Subgrupo 3
- Moderadora: Natalia Salazar, Agesic.
- Relatora: Daniel Miranda, ICD
- Participaron 8 (ocho) personas de 7 (siete) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
CLAEH (Academia) - Graciela Cami
Comenta que desde la Asociación de Escribanos están trabajando en la seguridad con respecto a la firma electrónica. Se debe hacer un trabajo de evangelización porque hay sectores más reacios, aunque están trabajando desde que salió la ley en 2009 e igualmente se ven los logros. Falta formación. Desde la Universidad CLAEH se concientiza sobre la importancia del tema. Las autoridades deben comprender que se trata de una política pública.
Ferrere Abogados (Sector privado) - Martín Pesce
Comenta que Uruguay tiene un buen punto de partida, tiene legislación avanzada en ciberseguridad, así como en protección de datos. Existe el marco de ciberseguridad de Agesic, por lo que en términos generales hay un buen punto de partida. Por lo menos así se percibe desde el sector privado.
Agesic (Institución pública) - Adrián Marrero
Sostiene que Uruguay tiene una posición que ha venido trabajando a lo largo de los años y se ha posicionado a nivel regional con un nivel muy maduro. Desde el área de seguridad, todavía se ven algunas dificultades en la regulación que es un poco laxa. Hay obligaciones, pero no hay sanciones. Cada organismo es distinto y tiene dificultades distintas, pero falta el impulso. Deberían verse sanciones frente al incumplimiento.
BCU (Institución pública) - Isabel Maroñas
En líneas generales está de acuerdo con el borrador. Los temas que resalta como más importantes son la necesidad de dejar claro los roles en los niveles de estrategia, táctico y operativo, y la necesidad de dotar a los responsables de poderes suficientes que les permita ejercer esa autoridad, así como posibles potestades sancionatorias. Sobre todo, destaca la necesidad de que todo esté acompañado de dotación de recursos para que no quede en letra muerta.
Un tema más específico del marco regulatorio es que el tema de cibercrimen es importante. Se debe reforzar el tema procesal y de la recolección de pruebas, ya que siempre hay dudas sobre la cadena de custodia y sobre qué es aceptable para la justicia. Aún hay mucho para acordar en esta temática.
Presidencia de la República (Institución pública) - Ariel Collazo
Argumenta que específicamente uno de los puntos más importantes es lograr el concepto de lo que se necesita para regularizar el tema de ciberseguridad y que todas las personas comprendan la importancia. Para esto es necesario tener un marco bien definido, tanto en el sector público como en el privado. Hay que tener claro las problemáticas que van a plantearse y crear una cultura en torno al tema. Se debe exigir a los organismos públicos y también a los proveedores. Hay que regular eso. Es necesario lograr que los niños desde la base conozcan todos los riesgos. En la parte privada el tema de seguridad es percibido como algo delicado. Falta mucha concientización sobre el hecho que la seguridad es una problemática de todos; hay que estar entrenando permanentemente a las personas. A veces el concepto del respaldo está tan diluido que tiende a perderse. Se necesitan personas comprometidas con el proceso.
Agesic (Institución pública) - Mauricio Papaleo
Coincide con que hay un buen punto de partida, pero le falta. Se debe complementar ese marco legal, con todo lo que va a implicar en la policía, la justicia, escribanos, abogados, etc. Pero hay que normar más fuerte los incidentes que se deben reportar y tiene que existir la figura del responsable de seguridad y sus responsabilidades definidas. Si hubo un problema y hubo una negligencia por parte del responsable, tiene que haber un marco legal que aporte sanciones. El responsable de su ejecución es un tema para ampliar. En ese marco legal debe estar incluida la concientización y la educación, en la escuela primaria, secundaria, etc. Todo esto debe estar definido en un marco legal.
