Mesa de trabajo "Gobernanza y Marco normativo"

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Resumen del intercambio 

A continuación, se presenta el informe general de la mesa de trabajo “Marco normativo de la ciberseguridad” donde se encuentran sistematizados y sintetizados los aportes de cada subgrupo. Se mantuvo la estructura estipulada en la agenda de la actividad, que consistió en dos rondas de intercambio. 

Cabe destacar que si bien cada una de las rondas de participación tenía foco en un eje específico de la ENC, en la mayoría de los casos la discusión se vio enriquecida excediendo la temática propuesta. 

Parte 1. Ronda de intercambio sobre el borrador 

Esta primera ronda se dividió en dos partes, en las cuales los y las participantes realizaron aportes sobre el borrador. En la primera parte identificaron aportes generales sobre la propuesta, mientras que en la segunda identificaron aportes específicos sobre el pilar “Gobernanza y Marco normativo”. 

Parte A. Aportes generales sobre la propuesta borrador

En esta primera parte, la pregunta disparadora fue: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno al Marco normativo de la ciberseguridad? 

Se valoró la propuesta y se consideró que abarca todas las temáticas y cubre todos los puntos. Sin embargo, también se comentó que aún está a nivel general, y que se deben prever debates y cuestionamientos. Para esto se enfatizó la importancia de involucrar al sector privado, permitiéndole aportar a la ENC y anticipar posibles críticas. 

En efecto, se sostuvo que los actores involucrados van más allá de aquellos que tienen un vínculo estricto con la materia, y es importante que todos se sientan colaboradores legítimos para la ENC durante todo el proceso de creación. Las Mesas de diálogo son espacios muy importantes como instancia de colaboración entre diferentes actores para la apropiación de la ENC.  

Se coincidió en que hay un buen punto de partida en Uruguay, pero aún quedan deficiencias y vulnerabilidades. La regulación es laxa, ya que establece obligaciones, pero no existen sanciones asociadas a la misma. Se debe establecer una línea de base que describa la situación actual, reforzar el marco legal y complementarlo con otras instancias. Un marco legal sólido también tendría que definir las potestades regulatorias de cada institución. 

También se afirmó que los pilares de la estrategia están definidos de manera demasiado estanca; deberían ser más generales y centrarse en la generación de confianza y de capacidades. Se puso énfasis en la dificultad de generar confianza cuando los objetivos son abordados por diferentes entidades, y en la importancia de una coordinación efectiva y centralizada (se sugirió que Agesic podría ser la entidad encargada, con capacidad de hacer cumplir y recursos). Se recomendó definir objetivos transversales con líneas de acción más concretas y detalladas, y ampliar la descripción de los objetivos de gestión para incluir una visión estratégica clara. 

Para prevenir en ciberseguridad, se requieren herramientas tecnológicas, marcos normativos y educación. Se subrayó que es deber del Estado capacitar, tanto a las personas que integran el sistema jurídico como a los usuarios en general. Se señaló que falta formación, y las autoridades deben comprender que se trata de una política pública. Además, los usuarios deben conocer la normativa vigente y saber adónde acudir en caso de incidentes. Esto es parte de crear una cultura en torno al tema.  

En resumen, se celebró la ENC como un instrumento que da autonomía al fenómeno del cibercrimen, pero se resaltó que falta determinar cuestiones conceptuales más claramente y cooperar más entre los actores y los dispositivos, lo que actualmente se menciona de forma genérica pero no de forma específica. Se debe pensar en cómo llevar al documento de la ENC a la práctica considerando aspectos como recursos humanos y presupuesto, y estableciendo un plan estratégico con los pasos necesarios para alcanzar el resultado deseado.  

Parte B. Aportes específicos sobre el pilar a analizar en la mesa

En esta parte, las personas participantes respondieron a la pregunta: ¿Qué aspectos específicos de marco normativo creen que podrían mejorarse o añadirse en el pilar “Gobernanza y Marco normativo” con el fin de establecer el marco legal y regulatorio de la ciberseguridad de Uruguay? 

