Subgrupo 3
- Moderadora: Ninoschka Dante, Agesic.
- Relatora: Sofía López, ICD.
- Participaron 12 (doce) personas de 12 (doce) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador:
A continuación se detallan los aportes generales de los y las participantes, en base a los ejes temáticos que se discutieron.
Glosario
Diferentes participantes de la mesa enfatizaron la necesidad de un glosario de términos para establecer definiciones en común que avalen de qué se esté hablando y no queden dudas. Muchos de los términos son muy generales y se usan indistintamente, cuando no son lo mismo. Es necesario tener un glosario común para marcar términos como ciberdefensa, ciberataque, entre otros.
Alcance
Los participantes de la mesa no lograron llegar a un acuerdo sobre el alcance de la ENC, en particular sobre si debería ser un documento con mayor detalle o más general.
Presidencia (Institución pública) - Ignacio Durán
Opinó que actualmente se debe de apuntar a que la ENC y el pilar de IIC tengan un enfoque general, macro y holístico. Definir cuestiones de forma específica lo vuelve muy estructurado e inflexible, lo cual puede afectar la adaptación de la ENC a los diferentes actores. Además, el área de las tecnologías de la información está en constante cambio y actualización, por lo que se correría el riesgo de que la ENC deje de ser relevante rápidamente si se detalla mucho. Propuso que los detalles se encuentren en líneas de acción dentro de un documento diferente.
IM (Institución pública) - María Eugenia Corti
Argumentó que un alcance general de la ENC no impide que se puedan definir indicadores y objetivos generales.
AGESIC (Institución pública) - Martín Cherro
En el marco de los rápidos cambios tecnológicos, agregó que la ENC debe de estar en mejora y revisión continua. Se deben establecer indicadores de avance.
Estructura de la ENC
Movistar (Sector privado) - Carolina Matos
Opinó que la ENC debería de tener una estructura de acuerdo a niveles. En primer lugar, que se establezcan a nivel general cuestiones como el glosario y también una estructura de guía para que los actores sepan qué hacer a nivel de prevención, redacción, recuperación y defensa. Luego, especificar y desplegar estas cuestiones dentro de cada pilar. Dentro de los pilares, hay que agregar cuestiones como un glosario, principios básicos, requisitos mínimos, procesos de auditoría y funcionamiento activo de los procesos. También enfatizó en que se definan los roles dentro de las líneas de acción, que especifiquen las responsabilidades de cada actor.
Definición de roles
Movistar (Sector privado) - Carolina Matos
Enfatizó la necesidad de que se definan los roles dentro de las líneas de acción de cada pilar, que especifiquen las responsabilidades de cada actor.
MIEM (Institución pública) - María José Franco
Llamó a que se identifiquen los actores relevantes para cada pilar de la ENC, definiendo sus responsabilidades y cometidos.
La ENC como política pública de Estado
LACNIC (Sociedad civil) - Graciela Martínez
Comentó que el mayor desafío es que la ENC sea una política de Estado en la práctica. Muchos países que tenían este tipo de borradores de ENC siguen con el borrador porque se enfrentan a conflictos a la hora de definir quién debería de llevar la delantera y marcar indicadores trascendentes a los diferentes gobiernos.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Ciberdefensa (Institución pública) - Pedro Gómez
Sostiene que hay tres cuestiones de glosario a considerar de suma importancia: identificar y definir las infraestructuras críticas; diferenciar entre los conceptos “ciberseguridad” y “ciberdefensa”; decidir si utilizar “infraestructuras de la información crítica” o “infraestructuras críticas de la información”. Desde la Unidad de Ciberdefensa del Ejército, evalúan que estas especificaciones son cruciales para asignar roles y decretar situaciones de emergencia que le permitan a los diferentes actores responsables saber cuándo deben responder. Las definiciones necesitan legitimidad de carácter de ley para que funcionen como una garantía legal antes las acciones y las consecuencias.
También comparte que es importante asignar roles y definir las situaciones de emergencia que le permitan a los diferentes actores responsables saber cuándo deben responder.
IM (Institución pública) - María Eugenia Corti
Argumenta que en el pilar se deben detallar roles claros, el alcance del tamaño de las infraestructuras y las amenazas para Uruguay; en base a estas cuestiones, definir luego qué son las infraestructuras críticas. A la vez, debe de otorgarse un rol para definirlo.
URSEC (Institución pública) - Luis González
Propone determinar los sectores afectados o involucrados en las infraestructuras críticas, en vez de definir las infraestructuras críticas en sí mismas.
LACNIC (Sociedad civil) - Graciela Martínez
Opina que una vez concretada la ENC, la misma se debe utilizar para definir las infraestructuras críticas.
AGESIC (Institución pública) - Martín Cherro
Considera crucial la definición de roles y responsabilidades para luego armar los proyectos dentro del pilar en base a eso.
ANTEL (Institución pública) - Alejandro Reyna
Consideró que tiene que haber un criterio común que determine qué es crítico, con una visión holística a nivel nacional, no solo en perspectiva de cierto sector.