Parlamento (Institución pública) -Darío Burstin
Afirma que el “contexto cambiante”, el dinamismo, puede ser un problema. Las potestades regulatorias a veces no son claras. Expresa dudas acerca de las potestades regulatorias y sancionatorias de la URSEC. Un marco solido debería definir las potestades regulatorias de cada institución para no tener que ir al parlamento ante cada necesidad. Debería haber un organismo con potestades regulatorias propias.
BID (Institución pública) - Ariel Nowersztern
Sostiene que cada pilar necesitaría contar con antecedentes, con una visión para ese aspecto y después las líneas de acción deberían cubrir la brecha entre la situación y la visión. Lo ve como un proceso de gestión, que identifica la brecha, prioriza, trabaja y mantiene un monitoreo del mundo cambiante. La estrategia podría establecer en qué se va a trabajar.
OEA (Institución pública) - Alexander Crowther
Enuncia que un tema importante es la concientización. Se podría desarrollar una campaña de información para legisladores, porque se necesita un marco legal y recursos. También se debe desarrollar la educación frente al crimen, ya que cada persona con acceso a internet es una vulnerabilidad. Una campaña de educación de los jóvenes garantizaría el éxito a largo plazo. Ejemplifica con el programa “salto del tigre” en Estonia, que empieza en el kínder. La ciber-educación va a prevenir el 80 por ciento de nuestros problemas. Se debe invertir en educación.
Ferrere Abogados (Sector privado) - Martín Pesce
Señala que las herramientas para prevenir en ciberseguridad son las tecnológicas, los marcos normativos y la educación, y sostiene que el 70% de los problemas en ciberseguridad se dan por fallas del factor humano. Por lo tanto, la educación es clave por la relevancia del factor humano.
Agesic (Institución pública) - Adrián Marrero
Argumenta que la concientización se puede integrar en el sector público y privado porque todo va a tener un impacto financiero, pero hay que tener en cuenta que si un ciudadano tiene un problema, debe saber dónde reportarlo, y disponer de herramientas legales a las que recurrir. Como usuario final, debo saber cuáles son las acciones posibles. Hay que habilitar herramientas para incidentes de seguridad para la ciudadanía, que debe ser concientizada desde la juventud. Los jóvenes son nativos digitales pero ignorantes en ciberseguridad y en las medidas que hay que tomar para exigirla. Deben crearse canales de comunicación claros para que la ciudadanía pueda reportar un incidente.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Parlamento (Institución pública) -Darío Burstin
Asegura que el documento tiene el nivel de abstracción que debe tener a esta altura del proceso. Pero se preguntaría el alcance, por ejemplo, de la conservación de datos. Hay organismos donde la información no se conserva, como aquellos en los que se elimina la casilla de una persona cuando deja de trabajar ahí. Plantea si la conservación de datos debería estar vinculada a esto, o si es otra cosa (BID - Ariel Nowersztern responde que la obligación de borrar datos puede ser también un tema de ciberseguridad).
Ferrere Abogados (Sector privado) - Martín Pesce
Explica que los datos deben ser eliminados cuando su conservación no cumple a los fines con los que se crearon. La conservación de la información tiene que ver con las responsabilidades legales. La conservación de datos tiene que ver con la ciberseguridad.
BCU (Institución pública) - Isabel Maroñas
Comenta que en el sector financiero hay una obligación de la conservación de ciertos datos por 5 años, pero depende de los marcos regulatorios de cada organismo.
Presidencia de la República (Institución pública) - Ariel Collazo
Afirma que la conservación depende de la trascendencia de la información, ya que conservar la información también implica un costo. Si no hay una regulación específica no se conserva la información sin razón. Por eso los marcos regulatorios son tan importantes: obligan a que se hagan ciertas cosas.
Agesic (Institución pública) - Adrián Marrero
Sostiene que debe estar regulado el tema del borrado.
OEA (Institución pública) - Alexander Crowther
Comenta que en ciertos países donde se está haciendo cosas importantes, se destruyen archivos, lo que hace que sea difícil escribir la historia de los procesos o de los hechos. Todo existe en archivos digitales y casi nada en formato papel; hay que tener cuidado con este tema para preservar la historia.
