Subgrupo 2
- Moderadora: Arianne Palau, Agesic.
- Relatora: Marta Susana Manent, ICD.
- Participaron 14 (catorce) personas de 11 (once) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
DNA (Institución pública) - Matías Prieto
Cree que la propuesta recoge los principios básicos, y que todas las dimensiones están contempladas. Considera que tiene una buena estructura.
DNA (Institución pública) - Álvaro Salvarini
Le parece que es muy importante incorporar la parte de innovación e inversión, y que sea más fácil conseguir los recursos.
MDN (Institución pública) - Claudio López
Hace una analogía entre agresiones contra el cuerpo humano, los niveles de penetración de esas agresiones y las respuestas para restaurar la salud y las agresiones a las infraestructuras de la información críticas, los niveles de agresión y las capas de protección. Sintetiza el núcleo de la temática en pensar cómo defender a los “órganos vitales” del Estado que son las IIC.
AGESIC (Institución pública) - Federico Peux
Señala que hay que tener criterios claros para definir lo que es una estructura crítica y que eso se podría de alguna forma trasladar a cada uno de los responsables de los distintos organismos públicos o empresas privadas para que las pudieran identificar.
URSEC (Institución pública) - Mauro Ríos
Plantea que la infraestructura de informción crítica adquiere valor por los activos de información que contiene, por lo que es prioritario identificarlos, así como evaluar su criticidad tanto a nivel nacional como en cada organismo y empresa. Además, resalta la importancia de analizar la criticidad desde una perspectiva nacional.
El interviniente fue claro en señalar que, si la infraestructura de información crítica falla, debe existir un plan alternativo (Plan B), compuesto por una segunda línea de instituciones públicas y privadas, que brinden resiliencia y permitan mantener operativos los servicios clave del país. Propone que debe haber un Plan A y un Plan B: ¿qué sucede si no es posible proteger una infraestructura crítica? ¿Quiénes actuarán como respaldo? En caso de falla, el Plan B deberá garantizar la continuidad de los servicios esenciales mediante la participación de instituciones de respaldo.
Además, considera que es fundamental no solo proteger la infraestructura crítica, sino también invertir en concientización y capacitación, ya que el factor humano es crucial en este proceso.
Por otro lado, señala que el presupuesto destinado a las áreas tecnológicas es imprescindible y debe ser aumentado. Sin embargo, antes de eso, destaca un problema previo: en la Administración Pública, estas áreas suelen estar en niveles jerárquicos bajos, muchas veces como dependencias ad-hoc. Propone que se jerarquicen a niveles intermedios, como jefaturas o gerencias, lo que facilitaría la gestión de recursos y la solicitud de presupuesto. Con una estructura formal y jerarquizada, estas áreas podrían incluso ser consideradas para líneas presupuestarias dentro del Presupuesto Nacional.
CTM (Institución pública) - Alejandro Reyes
Le parece muy completa la ENC, ya que tiene en cuenta todos los aspectos desde la gobernanza y puntos legales, hasta la parte cultural, la difusión, la concientización. Se toma en consideración no solamente la parte técnica de los organismos, sino que abarca al público general y la educación. Cree que es vital el unir el sector, por la sinergia que se puede generar desde las capacitaciones hasta la respuesta a incidentes, al tener un común accionar entre todos.
Correo uruguayo (Institución pública) - Javier Lago
Manifiesta acuerdo a nivel general. Enfatiza que el eslabón más débil de la cadena es el humano. Entonces le parece que las capacitaciones y el trabajo en equipo son muy importantes.
SIEE (Institución pública) - Jorge Alliaume
Expresa que los objetivos y las líneas de acción están muy bien definidos. También concuerda y le parece fundamental resaltar que casi todo termina en el factor humano.
AGESIC (Institución pública) - Sebastián Gómez
Manifiesta que está 100% de acuerdo con el documento, y totalmente de acuerdo con que hay que identificar las estructuras críticas, incluyendo las que están relacionadas con países limítrofes. Plantea la generación de protocolos de comunicación entre los sectores de infraestructuras críticas.
ANCAP (Institución pública) - Patricia Márquez
Está completamente de acuerdo con el abordaje. Propone reforzar la parte técnica de prevención, porque así se evita que se llegue al órgano vital ya que hay un diseño que lo hace más difícil. En vez de esperar a defender ese órgano o tratar de que se recupere más rápido, conviene dificultar el acceso al órgano vital.
