Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Ronda 1. Intercambio sobre el borrador 

Parte A. Aportes generales sobre la propuesta borrador

Dinatel (Institución pública) - María José Franco 

Valora la iniciativa de la ENC y las Mesas de diálogo como una instancia de colaboración y creación con multiplicidad de actores de diferentes sectores y ámbitos. Recordó que las personas no son los únicos usuarios afectados por la ENC, sino que también todos los actores del sector público, sector privado, sociedad civil y academia partícipes de la creación de la ENC. Los actores involucrados van más allá de aquellos que tienen un vínculo estricto con la materia, y es importante que todos se sientan colaboradores legítimos para la ENC durante todo el proceso de creación, haciendo énfasis en el sector privado. 

ANCAP (Institución pública) - Lucía Pose 

Compartió la idea de que las Mesas de diálogo son cruciales como instancia de colaboración entre diferentes actores para la apropiación de la ENC, ya que serán parte de los afectados por la ENC. 

LIDECO (Sociedad civil) - Nicolás Antunez 

Cree difícil la regulación de la ciberseguridad sin un incidente a la seguridad de la información que despierte un interés nacional. 

FGN (Institución pública) - Ricardo Legner 

Hizo una evaluación del estado actual de la ciberseguridad en Uruguay, donde encuentra deficiencias y vulnerabilidades. Desde su experiencia en Fiscalía, reportó que han habido accidentes de gravedad que no han trascendido a la atención pública, lo que puede afectar la salud de otras investigaciones. 

CEIBAL (Institución pública) - Diego Russo 

Alertó sobre los grandes incentivos que tienen los cibercriminales en el contexto de la redituabilidad del crimen organizado. El Estado tiene el deber de capacitar sobre la ciberseguridad y la ciberdelincuencia, brindando una enseñanza sobre el uso responsable de las tecnologías a los estudiantes. 

ANP (Institución pública) - Marcos Cocchiararo 

Prefirió enfocarse en cuestiones más técnicas en sus comentarios, por lo que no participó de esta primera ronda de diálogo. Luego destacó cuestiones del marco regulatorio, hablando de la importancia de la inversión en ciberseguridad como medida de prevención y de la creación de una estrategia desde la perspectiva académica para la formación educativa.  

UCU (Academia) - Agustina Santos 

Valora la ENC y la divide en tres dimensiones al visualizarla: normativa, intervención social y fiscalización. Respecto a la normativa, celebró la ENC como un instrumento que da autonomía al fenómeno del cibercrimen, ya que comúnmente se recurre a equivalencias funcionales con otros instrumentos a cuestiones en el ordenamiento vinculadas a la tecnología, en vez de crear herramientas específicas. Sin embargo, hay que determinar cuestiones conceptuales más claramente y cooperar más entre los actores y los dispositivos, que actualmente se menciona de forma genérica pero no de forma específica. En cuanto a la intervención social, se debe introducir la política de la gobernanza en la intervención social de manera más específica. Finalmente, la fiscalización viene más de la demanda de un incidente, por lo que se debe pasar a una actitud más proactiva. 

URCDP (Institución pública) - Flavia Baladán 

Ve importante no solo pensar en el documento de la ENC de forma teórica, sino que también en cómo llevarlo a la práctica considerando cuestiones como recursos humanos y presupuesto, y estableciendo un plan estratégico con los pasos necesarios para alcanzar el resultado deseado. Uruguay ya cuenta con instituciones e instrumentos que facilitan el camino de la Estrategia, como la Ley de Protección de Datos y órganos de control; sin embargo, hay que trabajar más en la coordinación con las competencias de estos organismos. 

BBVA (Sector privado) - Leandro Secco 

Celebró iniciativas como las Mesas de diálogo porque involucra la voz del sector privado, permitiéndole aportar a la ENC y conocer con antelación sus posibles efectos. También valora que esta instancia esté ocurriendo en año electoral, ya que indica la intención de que la ENC sea una política pública de Estado. La ENC debe incluir incentivos para el sector privado, que piensa en términos de rentabilidad, como un fondo de indemnidad. 

Parte B. Aportes específicos sobre el pilar a analizar en la mesa    

La discusión se dio de manera que los participantes fueron añadiendo aportes de manera conjunta, por lo que están organizados por tema en vez de por autor.  

