Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Ronda 1. Intercambio sobre el borrador 

Parte A. Aportes generales sobre la propuesta borrador

DGI (Institución pública) - Guillermo Dornreyes 

Sobre la propuesta borrador dice que el enfoque está bien pero que hay mucho para trabajar. Menciona que la realidad del Uruguay es dispar respecto a IIC y es difícil llegar a un acuerdo entre todos ya que cada actor tiene diferentes dificultades. 

URSEC (Institución pública) - Fernando Hernández  

Plantea que hay que integrar a todos los interesados y generar un entorno común de trabajo. Explica que, si bien se habla de resiliencia y de infraestructuras críticas en el país en el documento, no se definen y ello sería lo primero a solucionar porque sino se da lugar a diferentes interpretaciones. Pone al ejemplo de Brasil, que formó un grupo por ley donde se identificaron las infraestructuras y cómo repercutía el error de una en el resto; por ello, propone identificar las infraestructuras.  

Resalta que la definición de infraestructura crítica debe incluirse en el marco normativo. No hay definiciones, incluyendo fundamentalmente la de infraestructura crítica, lo que da lugar a diferentes interpretaciones. Debe incluirse en el marco normativo. A su juicio, falta un marco normativo (leyes, decretos, resoluciones) para que este tema, que involucra a múltiples organismos, públicos y privados, pueda avanzar, escapa a AGESIC, siendo como es en todos los países una estrategia de Estado. No se tiene un marco normativo (Leyes, Decretos, Resoluciones) que haga que este tema que involucra múltiples organismos tanto públicos como privados pueda ser llevado adelante, ya que escapa a las propias funciones de AGESIC, siendo como es en todos los países, una estrategia de Estado. Deben intervenir coordinadamente Secretaria de inteligencia del Estado, SINAE, Fiscalía, Poder Judicial, MDN, MI, MIEM, MEC, MRREE, AGESIC, URSEA, URSEC, organismos públicos y privados ya que se tiene que definir como país el encare del tema de infraestructuras críticas, no solo para situaciones nacionales, sino para la realización de eventos internacionales, donde 

Finalmente sostiene que no circunscribir el tema de infraestructura critica atendiendo solamente el Objetivo X Ciberseguridad de la AUD2025, sino incluir el Objetivo IX Línea de acción 42 Desarrollar redes resilientes mediante el análisis de la infraestructura crítica de telecomunicaciones, que aseguren la disponibilidad de los servicios. Ya que es uno de los sectores con infraestructura crítica que es transversal al resto. Incluso en la mesa de trabajo se discutió ampliar la definición a “comunicaciones” en vez de “telecomunicaciones”, teniendo el antecedente cercano del rol que desempeñaron los servicios postales y de logística durante la pandemia de COVID-19.  

URSEC (Institución pública) - Agustín Hill  

Explica que hablar de infraestructura de información crítica no es tan adecuado y se debería ir a algo más específico. Propone modificar y aclarar cómo se lo llama, y aggiornarlo a perspectivas internacionales que sirvan como modelo.  

MGAP (Institución pública) - Andres Rodriguez  

El documento le parece muy genérico y amplio, lo cual deja dudas sobre dónde empezar. Cuestiona si se está preparado para un abordaje general una vez se definan las infraestructuras críticas, ya que no hay tareas previas en la definición del marco teórico ni claridad sobre el estado de las instituciones involucradas. Le preocupa que, aunque la estrategia se lea de manera amplia, al definirse las infraestructuras críticas, no quede claro cómo abordar las instituciones específicas. También menciona que la estrategia incluye una mezcla de entidades privadas y públicas, y se pregunta cómo se coordinará esa relación público-privada para que sea efectiva. Considera que la estrategia es adecuada, pero necesita desglosarse más porque actualmente es demasiado genérica. 

CERTuy (Institución pública) - Jesús Alfonso  

Destaca pilares 2, 3 y 4 (cibercrimen, infraestructuras de información crítica y ciberdefensa) del borrador. Sin embargo, el 3 relativo a las IIC lo cree genérico. 

Cree que faltan dos cosas: adoptar un enfoque sistemático para la gestión de la seguridad de la información, que incluye identificación de activos críticos, su urbanización en estructura segura y clasificación para medidas de protección.  