Teledata (Sector privado) - Alejandro Pereyra
Considera que el borrador está muy bien, abarca bastantes puntos importantes. Detecta una disociación total entre IT y OT (tecnología de la información y tecnología operativa) que hay que subsanar. Plantea que a nivel de diseño es importante tomar tres aspectos: IT, OT y software, en especial el desarrollo de software seguro. Se deben crear certificaciones o ir al aprendizaje en las facultades para poder incorporar la ciberseguridad en eso. Le preocupa el tema presupuesto. Cree que el presupuesto tiene que estar dentro de los planes estratégicos de las empresas públicas y privadas, porque si el nivel de ciberseguridad no está en el presupuesto, podrán hacerse muchos marcos, pero no se va a invertir en eso, tanto sea en recursos humanos como en tecnología. Por último, también la coordinación entre público y privado le parece importante.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
CTM (Institución pública) - Alejandro Reyes
Una duda que plantea es si está bien hablar de infraestructura de información crítica o de infraestructura crítica. En el caso de la hidroeléctrica es más infraestructura crítica, que de información. Otro tema que no ha visto mencionado es que en las infraestructuras críticas físicas es importante el tema de control de acceso. Plantea la necesidad de simulacros y de planes de recuperación de acceso. Por otro lado, estima que es natural que el responsable encargado de ciberseguridad nazca en TI y que crear una gerencia específica requiere una asignación presupuestaria.
URSEC (Institución pública) - Mauro Ríos
Expresa que el presupuesto para las áreas de tecnologías es imprescindible y debe ser aumentado. Pero existe un problema anterior y es que en la Administración Pública estas áreas existen en diversos niveles jerárquicos, en muchos casos sumergidos a dependencias casi ad hoc. Se debería jerarquizarlas al nivel de áreas medias como Jefaturas o Gerencias. Al estar en un mejor estatus jerárquico, se hace más accesible solicitar o reclamar presupuesto. Estando estas áreas de tecnología en una estructura formal y jerarquizadas, incluso pueden ser objeto de líneas presupuestales en el Presupuesto Nacional.
También refiere que, aunque existe un marco normativo para los procesos de adquisiciones de tecnología en la Administración Pública, el mayor problema es el incumplimiento del mismo. Específicamente cuando se trata de los procesos de adquisiciones de tecnología en la Administración Pública, donde en tecnología muchas veces se adquiere por precio, una práctica común, pero en desconocimiento de la posibilidad de adquirir por conveniencia según lo establece el propio TOCAF. En tecnología, y más hablando de infraestructura crítica, adquirir barato no es lo recomendable. Debe adquirirse lo conveniente.
Una práctica común es que muchas veces la tecnología se adquiere por precio, pero en desconocimiento de la posibilidad de adquirir por conveniencia según lo establece el propio TOCAF. En tecnología, y más hablando de infraestructura crítica, adquirir barato no es lo recomendable. Debe adquirirse lo conveniente. Enfatiza que lo que haría falta para mejorar el cumplimiento es concientizar y educar, más allá de las carreras universitarias.
AGESIC (Institución pública) - Federico Peux
Entiende que la parte educativa se tiene que dar a todos los niveles - no solamente a nivel de la Facultad, cuando ya hay una orientación hacia la parte tecnológica. Hay un eslabón débil en la cadena, así que por más que podamos fortalecer y subir los niveles de madurez de lo que tiene que ver con infraestructuras críticas, hay un factor humano que es importante. En una empresa siempre hay gente con orientación técnica y otra que no, y todos pueden fallar. Por lo tanto, es esencial generar una mejor capacidad en la parte educativa. Considera fundamental tener los criterios para que puedan los organismos y las entidades públicas y privadas establecer si pertenecen a una infraestructura crítica o no. También se debe establecer la dependencia entre esas infraestructuras críticas y la relación que tienen, porque no es suficiente seguir buenas prácticas que hagan que el nivel de madurez en una infraestructura crítica sea muy valorable y presentable, si quien abastece de energía no lo hace. No es solamente identificar las IIC sino también la relación entre las distintas infraestructuras críticas, la dependencia que hay en cada una de ellas y además en este marco ofrecer niveles de madurez para poder ir mejorando.
MDN (Institución pública) - Claudio López
Con respecto a la diferencia entre infraestructura crítica e infraestructura de información crítica, explica que la infraestructura de información crítica es un sistema de información de una infraestructura crítica. No existe una infraestructura de información crítica que no pertenezca a una infraestructura crítica del país, está contenida dentro de una infraestructura crítica y va más allá. Considera que poner el presupuesto por delante es poner la carreta por delante de los bueyes. En cambio, plantea que primero hay que tener identificado quién es el responsable de ciberseguridad en una infraestructura crítica, ya que, incluso, está establecido por ley que tiene que haber un responsable. Cuando exista, se le podrá asignar un presupuesto. Este encargado, opina, no tiene que venir de TI sino que tiene que estar opuesto a esa situación, tiene que verla desde afuera.
