Subgrupo 1
- Moderadora: Ninoschka Dante, Agesic
- Relatora: Isabel Álvarez, ICD
- Participaron 11 (once) personas de 8 (ocho) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
Agesic (Institución pública) - Angie Lecot
Resalta que en el documento se hace hincapié en la resiliencia, la estructura y la confianza, además menciona que falta información sobre el comportamiento de las personas, especialmente al entrar en lo más específico.
Comenta que en el párrafo de la visión donde se indica "... aumenten la confianza de la población..." debería modificarse para no solo considerar la confianza, sino que sean críticos al hacer uso de.
En la parte de resiliencia de los pilares, falta claridad en el punto de cómo llevar adelante la resiliencia. En particular, se menciona el término "...mínimo producto viable." pero no queda claro a que se refiere con ese mínimo producto viable y si es para llevar adelante la resiliencia.
Por último, menciona que deben incorporarse distintas perspectivas y no solo hablar de equidad, sino que incluyan perspectivas.
BID (Institución pública) - Ariel Nowersztern
Concuerda con Angie Lecot. Agrega que hay que hacer hincapié en el producto mínimo viable y en equidad de género. Es necesario reforzar la oportunidad económica de la ciberseguridad en el país. Se podría exportar servicios de ciberseguridad. Hay que reforzar en la estrategia y centrarse en las personas, sus derechos, los daños ocasionados a las personas, la atención a las personas. Se requiere una visión enfocada en personas, derechos, necesidades, atención y calidad de vida digital
URUDATA (Sector privado). José Callero.
Sostiene que los pilares refuerzan la sectorización de la problemática, y que se encasillan mucho los temas cuando deberían ser más transversales. Plantea que los pilares deberían reforzar y generar visiones comunes, más que objetivos específicos. Tiene que haber algún elemento aglutinador que genere algo transversal, que junte conceptos.
Agesic (Institución pública) - Natalia Salazar
Remarca los aspectos positivos de las mesas de diálogo. Es fundamental la cooperación participativa sin temor a la interferencia. Propone que no se hable del miedo a lo malo sino de lo que se puede lograr de manera positiva.
INDDHH (Institución pública) - Gabriela Pérez
Menciona los puntos del documento que ve como positivos: la definición de roles, la importancia de posicionar la ciberseguridad como un objetivo de gestión. Pide el respaldo de otros organismos públicos para conseguir presupuesto. Como aspecto negativo, habla del mínimo producto viable.
SECIU (Institución pública) - Javier Valena
Valora el aspecto participativo de la ENC.
AIN (Institución pública) - Rodrigo Pagliaro
Considera que es un documento positivo que ataca los pilares de los distintos sectores. Menciona que tal vez algún pilar podría estar dentro de otro.
MI (Institución pública) - Diego Sanjurjo
Celebra el documento y recalca que es muy necesario para el país.
Agesic (Institución pública) - Fabiana Santellán
Concuerda con Ariel Nowersztern respecto a la oportunidad que representa la ciberseguridad del punto de vista económico, no solo en el mercado sino para reforzar nuestra posición como país. Podría representar una ventaja desde el punto de vista de los inversores en comparación con el resto de la región. También comparte con José Callero que los pilares deberían ser transversales y, además, que algunos quedaron desproporcionados respecto a otros. Se pregunta si “Gobernanza” y “Marco normativo” deberían ser pilares distintos.
