Subgrupo 1
- Moderadora: Maria Noel Hernández, Agesic.
- Relatora: Isabel Álvarez, ICD.
- Participaron 13 (trece) personas de 9 (nueve) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador:
DNIC (Institución pública) - Guillermo Lungo
Destaca la poca resiliencia ante cualquier desastre. No hay planes de acción ni gestión de riesgos. Está de acuerdo con algunos puntos, pero dice que no hay ciclos de contingencia y hay procesos críticos que no se contemplan.
MGAP (Institución pública) - Marcos Chávez
Sostiene que hay un estadio anterior de preparación para tener una planificación y estrategia más concreta y armada. Habría que tener gestión de riesgos, manejo de incidentes y no salir a apagar incendios. Ve aspectos positivos pero se necesitan mejoras.
SIEE (Institución pública) - Robert Figueroa
Destaca la necesidad de un marco regulatorio más claro. Remarca la importancia de sumar al sector privado.
ANTEL (Institución pública) - Carlos Piana
Resalta que falta camino. No está tan claro cuál es la infraestructura crítica en Uruguay – habría que cuestionarse qué es grave y definirlo bien.
DNIC (Institución pública) - Cinthia Los Santos
Argumenta que no está bien definida la matriz de riesgo y que hace falta un procedimiento estandarizado.
DNA (Institución pública) - Santiago Madura
Nota que, si bien están todos impulsando lo mismo, falta coordinación. No existe contingencia y no hay planes elaborados. ¿Cómo sabemos cuando hay un ciberataque? Es importante definir lo que es crítico. Hay otras entidades que deben ser considerados.
VaFirma (Sector privado) - Martín Fernández
Aprueba el borrador, y le gusta la idea de la capacitación. Pide el fortalecimiento del monitoreo. Está de acuerdo en cuanto a la necesidad de mecanismos de prevención. Destaca que habría que ver la cobertura de los planes y especificar el fortalecimiento en la identificación digital de mecanismos remotos, que avanza en la región pero está mas estancado en Uruguay.
Agesic (Institución pública) - Nicolás Correa
Hace hincapié en la identificación de infraestructuras críticas y en la importancia de la cooperacion.
MI (Institución pública) - Javier Jaurguiberry
Sostiene que la importancia del texto radica en la importancia de proteger las infraestructuras.
Agesic (institución pública) - Natalí Paggiola
Asegura que es relevante dejar como pilar las infraestructuras críticas de telecomunicación. Es muy importante la cooperación y la comunicación.
URSEC (Institución pública) - Nelson Rodríguez
En Uruguay no existe un reconocimiento de las infraestructuras críticas. La realidad depende de una situación externa que quizás no está vista como crítica pero que en el momento puede llegar a hacerlo. La energía, el agua, y la salud tienen que estar siempre. Hay que dimensionar los centros de referencia en cuanto a la salud. Si no existe la coordinación y un lugar adonde llamar, no se puede responder correctamente.
Agesic (Institución pública) - Pablo Pajon
Comenta que estas instancias son muy importantes porque crean conciencia. Hay que compartir lo que hay e identificar lo que falta. Sostiene que nunca estamos 100% preparados para enfrentar problemas. Es un trabajo continuo, y esta iniciativa es un paso adelante.
Agesic (Institución pública) - Eduardo Mascolo
Manifiesta su acuerdo en términos generales. Comenta que el mecanismo de detección y respuestas es complicado. No es tan fácil hacer pruebas. Remarca que para las pymes hay muchas cosas que son inviables. Las TIC o proveedores de soluciones deberían certificar que lo que están vendiendo cumple con ciertos estándares. Las certificaciones son muy importantes.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Agesic (institución pública) - Natalí Paggiola
Habría que calcular un presupuesto y un estimado de recursos humanos. También se deben implementar mecanismos de reportes porque no ve que se contemple la prevención. Es importante identificar vulnerabilidades y que se vea el panorama internacional. Habría que tener un plan de acción general para el manejo de crisis.
Además, comenta que los sistemas industriales están conectados y se hacen para que duren 20 años. Sostiene que se debe elaborar un plan de acción para el manejo de crisis y generar una metodología de catálogo de infraestructuras críticas. También es importante fomentar el intercambio de las amenazas. Entiende que en las organizaciones críticas, debe ser obligatoria la capacitación en ciberseguridad. Hay que estar actualizados.
Agesic (Institución pública) - Eduardo Mascolo
Comenta que las realidades son muy diferentes y es difícil de unificar. La coordinación le parece muy importante. Es una tarea que no termina nunca, porque requiere actualización constante.
URSEC (Institución pública) - Nelson Rodríguez
Habla de priorizar la infraestructura crítica y determinar el presupuesto.
