Subgrupo 4
- Moderadora: Mariana Ferraro, Agesic.
- Relatora: Marcelo Castillo y Mauro Parada, ICD
- Participaron 13 (trece) personas de 11 (once) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
Identificar aportes generales sobre la propuesta borrador: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno a la Gobernanza Nacional de la ciberseguridad?
MIEM (Institución pública) - María José Franco
Destaca la importancia de convocar a todos los actores y adoptar una perspectiva holística que abarque todas las realidades. Apoya la idea de que el cibercrimen es un pilar importante, pero reconoce que la estrategia debe ir más allá de ello, abarcando una estrategia nacional inclusiva.
BROU (Institución pública) - Marcelo Varaldi
Subraya la importancia de hablar directamente sobre la gobernanza y no solo sobre la estrategia general.
Propone dividir la gobernanza en niveles: estratégico, táctico y operativo, y reconoce la dificultad de implementar estos niveles.
Señala la brecha entre el "qué" y el "cómo" en la implementación, destacando que muchos se preocupan, pero pocos se ocupan en la práctica.
Menciona que su organización está regulada y auditada, lo cual mejora su posición frente a los riesgos, y sugiere que esto podría extrapolarse a la estrategia nacional.
URSEC (Institución pública) - Mauro D. Ríos
Critica la constante queja de estar siempre detrás del cibercrimen debido a limitaciones legales y éticas, sugiriendo asumir esta realidad en los documentos estratégicos.
Reitera la importancia de jerarquizar la ciberseguridad y resalta que la gobernanza debe ser manejada a un nivel superior para ser efectiva.
Comenta que la Agesic tiene antecedentes positivos y propone que las resoluciones de Agesic sean obligatorias para la Administración Central.
LACNIC (Sociedad civil) - Graciela Martínez
Considera que las líneas de acción deben tener metas claras para su ejecución.
Enfatiza la necesidad de continuidad en la estrategia, independientemente de los cambios de gobierno, involucrando a todos los partidos políticos.
Propone el uso de una matriz de riesgos para priorizar y analizar la ciberseguridad al mismo nivel que otros riesgos.
Agesic (Institución pública) - Mauricio Papaleo
Explica que la estrategia nacional se definirá por decreto, y que se debe incluir la forma de llevarla a cabo y los organismos involucrados.
Destaca la importancia del consenso y el desafío del presupuesto, subrayando que cada gobierno debe aplicar la estrategia sin cambiarla significativamente.
Propone una ley que defina la gobernanza en el país, sugiriendo un consejo de alto nivel para establecer la estrategia.
Menciona que la seguridad debe ser un objetivo estratégico y destaca la importancia de cumplir con el marco de ciberseguridad establecido por la ley Nº 20.212.
BID (Institución pública) - María Inés Vázquez
Sugiere identificar los actores estratégicos y sus roles en el sistema de seguridad, para saber quiénes son los responsables a nivel superior.
UTE (Institución pública) - Evelyn Antón
Señala el problema del presupuesto y la necesidad de priorizar recursos, sugiriendo revisiones de riesgo antes de implementar cambios. Menciona que la seguridad debe jerarquizarse dentro de las organizaciones para evitar depender de otras necesidades del negocio. Destaca que la ciberseguridad debe competir al mismo nivel de análisis que otros riesgos.
SeCIU (UDELAR) (Academia) - Sergio Ramírez
Propone definir objetivos de gestión de ciberseguridad y los organismos que deben cumplirlos, sugiriendo que estos objetivos sean claros y prioritarios. Resalta la importancia de tener objetivos claros para evitar que se les dé importancia solo cuando ocurren incidentes.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Identificar aportes específicos sobre el pilar a analizar en la mesa. ¿Qué aspectos específicos de gobernanza creen que podrían mejorarse o añadirse en el pilar “Gobernanza y Marco normativo” con el fin de establecer la Gobernanza Nacional de la Ciberseguridad de Uruguay?
LACNIC (Sociedad civil) - Graciela Martínez
Enfatiza la importancia de nombrar los organismos y tener una estrategia de riesgos, ya que esto es fundamental para priorizar otros riesgos críticos y determinar el presupuesto necesario. En cuanto a la gobernanza, cuestiona la viabilidad de una mesa con cien participantes y sugiere analizar la media en otros países y los planes de comunicación efectivos que han implementado.
