Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

• Moderadora: Ninoschka Dante, Agesic  
• Relatora: Marta Susana Manent, ICD 
• Participaron 10 (diez) personas de 9 (nueve) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.

Ronda 1. Intercambio sobre el borrador 

Parte A. Aportes generales sobre la propuesta borrador

DENTONS (Sector privado) - Mariela Ruanova  

Considera que la propuesta abarca todas las temáticas y cubre todos los puntos. Le parece que la educación es muy importante y que los usuarios y las empresas (privadas, sobre todo) tienen clara la normativa con respecto a la protección de datos. Indica que es importante reforzar el área de sistemas de pagos, por la vulneración de datos y por el riesgo. 

MIEM (Institución pública) - Agustina Pérez Comenale  

Propone separar los “grises”. Comenta que hay áreas que necesitan regulaciones específicas, y que debería introducirse un sistema de escalas para distintos niveles de necesidades en materia de ciberseguridad. Considera que es difícil enmarcar todo en la misma línea. 

UCU (Academia) - Julio Lens  

Comenta que la estrategia tiene niveles de profundidad modestos, que es muy superficial. Cree que a este nivel de mención de los temas no hay disputas sino una expresión de deseos. Estima que como punto de arranque es maravilloso, pero luego los privados tendrán temas de cuestionamiento como por ejemplo si los datos, todos, deben ser reportados. Considera que, en materia penal, además de la adhesión al Convenio de Budapest, hay que ampliar una enorme cantidad de figuras y normas. 

Parte B. Aportes específicos sobre el pilar a analizar en la mesa

Agesic (Institución pública) – Jimena Hernández  

Celebra la iniciativa de la estrategia desde el punto de vista legal. Es urgente establecer reglas más claras y le preocupa que no se ha interactuado con los privados. Entiende que, en materia de cibercrimen, es necesario tipificar. Resalta que hay un proyecto, el cual es perfectible. Precisa que la normativa no sirve si no se acompaña con las herramientas necesarias de calidad para hacer las investigaciones en las fiscalías y considera que ese es otro desafío. Plantea la necesidad de establecer reglas de cooperación público/privada y establecer en esas reglas también qué se le pide al privado y cuándo. 

Hace hincapié en que es importante concientizar sobre los daños que pueden provocar las falencias en seguridad, estandarizar qué se exige como nivel de seguridad, y luego auditar y controlar. Entiende que el control preventivo es prioritario, antes de la auditoría. Propone sumarle una guía pública para controlar las acciones frente al incumplimiento y las modalidades de sanción frente a otro organismo estatal. Además, menciona los inconvenientes asociados al publicar los niveles bajos de ciberseguridad de un organismo, interrogando qué mecanismos serían los más apropiados.  

Reconoce que se sabe que hay que fiscalizar, pero no se cumple, aún de sector público a sector público, y menciona lo presupuestario como un escollo a superar. Manifiesta que es necesario cuantificar y dar visibilidad a los costos de “tapar el agujero y que no entre más agua”, además de lo que después hay que gastar en forense, y que hay que poner sobre la mesa lo que se gasta en general. También menciona que hay algunos ítems regulatorios más dispersos y que debería ser más sectorial. 

AIN – Rodrigo Pagliaro - (Institución pública) 

Sostiene que lo fundamental es desarrollar la formación, las capacitaciones. 

AMEPP (Institución pública) – Jonnathan Silva  

Percibe el documento como un paso base, abarcativo, que va a ir instrumentándose. Señala que ya hay un marco normativo y existen decretos. Efectivamente, está la obligación pero no el cumplimiento. Esto se agilizaría definiendo un responsable de ciberseguridad. Considera que más allá de desarrollar un marco normativo abarcativo, el desafío es más estratégico: es hacerlo cumplir con un nivel de madurez inicial. La estrategia tiene que ser más estática que el dinamismo de la política: debe ser más bien una estrategia de Estado. 

ANCAP (Institución pública) - María Nela Moreno  

Comenta que no cambiaría ninguno de los pilares. Entiende la importancia de que estén claros los roles. Propone poder certificar a las empresas privadas que brindan servicios al sector público para tener confianza a la hora de las contrataciones. Estima que es muy importante el desarrollo de las capacidades, y que acompañe la sociedad; en especial, los abogados. Refiere que ha habido situaciones donde ante la comisión de un delito no se encuentra respaldo porque la evidencia no quedó bien recogida. Considera que debe haber capacitación y que es algo que está lejos de la situación actual. Indica que es muy necesario definir un marco y que luego exista un mecanismo de control, por eso insiste en la certificación. 

Entiende que el control del cumplimiento efectivo y la fiscalización pública que acompañe estos procesos no se ve contemplada en el documento. Propone la creación de un Regulador que ayude y que también se arme un cronograma de ayuda y mejora. 

CSIRT (Institución pública) – Cristian Bravo  

Comparte la experiencia en su país, Chile, y resalta que el interés del privado es distinto del público. Cuenta que a fin de asegurar el cumplimiento y saber quién tiene que hacerse cargo llegaron a instaurar que el responsable final en un servicio público es el director, entonces la mayor parte de la penalización va a sueldo o a suspensión del director. Reconoce que es controversial, pero funciona muy bien. También, en lo que es incentivos en vez de castigos, refiere que hubo un Programa de Mejoramiento de la Gestión y el sueldo dependía del cumplimiento de objetivos con porcentajes sobre cumplimiento. También insistió en que es necesario separar el “qué” del “cómo”. Opina que no se va a definir el cómo en este momento, y enfatiza que una vez que uno define el “qué”, no hay infinitas maneras del “cómo” sino que finalmente hay dos o tres modos.  

