se debe seguir ampliando y se deben generar mecanismos de reconocimiento a nivel internacional.  

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa  

Las personas participantes aportaron actividades y acciones para el pilar “Ecosistema y cultura, detallados según cada objetivo.  

Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta” 

Acciones propuestas:  

  • Incluir a la sociedad civil, que no aparece en la descripción del objetivo: se habla solamente del ámbito público, privado, y la academia. 
  • Darle una figura jurídica al tema de la ciberseguridad, a través de la creación de una agencia nacional de ciberseguridad. En ese sentido hay que ver la institucionalidad que se le quiere dar, que le permita tener presupuesto y que se le otorgue poder entre para hacer la vigilancia y control de los organismos. Se plantea que el rol de AGESIC – que se debe definir más claramente - podría ser más de regulador, de órgano rector.  
  • Hacer tres niveles de capacitación: un nivel para la población que aún está en el sistema educativo, otro para la gente que ya ha pasado por el sistema educativo o que está fuera de la educación, y el tercero para los tomadores de decisiones. Sería importante que haya un bloque de ciberseguridad en las carreras de relaciones internacionales, y cursos para las personas en la administración pública. 
  • Establecer obligaciones legales claras o implementar un sistema de incentivos y sanciones para garantizar el cumplimiento de las normativas de ciberseguridad. 
  • Definir métodos específicos para medir el éxito y la efectividad de las iniciativas de ciberseguridad. 
  • Desarrollar estándares y guías claras para la creación y operación de CSIRTs. 
  • Asegurar la disponibilidad de recursos humanos capacitados y recursos materiales suficientes para su implementación y operación.  
  • Considerar la creación de un CSIRT ciudadano para fomentar la cultura de ciberseguridad y desarrollar perfiles técnicos adecuados.  
  • Fomentar la coordinación entre los diferentes CSIRTs y otros organismos para asegurar una comunicación efectiva. 
  • Definir estrategias claras y sostenibles para la continuidad de las iniciativas de ciberseguridad. 
  • Definir qué organismos deberían tener un SOC (se mencionó a UTE, ANCAP y OSE) y unir los SOCs para que compartan información, sobre todo los indicadores de compromiso.  
  • Agregar un servicio de Ciberinformación que registre los ciberincidentes que ocurren en el país.  
  • Ante todo, se debe cambiar la mentalidad para que se comparta la información, que se haga un régimen colaborativo. Quizá sea necesario un marco jurídico que lo efectivice.  
  • Se deben considerar las especificidades de los sectores.  
Objetivo 2: “Impulsar el desarrollo de una industria del software seguro” 

Acciones propuestas:  

  • Promover el cumplimiento de normativas y estándares verificables como los de OWASP. 
  • Implementar mecanismos para la evaluación y certificación de software seguro, incluyendo beneficios comerciales para quienes cumplan con estos criterios. 
  • Crear incentivos económicos, como subsidios y reducciones de impuestos, para promover el desarrollo y adquisición de software seguro. 
  • Establecer programas de formación y guías prácticas para desarrolladores y empresas sobre cómo implementar y mantener software seguro. 
  • Asegurar que las compras del Estado se realicen solo a proveedores que cumplan con los estándares de software seguro, incentivando al mercado a mejorar sus prácticas. 
  • Crear una agencia que supervise y eduque en temas de seguridad del software. 
  • Definir los criterios para identificar a un software seguro y establecer criterios de riesgos.  
  • Generar las capacidades para exigirlo. Generar incentivos, o crear una certificación de software seguro. Proveer los recursos para que las empresas, pagando, se hagan de las herramientas que se necesitan.  
Objetivo 3: “Posicionar la industria de ciberseguridad nacional” 

Acciones propuestas:  

  • Apuntar al conocimiento especializado y garantizar que la investigación acompañe. No sólo se trata de promover la investigación (aunque la ANII debería tener proyectos que promuevan la investigación en ciberseguridad), también hay que evaluar cómo se está investigando.  
  • Hacer un relevamiento de qué hay en la región y qué hace falta para buscar complementariedad. Estudiar los servicios que existen en el sector privado, para buscar nichos vacíos.  
  • Fortalecer el programa de becas existente para hacer cursos de posgrado en ciberseguridad.  
  • Crear un listado de empresas que cumplan los requisitos o estándares mínimos, que vaya más allá del carrito de compras del Estado. 
Objetivo 4: “Mejorar la ciberseguridad de las MiPymes” 

Acciones propuestas:  