MI (Institución pública) - Javier Jaurguiberry
Es necesario definir una gobernanza clara de las infraestructuras críticas. Hoy el órgano que tiene más conocimiento de infraestructura crítica no es quien debe controlar esto. Debería ser un órgano independiente. Hay riesgos que afectan a muchos sectores. Propone agregar el objetivo de identificar las infraestructuras críticas y priorizarlas, ya que lo que no se conoce no se puede atacar. Es necesario identificar responsables y referentes de las infraestructuras. También sugiere establecer un criterio mínimo que todos tienen que cumplir, establecer un marco regulatorio y generar presupuesto.
Agesic (Institución pública) - Nicolás Correa
Hace hincapié en que se debe fortalecer el rol de los reguladores de cada sector. Se deberá potenciar la participación de los reguladores.
VaFirma (Sector privado) - Martin Fernández
Hace énfasis en el presupuesto y en las pymes. Hay que priorizar la asignación de recursos y trabajar mucho en mejorar lo que hay en vez de generar iniciativas nuevas. Destaca la necesidad de medir.
DNA (Institución pública) - Santiago Madura
Remarca que es un trabajo continuo. Agesic o un ente aparte debería lograr regular y generar planes de contingencia. Se deben plantear requisitos mínimos.
DNIC (Institución pública) - Cinthia Los Santos
Marca la importancia de la prevención y la relevancia de tener mecanismos de medición de impacto. Hay que hacer pruebas de qué pasa si se corta un servicio, saber quién lo puede arreglar, quién tiene ese conocimiento.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Todos los integrantes de la mesa validaron los objetivos planteados, con algunos aportes detallados a continuación.
En la descripción del objetivo 1 (“Proteger las IIC”), se establece que las IIC “deberán estar preparadas para detectar y gestionar de forma correcta los incidentes de ciberseguridad”. Se sugiere incluir la prevención, que debe contemplar el monitoreo de las tendencias de ciberataque (mantenerse actualizado sobre las últimas vulnerabilidades y amenazas de seguridad para poder tomar medidas preventivas adecuadas); generar una base de conocimientos e identificación de vulnerabilidades; generar mecanismos de comunicación e instancia de intercambio.
Se sugirieron algunas modificaciones en las líneas de acción.
Respecto a la línea de acción iv del objetivo 1 (“Proteger las IIC”), se propuso modificar la redacción: “Desarrollar ejercicios conjuntos entre varias IIC para el desarrollo de las habilidades y garantizar que los canales de comunicación funcionan.”
Se cuestionó la necesidad de incluir la línea de acción v (“Desarrollar una nueva infraestructura de Claves Públicas Nacional contemplando tendencias internacionales y algoritmos criptográficos post cuánticos”) en el objetivo 2 (“Fortalecer la resiliencia de las IIC”).
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Los y las participantes realizaron aportes sobre actividades y acciones que se deberían realizar en el marco del objetivo 1 (“Proteger las IIC”):
Lo primero es definir qué infraestructura se va a considerar para luego ver elaborar un plan de acción. Se debe generar una metodología que permita la identificación y elaboración de un inventario/catálogo de infraestructuras críticas, porque van cambiando y se deben actualizar.
Definir organismos rectores, para que gestionen e identifiquen las IIC. Se necesita una línea de acción para priorizar las estructuras y definir criterios mínimos de ciberseguridad.
Establecer una figura coordinadora para que se lleven a cabo las mejoras en las respuestas de incidentes y monitoreos.
Identificar responsables de cada organismo en IIC.
Generar una base de conocimiento compartida.
Establecer capacitaciones obligatorias en seguridad de la información para todos los involucrados.
Establecer el compromiso de gestión y liderazgo en todos los niveles.
Establecer un criterio mínimo en ciberseguridad, un marco, que contemple los procedimientos y garantice auditorías y lineamientos.
Elaborar un plan de acción para el manejo de crisis.
Medirse para mejorar, evaluarlo en los proyectos de impacto.
Respecto a línea de acción i (“Incrementar y fortalecer las capacidades de monitoreo y detección de las IIC”), debe haber intercambios en estos monitoreos.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
Respecto al objetivo 1 (“Proteger las IIC”), se mencionó que deberían estar involucrados el Ministerio de Defensa, el Ministerio de Educación y Cultura, un representante de cada IIC, uno de cada área pública y privada, de la academia, Agesic, y un regulador.
Respecto al objetivo 2 (“Fortalecer la resiliencia de las IIC”), se debería tener en cuenta al Ministerio de Economía y Finanzas, al Ministerio de Relaciones Exteriores, al Ministerio de Defensa y Secretaría de Inteligencia del Estado, a Fiscalía, al Poder Judicial, a Agesic, y a representantes de cada IIC.
En cuanto a la priorización, lo primero es asegurar la estructura organizativa (se debe establecer una jerarquía dentro de los actores) y un inventario/catálogo de las IIC.
Debería de haber un presupuesto para arreglar las consecuencias de un incidente: se deben determinar esos fondos.