Subgrupo 3
- Moderadora: Arianne Palau, Agesic
- Relatora: Sabrina Piffaretti y Daniel Miranda, ICD
- Participaron 17 (diecisiete) personas de 9 (nueve) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
Parlamento (Institución pública) - Darío Burstin.
En relación con la definición de roles, mencionada en el borrador, propondría elaborar un marco legal para la participación. La gobernanza debería permitir que el marco normativo sea dinámico, que haya potestades suficientes en las autoridades, y que no sea necesario que cada vez que haya un problema haya que cambiar el marco legal. Menciona la necesidad de adecuarse a un contexto cambiante que requiere un marco normativo ágil.
ANCAP (Institución pública) - Marianela Moreno.
Lo fundamental y lo más importantes está: gobernanza, roles, participación de los actores públicos y privados, así como el desarrollo de las capacidades, ya que uno de los problemas que más nos golpea hoy es la falta de profesionales con esta especialización. Otro de los problemas significantes se encuentra en la compra de paquetes de tecnologías. Plantea la posibilidad de certificar esos paquetes para asegurar que reúnan los requisitos de ciberseguridad.
Agesic (Institución pública) - Gabriel Hernández
Destaca la necesidad de que se establezca un objetivo de gestión de las organizaciones a nivel de la ciberseguridad, para lo cual sería importante hacer mandatorio ese marco. A nivel público es más sencillo, pero a nivel privado es un desafío importante para la gobernanza. Propone que la ciberseguridad se tome como un objetivo central a nivel privado y que esto permee a las organizaciones.
URCDP (Institución pública) - Flavia Baladán
Menciona tres puntos para que la gobernanza sea más efectiva: primero, hay que trabajar mucho el desarrollo de capacidades y apuntar a una mayor capacitación. Para poder llevar esto a la práctica, es importante preverlo en recursos humanos. Además, se deben empezar a coordinar acciones de ciberactividades, para lo que es importante trabajar en las funciones de cada organismo. Finalmente, considera que se debe también priorizar este tema en las instituciones.
BCU (Institución pública) - Isabel Maroñas
Está de acuerdo con el borrador y cree que es importante el tema de la coordinación, en especial en los niveles estratégico, táctico y operativo. Es importante también la generación de cultura: en el marco de la gobernanza se debe generar esa cultura de ciberseguridad, que falta mucho en el país y en las instituciones. Es necesario que se brinden los recursos.
AIN (Institución pública) - Jonathan Silva
La capacitación es importante, porque hay 700 puestos de ciberseguridad que no están cubiertos (dato de un informe de Agesic). En el sector público la inversión en tecnología es deficitaria, lo que se plantea como un reto. Es necesario que haya algún tipo de control: en el sector público, Agesic debería poder auditar a los organismos. Falta mayor control de parte del Estado. Lo ideal sería llegar a un punto donde el riesgo se mida en todos los organismos, y tener una metodología común que sea transversal a todas las organizaciones.
BCU (Institución pública) - Carla Facal
Es importante que se definan claramente muchos aspectos porque en algunos casos no queda claro el rol de cada uno de los organismos.
Ceibal (Institución pública)- Federico Quiroga
Coincide con la participación anterior y menciona que es importante la segregación de roles. Actualmente como no se tienen recursos hay otras áreas que se encargan de la ciberseguridad y eso genera una duplicación de actividades. Es importante que el encargado de ciberseguridad tenga eso como única función, por lo que es importante sensibilizar a las autoridades. Por lo demás, aprueba el borrador.
URSEC (Institución pública) - Mercedes Aramendía
Primero, sería bueno poner más énfasis en la educación en ciberseguridad, incluso en la población en general. Segundo es importante jerarquizar la temática para que sea transversal y se convierta en una política de Estado. Se debe vincular la educación y la sensibilización con la importancia del tema y los riesgos que conlleva a nivel público y privado.
Agesic (Institución pública) - Karime Ruibal
Una agenda digital es una buena herramienta y Uruguay tiene mucha experiencia. La gestión del conocimiento también es imprescindible, y los procesos de gestión del conocimiento tienen que estar incluidos desde la gobernanza. Reconoce que faltan esfuerzos orientados a este objetivo.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Agesic (Institución pública) - Karimesole Ruibal
Comenta que el seguimiento de indicadores debe ser estricto, porque sino en ese pasaje de lo estratégico a lo operacional hay muchos problemas. Sería importante ver cuáles son los riesgos y las barreras, porque lo crítico está en lo operacional. Menciona como clave tomar las experiencias internacionales como referencia y apuntar a la eficiencia.
URSEC (Institución pública) - Mercedes Aramendía
Afirma que se debe profesionalizar más la temática, y que necesitamos una ley que tipifique los ciberdelitos y acompañe la parte procesal.
Ceibal (Institución pública) - Federico Quiroga
Los objetivos estratégicos se podrían tomar a nivel país, para lo cual es necesario que se establezca un estándar a seguir. Esto puede generar una mejora continua. Sería bueno en este escenario hacer una medición general del país.
BCU (Institución pública) - Carla Facal
El marco de ciberseguridad de Agesic existe, pero ¿por qué no trasladar lo que se tiene en Agesic hacia las otras organizaciones? Propone un marco de gobernanza más abarcativo; un modelo más amplio y formal de ciberseguridad. Esta propuesta podría implementarse mediante un modelo de gobernanza.