DENTONS – (Sector privado) Mariela Ruanova  

Propone ver cómo incentivar en vez de cómo penalizar. Sugiere como ejemplo incentivar con un beneficio fiscal al sector privado. Señala que existe un programa de mejora de la gestión, pero hay que unirlo con ciberseguridad. Considera que hay normas que tendrían que ser del sector privado en sí, específicamente, en algunas líneas más allá de la interacción con lo público. 

MIEM – (Institución pública) Agustina Pérez Comenale  

Estima que además de buenas prácticas, es necesario agregar el aspecto de auditoría como subcapítulo. Considera que incentivar es positivo y que ayude también difundir, porque en general se cree que lo que se destina a ciberseguridad es un costo hundido. 

MIEM (Institución pública) Sebastián López 

Plantea dudas: ¿Cómo se va a encarar la parte normativa? Si es una ley marco, ¿qué abarcará? porque lo penal va por otro lado. Indica que la ley marco va a necesitar leyes especiales, que serían las más importantes.  

UCU – (Academia) Julio Lens  

Propone dejar el tema de la sanción y la fiscalización para cuando esté claro qué tiene que cumplir cada actor. Señala la necesidad de determinar un umbral mínimo para cada sector, incluyendo al sector privado, que hoy en día no está muy involucrado. Una vez definido ese umbral, hay que determinar cómo hacer para alcanzarlo, y recién ahí prever una sanción eventual cuando haya apartamiento. 

Toma el ejemplo del mecanismo de prevención de lavado, que en ciertos aspectos no fue provechoso pero dio buenas enseñanzas desde el punto de vista de la necesidad de dialogar con todas las partes. La estrategia no puede elaborarse desde una posición de confrontación. 

Finalmente, subrayó que es un buen momento para establecer las bases para generar una cultura de cumplimiento.  

Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa 

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa

En líneas generales fueron validados los objetivos, y se señaló que es difícil estar en desacuerdo con ellos. Los desacuerdos, se sostuvo, aparecerán a la hora de interpretarlos e implementarlos. Se subrayó que el marco regulatorio debe incluir grises, se transversal, y hacer referencia a la gobernanza, al cibercrimen, a las infraestructuras críticas, etc. 

Se mencionó que en materia de cibercrimen existe un proyecto que tiene avance de aprobación legislativa, pero que tiene que adoptarse algo más integral. Además, lo que no hace este proyecto es revisar el Código Penal. Se indicó que se ha intentado aprobar una reforma al Código Penal varias veces, aún sin éxito. Sin embargo, desde un punto de vista técnico, el Código Penal es muy limitante porque hace imposible tomar ciertas acciones directas ante un ciberdelito. 

Se sostuvo que hay que considerar si es importante impulsar una ley marco. Es clave establecer criterios mediante normativas y generar instrumentos para los controles y la gobernanza. Sin embargo, hay que buscar consenso y generar una cultura del cumplimiento, para lo que es necesario pensar en programas de mejoramiento en la gestión y construir instrumentos que vayan por fuera de lo normativo.  

También se recomendó incluir la educación en ciberseguridad en las empresas en algún punto, sea en los objetivos o en una hoja de ruta.   

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

Se planteó que es crucial gestionar los datos, ya que existe la información pero faltan los recursos para procesarla. Hay que invertir porque de lo contario será más caro solucionar incidentes. A partir de la información existente, es necesario analizar en qué escalón estamos para poder ascender, crecer. 

Surgió la duda de si alcanza con aprobar una ley de tipificación de ciberdelito, y se sostuvo que también harían falta otras instancias. Por ejemplo, es necesario capacitar al policía que está en primera línea y darle las herramientas para la preservación de la evidencia digital.  

Se debatieron las posibilidades de control y sanción, enfatizando las dificultades ligadas al cumplimiento en el sector público y la importancia de generar mecanismos efectivos.  

Se propuso que la ciberseguridad en cada estructura sea parte de sus planes estratégicos.  

Se señaló que hoy en día, aquellas organizaciones que forman parte de los servicios críticos del país, públicas o privadas, están obligadas a cumplir criterios estándares de ciberseguridad según la Ley 20.212, enfatizando que falta el decreto que reglamente quién tiene que cumplir qué.  

Se sugirió aprovechar la experticia de Agesic, que está preparando un marco de ciberseguridad con el que audita a las entidades públicas, en vez de pagar la auditoría a terceras partes. Se podría establecer una auditoría interna, pero requeriría recursos porque hoy en día Agesic no tiene los medios. Se propuso también estudiar la viabilidad y pertinencia de que las auditorías dentro de la Administración Central sean realizadas por la AIN con un paréntesis gigante que implica el tema presupuestario. Sería un camino que llevaría a una norma para penalizar. 

Además, se hizo hincapié en la necesidad de designar responsables por sector. Se sugirió, por otro lado, que una vez designados los responsables, cada sector y cada inciso gestione sus modos de cumplimentar. Si no hay voluntad de cumplir desde adentro, se resaltó, será muy difícil hacer cumplir desde afuera.