Entre las recomendaciones elaboradas, figuran:  

Inclusión del sector privado 

Identificar incentivos claros para la inclusión del sector privado, que piensa en clave de rentabilidad, para que adopten una postura preventiva y proactiva. Surgió la propuesta de un fondo de indemnización y de incentivos tributarios para que sea atractivo para el sector privado y potencie la inversión extranjera.  

Definición de conceptos 

Definir cuestiones conceptuales de forma más clara y específica, para que se comprenda qué implica cada término en una definición única y para asegurar la competencia de las herramientas en las cuestiones adecuadas y no el uso de instrumentos de funcionalidad equivalente. 

Cooperación y coordinación 

Especificar más sobre la cooperación y la coordinación entre los actores y los instrumentos, que actualmente es muy general. 

Intervención social 

Introducir la política de la gobernanza en la intervención social de forma más específica. 

Fiscalización proactiva 

Actualmente, la fiscalización viene de la demanda de un incidente. Hay que pasar a una fiscalización más proactiva.  

Ampliación de la normativa 

Ampliar el marco normativo, considerando añadir normas de ciberseguridad para cuestiones procesales y ciberdelitos, con las que Uruguay no cuenta. Se consideran fallidas y estancadas las normas y discusiones sobre la regulación actuales. 

Organismo de ciberseguridad 

Crear un organismo o agencia de ciberseguridad que respalde la normativa, impulse la ciberseguridad y desarrolle la institucionalidad. Se entiende que AGESIC lleva adelante una labor formidable en esta materia actualmente, pero se reconoce que tiene otras tareas también y la ciberseguridad no es su único foco.  

Educación y cultura 

Brindar por parte del Estado una enseñanza sobre el uso responsable de las tecnologías a los estudiantes. Muchos ciberdelitos son cometidos por menores de edad, por lo que generar una cultura sobre el cibercrimen para potenciar la prevención e incorporar los valores es crucial, en el contexto en el cual las tecnologías han avanzado más rápido que la cultura de ciberseguridad hasta el momento. No puede existir la sanción por el cibercrimen sin una educación y cultura que dé a entender el problema. 

Brindar conocimiento de ciberseguridad al sector privado, con un enfoque en la prevención. Se sugiere canalizarlo a través de las Cámaras Empresariales para otorgar estrategias de prevención acordes al sector y al tamaño de las empresas.  

Ordenar la normativa actual 

Uruguay ya cuenta con leyes, decretos regulatorios y otras normativas de relevancia para el tema de ciberseguridad. Se debería identificar y compilar esta normativa para no repetir o hacer una norma que entre en conflicto con otra.  

Consideración de la competencia policial 

Para las investigaciones policiales es crucial encontrar un balance entre reducir los daños de los ciberataques y salvaguardar la evidencia que puede llevar al autor del crimen. Esto genera una tensión entre la protección de datos personales y la investigación que no se encuentra regulada. El debido proceso requiere de normas procesales y la enseñanza de los equipos.  

Asignación de recursos 

Destacar la asignación de recursos, la cual es crucial para que la Estrategia sea una política de Estado que asegure la continuidad y la capacidad de los diferentes actores para seguir la Estrategia de forma adecuada. Por este motivo, la iniciativa debería partir desde Presidencia, porque es quien tiene los recursos. 

Marco regulatorio certificable 

Hacer que la Estrategia sea un marco regulatorio certificable.  

Medidas de prevención 

Bajo la idea de que es mejor prevenir, la ciberseguridad tiene que funcionar como un seguro. Para esto es necesario que se conozca la importancia del tema y generar una estrategia desde la academia.  

Consideración de los aspectos procesales 

Las normativas actuales no consideran los aspectos procesales, lo que dificulta la práctica de la normativa y el acceso a la justicia. Debería tenerse en cuenta para el marco regulatorio. 

Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa 

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa

En general se encontraron muy de acuerdo con lo planteado dentro del pilar. Se propuso ampliar el objetivo con diferentes aportes detallados en la Parte B, debido a la transversalidad del tema y la diversidad de aspectos que abarca. 

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa 

Cultura de la ciberseguridad

Desarrollar una cultura de ciberseguridad como política agresiva con enfoques diferentes para los distintos actores: 

Para el sector privado se sugirieron cursos de capacitación adaptables sectorialmente, que incluyan un respaldo de capacitación especial a las startups y las pymes. 