IM (Institución pública) - Maria Eugenia Corti
Menciona que la Industria nacional en ciberseguridad debería estar plasmada en una estrategia. Sería positivo a nivel país teniendo en cuenta las amenazas y el estado actual de capacitación y de capacidades. Habla de infraestructura crítica y de la necesidad de considerar a las pymes, de pensar en la escala de las empresas a nivel nacional. Además, concuerda con que los pilares deberían ser más transversales, ya que se encuentran muy divididos. Hay que verificar que se estén contemplando todas las dimensiones, ya que le parecen entreveradas. Siente que no se aborda la dimensión de recuperación y de cómo responder. El pilar de infraestructura de información no le pareció claro, ya que no se define el término “infraestructura crítica”. Plantea que quizá, a diferencia de otros temas como el marco normativo o la política internacional, no debería constituirse en un pilar. Por último, pide no dejar tan abierto el marco normativo, ya que está muy ambiguo, y darle más impulso al marco de ciberseguridad.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Agesic (Institución pública) - Fabiana Santellán
Subraya que se debe pensar en la preocupación que motivó a escribir esto. Uruguay está en un momento de crecimiento en cuanto a ciberseguridad a nivel técnico y político. Es un buen momento para ordenar la cancha y definir la línea, y el país se merece tener una línea clara, estratégica y común. Recalca que habría que afrontar el tema de la política de seguridad nacional, bajarlo a como se hace y quien lo implementa en los tres niveles. Invita a preguntarse cómo lo queremos manejar como país, teniendo muy presente nuestra realidad, ya que las experiencias de otros países pueden, en ciertos aspectos, no ser aplicables acá. Se debe adecuar la estrategia a la realidad uruguaya.
Agesic (Institución pública) - Angie Lecot
Le parece que la política, las prácticas y los marcos de referencia no están tan claros. Se pregunta cuál va a ser el marco de referencia más allá del marco normativo.
El objetivo 1 (“Establecer la gobernanza nacional de la ciberseguridad”) incluye líneas de acción relativas a los mecanismos de vinculación y cooperación, agregando esto al marco de referencia. Si bien la gobernanza tiene que fijar las directrices falta considerar en dicha línea un marco de referencia más específico. A su vez, no solo se deben considerar mecanismos de coordinación sino también definir marcos de referencia vinculados a otras áreas de conocimiento, ej: software y datos. Para ello se podría tomar el marco de ciberseguridad y bajar a un nivel de detalle mayor con marcos específicos.
A nivel de la definición del objetivo, fata hincapié en la institucionalización.
BID (Institución pública) - Ariel Nowersztern
Recomienda fortalecer el tema de los antecedentes. La gobernanza es la primera línea de acción, pero duda acerca de hasta dónde debe llegar la estrategia y a partir de cuándo se está entrando en detalles. En la estrategia hay que definir la gobernanza, el ente rector y los aspectos que aún se deben trabajar.
URUDATA (Sector privado). José Callero.
Dice que los objetivos no le parecen claros, y recomienda concretizarlos. Una vez concretizados se pueden definir las acciones, que también deben ser más específicas.
INDDHH (Institución pública) - Gabriela Pérez
Pide profundizar en los mecanismos de cooperación y coordinación, y establecer indicadores y metas de la estrategia. También propone establecer áreas de progreso y definir cómo medirlo. Se pregunta de dónde vendría el financiamiento.
SECIU (Institución pública) - Javier Valena
Pregunta a qué nivel de detalle se buscaba llegar.
AIN (Institución pública) - Rodrigo Pagliaro
Pide más concreción, y subraya que se debe definir al organismo necesario. Propone a Agesic como articulador de este proyecto. No cree que sea necesario crear un órgano aparte; podría funcionar con las estructuras existentes. Tiene que haber un comité de crisis para poder interactuar y discutir con el sector privado, con el que debería haber un contacto directo. Están en juego temas muy sensibles que requieren soluciones rápidas.
MI (Institución pública) - Diego Sanjurjo
Sostiene que para entender la necesidad de un mayor orden del que ya existe, falta diagnosticar cuál es el sistema de gobernanza actual. Debería haber un claro responsable, y se tiene que hacer público en qué se está avanzando y en que no.
IM (Institución pública) - Maria Eugenia Corti
Recomienda que la gobernanza sea más específica en algunos temas: roles y responsabilidades, métricas. Si no se mide no se puede gestionar, por lo que es esencial incluir métricas en el pilar de gobernanza. El marco no está claro; hay cosas que deberían ser mucho más concretas. Las definiciones son demasiado ambiguas. Los roles deberían ser parte de la estrategia.
