Resumen del intercambio
A continuación, se presenta el informe general de la mesa de trabajo “Gobernanza Nacional de la Ciberseguridad” dónde se encuentran sistematizados y sintetizados los aportes de cada subgrupo. Se mantuvo la estructura estipulada en la agenda de la actividad, que consistió en dos rondas de intercambio.
Es importante señalar que, aunque cada ronda y tema estaba claramente definido, en la mayoría de los casos la discusión superó el planteo inicial.
Parte 1. Ronda de intercambio sobre el borrador
Esta primera ronda se dividió en dos partes, en las cuales los participantes realizaron aportes sobre el borrador. En la primera parte identificaron aportes generales sobre la propuesta borrador, mientras que en la segunda identificaron aportes específicos sobre el pilar “Gobernanza y Marco normativo”.
Parte A. Aportes generales sobre la propuesta borrador
En esta primera parte, las personas participantes respondieron a la pregunta: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno a la Gobernanza Nacional de la ciberseguridad?
Los participantes discutieron diversos aspectos relevantes de la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad, centrando su atención en los siguientes puntos:
Sobre el enfoque y aspectos generales
Se elogió la iniciativa, hubo consenso general sobre su necesidad.
Se resaltó que falta una perspectiva de género, un desafío que se debería enfrentar de manera más central en el documento. Este mismo debería centrarse en personas, sus derechos, necesidades, brindándoles atención y velando por la calidad de vida digital. Se enfatizó la necesidad de garantizar un proceso inclusivo y organizado que involucre a todos los actores relevantes.
También se subrayó que se debe reforzar la oportunidad económica que representa la ciberseguridad para el país.
Finalmente, se planteó que para tener éxito, los documentos estratégicos deberían asumir la realidad de que la ciberseguridad siempre estará un paso atrás del cibercrimen.
Respecto al marco normativo
Se recalcó la importancia de impulsar un marco normativo, y la necesidad de que éste sea menos ambiguo. También se hizo hincapié en que debe promover la participación y estar concebido de forma dinámica, que permita adecuarlo al contexto cambiante. Debe ser mandatorio, permear las organizaciones, y darle importancia tanto al sector público como al privado.
Sobre los pilares
Se enfatizó la importancia de hablar de gobernanza como eje central de la estrategia.
Un comentario que surgió reiteradas veces apunta a la necesidad de pilares más transversales, menos específicos, que consideren las realidades de distintos sectores de ciberseguridad.
Se planteó, respecto a esta temática, que algunos pilares quedaron desproporcionados respecto a otros. Se cuestionó si “Gobernanza” y “Marco normativo” deberían ser pilares distintos, si infraestructura necesita su propio pilar, y se propuso incorporar a la generación de una cultura de la ciberseguridad en el pilar relativo a la gobernanza. También se propuso dividir la gobernanza en tres niveles (estratégico, táctico y operativo), reconociendo la dificultad de su implementación.
Establecer actores, definición de roles, coordinación entre ellos
Se resaltó la importancia de la línea de acción i del primer objetivo (“Definir los diferentes niveles, organizaciones y responsabilidades para la gobernanza a nivel Estratégico, Operativo y Sectorial”). Se recalcó que es fundamental la cooperación (línea de acción ii) y el posicionamiento de la ciberseguridad como objetivo de gestión. También se valoró mucho el aspecto participativo de la iniciativa.
Se reconoció la necesidad de definir claramente los actores y sus roles y responsabilidades, y se hizo énfasis en que en algunos casos no quedan claros los roles de los organismos. Para evitar la duplicación de actividades, debe haber un encargado de ciberseguridad en cada organismo, cuyo único rol sea ese. Para lograr este cometido, se comentó que es necesario sensibilizar a las autoridades.
Respecto a los actores involucrados, se resaltó que es clave la identificación de actores estratégicos y sus roles en la gobernanza. Se debe definir cuáles son, por ejemplo, las infraestructuras críticas.
Se marcó que hay que establecer claramente los organismos responsables y sus jerarquías, así como jerarquizar las gerencias de ciberseguridad en los organigramas de las diferentes organizaciones. Además, se debe considerar a las pymes, dándole importancia tanto al sector privado como al público. Se destacó que la estrategia debe abarcar a todos los actores, desde ciudadanos comunes hasta actores más complejos.
A la vez, se manifestó la importancia de que la ENC sea una política de Estado, para evitar retrocesos en la implementación de la estrategia.
Capacitación y sensibilización
Se destaca la importancia del desarrollo de capacidades, y se reconoció que sus aspectos fundamentales están incluidos en la estrategia. Se resaltó la necesidad de prever recursos humanos y de sensibilizar a la población en general.