Durante el desarrollo, los y las participantes propusieron una serie de mejoras:  

Ordenar la normativa actual 

Uruguay ya cuenta con leyes, decretos regulatorios y otras normativas de relevancia para el tema de ciberseguridad. Se debería identificar y compilar esta normativa para no repetir o hacer una norma que entre en conflicto con otra. Para eso, ante todo, es necesario determinar una línea de base de la estrategia, que incluya la institucionalidad existente y el nivel de madurez en ciberseguridad del país. 

Pilares y confianza  

Se sugirió que los pilares de la estrategia deberían enfocarse más en generar confianza y capacidades, en lugar de ser tan estancos. 

Cooperación y coordinación 

Se resaltó que se debe especificar más sobre la cooperación y la coordinación entre los actores y los instrumentos, que actualmente es muy general. Definir mecanismos de coordinación y fortalecer los procedimientos de comunicación existentes. 

Además, se habló de la importancia de involucrar a actores judiciales y fiscales en el desarrollo del marco normativo.  

Distribución de roles y responsabilidades  

Se destacó la necesidad de dejar claros los roles en los niveles de estrategia, táctico y operativo, y la necesidad de dotar a los responsables de poderes suficientes que les permita ejercer esa autoridad, así como posibles potestades sancionatorias.  

Inclusión del sector privado 

Se enfatizó en la necesidad de interactuar con el sector privado, establecer reglas de cooperación público/privado, y establecer en esas reglas también qué se le pide al sector privado y cuándo. Esto debe incluir recursos humanos y financieros, y mecanismos rápidamente activables de colaboración.  

También se destacó que se deben identificar incentivos claros para la inclusión del sector privado, y que este adopte una postura preventiva y proactiva. Surgió la propuesta de un fondo de indemnización y de incentivos tributarios para que sea atractivo para el sector privado y potencie la inversión extranjera.  

Definición de conceptos y creación de glosario 

Se puso énfasis en la necesidad de definir temas conceptuales de forma más clara y específica, para que se comprenda qué implica cada término en una definición única y para asegurar la competencia de las herramientas en las cuestiones adecuadas. Se subrayó la importancia de utilizar un lenguaje claro y comprensible, y se sugirió revisar términos como "datos informáticos" y "sólido" en el contexto jurídico. 

Se propuso crear un glosario para aclarar los términos y hacer el documento accesible para todas las personas.  

Ampliación de la normativa 

Se recomendó ampliar el marco normativo, considerando tipificar en materia de cibercrimen añadiendo normas de ciberseguridad para cuestiones procesales y ciberdelitos, con las que Uruguay no cuenta. Se consideran fallidas y estancadas las normas y discusiones sobre la regulación actuales. Además, se enfatizó la necesidad de actualizar y ampliar el marco normativo de ciberseguridad para incluir conceptos como la supraterritorialidad. 

Sin embargo, también se recalcó el riesgo de la hiperregulación, que puede ser una barrera, limitar la innovación y la competitividad. Desarrollar estrategias a conciencia. 

Se sugirió basar la legislación en estándares más que en reglas, ya que éstos son más abiertos.   

Acompañamiento del marco normativo 

Se expresó la necesidad de acompañar la normativa con herramientas de calidad para hacer investigaciones en las fiscalías.  

Para las investigaciones policiales es de suma importancia encontrar un balance entre reducir los daños de los ciberataques y salvaguardar la evidencia que puede llevar al autor del crimen. Esto genera una tensión entre la protección de datos personales y la investigación que no se encuentra regulada. El debido proceso requiere de normas procesales y la enseñanza de los equipos. 

Capacitación y formación 

Se resaltó que la capacitación es fundamental para todos los actores, desde todo el sistema judicial hasta los usuarios. 

Además, se propuso brindar conocimiento de ciberseguridad al sector privado, con un enfoque en la prevención. Se propuso certificar a las empresas privadas que brindan servicios al sector público para tener confianza a la hora de las contrataciones.  

Se enunció que se debe concientizar sobre los daños que pueden provocar las falencias en seguridad. Si no se estandarizan las exigencias en seguridad, no se puede auditar y controlar.  