ANCAP (Institución pública) - Patricia Márquez
Considera que tal vez cuando el nivel cultural y de concientización sea generalizado, se pueda tener el responsable de ciberseguridad afuera y estar más como un órgano supervisor o de mejora continua. Pero antes, conviene que esté adentro y agarre las cosas desde el principio.
Teledata (Sector privado) - Alejandro Pereyra
Con relación al tema presupuesto explica que si se quiere generar un área de ciberseguridad o TI se debe considerar tanto inversiones como recursos humanos, que es un gasto. Entonces hay que plantear un plan de negocios para que ese gasto se convierta en inversión. El presupuesto pasa a ser un actor bastante importante para el que toma las decisiones.
DNA (Institución pública) - Álvaro Salvarini
Comparte que la Estrategia es integral, como lo dice el documento, y la infraestructura crítica tiene que estar en esa integralidad, por lo que el presupuesto no es ajeno: se necesita plata para todo. Haciendo foco en la resiliencia, considera que cuando se habla de Plan A y Plan B, el plan B a la tecnología es más tecnología. Resume diciendo que el enfoque tiene que ser integral como dice el documento, tiene que atender riesgo y tiene que prever más tecnología para la tecnología primaria, para tener procesos operativos que funcionen en situaciones de desastres y que permitan volver a estar en condiciones normales o cuasi normales en plazos razonables.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Los objetivos fueron validados de manera general, pero se hicieron algunos aportes:
- Se propuso agregar un objetivo: el de prevenir.
- Dentro de ese objetivo podría estar también la Seguridad por Diseño, que es una debilidad que se tiene actualmente, ya que no lo tenemos o se tiene únicamente por acciones específicas.
- Hay dos objetivos previos a Fortalecer y Proteger que son: identificar las IIC y saber quién y dónde las identifica; e identificar cuáles son los activos críticos de esas IIC.
- Una vez establecidos esos puntos, se podrá priorizar las IIC y generar capacidades para que esas priorizaciones tengan una adaptabilidad ágil y flexible para responder a los cambios y a las amenazas.
- Será materia a discutir si el garantizar presupuesto para alcanzar el logro de los objetivos es o no una línea de acción.
- También se planteó agregar como objetivo “considerar la dependencia entre las IIC”, y establecer protocolos de acción si cae una. Es necesario tener un “Plan B” de soporte por si una IIC cae.
- Una vez identificada una criticidad, el monitoreo debería ser obligatorio y reportar a un lugar centralizado, a definir. Incrementar las capacidades de monitoreo en una primera etapa sería lograr que las 15 IIC públicas tengan un monitoreo real y robusto y no meramente nominal.
- Se debería compartir los conocimientos recolectados por ese monitoreo continuo en una comunidad técnica para que todos se enriquezcan. Se propuso incluir una línea de acción que establezca la necesidad de compartir el aprendizaje, y que haya una instancia de recolección de la información en las distintas infraestructuras críticas identificadas. A partir de esa base de conocimiento se puede ir madurando y evolucionando.
- Establecer auditorías periódicas para constatar el cumplimiento de los monitoreos y dar ayuda.
- Garantizar que la adquisición de insumos de tecnología cumpla los requerimientos adecuados (no comprar por precio).
- Dentro de la resiliencia, tener en consideración la necesidad de la interdependencia y colaboración, no solo intra/local sino internacional. Se subrayó la complejidad de casos como Salto Grande que, además de ser infraestructura crítica, es internacional.
- También se planteó que la línea de acción v es demasiado técnica al referirse a los algoritmos criptográficos post cuánticos: no es aplicable para esta primera Estrategia, sino que debería definirse en un nivel ulterior.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Las acciones propuestas por los y las participantes son:
- Identificar lo que es la infraestructura crítica,
- las dependencias entre ellas,
- el impacto que tienen,
- no sólo la infraestructura y la dependencia a nivel nacional sino también en colaboración con lo internacional.
- Además, después de identificar esa línea base de infraestructuras, se debe generar la capacidad para que ese riesgo y ese impacto se estén midiendo constantemente.
- Que se pueda cambiar de forma ágil y dinámica lo que se considera una estructura crítica y en qué momento, ya que pueden cambiar las prioridades y por lo tanto la criticidad de las infraestructuras.
- Es muy importante la auditoría y monitoreo constante de amenazas críticas, así como el monitoreo del cumplimiento de las líneas de acción y de su impacto.
- Respecto al monitoreo, también se sugirió jerarquizarlo: hoy AGESIC es responsable de concentrar ese monitoreo, pero si se generan las capacidades que se plantean en la línea de acción ii del Objetivo (generar equipos especializados a nivel sectorial), se deberían establecer monitoreos dentro de cada organismo, de cada organización.
- Debido a la interdependencia de las IIC, se deben realizar ejercicios en conjunto.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
No se llegó a analizar este punto.