Acciones propuestas
Se recomendó: hacer hincapié en el producto mínimo viable; asegurar que la estrategia sea aplicable; definir planes de acción concretos, considerando necesidades nacionales; realizar monitoreo y seguimiento dinámico, estableciendo metas, indicadores y objetivos concretos. Se enfatizó la necesidad de control y de auditorías para la ejecución de las líneas de acción, así como del desarrollo de una metodología común.
Carencias identificadas
Se identificaron algunas carencias existentes en Uruguay que surgieron reiteradas veces: la falta de cultura de la ciberseguridad; la falta de competencias de capacidades y de recursos humanos como resultado de esto; y la falta de un marco normativo coherente y sólido. También se hizo mucho hincapié en que aún falta atribuir claramente roles y responsabilidades, y se enfatizó la importancia de esto.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
En esta parte, las personas participantes respondieron a la pregunta: ¿Qué aspectos específicos de gobernanza creen que podrían mejorarse o añadirse en el pilar “Gobernanza y Marco normativo” con el fin de establecer la Gobernanza Nacional de la Ciberseguridad de Uruguay?
Los aportes de los participantes en respuesta a esta pregunta pueden dividirse en varios ejes temáticos: se sugirió profundizar en los mecanismos de cooperación y coordinación; aclarar la política, las prácticas y los marcos de referencia; elaborar una estrategia de seguimiento; definir y concretizar los objetivos y las acciones; establecer los recursos y el presupuesto generales; y apoyarse en experiencias internacionales.
Sugerencias para profundizar en los mecanismos de coordinación
Se sostuvo que en la coordinación se debería adoptar una forma concreta, como mesas de trabajos a nivel estratégico, táctico y operativo, tal como estas mesas de diálogo. Estas instancias concretas, donde los representantes tendrían un perfil concreto de trabajo y trabajarían con métricas, podrían tener una frecuencia de una vez al mes o trimestral para que se generen metas de avances. Sin embargo, también se señalaron dudas sobre la factibilidad de una mesa de 100 participantes.
También se señaló la importancia de un plan de comunicación para lograr que la información llegue a todos los involucrados.
Aspectos que se podrían añadir al pilar “Gobernanza y Marco Normativo”
Como resultado de estas discusiones, se sugirió añadir ciertos elementos al pilar “Gobernanza y Marco Normativo”.
Se propuso afrontar el tema de la política de seguridad nacional, definiendo modalidades y autoridades responsables.
También se sostuvo que se debe definir al organismo coordinador (que podría ser AGESIC), determinando si se debe crear un órgano aparte, como por ejemplo un comité para interactuar con el sector privado.
Además, es necesario identificar actores y participantes: la definición de roles debería ser parte de la estrategia. Se señaló la importancia de la participación del sector privado en la estrategia para garantizar su apropiación y éxito, y se marcó la necesidad de incluir también a la academia y a la sociedad civil en la gobernanza. Se subrayó la importancia de establecer prácticas diferenciales entre público y privado, y se marcó la necesidad de especificar las obligaciones de los organismos según su nivel operativo.
Se propuso una nueva línea de acción: La distribución de potestades regulatorias y responsabilidades entre los diversos organismos debe ser clara y permitir una rápida adaptación del marco normativo a los cambios de circunstancias.
Gobernanza de seguimiento
Se hizo mucho énfasis en la necesidad de enfocarse en el seguimiento y monitoreo en el marco de la gobernanza.
Para esto, se sugirió establecer indicadores, metas de la estrategia, áreas de progreso y definir mecanismos de medición. Se recalcó que es necesario incluir métricas en el pilar de gobernanza porque si no se mide no se puede gestionar, y se tiene que hacer público en qué se está avanzando y en qué no.
Se subrayó, además, que el seguimiento de indicadores debe ser estricto, porque de lo contrario genera problemas en el pasaje de lo estratégico a lo operacional. Se resaltó la diferencia entre la teoría y la práctica, remarcando que a menudo la implementación se dificulta por falta de presupuesto, de coordinación y de recursos humanos. Por lo tanto, es importante prever los riesgos y las barreras.
También se planteó la posibilidad de establecer un estándar a seguir a nivel nacional, que permitiría hacer una medición general del país
Definición, precisión y concretización de los objetivos y líneas de acción
Se denunció una falta de precisión y concreción respecto a las líneas de acción planteadas. Reiteradas veces se sostuvo que se deben concretizar los objetivos y, luego, las líneas de acción. Para esto es necesario definir a qué nivel de detalle se busca llegar en la ENC.
Además, se afirmó que la gobernanza debe ser más específica en algunos temas, sobre todo en la definición de roles y responsabilidades y en las métricas. El marco tampoco quedó claro: se sostuvo que las definiciones son demasiado ambiguas (habría que empezar por definir el término “gobernanza”), y que falta la designación del ente rector y de los aspectos que aún se deben trabajar. Debería haber, en este sentido, un claro responsable.