Educación y cultura 

Se sostuvo que el Estado debe brindar enseñanza sobre el uso responsable de las tecnologías a los y las estudiantes, e incluirla en el currículo educativo. No puede existir una sanción por el cibercrimen sin educación y cultura que permita entender el problema. 

También debe haber una estrategia de comunicación clara para llegar a toda la población.  

Fiscalización proactiva 

La fiscalización debe ser contemplada en el documento. Actualmente, la fiscalización surge de la demanda a partir de un incidente. Se debería pasar a una fiscalización más proactiva.  

Además, actualmente existen obligaciones sin cumplimiento. El desafío, más allá de desarrollar una normativa, es estratégico: es hacer cumplir con un nivel de madurez inicial.  

Se hizo énfasis en el incentivo en vez de la penalización.  

También se propuso crear una auditoría, e integrar esta iniciativa como un subcapítulo.  

Se planteó determinar un umbral mínimo para cada sector. Una vez definido ese umbral, determinar cómo hacer para alcanzarlo, y recién ahí prever una sanción eventual cuando haya apartamiento. 

Sistema de escalas  

Debería introducirse un sistema de escalas para distintos niveles de necesidades en ciberseguridad.  

Marco regulatorio certificable 

La Estrategia debería ser un marco regulatorio certificable. 

Organismo de ciberseguridad 

Se planteó la posibilidad de crear un organismo o agencia de ciberseguridad que respalde la normativa, impulse la ciberseguridad y desarrolle la institucionalidad. Se entiende que Agesic lleva adelante una labor formidable en esta materia actualmente, pero se reconoce que tiene otras tareas también y la ciberseguridad no es su único foco. Se requiere una entidad centralizada, sea Agesic u otra, para coordinar las acciones de ciberseguridad y cumplimiento. 

Además, se resaltó la importancia de que todos los organismos estatales incluyan la ciberseguridad en su planificación y que se definan claramente las normas y regulaciones necesarias.  

Asignación de recursos 

Se deben identificar y asegurar los recursos necesarios como prioridad, para que la ENC no quede en la teoría.  

Es necesario dar visibilidad a los costos de los incidentes de ciberseguridad. 

Política de Estado 

La Estrategia deber ser una política de Estado, de manera que se asegure la continuidad y la capacidad de los diferentes actores para seguirla de forma adecuada. 

Medidas de prevención 

Bajo la idea de que es mejor prevenir, la ciberseguridad tiene que funcionar como un seguro. Para esto es necesario que se conozca la importancia del tema y generar una estrategia desde la academia. 

Cibercrimen y comunicación de incidentes  

Se hizo énfasis en la importancia de no avergonzarse de los incidentes de ciberseguridad y comunicar estos problemas abiertamente. 

Consideración de los aspectos procesales 

Las normativas actuales no consideran los aspectos procesales, lo que dificulta la práctica de la normativa y el acceso a la justicia. Debería tenerse en cuenta para el marco regulatorio. 

Consideración de las prácticas internacionales  

Se resaltó la importancia de observar lo que ocurre en otros países para definir si la estrategia nacional está en consonancia con prácticas internacionales.  

Cambios en la redacción  

En cuanto a la redacción, se sugirió que para integrar la ciberseguridad como un objetivo de gestión, se deben considerar ajustes presupuestarios y administrativos específicos, prefiriendo el término "marco administrativo" sobre "marco regulatorio". 

También se propuso cambiar el término "ciudadanía" por "personas" para un enfoque más inclusivo y claro. 

Temas invocados que se deben incluir en el marco regulatorio 

Conservación de datos. 

Recolección, cadena de custodia y presentación de la evidencia digital.  

Se señalaron deficiencias en sectores específicos como la salud y el sector bancario, que necesitan más avances, especialmente en temas de ciberseguridad y fraude con tarjetas de crédito. 

Finalmente, se plantearon dudas acerca de la necesidad de una ley marco y lo que abarcaría. Se invocó la idea de incluir una línea de acción detallada que explique cómo poner en marcha y medir los objetivos de gestión, con una guía de implementación específica. 