IM (Institución pública) - María Eugenia Corti
Cuestionó si Infraestructuras de la información crítica debería ser un pilar, ya que le parece transversal a todos los otros pilares.
ANTEL (Institución pública) - Alejandro Reyna
Encuentra crucial que la ENC contemple las infraestructuras de la información crítica como un eje transversal. Considera que para que el alcance llegue a los diferentes actores de forma transversal debería de ser una ley, ya que sino el alcance no involucraría al sector privado porque no hay obligatoriedad.
LACNIC (Sociedad civil) - Graciela Martínez
Trajo a la mesa la necesidad de la gestión de riesgo acompañada a las infraestructuras críticas. Cuando se define el riesgo de un activo, se define que este activo tiene un dueño responsable. Hay que encontrar qué medidas de control se deberán tomar para mitigar el riesgo, con su adecuada gestión de riesgo.
CTM (Institución pública) - Álvaro Llama; CERTuy (Institución pública) - Víctor Blanco
Enfatizaron en que este pilar llegue al interior del país también, ya que muchas veces no llega este tema pero es fundamental.
IM (Institución pública) - María Eugenia Corti
Dijo que debe de incluirse el rol de los gobiernos departamentales y explicitar las infraestructuras críticas que les corresponden si las tienen.
CTM (Institución pública) - Álvaro Llama
Cree importante la legislación para que no haya matices en cuanto al ámbito de las infraestructuras críticas.
MIEM (Institución pública) - María José Franco
Percibe la regulación como un paso necesario para involucrar al sector privado. La legislación deberá ser legitimada por todos los actores involucrados para que pueda apropiarse, por lo que funcionará como garantía para que el sector privado cumpla con sus cometidos. Comenta que debe encontrarse definido el rol que va a tener el sector privado. Cree importante que se identifiquen los diferentes actores y se les asigne responsabilidades y cometidos de acuerdo al pilar.
ANTEL (Institución pública) - Alejandro Reyna
Considera que el alcance de ley es la única forma de asegurar la participación del sector privado, ya que habría obligatoriedad. Hace hincapié en la importancia de la participación del sector privado.
URSEC (Institución pública) - Luis González
Manifiesta su acuerdo con la necesidad de regulación para involucrar al sector privado.
CERTuy (Institución pública) - Víctor Blanco
También concuerda, y agrega que se deberá pensar en incentivos para que el sector privado acceda también.
MIEM (Institución pública) - María José Franco
En relación al presupuesto, dice que hay que pensar en el sector privado como un ámbito con múltiples actores donde puede que no todos tengan la capacidad económica para financiar lo propuesto por el pilar, lo que debilitaría toda la cadena de protección de las IIC.
Llama a pensar en términos de presupuesto a nivel nacional, pero también en especial consideración del sector privado y otros actores que podrían debilitar la cadena de protección de las IIC debido a falta de capacidad económica para financiar lo propuesto por el pilar.
ANTEL (Institución pública) - Alejandro Reyna
Agrega que la cuestión con los privados es que si no tienen el presupuesto, directamente mueren, por lo que hay que buscar incentivos para el sector. Sin embargo, subraya que las entidades públicas también pueden no tener el presupuesto y recursos necesarios.
Movistar (Sector privado) - Carolina Matos
Añade que incluso dentro de la parte del sector privado con los recursos necesarios para proteger las IIC, hay que asegurar que sea una prioridad empresarial destinar los recursos a este ámbito. El sector privado destina recursos a la protección de las IIC cuando hay una percepción de riesgo alta, que no siempre ocurre y es un problema.
Además, subraya la necesidad de colaboración dentro del sector privado para la gestión y protección de las IIC.
En cuanto a las IIC pertenecientes al sector privado pero de importancia nacional, varios participantes de la mesa opinan que debe de haber un responsable o referente más allá del privado.
Presidencia (Institución pública) - Ignacio Durán
Opina que concretar un presupuesto debe basarse en un plan de acción más detallado, que no es el momento de hacerlo. Actualmente se debe de apuntar a que la ENC y el pilar tengan un enfoque general, macro y holístico.
MIEM (Institución pública) - María José Franco
Sostiene que el pilar debe estar enfocado más a la resolución, pero hay que también fomentar la cultura de la prevención. Duda de si ponerlo en detalle, pero hay que pensar en las diferentes verticales y ver dentro de ellas cuál podría ser la prevención adecuada. Habló de la certificación como un posible mecanismo.
Ronda 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Denominación del pilar
Más allá de los objetivos, la primera apreciación de la mesa se relacionó a la denominación del pilar.
No todos están de acuerdo que las infraestructuras críticas sean solo de información, ya que, para muchos, “información” implica que la dimensión física queda por fuera cuando no debería, ya que los ciberataques pueden requerir una respuesta física o tener impacto físico. Además, todas las infraestructuras críticas no necesariamente almacenan información, sino que muchas sustentan la circulación de información entre los diferentes actores y sectores. También se argumentó que hay que abarcar todas las infraestructuras críticas en general, no solo las de información, ya que si una infraestructura crítica se ve perjudicada, las consecuencias las sufrirá todo el sistema, incluyendo todo tipo de infraestructuras críticas sean o no de la información. Por estos motivos, se propuso eliminar “información” de la denominación.