Respecto a las líneas de acción, menciona la necesidad de definir los niveles de organizaciones y responsabilidades en la gobernanza y establecer mecanismos de integración. Se pregunta cómo se definirán las organizaciones que participarán en la gobernanza y cuál será el plan de comunicaciones, ya que una de las causas de fracaso es que, a menudo, se definen las responsabilidades y luego cada uno sigue caminos diferentes, lo que dificulta la cohesión y efectividad.
MIEM (Institución pública) - María José Franco
Plantea que al incorporar la ciberseguridad en la gestión, cada sector (vertical) debe hacer un análisis de riesgo específico, aunque pueda haber un análisis general como base. Pregunta cómo será la participación del sector privado, ya que la estrategia parece enfocarse más en lo público. Sostiene que es necesario que tanto el sector público como el privado se apropien de la estrategia.
Aunque está claro que los privados estarán involucrados, cuestiona si tendrán un rol dentro de la gobernanza y cuál sería ese rol. Destaca que, para que las empresas incorporen la ciberseguridad en sus modelos y cumplan con la ley, deben estar activamente involucradas en la gobernanza. Si no se les incorpora adecuadamente, será una debilidad, ya que necesitarán presupuesto para cumplir con las exigencias de la estrategia.
BROU (Institución pública) - Marcelo Varaldi
Sugiere que se puede cubrir la cuestión adoptando el marco de seguridad de Agesic para toda la población. Explica que esto debe salir de la estrategia nacional de ciberseguridad, aplicándose tanto a sistemas públicos como privados. Menciona que, independientemente de si la infraestructura es pública o privada, debe ser parte del análisis de riesgo y de la estrategia.
URSEC (Institución pública) - Mauro D. Ríos
Señala que, aunque nos centramos en ciberseguridad, se necesita una estrategia de seguridad informática integral, ya que la ciberseguridad es solo una parte y el eslabón más débil es el ser humano. En URSEC, tienen 25 políticas de seguridad y están actualizando diez, pero al ejecutarlas a menudo se desvían de lo planeado, lo cual debería mencionarse en las estrategias. Además, al hablar de sociedad civil, no sólo deben considerarse ONGs sino también otras organizaciones que trascienden fronteras. Propone que la seguridad de la información se aborde de manera general dentro del marco de la ciberseguridad para prevenir fugas de información.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Se trabajó en base a ejes temáticos y se desarrollaron sugerencias en distintas áreas.
Definiciones y glosario
Ante la interrogante sobre si se acordó un glosario y un concepto de seguridad y cibercrimen, se fijó la recomendación de iniciar con un glosario como práctica internacional.
Se comentó que se está trabajando en un decreto que incluirá un glosario.
Identificación de involucrados y comunicación
Se volvió a manifestar que es necesaria la incorporación del análisis de riesgos en la gestión de objetivos de ciberseguridad. Hay que establecer criterios para definir los actores y líneas de acción, y mejorar la comunicación y coordinación.
Obligatoriedad, cooperación y concientización
Se mencionó la necesidad que sea obligatorio compartir información en algunos países y cómo habría que considerar la obligación de reportar e interoperar en Uruguay, considerando marcos sancionatorios en otros países como por ejemplo el caso de Chile.
Se señaló el fomento de la cooperación y la concientización entre empresas, aunque se marcaron ciertas dificultades de compartir estrategias de seguridad por razones comerciales.
Definición de actores clave
Se marcaron como actores claves a incluir en la gobernanza a: Agesic, URSEC, DINATEL y Ministerio del Interior. Luego otros participantes agregaron al Banco Central, URSEA, Ministerio de Relaciones Exteriores y Ministerio de Defensa. Además de ese espacio de gobierno central, se agregaría un Consejo Consultivo con amplia participación.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se propuso mapear a los actores involucrados y sus roles en la estrategia.
También se sugirió definir los niveles de criticidad de los servicios que ofrecen los organismos, y tener un modelo de madurez que obligue al cumplimiento de los niveles de criticidad.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados:
Se propuso hacer una evaluación de riesgos y revisar los marcos legales en relación con la gobernanza general. Se subraya que es clave la definición de niveles de criticidad de servicios y el establecimiento de un modelo de madurez.
Sobre la infraestructura crítica, se manifestó que hay que realizar un set general de responsables para el marco normativo.
Se propuso crear un Comité Estratégico y Operativo: definir organizaciones responsables del marco normativo y crear un Comité Táctico y Operativo por sectores.
Se marcó la importancia de identificar y catalogar activos críticos.
Se enfatizó la necesidad de la seguridad como objetivo estratégico de las empresas, y la necesidad de auditar la implementación.