Parte 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa  

La segunda parte del intercambio se dividió en tres partes centradas en aportes estratégicos que incluían plantear objetivos, proponer actividades específicas y analizar su viabilidad.  

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa  

En esta parte las personas participantes discutieron acerca de los objetivos planteados respecto al marco normativo en el pilar “Gobernanza y Marco normativo”. 

En líneas generales fueron validados los objetivos, pero se señaló que es difícil estar en desacuerdo con ellos ya que son muy amplios. En esa línea, se recalcó la necesidad de definirlos y sus acciones asociadas claramente, y de establecer una visión estratégica coherente. Se propuso ampliar los objetivos con distintos aportes detallados en la Parte B, debido a la transversalidad del tema y la diversidad de aspectos que abarca. 

Los objetivos planteados están validados con algunas consideraciones a los mismos: 

  • El marco legal, además de ser sólido y coherente como se indica en la ENC, debe ser claro, adaptarse a los cambios, incluir grises y ser transversal; 
  • Necesidad de establecer roles y responsabilidades; 
  • Énfasis en que el marco normativo debe basarse en estándares más que en reglas; 
  • Debería incluirse la gestión de riesgo; 
  • También debería incluirse la concientización y educación dentro del marco normativo, sea en los objetivos o en la hoja de ruta. 
  • Se recomendó, en el primer objetivo (“Establecer la gobernanza nacional de ciberseguridad”), agregar una visión más estratégica de lo que se busca, y alinear todas las líneas de acción establecidas en gobernanza, marco regulatorio y en objetivos de gestión, debajo de esa visión integral de gobernanza e institucionalidad. 

Se sostuvo que hay que considerar si es importante impulsar una ley marco. Es clave establecer criterios mediante normativas y generar instrumentos para los controles y la gobernanza. Sin embargo, hay que buscar consenso y generar una cultura del cumplimiento, para lo que es necesario pensar en programas de mejoramiento en la gestión y construir instrumentos complementarios a la normativa. Se mencionó que en materia de cibercrimen existe un proyecto que tiene avance de aprobación legislativa, pero que hay que adoptar algo más integral.  

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

Las personas participantes aportaron actividades y acciones para el pilar “Gobernanza y marco normativo”. 

Varios de los aportes de la primera ronda fueron reiterados en los subgrupos en la segunda ronda. 

Al igual que en la primera ronda, se hizo hincapié en la necesidad de establecer una línea de base, redefinir roles y responsabilidades, y establecer mecanismos de coordinación. Se destacó la necesidad de recopilar, ordenar y sistematizar toda la normativa vigente sobre ciberseguridad que hay en Uruguay tanto para justificar la importancia como para ver qué hace falta. También se reiteró que se debe crear un glosario en el que se definan los diferentes conceptos de ciberseguridad dentro de la ENC con criterios racionales para facilitar la comprensión. Surgió nuevamente la duda de si alcanza con aprobar una ley de tipificación de ciberdelito, y se sostuvo que también harían falta otras instancias. 

Se volvió a mencionar la importancia de que la ENC sea un marco certificable para que pueda utilizarse como estándar de buenas prácticas en ciberseguridad. Se enfatizó la necesidad de flexibilidad, para asegurar que el marco legal sea sólido pero adaptable a los diferentes actores, temas y sectores. 

Se reiteró la importancia del involucramiento del sector privado, y de establecer incentivos y mecanismos para que éste sepa lo que tiene que hacer y lo cumpla. Se propuso especificar los requisitos mínimos de seguridad que tienen que cumplir las empresas, a efectos de establecer los estándares mínimos que se aplicarán en el área pública y en el sector privado.  

Además, se volvió a plantear la posibilidad de designar responsables por sector. Se sugirió, por otro lado, que una vez designados los responsables, cada sector y cada inciso gestione sus modos de cumplimentar. Se sostuvo que deben generarse regulaciones específicas para diferentes niveles de necesidad en ciberseguridad.  

