Subgrupo 2
- Moderadora: María Noel Fernández, Agesic
- Relatora: Marta Susana Manent, ICD
- Participaron 11 (once) personas de 8 (ocho) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
Agesic (Institución pública) - Nicolás Correa
Plantea la necesidad de definir los actores fundamentales y las interacciones entre ellos para poder llevar adelante la estrategia abarcando todas las dimensiones.
Agesic (Institución pública) - Natalí Paggiola
Afirma que es necesario definir estructura organizativa, la alineación entre partes y los diferentes niveles que se plantean. Destaca que hay que realizar un seguimiento y monitoreo dinámico ajustado a la volatilidad del área y que esta instancia brindará un panorama realista para crear acciones oportuna y adecuada.
Agesic (Institución pública) - Alejandro Vargas
Presenta la importancia en esta etapa de definir actores, roles y responsabilidades.
Banco Santander (Sector privado) - Martín Rodríguez
Destaca la relevancia de que la estrategia no quede como un modelo teórico.
Presidencia de la República, División Gestión de Gobierno Electrónico (Institución pública) - Soledad Suárez
Comenta que “la ciberseguridad se hace entre todos”. El fin último de la gobernanza es que permee hasta el último nivel, que se generen comités de trabajo y que se revise continuamente. Menciona que esta estrategia fija pilares, pero no se bajan a tierra aspectos concretos.
CSIRT - Chile (Institución pública) – Cristian Bravo Lillo
Responde a las consultas que realizaron los otros panelistas. Sobre la consulta respecto a los objetivos actuales explica que se promulgó la ley marco de seguridad completando la normativa y se creó la Agencia Nacional de Seguridad y el CSIRT nacional, que ahora presta servicios al sector público y un sector del ámbito privado.
También añade que participan todos los actores. Comenta que el proceso en Chile no ha sido orgánico, sino que se realizó a partir de pruebas y reconfiguraciones. En ese sentido diferencia a lo que está ocurriendo en Uruguay, donde afirma que se está realizando un proceso orgánico y paulatino, que se está dando de manera organizada. Asimismo, plantea que es muy participativo. Nuevamente compara con el caso chileno, donde algunos sectores privados no se consideraron representados y en la segunda etapa recién se logró mayor participación.
URSEC (Institución pública) – Agustín Hill
Pregunta por qué no están consideradas todas las infraestructuras críticas, sino sólo las infraestructuras críticas de información. Los cables de fibra, por ejemplo, también son críticos a nivel de la ciberseguridad.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Agesic (Institución pública) - Natalí Paggiola
Propone modificar la redacción de la línea de acción II (“Definir los mecanismos de coordinación entre ellos”): agregar “colaboración y comunicación”. En cuanto al objetivo “La ciberseguridad como objetivo de gestión”, propone agregar “nacional”.
En Gobernanza, la falta de líneas de acción para asegurar presupuesto adecuado, los recursos humanos y financieros, esto, para implementar los planes de acción y que la Gobernanza sea duradera.
Sostiene que, para ser una línea de acción y que la gobernanza sea duradera, es necesario asegurar el presupuesto adecuado, los recursos humanos y financieros. También identificar en la ENC cada objetivo, para que en la etapa de seguimiento poder hacer un mapeo de estos objetivos con los KPI. Plantea agregar un glosario de términos, considerando que estará dirigido al público y que habrá consulta pública.
Resalta que para englobar la voluntad política tiene que haber un liderazgo, no solamente roles alineados.
Menciona que cuando se dé el monitoreo, es necesario monitorear las dependencias de la región, no sólo las de Uruguay, y tenerlo en cuenta para actualizar la normativa.
Agesic (Institución pública) - Nicolás Correa
Sostuvo durante la sesión que:
Es fundamental identificar a todos los actores.
Es valioso aprender de otros países de la región con los que se comparten experiencias.
Es relevante que todos planteen sus necesidades como parte del proceso.
Las altas autoridades/jerarquías no pueden involucrarse porque no tienen conocimientos, por lo que parte de lo que hay que avanzar es en generar una cultura que les permita comprender las problemáticas.
Los proveedores locales deben participar del proceso e involucrarse. Asimismo, deben saber que las soluciones que ofrezcan/propongan deben cumplir con las regulaciones.
Propuso que la Agesic otorgue un certificado para que las empresas auditoras puedan dar certificados a privados.
