Mesa de trabajo "Gobernanza y Marco normativo"

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Subgrupo 4

  • Moderadora:  Nancy Ibarra, Agesic.  
  • Relatora: Marcelo Castillo y Mauro Parada, ICD 
  • Participaron 10 (diez) personas de 8 (ocho) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.

Ronda 1. Intercambio sobre el borrador 

En esta primera ronda se discutió acerca del pilar “Gobernanza y marco normativo” tal como planteado en la propuesta borrador.   

URUDATA (Institución privada)- José Callero 

Destacó que los pilares de la estrategia están definidos de manera demasiado estanca, sugiriendo que deberían ser más generales, centrándose en temas como la generación de confianza y de capacidades, y sobre esos conceptos avanzar. Señaló la dificultad de generar confianza cuando los objetivos son abordados por diferentes entidades, y recomendó definir objetivos transversales con líneas de acción más claras y específicas. Subrayó la necesidad de una base que describa la situación actual para saber qué se necesita para alcanzar los objetivos propuestos. Sugirió que las líneas de acción deberían ser más concretas y detalladas, alineadas con un "norte estratégico", y propuso ampliar la descripción de los objetivos de gestión para incluir una visión estratégica clara. 

BCU (Institución pública) - Daniel Fernández 

Expresó que existe un protocolo y un departamento especializado, pero destacó la falta de aplicación y de competencias jurisdiccionales, señalando que esto debe ser abordado a través del sistema judicial. Subrayó que, en muchos casos de fraude, el delincuente es alguien cercano a la víctima, lo que complica la situación. Comentó que todas las compañías trabajan con un porcentaje de fraude previsto y equilibran la inversión en ciberseguridad con los costos del fraude. Enfatizó la importancia de una coordinación efectiva y centralizada, sugiriendo que Agesic debería ser la entidad encargada, con capacidad de hacer cumplir y suficientes recursos. Además, mencionó las dificultades legales, como el secreto bancario, que complican la colaboración entre bancos. 

CEIBAL (Institución pública) - Isabel Fernández 

Consideró importante observar lo que ocurre en otros países para definir si la estrategia nacional está en consonancia con prácticas internacionales. Sugirió realizar un relevamiento para determinar el punto de partida y el nivel de madurez en ciberseguridad del país. También destacó la importancia de identificar y asegurar los recursos necesarios, ya que a veces los órganos regulatorios carecen de los recursos para funcionar adecuadamente, como en el caso de las sanciones. Finalmente, enfatizó que deberían existir mecanismos y medidas concretas para cumplir con los objetivos de gestión, incluyendo la prevención y el manejo de crisis. 

UAIP (Institución pública) - Mariel Lorenzo 

Propuso la inclusión de un glosario para aclarar términos y hacer el documento accesible para todos. Expresó dudas sobre la capacidad del Estado uruguayo de abordar adecuadamente la supraterritorialidad en ciberseguridad y cuestionó el entendimiento de la ciberseguridad como objetivo de gestión. Consideró que la seguridad debe ser un objetivo en sí misma, bien definido y medible, y que las líneas de acción deberían enfocarse en cómo implementar este marco administrativo. Además, subrayó la importancia de utilizar un lenguaje claro y comprensible, y sugirió revisar términos como "datos informáticos" y "sólido" en el contexto jurídico. También resaltó la necesidad de considerar la privacidad y la transparencia de la información, y cuestionó la pertinencia de términos como "ciberresiliencia". También, destacó que es esencial que todos los organismos estatales incluyan la ciberseguridad en su planificación y que se definan claramente las normas y regulaciones necesarias. 

Agesic (Institución pública) - Gonzalo Sosa  

Comentó sobre la reciente Ley 20.212, la cual establece una nueva estructura en seguridad e información, incluyendo nuevas obligaciones para organismos públicos, la creación de la Dirección de Ciberseguridad y un registro nacional de incidentes de seguridad. También mencionó que hay muchas disposiciones que aún están pendientes de reglamentación y que actualmente existen documentos disgregados. Sugirió que el marco normativo debería estar bien definido y separado de las líneas de acción para no condicionarlas, además de aclarar el alcance y a quiénes impacta el marco. También destacó la necesidad de unificar y clarificar los términos relacionados con el marco legal y regulatorio. 