Se reforzó la necesidad de incorporar la cooperación internacional. 

Además, se ahondó en cuestiones que habían sido previamente mencionadas, y se propusieron nuevas acciones y actividades:  

Análisis de impacto regulatorio 

Se recomendó hacer un análisis de impacto regulatorio.  

Cultura de la ciberseguridad 

Se identificó el problema de la falta de técnicos y de recursos humanos, y se destacó la necesidad de desarrollar una política agresiva de construcción de la cultura de ciberseguridad con enfoques diferentes para los distintos actores: 

  • Para el sector privado se sugirieron cursos de capacitación adaptables sectorialmente, que incluyan un respaldo de capacitación especial a las startups y las pymes. 
  • Para el sector público se recomendó la capacitación de funcionarios públicos con reglas más prescriptivas. 
  • Para la población en general se propuso la capacitación mediante la incorporación de temas de ciberseguridad a la educación formal y acuerdos con instituciones educativas. 
Participación de múltiples actores 

Se debe contemplar la participación de múltiples actores. Se necesita un marco normativo dirigido a actores privados y públicos, y que considere la diversidad de contextos de acuerdo con los sectores y los grados de madurez. Según la situación de los actores, es importante pensar en generar incentivos económicos, específicamente tributarios. 

También se debe generar un proceso de elaboración normativa que involucre a la diversidad de partes involucradas incluyendo una consulta pública y debida rendición de cuentas. 

Organismo de ciberseguridad 

Hace falta un órgano que tenga potestades propias para actuar rápidamente con carácter de una agencia reguladora, que le pueda dar agilidad. A su vez, debería ser un servicio autónomo, para tener menos incidencia del poder político con presupuesto propio. Esto no quita que puedan seguir existiendo los comités asesor y operativo. 

También se planteó la posibilidad de crear un Observatorio Nacional de Ciberseguridad.  

Acceso a la justicia 

Garantizar el acceso a la justicia en las distintas dimensiones, no solo en el área penal. Se consideró necesaria una mayor cooperación en los procesos y sumar al sistema existente competencias más específicas en vez de crear otro organismo nuevo. 

Hay varios aspectos de la justicia por mejorar. Se consideró que podría haber una unidad de retroalimentación que trate este tipo de temas, que sirva de nivel anterior al judicial. 

Coordinación y gobernanza 

Institucionalizar la coordinación y la gobernanza, que debe incluir a los distintos instrumentos jurídicos que existen dentro de la temática de la ciberseguridad. 

Presupuesto 

Para que las medidas sean viables, es necesario tener recursos. Se debe prever un presupuesto de acuerdo a la propuesta de la ENC. 

Hubo diferentes ideas sobre cómo financiar la ENC. Como alternativa a los impuestos, que no son atractivos para la población, se propuso la imposición de sanciones (por ejemplo, multas) si no se cumplen con ciertos estándares mínimos.  

Además, la financiación debe adaptarse a los diferentes actores. Para el sector privado podrían considerarse incentivos o exoneraciones tributarias, por ejemplo. 

Se destacó la necesidad de invertir, ya que de lo contario será más caro solucionar incidentes.  

También se propuso que para obtener recursos se podría aportar información real que muestre los costos de reparar un incidente. Se habló de la creación de un Observatorio para hacer un estudio estadístico de los riesgos, planteando que una manera de hacer visible la necesidad de cumplir es transformando la vulnerabilidad en costos (tanto materiales como de reputación) y visibilizando riesgos.  

Fiscalización, cumplimiento de normas y auditoría 

Actualmente, el comité de gestión no cumple con potestad para fiscalizar varias temáticas de la ENC. Se debe definir quién es competente para facilitar la fiscalización y cuestiones jurídicas y judiciales. Mientras que algunos participantes ven como un problema que la fiscalización la lleve adelante un organismo público, otros no lo perciben así. 

Se debatieron las posibilidades de control y sanción, enfatizando las dificultades ligadas al cumplimiento en el sector público y la importancia de generar mecanismos efectivos.  