Respecto a esto último, se señaló que falta un diagnóstico del sistema de gobernanza actual.
Finalmente, un comentario que surgió mucho fue la necesidad de claridad en los términos y procedimientos que permitan generar un marco legal. Frente a esto, se recalcó en reiteradas ocasiones la necesidad de elaborar un glosario para el público.
Establecimiento de los recursos necesarios
Se manifestó la necesidad de presupuesto y de recursos humanos, equipos, y recursos para ayudar a los decisores.
De nuevo se destacó que faltan capacidades y se debe profesionalizar más. Se propuso una formación obligatoria para todos, desde los técnicos hasta los jerarcas.
Se enunció a lo largo de la ronda la necesidad de incluir el involucramiento activo de los altos mandos. Para lograr su compromiso se propuso:
Generar un marco legal o regulatorio;
Generar una cultura sobre la temática;
Mostrar los riesgos ligados a un incidente de ciberseguridad.
Se reiteró la necesidad de fijar un plan de riesgo para priorizar el presupuesto.
Experiencias internacionales
Se afirmó que es clave tomar las experiencias internacionales como referencia, por ejemplo, para actualizar la normativa. Sin embargo, también se argumentó que es imprescindible tener presente nuestra realidad ya que las experiencias internacionales en muchos casos no son aplicables en Uruguay.
Parte 2. Aportes Estratégicos, Priorización e Identificación de actores para el pilar de la mesa
La segunda parte de intercambio sobre el borrador propuesta se dividió en tres partes centradas en aportes estratégicos que incluían plantear objetivos, proponer actividades específicas y analizar su viabilidad.
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Los objetivos fueron generalmente y en gran medida validados por las personas participantes en las mesas.
Se propusieron ciertas modificaciones en la redacción:
Respecto al segundo objetivo, “La ciberseguridad como objetivo de gestión”, se sugirió agregar “nacional” para que se refiera a la gestión nacional.
En la segunda línea de acción de este mismo objetivo (“Definir el conjunto de organizaciones mínimo que deberán contar con estos objetivos”), se propuso reemplazar “deberán contar” por “deberán cumplir”.
Además, ciertos actores sostuvieron que los objetivos de gobernanza deberían ser más específicos y especificar actores, roles y responsabilidades con el fin de encuadrar efectivamente la capacidad de actuar y de impulsar acciones.
Se señaló el fomento de la cooperación y la concientización entre empresas, aunque se marcaron ciertas dificultades de compartir estrategias de seguridad por razones comerciales.
También se criticó que los objetivos no mencionan las necesidades previas, por lo que sería útil sacar conclusiones a partir de una comparación pasado-futuro que permita identificar brechas y aprender de lo que ha funcionado y lo que no. A partir de eso, habría que proponer posibles vías de evolución de la gobernanza.
Finalmente, se sostuvo que se debe evaluar la viabilidad y entablar una discusión acerca de cómo aprovechar los recursos que ya existen para no duplicar esfuerzos.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Las personas participantes aportaron actividades y acciones para el pilar “Gobernanza y marco normativo”.
En varios subgrupos se desarrollaron propuestas en función de cada objetivo:
Objetivo 1. Establecer la gobernanza nacional de ciberseguridad:
En la línea de acción ii, agregar “coordinación y comunicación”;
Coordinar el diálogo como línea transversal a todas las acciones: trabajar para involucrar a los actores que no están involucrados a nivel estratégico;
Mapear a los actores involucrados y sus roles en la estrategia;
Establecer roles, relevar funciones y asegurarse de que no se superpongan;
Representar a los actores por inciso y por sector (público, privado, academia) para que sea más abarcativo;
Establecer una capacitación obligatoria en ciberseguridad como requisito para el ingreso a la función pública y definir los procedimientos;
Crear una comunidad técnica para el intercambio de conocimiento;
Incluir presupuesto y recursos, fundamentales en la gestión, en las líneas de acción (punto debatido);
Desarrollar una hoja de ruta;
Contar con potestades administrativas;
Definir un órgano rector asociado con el Comité de Gestión;
A futuro, crear un Ministerio de Tecnología;
Coordinar y difundir las actividades del comité asesor o de gestión;
A corto plazo, incorporar en el comité tanto a nivel estratégico y a nivel de gestión a otros actores: por ejemplo, la academia;
Definir la competencia de control;
Definir indicadores, recursos humanos y recursos;
Establecer una agenda digital a nivel nacional de ciberseguridad;
Mirar hacia fuera para descubrir buenas prácticas a nivel internacional.