BID (Institución pública) - María Inés Vázquez  

Señaló la necesidad de actualizar y ampliar el marco normativo de ciberseguridad para incluir conceptos como la supraterritorialidad, que actualmente no están bien representados en los pilares del documento. Además, subrayó la importancia de involucrar a actores judiciales y fiscales en el desarrollo del marco normativo, ya que son fundamentales para la aplicación de las regulaciones relacionadas con cibercrimen y ciberdelitos. También sugirió que para integrar la ciberseguridad como un objetivo de gestión, se deben considerar ajustes presupuestarios y administrativos específicos, prefiriendo el término "marco administrativo" sobre "marco regulatorio". Además, destacó la mayor rapidez del sector privado en implementar medidas de seguridad y propuso que la gobernanza debería ser el objetivo principal, compuesto por actores, recursos y mecanismos claros, posiblemente gestionado por un organismo organizacional dedicado. Finalmente, recomendó incluir una línea de acción detallada que explique cómo poner en marcha y medir los objetivos de gestión, con una guía de implementación específica. 

UDELAR (Academia) - María José Viega  

Destacó que Uruguay ha avanzado en la institucionalización y creación de un marco jurídico para la ciberseguridad, con entidades como la Dirección de Ciberseguridad de Agesic, el Ministerio de Defensa, y Antel, entre otros. Sin embargo, señaló la necesidad de mejorar en áreas críticas como la salud y la implementación de criptografía, donde la firma electrónica avanzada no se utiliza ampliamente. También mencionó la importancia de la guía de ciberseguridad sectorial, que no está suficientemente integrada en la estrategia general. Resaltó la urgencia de abordar los ciberdelitos, la falta de adhesión al Convenio de Budapest, y la necesidad de crear efectivamente el comando conjunto de ciberdefensa, como establecido en el decreto 271/020. Además, insistió en la importancia de definir mecanismos de coordinación y fortalecer los procedimientos de comunicación existentes, especialmente en el contexto del CERTuy. Subrayó que la línea de base de la estrategia debería incluir la institucionalidad existente, aunque reconoció el problema global de falta de técnicos especializados en ciberseguridad. 

Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa 

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa

Se recalcó la necesidad de definir claramente los objetivos y las acciones asociadas, estableciendo una visión estratégica coherente.  

También se recomendó, en el objetivo de “Establecer la gobernanza nacional de ciberseguridad (...)”, agregar una visión más estratégica de lo que se quiere, y alinear todas las líneas de acción establecidas en gobernanza, marco regulatorio y en objetivos de gestión, debajo de esa visión integral de gobernanza e institucionalidad. 

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

Se recomendaron varias acciones:  

  • Línea de base y roles: Realizar un relevamiento para establecer una línea de base, redefinir roles y responsabilidades, y establecer mecanismos de coordinación. 

  • Fortalecimiento del CERTuy: Es importante fortalecer al CERTuy y otros sectores relacionados. 

  • Recursos y capacitación: Identificación de la falta de técnicos y recursos humanos, con propuestas de acuerdos con instituciones educativas para la capacitación. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados   

En la Ronda 2 se consideró pertinente priorizar las siguientes acciones:  

  • Definir los mecanismos de coordinación estableciendo una gobernanza clara que incluya actores, normas y recursos necesarios.  

  • Proponer un marco legal y normativo adecuado y actualizado, incluyendo la privacidad y el acceso a la información.  

  • Desarrollar líneas de acción prácticas y detalladas para la implementación efectiva del marco normativo.  

Para ello, será necesario

  • Hacer un relevamiento de la normativa de la institución a corto plazo: compilarla, elaborar una definición de la nueva institucionalidad, determinar la brecha a cubrir, y fortalecer los mecanismos que ya existen para optimizar recursos. 

  • Establecer la ciberseguridad como objetivo de gestión, teniendo en cuenta que es un bien organizacional, y estableciendo organizaciones tanto públicas como privadas, y trabajar el concepto de cómo se mide la ciberseguridad como objetivo de gestión dentro de las organizaciones, estableciendo un marco administrativo de cómo se lleva adelante, qué se mide y cómo.  

  • Elaborar un glosario con los conceptos importantes, como “marco sólido”, “resiliencia”, “supraterritorialidad”, “ciberespacio”, entre otros.  

  • Destinar recursos. 

 

 

Etiquetas

Políticas de Ciberseguridad Ciberseguridad Política Digital del Uruguay