Se propuso que la ciberseguridad en cada estructura sea parte de sus planes estratégicos.  

Se señaló que hoy en día, aquellas organizaciones que forman parte de los servicios críticos del país, públicas o privadas, están obligadas a cumplir criterios estándares de ciberseguridad según la Ley 20.212, enfatizando que falta el decreto que reglamente quién tiene que cumplir qué.  

Se sugirió aprovechar la experticia de Agesic, que está preparando un marco de ciberseguridad con el que audita a las entidades públicas, en vez de pagar la auditoría a terceras partes. Se podría establecer una auditoría interna, pero requeriría recursos porque hoy en día Agesic no tiene los medios. Se propuso también estudiar la viabilidad y pertinencia de que las auditorías dentro de la Administración Central sean realizadas por la AIN. Sería un camino que llevaría a una norma para penalizar. 

Transparencia 

Se subrayó la necesidad de tener una transparencia activa, aunque se reconoce que es un tema delicado ya que no se le puede exigir a todos los actores. Se cuestionó si se podría interferir en el ámbito privado para lograr transparencia considerando que es un tema de interés nacional. 

Fortalecimiento del CERTuy  

Es importante fortalecer al CERTuy y otros sectores relacionados. 

Gestión de datos 

Se planteó la necesidad de gestionar los datos, ya que existe la información pero faltan los recursos para procesarla.  

Se propuso armar un plan de formación y un protocolo para recoger información. Se indicó que en ciberseguridad todos tendrán que asumir un mínimo de involucramiento, y que es un requisito la intervención del Estado.  

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados

Las personas participantes realizaron análisis de viabilidad, priorizaron ciertas acciones e identificaron actores relevantes.  

Se consideró pertinente priorizar las siguientes acciones:  

  • Definir los mecanismos de coordinación estableciendo una gobernanza clara que incluya actores y responsabilidades, normas y recursos necesarios.  
  • Definir los sectores críticos y sus roles.  
  • Proponer un marco legal y normativo adecuado y actualizado, incluyendo la privacidad y el acceso a la información.  
  • Desarrollar líneas de acción prácticas y detalladas para la implementación efectiva del marco normativo.  
Para ello, será necesario
  • Hacer un relevamiento de la normativa de la institución a corto plazo: realizar un mapeo, definir la nueva institucionalidad, determinar la brecha a cubrir, y fortalecer los mecanismos que ya existen para optimizar recursos. También se recomendó focalizarse en las regulaciones existentes que no se cumplen, y determinar cómo proceder en estos casos. 
  • Establecer la ciberseguridad como objetivo de gestión, teniendo en cuenta que es un bien organizacional, y trabajar el concepto de cómo se mide la ciberseguridad como objetivo de gestión dentro de las organizaciones, estableciendo estándares mínimos a cumplir y un marco administrativo de cómo se lleva adelante, qué se mide y cómo.  
  • Elaborar un glosario con los conceptos importantes: conceptos como marco sólido e informático, resiliencia, supraterritorialidad, ciberespacio, entre otros.  
  • Ser más agresivo con la estrategia de concientización (por ejemplo, visibilizar los problemas de seguridad aprovechando la información y datos existentes); prever la necesidad de formación técnica para todo el sistema de justicia y de generar herramientas y mecanismos más flexibles. 
  • Destinar recursos.  

En cuanto a los actores, se subrayó que además del sector público y del privado, deberían estar involucrados los colegios de abogados y escribanos, así como la academia.  

Las acciones se ven viables en un plazo de cinco años, pero el tema clave que surgió mucho es el del presupuesto. Son acciones que se pueden abrir en sub-acciones y realizar al menos algunas. Para ello sería importante contar con indicadores que permitan evaluar los avances.  

Respecto al orden de las acciones, se mencionó que se debería priorizar a la primera línea de acción (“Definir los niveles, organizaciones y responsabilidades para la gobernanza a nivel Estratégico, Operativo y Sectorial”) del primer objetivo. 

Etiquetas

Políticas de Ciberseguridad Ciberseguridad Política Digital del Uruguay