Banco Santander (Sector privado) - Martín Rodríguez
Aporta que el modelo/instrumento que se cree tiene que ser flexible, ya que siempre cambia el cómo atacar. Agrega que la información tiene que llegar a todo el ecosistema y no sólo a quienes estén directamente involucrados.
Considera crucial, coincidiendo con Soledad Suárez, que haya planes de formación y capacitación continua de todos como algo obligatorio, entre los funcionarios y que lo cumplan como parte de su tarea.
Consulta respecto a las funciones que cumpliría la Agencia Nacional de Ciberseguridad.
Presidencia de la República, División Gestión de Gobierno Electrónico (Institución pública) - Soledad Suárez
Sostiene que es importante revisar la composición de la gobernanza, evaluar si la estructura es eficiente y si es necesario cambiarla. Plantea que habrá que realizar una auto-revisión de lo que se cree, evaluando si es eficiente para gobernar lo que hay debajo.
Afirma que tiene que haber planes de formación y capacitación continua para todos los funcionarios como algo obligatorio que sea cumplido como parte de su tarea.
En relación con el sector privado, considera que para aquellos privados que ofrecen soluciones en ciberseguridad, debería haber una revisación de los proveedores o recomendaciones a los que vayan a contratar. Se debe evaluar y guiar. Se sugiere que desde la Agencia que se cree se recomiende a esos proveedores y que cada vez más empresas contraten a esos proveedores. Que también deban ponerle foco a cumplir con determinados requerimientos, participar de reuniones y que los jefes sepan que esos empleados tienen que participar.
CSIRT – Chile (Institución pública) – Cristian Bravo Lillo
Plantea que lo que funciona a nivel autoridades es analizar casos de ataques que hayan ocurrido. Trae como ejemplo que en el Ministerio de Defensa se filtraron aproximadamente dos mil correos, lo que fue un escándalo. Desde entonces, el Ministerio no fue más indiferente. Otro ejemplo es un portal que cayó por un ataque a IAFX Network y que hizo que no funcione, generando pérdidas millonarias. Plantea que hay que recopilar datos de los ataques.
Comparte que en Chile aún no se han implementado planes de formación y capacitación continua con carácter obligatorio para los funcionarios, dado que se han centrado en lo técnico y aún falta lo humano.
Responde la consulta de Martín Rodríguez (Banco Santander) que la Agencia Nacional de Ciberseguridad que se crearía cumpliría las funciones de regular para todos los sectores. Aclara que cuando se reciben las licitaciones pueden recibirse documentos contradictorios en requerimientos. La Agencia central regularía específicamente para cada sector y se aseguraría de que no haya conflicto entre las regulaciones que reciben los regulados. Esto es importante para las PyMES, que tienen que recibir nociones claras de qué es lo que tienen que cumplir.
En el marco de los intercambios sobre el rol de la Agencia y los proveedores, Bravo Lillo expuso que en la ley hay un título sobre certificaciones. Pueden ser instituciones públicas y también otros privados los que certifiquen.
FGN (Institución pública) - Germán Martínez
Expone que se conformó un Comité de Seguridad que en Fiscalía no existía del que participaban los altos mandos; actualmente están integrándose otras instancias del Comité. Señala que aun las autoridades no tienen claridad respecto a qué es lo que está faltando ni se ha logrado sentido de pertenencia. Menciona que los actores internos quieren defenderse de un caso que los afectó y no saben cómo defenderse y esto se aplica dentro de los Comités pero sin entender qué se está discutiendo.
Resalta que lo final son las métricas, en qué mejoramos.
Plantea que las autoridades ven estas acciones de capacitación y control como tareas extras que se les agregan, pero deberían verlo como parte de su trabajo.
Consideró que es necesario pedir requisitos para el ingreso a la función pública. Propuso que uno de los requisitos podría ser contar con un diploma de Agesic en ciberseguridad.
Agesic (Institución pública) - Alejandro Vargas
Subraya la relevancia de asentar los procedimientos, ya que las personas cambian pero los procedimientos quedan.
CISO – Ministerio del Interior (Institución pública) – Javier Jaureguiberry
Sostiene que debería generarse un marco legal o regulatorio para que haya un involucramiento de las altas gerencias, ya que los jerarcas dejan mucho a los cuadros técnicos, pero deberían involucrarse.