  • Desarrollar programas que ofrezcan a las pymes acceso a servicios de ciberseguridad a través de proveedores calificados. Establecer planes de incentivo, entrenamiento y guías específicas para pymes en ciberseguridad. Implementar campañas de concientización y capacitación sobre ciberseguridad para pymes. Ofrecer cursos prácticos sobre temas específicos como respaldos de datos y seguridad en redes sociales. 
  • Categorizar las pymes según el riesgo y el impacto de un ciberataque para priorizar las medidas de seguridad. 
  • Fomentar la implementación de buenas prácticas de ciberseguridad en sectores críticos y en la cadena de suministro. 
  • Se mencionó que las MiPymes tienen poco presupuesto y en general quieren contratar un servicio. Lo que habría que buscar en estas líneas de acción es desarrollar un servicio de asesoramiento para complementar. Por ejemplo, se podría desarrollar un servicio en el que las MiPymes pagan una suma módica por mes y reciben herramientas, computadoras, servicios de autentificación, etc. También se pueden ofrecer consultorías para obtener madurez. Podría ser Antel con un programa para pymes, u ofrecer computadores como CEIBAL.  
Objetivo 5: “Fortalecer el ecosistema de Firma e Identificación digital para fortalecer el gobierno digital” 

Acciones propuestas:  

  • Regular el uso de sellos de competencia en firmas electrónicas avanzadas para garantizar la autenticidad y competencia de los firmantes. 
  • Asegurar que las firmas electrónicas avanzadas sean ampliamente aceptadas y reconocidas legalmente. Simplificar los mecanismos.  
  • Exigir el cumplimiento de la normativa existente que permite el uso de firmas electrónicas en documentos legales. 
  • Implementar mecanismos de fiscalización para asegurar que las firmas electrónicas sean utilizadas y aceptadas correctamente en todas las instancias legales y comerciales. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados

Las personas participantes realizaron análisis de viabilidad, priorizaron ciertas acciones e identificaron actores relevantes.  

Respecto a la priorización: Se recalcó la necesidad de empezar por la formación y capacitación para enfrentar el problema de la falta de recursos humanos y de profesionales técnicos capacitados.  

Se manifestó que, como no se puede atacar todo al mismo tiempo, se debería empezar identificando a los sectores prioritarios para priorizar los esfuerzos. También se subrayó la importancia de seguir generando estas instancias que faciliten los intercambios. 

Se recalcó que para lograr los objetivos se necesitan recursos, y que hay que establecer responsabilidades claras. También es muy importante pensar en cómo incentivar la industria nacional de ciberseguridad.  

Se debe establecer un plan de acción claro y ejecutable.   

Las personas participantes de la mesa enumeraron a los distintos actores vinculados según cada objetivo.  

Objetivo 1: “Impulsar el fortalecimiento y la creación de equipos de monitoreo y respuesta” 

Además del sector público y del privado, se resaltó que se requiere una figura coordinadora y se destacó que los reguladores son jugadores importantes. Para generar este tipo de reglamentación hay que meter a los reguladores de cada uno de los sectores (Banco Central, URSEA, JUNASA, así como prestadores de salud, etc.) 

Objetivo 2: “Impulsar el desarrollo de una industria del software seguro” 

Además del sector público, del sector privado y de la academia, se hace hincapié en las entidades que deben estar involucradas de Presidencia: ARCE (Agencia Reguladora de Compras Estatales), AGESIC, OPP (Oficina de Planeamiento y Presupuesto de la República). También se debe involucrar a las comunidades en ciberseguridad como OWASP (“Open Worldwide Application Security Project”), y a referentes como CUTI (Cámara Uruguaya de Tecnologías de la Información).  

Objetivo 3: “Posicionar la industria de ciberseguridad nacional” 

Además del sector público y del privado, se subrayó la necesidad de que la ANII brinde apoyo, y de que la academia para que no se trate de formación sólo a nivel de posgrado.  

También deben estar involucradas las comunidades internacionales.  

Objetivo 4: “Mejorar la ciberseguridad de las MiPymes” 

Coo actores, se mencionó al Ministerio de Trabajo, al Ministerio de Educación, al Ministerio de Industría, Energía y Minería, a Datacenter, a ANDE (Agencia Nacional de Desarrollo), ANTEL, y a gremiales de pymes.  

En todos los objetivos se destacó la importancia de que AGESIC cumpla un rol vital de coordinación y que prevea herramientas y asistencia. 

Etiquetas

Políticas de Ciberseguridad Ciberseguridad Política Digital del Uruguay