AIN (Institución pública) - Jonathan Silva.
Sostiene que el marco de Agesic se está aplicando en algunas empresas, pero la resolución de hacer un análisis de brecha y un plan de acción no es vinculante y queda diluido en un plan de acción. Hay organismos que no tienen la suficiente madurez tecnológica para implementar esto.
BCU (Institución pública) - Isabel Maroñas
A la coordinación habría que darle una forma concreta, como mesas de trabajos a nivel estratégico, táctico y operativo, tal como estas mesas de diálogo. Estas instancias concretas, donde los representantes tendrían un perfil concreto de trabajo y trabajarían con métricas, podrían tener una frecuencia de una vez al mes para que se generen metas de avances.
URCDP (Institución pública) - Flavia Baladán
Resalta que es importante considerar la diferencia entre lo público y lo privado. Es imprescindible esta diferenciación para establecer prácticas diferenciales, ya que se observan distintos niveles de cumplimiento. También es importante avanzar en la parte normativa, con el fin de crear las condiciones necesarias para que se puedan establecer gobernanzas.
Agesic (Institución pública) - Gabriel Hernández
Tiene muchas preocupaciones. Coincide en que tiene que haber regularidad y seguimiento para que haya un plan que funcione y se operativice, pero más allá del nivel normativo hay que poner recursos para que puedan haber fuerzas de trabajo que se ocupen de esto. Habría que tener equipos y ayudar a los que toman las decisiones a enfatizar el tema de ciberseguridad y establecer presupuestos. Es necesario volcar recursos en la operación para ponerla en marcha de manera efectiva.
ANCAP (Institución pública) - Marianela Moreno
Menciona la diferencia entre la elaboración de políticas ideales y su implementación, y enfatiza la necesidad de hacer foco en este último punto. Subraya que se definen hermosas políticas, pero que luego cuesta implementarlas porque no hay presupuesto, gente, etc. Sostiene que se debe hacer más foco en lo que planteaba Isabel Maroñas, es decir mantener estas mesas para aprender de los que ya recorrieron el camino, para buscar sinergias. Hay que tener en cuenta los procesos de gestión del conocimiento, ya que pueden ayudar a simplificar lo operacional.
Parlamento (Institución pública) - Darío Burstin
Menciona una propuesta de redacción para una línea de acción: La distribución de potestades regulatorias y responsabilidades entre los diversos organismos debe ser clara y permitir una rápida adaptación del marco normativo a los cambios de circunstancias.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Consideran que los objetivos son correctos a nivel general y los dan como validados.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Los y las participantes analizan los objetivos de forma grupal en base a los aportes del trabajo anterior. A continuación se detallan sus propuestas de acciones y actividades en base a cada objetivo.
Objetivo 1. “Establecer la gobernanza nacional de la ciberseguridad”
Desarrollar una hoja de ruta;
Contar con potestades administrativas;
Definir un órgano rector asociado con el Comité de Gestión;
A futuro, crear un Ministerio de Tecnología;
Coordinar y difundir las actividades del comité asesor o de gestión;
A corto plazo, incorporar en el comité tanto a nivel estratégico y a nivel de gestión a otros actores: por ejemplo, la academia;
Definir la competencia de control;
Definir indicadores, recursos humanos y recursos;
Establecer una agenda digital a nivel nacional de ciberseguridad;
Establecer roles;
Mirar hacia fuera para descubrir buenas prácticas a nivel internacional;
Relevar funciones;
Coordinar el diálogo como línea transversal a todas las acciones: trabajar para involucrar a los actores que no están involucrados a nivel estratégico.
Objetivo 2. “La ciberseguridad como objetivo de gestión”
Jerarquizar;
Asegurarse de que sea una política de Estado;
Desarrollar capacidades;
Invertir en tecnología;
Medir el riesgo de forma transversal;
Gestionar la ciberseguridad dentro de las organizaciones;
Certificar empresas en Ciberseguridad;
Operacionalizar, medir y profesionalizar.
Objetivo 3. “Desarrollar la legislación, el marco normativo y regulatorio”
Instrumentar un marco normativo de ciberseguridad e implementar el marco en la mayor cantidad de ámbitos posibles;
Establecer una ley sobre delitos de ciberseguridad;
Establecer y mejorar los aspectos procesales;
Desarrollar una agencia de coordinación.
También se hicieron otros aportes generales:
Agesic (Institución pública) - Gabriel Hernández
Señala que la tercera línea de acción del segundo objetivo (“Elaborar los marcos legales y regulatorios necesarios”) debería estar incluida en el tercer objetivo (“Desarrollar la legislación, el marco normativo y regulatorio”). Se debería añadir un objetivo para la implementación de la hoja de ruta y de los mecanismos de control. Además, el tercer objetivo debería generar los marcos para los dos objetivos anteriores.
URCDP (Institución pública) - Flavia Baladán
Frente a esto, argumenta que si bien el marco regulatorio es de ayuda, no soluciona todo. Por lo tanto, en el marco regulatorio se deben diseñar acciones concretas.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
No se llegó a trabajar este punto