CLAEH (Academia) - Graciela Cami
Explica que hay bastante regulación en algunos temas, como el de identificación digital, pero igual faltaría un poco más de penetración. Además, se deberían establecer reglas claras en cuento a la recolección, cadena de custodia y presentación de la evidencia digital. También habría que incluir obligatoriamente en la currícula todo el tema de formación en ciberseguridad.
Además, faltaría un mecanismo articulador que permita actuar rápidamente.
BCU (Institución pública) - Isabel Maroñas
Cuenta que en el banco central se trabaja en educación financiera en algunos centros educativos, pero recién ahora se logró un convenio con CODICEN (Consejo Directivo Central de la Administración Nacional de Educación Pública) para incorporarla a la currícula. Ahora hay que operativizarlo.
Agesic (Institución pública) - Mauricio Papaleo
Subraya que el marco legal debería ser claro sobre cómo comunicar todos estos temas a nivel general. Desde Agesic se avanza, pero no se llega a toda la población. También se debe mejorar la colaboración entre el sector público y el privado, armar algo más colaborativo con recursos humanos y financieros. A veces hay una muralla de leyes que lo impide.
Añade que no hay organización que por sí sola pueda superar un incidente. Enfatiza en la importancia de armar una sinergia y colaborar sin complicaciones de por medio. Debería haber una forma de activar esos mecanismos rápidamente.
Ferrere Abogados (Sector privado) - Martín Pesce
Sostiene que las regulaciones que se están discutiendo tienen que aportar valor que se base en principios que puedan soportar el paso del tiempo. Hay que tener cuidado con la sobrerregulación, porque puede ser una barrera, limitar la innovación y la competitividad. La híper-regulación puede que nos ponga en una situación más compleja.
Pide que no se convierta solo en una “checklist”, sino que se desarrollen estrategias a conciencia.
Parlamento (Institución pública) - Darío Burstin
Indica que tal vez la legislación debería ser más basada en estándares que en reglas. Los estándares son reglas más abiertas. El control puede ser más difícil. La claridad del marco legal es fundamental.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Los objetivos planteados están validados con algunas consideraciones a los mismos:
- El marco legal, además de ser sólido y coherente como se indica en la ENC, debe ser claro y debe adaptarse a los cambios;
- Necesidad de establecer roles y responsabilidades;
- Énfasis en que el marco normativo debe basarse en estándares más que en reglas;
- Debería incluirse la gestión de riesgo;
- También debería incluirse la concientización y educación dentro del marco normativo.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Las personas participantes plantearon ciertas actividades para desarrollar:
Hace falta un órgano que tenga potestades propias para poder actuar rápidamente con carácter de una agencia reguladora, que le pueda dar agilidad y a su vez, sea un servicio autónomo, cuya ventaja es tener menos incidencia del poder político con presupuesto propio. Se pone como ejemplo la Agencia de Chile. Esto no quita que puedan seguir existiendo los comités asesor y operativo.
Sería importante la creación de un Observatorio de Ciberseguridad.
Generar un proceso de elaboración normativa que involucre a la diversidad de partes involucradas incluyendo una consulta pública y debida rendición de cuentas.
Hacer un análisis de impacto regulatorio.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Se subrayó que deberían estar involucrados los colegios de abogados y escribanos, así como la academia.
Se planteó la duda de que, más allá de que actualmente existe un comité asesor y un comité de gestión, y que Agesic coordina a los dos comités, se debería empoderar a algún órgano más. Deberían estar involucrados los colegios y las cátedras y ser liderado por Agesic.
Las acciones se ven viables en un plazo de 5 años, el tema es presupuestal. Son acciones que se pueden abrir en sub-acciones y realizar al menos algunas. Para ello sería importante contar con indicadores.
En cuanto al orden de las acciones se menciona que se debería priorizar a la primera línea de acción (“Definir los niveles, organizaciones y responsabilidades para la gobernanza a nivel Estratégico, Operativo y Sectorial”) del primer objetivo.