Objetivo 2. La ciberseguridad como objetivo de gestión
A través de incentivos y capacitaciones obligatorias, brindar métricas para ir evaluando las tendencias y el avance (no esperar a hacer una evaluación anual);
Crear un incentivo por madurez en ciberseguridad a través de las auditorías;
Jerarquizar;
Asegurarse de que sea una política de Estado;
Desarrollar capacidades;
Invertir en tecnología;
Medir el riesgo de forma transversal, gestionar la ciberseguridad dentro de las organizaciones;
Certificar empresas en Ciberseguridad;
Operacionalizar, medir y profesionalizar;
Incluir la tercera línea de acción del segundo objetivo: “Elaborar los marcos legales y regulatorios necesarios” en el tercer objetivo: “Desarrollar la legislación, el marco normativo y regulatorio”.
Objetivo 3. Desarrollar la legislación, el marco normativo y regulatorio
En la línea de acción ii, reemplazar “desarrollar” por “trabajar en el desarrollo y actualización”;
Instrumentar un marco normativo de ciberseguridad e implementar el marco en la mayor cantidad de ámbitos posibles;
Establecer una ley sobre delitos de ciberseguridad;
Establecer y mejorar los aspectos procesales;
Desarrollar una agencia de coordinación;
Monitorear las políticas y tendencias internacionales.
Se planteó que este objetivo debería generar los marcos para los dos objetivos anteriores.
Además, se sostuvo que se debería añadir un cuarto objetivo para la implementación de la hoja de ruta y de los mecanismos de control.
Por otro lado, en algunos subgrupos se propusieron actividades y acciones globales relevantes al pilar “Gobernanza y Marco normativo”, sin incluirlas en un objetivo específico:
Definir una línea de base para documentar los avances. Reforzar los aspectos positivos de las estructuras existentes y concentrarse en los puntos débiles.
Definir un encargado de ciberseguridad en cada servicio público, que reciba cursos en línea, capacitaciones y recursos.
Crear un marco claro para garantizar la seguridad jurídica.
Establecer mecanismos de participación con el sector privado, la sociedad civil y la academia.
Definir los niveles de criticidad de los servicios que ofrecen los organismos, y tener un modelo de madurez que obligue al cumplimiento de los niveles de criticidad.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Las personas participantes realizaron análisis de viabilidad, priorizaron ciertas acciones e identificaron actores relevantes.
Se sostuvo que en cuanto a la priorización, las acciones son interdependientes. Sin embargo, se hizo hincapié en la necesidad de garantizar recursos (materiales y humanos), presupuesto, y asignar roles y responsabilidades.
Se destacó que hay que enfocarse en los roles y las responsabilidades y en determinar quién va a definir los términos y la atribución de responsabilidades. Se debe reforzar el marco de referencia.
Respecto a los actores, se hizo hincapié en la necesidad de descentralización de la estrategia: se recalcó que se deben tomar en cuenta los gobiernos locales, ya que tienen más cercanía con el ciudadano. También se resaltó la importancia de que estén involucradas la academia y la sociedad civil. Se planteó la posibilidad de crear un observatorio independiente. Se recomendó identificar a los actores por inciso, por sector (público o privado), y también incluir al gremio. Se propuso crear un Comité Estratégico y Operativo. Se marcó la importancia de identificar y catalogar activos críticos.
Se aclaró que en cada organigrama debería ser posible encontrar a los responsables correspondientes de ciberseguridad, con datos obligatoriamente actualizados. Se identificó a AGESIC como actor referente que recibiría y actualizaría un directorio, que se sugiere sea de acceso público o compartido con la comunidad.
Se propuso hacer una evaluación de riesgos y revisar los marcos legales en relación con la gobernanza general. Se subrayó que es clave la definición de niveles de criticidad de servicios y el establecimiento de un modelo de madurez.
Se enfatizó la necesidad de la seguridad como objetivo estratégico de las empresas, y la necesidad de auditar la implementación.
Se hizo hincapié la importancia de poder fiscalizar públicamente.
También se identificaron potenciales actores: se mencionó al Poder Ejecutivo, la Presidencia, el Ministerio de Defensa, el Ministerio de Relaciones Exteriores (para desarrollo, actualización y monitoreo de las políticas internacionales), el Ministerio del Interior, el Poder Legislativo, la Fiscalía, los representantes de las infraestructuras críticas de la información, AGESIC (Agencia de Gobierno Electrónico y Sociedad de la Información y el Conocimiento), URSEA (Unidad Reguladora de Servicios de Energía y Agua), URSEC (Unidad Reguladora de Servicios de Comunicaciones), ANTEL (Administración Nacional de Telecomunicaciones), el Ministerio de Defensa Nacional, DINATEL (Dirección Nacional de Telecomunicaciones), y el Banco Central.