URUDATA (Sector privado). José Callero.
Cierra el bloque pidiendo que no quede todo en el aire.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
En esta parte, se partió de la base que hay un camino recorrido que no se puede obviar. Hay que aprender de lo que no funcionó, y comparar lo ideal con lo actual. Las estructuras y estrategias existentes funcionan y han tenido su rédito. Esto es un proceso evolutivo de algo que aún no alcanza. Se planteó que se deben hacerse comparaciones entre el pasado y el presenta para sacar conclusiones. No necesariamente hay que cambiar todo, sino que más bien ir viendo a lo largo del tiempo. Sin embargo, también se criticó que los objetivos no mencionan las necesidades previas.
Se indicó que se debe determinar hasta dónde queremos llegar con esto, e identificar brechas o proponer posibles vías de evolución de la gobernanza. Actualmente el documento no tiene especificidad. Se planteó la necesidad de hacer más específicos los objetivos de gobernanza, los roles y las responsabilidades, así como definir quiénes van a estar involucrados en la gobernanza. Esto depende de los objetivos y de un estudio que permita ver qué es lo que ya existe y qué falta. Se necesitaría un seguimiento para ver las brechas.
También se añadió que se requiere un ecosistema, una estructura concreta. Se debe generar y encuadrar la capacidad de actuar y de impulsar acciones. Es necesario impulsar al sector privado.
Se mencionó que hay muchos caminos posibles: se pueden fortalecer las estructuras existentes, o puede ser que se necesite una organización aparte como hay en Chile y Colombia. Hay que definir lo que se adecua mejor al país, y evaluar la viabilidad. Hay que determinar cómo dialogar para obtener una ejecución seria, aprovechar los recursos y no duplicar esfuerzos.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se volvió a recalcar que la gobernanza ya existe, y que se debe reforzar lo positivo de lo que ya existe.
Se recomendó no duplicar leyes y decretos, sino bajar lo que ya existe a la práctica, concentrándose en los puntos débiles.
También se reiteró la necesidad de establecer vías de comunicación, especificar los roles y responsabilidades asegurándose de que las responsabilidades no se superpongan, pensar en qué otros organismos tienen conocimiento en estos temas.
Se planteó que deberían establecerse mecanismos de participación con el sector privado, la sociedad civil y la academia, ya que su visión es vital. Además, se estableció que es necesario un marco claro para garantizar la seguridad jurídica tanto para el sector público como para los privados. Las víctimas deben saber adónde acudir.
Pregunta sobre la gobernanza de seguimiento, cómo unir gobernanza con monitoreo, cómo plasmar este seguimiento. También se planteó la interrogante sobre el funcionamiento actual de las líneas de acción propuestas en el objetivo para considerar posibles ajustes a lo que no funcionó.
Se propusieron nuevas redacciones para líneas de acción i y iv del objetivo.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Se reiteró que es la clave que estén involucradas la academia y la sociedad civil, y se planteó la necesidad de tener actores independientes. Se destacó nuevamente que hay que enfocarse en los roles y las responsabilidades. También se debe determinar qué actor va a definir los términos (por ejemplo, “infraestructura crítica”), resaltando que cuando nadie sabe lo que tiene que hacer no se hace.
Se subrayó que los gobiernos departamentales tienen más cercanía con el ciudadano; la estrategia tiene que tomar en cuenta a los gobiernos locales, cuya visión es muy diferente a la del gobierno. Se vive muy distinta la digitalización en el interior: se debe poder llegar a la ciberseguridad en el campo con un lenguaje diferente. Es clave tener bien claro cómo es Uruguay: no es solo Montevideo.
Se enfatizó la importancia de poder fiscalizar públicamente.
Se pidió evaluar la gobernanza existente y tener un abordaje temático a nivel global. Falta reforzar el marco de referencia.