Otros opinaron que la palabra “infraestructura” acota a la dimensión física, por lo que los servicios se verían excluidos cuando no deberían; de esta forma, debería de incorporarse “servicios” a la denominación del pilar para que pase a ser “Infraestructuras y servicios de la información crítica”.
También hubo participantes que compartieron que no le encuentran problemas a la denominación actual del pilar porque perciben que la infraestructura engloba tanto la dimensión física como a los servicios.
Alcance
Se encontró prioritario definir el alcance del pilar para las IIC. Se deben definir criterios claros para poder decidir cuáles son las IIC. Para ello surgieron las ideas de considerar los sectores involucrados, los niveles de riesgo, los intereses nacionales y las prioridades de la ENC.
A la vez, encuentran fundamental que el alcance se vea fortalecido por un marco legal.
Definición, identificación y clasificación de las IIC
Se llegó a un consenso en la mesa que uno de los nuevos objetivos debe ser llegar a una definición, identificación y clasificación de las IIC. Es importante que no sea solo para las IIC que almacenan la información, ya que las infraestructuras críticas pueden transportar y procesar información.
Detallar sobre las “consecuencias devastadoras”
El preámbulo del pilar menciona “consecuencias devastadoras”. Vieron necesario definir qué son las consecuencias devastadoras y cuál es el alcance por las cuales se miden.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Nueva línea de acción sobre ciberdefensa al primer objetivo
Se propuso agregar una línea de acción a este objetivo que sea: “Implementar y fortalecer las capacidades nacionales de ciberdefensa”. Debe incluir los sistemas de monitoreo necesarios para proteger las IIC.
Nueva línea de acción sobre gestión de riesgos al primer objetivo
Se sugirió agregar una línea de acción que sea: “Definir una gestión de riesgos para las IIC con sus correspondientes responsables.”
Nueva línea de acción sobre presupuesto al primer objetivo
Se sugirió agregar una nueva línea de acción sobre presupuesto que sea: “Generar los mecanismos de financiamiento que aseguren la seguridad de las IIC y de sus líneas de acción”.
No todos estuvieron de acuerdo en agregar esta línea de acción. Mientras que algunos opinaron que cada pilar de la ENC debe definir su propio presupuesto, otros consideraron que el presupuesto debería de ser más general y transversal a todos los pilares.
Además, en cuanto a la redacción de esta nueva línea de acción, hubo inconclusión sobre la palabra “generar”. Algunos compartieron que para ellos “generar” sonaba a que se impondrán impuestos, lo cual no es la idea. Otras ideas fueron “dotar” o “brindar” pero para muchos estas opciones implican que el Estado siempre otorgará los recursos necesarios y que los diferentes actores no deben nunca invertir sus propios recursos para la protección de las IIC.
Línea de acción I del segundo objetivo: “Establecer los planes de recuperación de las IIC.”
La mayoría de los participantes opinaron que “recuperación” implica que ya pasó el proceso, por lo que vieron necesario incluir también la prevención. Surgieron dos ideas principales de cómo concretar esto:
Incluir “prevención” de forma explícita dentro de esta línea de acción a modo de fomentar la cultura de prevención, ya que sería la base.
Incluir otra línea de acción u objetivo sobre gestión de riesgo que incluya la prevención.
Otra parte de los participantes no vieron necesario incluir la prevención, ya que lo ven incorporado dentro de la ENC como parte de sus objetivos macro.
Línea de acción IV del segundo objetivo: “Generar y/o adoptar los estándares y las auditorías a tales fines.”
En la mesa se percibió que “los estándares y las auditorías” era muy genérico, especialmente considerando que ya hay un Marco de Ciberseguridad en Uruguay que puede funcionar como estándar. Como el Marco de Ciberseguridad no es tan abarcativo para considerar todas las cuestiones del pilar y de la ENC y se encuentra más enfocado al Gobierno Central, se propuso primero adaptar el Marco de Ciberseguridad para que se alinea a los temas de la ENC y luego adoptarlo a la ENC. De esta forma, la nueva redacción de esta línea de acción sería: “Adaptar y adoptar el Marco de Ciberseguridad a tales fines.”
Línea de acción V del segundo objetivo: “Desarrollar una nueva Infraestructura de Claves Públicas Nacional contemplando tendencias internacionales y algoritmos criptográficos post cuánticos.”
Los participantes de la mesa consideraron que “algoritmos criptográficos post cuánticos” es una apreciación muy técnica que debe cambiarse. Hubo diferentes propuestas sobre qué hacer.
Por un lado, se propuso sustituirlo a un concepto más genérico como “últimas tecnologías”.
Por otro lado, se sostuvo que debería de eliminarse y no sustituirse porque está comprendido en el resto de las líneas de acción. También fue considerado como un plan de acción que no debería estar incluido dentro del pilar.
También se propuso eliminar la línea de acción por completo y sustituirla por: “Crear un mecanismo y observatorio del desarrollo de las tecnologías”.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
No se llegó a trabajar este punto.