Para el sector público se recomendó la capacitación de funcionarios públicos con reglas más prescriptivas. 

Para la población en general se propuso la capacitación mediante la incorporación de temas de ciberseguridad a la educación formal.  

Participación de múltiples actores 

Contemplar la participación de múltiples actores que no sean solo las personas. Se necesita un marco normativo que apunte a actores privados y públicos, y que considere la diversidad de contextos de acuerdo con los sectores y los grados de madurez. Según la situación de los actores, es importante pensar en generar incentivos económicos, específicamente tributarios.  

Acceso a la justicia 

Garantizar el acceso a la justicia en las distintas dimensiones, no solo en el área penal. Actualmente, hay una unidad de cibercrimen pero no abarca la justicia. Se consideró necesaria una mayor cooperación en los procesos y sumar al sistema existente competencias más específicas en vez de crear otro organismo nuevo. 

Hay varios aspectos de la justicia por mejorar. Por ejemplo, la primera acción podría ser un reclamo en la plataforma misma y luego la vía judicial. Se consideró que podría haber una unidad de feedback que trate este tipo de temas, que sirva de nivel anterior al judicial. 

Coordinación y gobernanza 

Institucionalizar la coordinación y la gobernanza, donde se definan los roles y responsabilidades de los actores de forma clara. 

Además, la coordinación debe ser entre los diferentes actores incluyendo los distintos instrumentos jurídicos que existen dentro de la temática de la ciberseguridad. 

Cooperación internacional 

Incorporar la cooperación internacional.  

Trazabilidad y dominabilidad digitales 

Contar con trazabilidad y dominabilidad digitales. Este enfoque surgió desde una propuesta sobre garantizar la soberanía digital del país, pero termina siendo descartada debido a que ya hay regulación sobre esto y no necesariamente asegura la seguridad territorial. Como de todas formas se consideró crucial tener contingencias, se decidió la incorporación de la trazabilidad y dominabilidad digitales.  

Presupuesto 

Prever un presupuesto de acuerdo a la propuesta de la ENC. 

Hubo diferentes ideas sobre cómo financiar la ENC. Por un lado, se propuso generar un impuesto a los celulares a una tasa razonable para financiar la ciberseguridad y la investigación de delitos cibernéticos. Sin embargo, esta idea fue rechazada por la mayoría de la mesa porque medidas como los impuestos no son atractivas para la población y otros actores, lo que disminuye las chances de que se implemente la ENC. Por otro lado, como alternativa a los impuestos, se propuso la imposición de sanciones si no se cumplen con ciertos estándares mínimos, como una multa si una contraseña es 12345, por ejemplo.  

Además, la financiación debe adaptarse a los diferentes actores. Para el sector privado podrían considerarse incentivos o exoneraciones tributarias, por ejemplo.  

Fiscalización 

Actualmente, el comité de gestión no cumple con potestad para fiscalizar varias temáticas de la ENC. Se debe definir quién es competente para facilitar la fiscalización y cuestiones jurídicas y judiciales. Mientras que algunos participantes ven como un problema que la fiscalización la lleve adelante un organismo público, otros no lo perciben así.  

Estándares 

Hacer que la ENC sea un marco certificable para que pueda utilizarse como estándar de buenas prácticas en ciberseguridad. La competencia correspondería a AGESIC.  

Transparencia 

Tener una transparencia activa, aunque se reconoce que es un tema delicado ya que no se le puede exigir a todos los actores. Se cuestionó si se podría interferir en el ámbito privado para lograr transparencia considerando que es un tema de interés nacional.  

Ordenar la normativa actual 

Recopilar, ordenar y sistematizar toda la normativa vigente sobre ciberseguridad que hay en Uruguay tanto para justificar la importancia como para ver qué hace falta.  

Glosario 

Definir los diferentes conceptos de ciberseguridad dentro de la ENC con criterios racionales para facilitar la comprensión. 

Flexibilidad 

Asegurar que el marco legal sea sólido pero adaptable a los diferentes actores, temas y sectores. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados

Los análisis, las acciones priorizadas y los actores vinculados identificados por los participantes se discutieron en conjunto con la Parte B, por lo que se encuentran plasmados allí.