En el marco del debate sobre el rol de las altas autoridades, plantea que su conocimiento o desconocimiento de la temática no debe ser una traba y que para lograr su participación es necesario mostrar cuál es el riesgo, hablarles del impacto que un incidente podría tener.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Varios participantes validaron los objetivos.
También se hicieron ciertas propuestas, que incluyeron:
Incorporar en el Objetivo II la palabra “nacional” después de “gestión”;
En la segunda línea de acción del segundo objetivo, reemplazar “deberán contar” por “deberán cumplir”.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se agruparon las propuestas en función de los objetivos:
Objetivo 1. Establecer la gobernanza nacional de ciberseguridad
En la línea de acción ii, agregar “coordinación y comunicación”. Se deben definir los mecanismos de coordinación entre ellos.
Los actores deberían estar representados por inciso y por sector (público, privado, academia) para que sea más abarcativo. El presupuesto y los recursos son fundamentales en la gestión.
Objetivo 2. La ciberseguridad como objetivo de gestión
Brindar métricas para el Observatorio en ciberseguridad como de la Agenda Digital.
Justificación: Para no esperar a la evaluación anual que se proponen en la ENC, que los representantes brinden métricas mensual o trimestralmente para ir visualizando el avance. Entre estas se pueden evaluar los incentivos y capacitaciones, para estudiar las tendencias.
A través de incentivos y capacitaciones obligatorias, se propuso brindar métricas para ir evaluando las tendencias. Por ejemplo, que un representante de cada inciso mensualmente brinde métricas al Observatorio de Ciberseguridad para evaluar el avance. No se debería esperar a hacer una evaluación anual.
También se propuso crear un incentivo por madurez en ciberseguridad a través de las auditorías.
Se sugirió establecer una capacitación obligatoria en ciberseguridad como requisito para el ingreso a la función pública. En este punto se abrió un debate acerca de si se deberían incluir planes de actualización a lo largo de la carrera, y se llegó a la conclusión de que, en todo caso, los procedimientos deben estar bien definidos.
Se hizo hincapié en la creación de una comunidad técnica para el intercambio de conocimiento, ya que la carencia de esta es un problema muy común en la región. Son pocos los que trabajan en ciberseguridad y en el Estado hay menos recursos que en el sector privado.
También se discutió acerca de si en este objetivo hay que agregar el asunto de Presupuesto. Hubo acuerdo que debería estar como línea de acción el asegurar presupuesto.
Objetivo 3. Desarrollar la legislación, el marco normativo y regulatorio
Reemplazar “desarrollar” por “trabajar en el desarrollo y actualización” en la línea de acción ii.
Monitorear las políticas y tendencias internacionales.
Además, se propusieron varias actividades de forma general:
Se propuso definir una línea de base para después documentar el avance de cada una de las áreas.
También se planteó que haya un encargado de ciberseguridad en cada servicio público, que reciba cursos en línea, capacitaciones y recursos (por ejemplo, templates).
Se hizo hincapié en que debería haber una manera de llamar a los jefes de ciberseguridad de otros servicios. Existe un directorio de contactos, pero debe implementarse una obligación de actualizarlo.
Se mencionó, por otro lado, que hay que tener en cuenta que en el Parlamento hay una ley de ciberseguridad, para no reiterar, mencionando que incluye el tema de formación.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Se valoró identificar a los actores por inciso, por sector (público o privado), y también incluir a la academia y al gremio.
Se mencionó que los actores serían: Poder Ejecutivo, Presidencia, Ministerio de Defensa, Ministerio de Relaciones Exteriores (para desarrollo, actualización y monitoreo de las políticas internacionales), Ministerio de Interior, Poder Legislativo, Fiscalía, y representantes de las infraestructuras críticas de la información.
Se identificó como actores el Gremio (PIT-CNT) porque en las buenas prácticas dicen que son quienes generar resistencia y se deben incluir en la toma de decisiones, además de la Academia.
Se identifica a Agesic como actor referente que recibe y actualiza el directorio, y se sugiere que debería ser de acceso público o compartido con la comunidad.
Se aclara de todos modos que en cada organigrama debería ser posible encontrar a los responsables correspondientes, aunque depende del sector. Algunos, como la Banca, cuentan con información ordenada y otros no y no siempre los datos se encuentran actualizados.
Por ello, se recuerda que mantener esa información actualizada es obligatorio y que hacerlo también es parte de generar esta comunidad.
En cuanto a la priorización, se consideró que son todos interdependientes.