También cree que para gestionar las infraestructuras, se deben adoptar programas reconocidos internacionalmente que garanticen madurez organizacional. Habla de los actores: ISACA, COMPTIA Y SANS que son estándares de esos aspectos. 

ANCAP (Institución pública) - Osvaldo Barrios  

Está de acuerdo con la estrategia propuesta, pero considera esencial involucrar ciertos aspectos: prefiere hablar de servicios más que de infraestructuras. Le parece interesante seguir los lineamientos de la ITU sobre criterios mínimos de seguridad para infraestructuras críticas debido a las complejidades actuales. Cree fundamental establecer un estado mínimo de base que las empresas que operan con infraestructura crítica deben alcanzar. 

También, destaca la importancia de la concientización sobre ciberseguridad para los trabajadores de la industria y otras empresas estatales, sugiriendo la necesidad de un programa de concientización y un marco de gobernanza de ciberseguridad que involucre el marco industrial dentro de la estrategia de ciberseguridad de la empresa. Menciona que en ANCAP están viviendo una transformación en TI, pero el sector industrial no está involucrado, lo que requiere sinergia para evitar esfuerzos aislados. 

Propone adoptar criterios mínimos, un modelo de gobernanza con responsabilidades definidas, y priorizar la creación de estándares y auditorías. También sugiere tener claro el estado actual mediante auditorías, identificar plenamente los incidentes, lograr ciertas certificaciones, y generar un programa de capacitación y concientización en ciberseguridad. 

Finalmente, señala que AGESIC debe implementar esto asegurando que haya una contraparte responsable en cada organismo, especialmente en sectores donde la ciberseguridad no es su core de negocio, como en salud. 

MATRIZ (Sector privado) - Daniel Pérez  

Manifiesta su acuerdo y propone inventariar las infraestructuras. Plantea la problemática de la capacitación de personal de infraestructura en el lado de ciberseguridad. La capacitación en industria debería ser un pilar: se debe concientizar al personal en la importancia de la ciberseguridad, porque que no logran verlo. También, plantea la adopción de un marco adaptado a la OT (tecnología operativa) o a la ciberseguridad industrial. 

FORTINET (Sector privado) - Gastón Sancassano  

Desde su posición, observa que los ambientes industriales se ven muy afectados porque antes estaban aislados y ahora se han unido a IT. La seguridad en OT no está al nivel de IT, y en la unión de estas dos redes, OT tiene problemas similares a IT. Propone hacer un listado de infraestructuras críticas, resaltando que OT está muy presente y enfrenta problemas de seguridad. 

Sugiere nivelar la seguridad en todos los ambientes industriales, ya que están relegados en este aspecto debido a que antes la industria era cerrada y solo se accedía físicamente. Con la conectividad actual, surge la problemática de seguridad, especialmente con sistemas operativos obsoletos y la falta de experticia. También menciona que la gente no se anima a actualizar los sistemas, generando obsolescencia, y subraya la necesidad de concientización desde los altos mandos para promover la seguridad. 

MOVISTAR (Sector privado) - Facundo Payseé  

Sugiere utilizar normas y marcos existentes como inspiración, mencionando específicamente la reciente ley marco de seguridad de Chile y la política chilena de ciberseguridad 2023-2028. Propone analizar el principio de "seguridades del diseño", que asegura que todo el sistema, desde su inicio, protege la privacidad y la seguridad de la información. Como ejemplo, menciona ciertos manuales de uso del Instituto Federal de Comunicaciones que incluyen códigos de seguridad. 

Propone agregar dos regulaciones: 

Ciberdiplomacia: conseguir tratados con países avanzados para mantener estándares de seguridad similares a los de las naciones seguras. 

Cultura y ecosistema: incorporar una línea de acción para explorar nuevos mecanismos de financiación estatales que mejoren la ciberresiliencia en empresas y el Estado. 

AGESIC (Institución pública) - Ismael González 

Opina que la estrategia es muy de alto nivel y difícil de concretar. Destaca la necesidad de definir quién liderará la estrategia desde el Estado. Aunque AGESIC ha iniciado el proceso y ha establecido ciertos pilares, la estrategia es demasiado grande para que AGESIC la gestione sola. Se requieren recursos jurídicos, económicos y de empoderamiento para atraer y vincular al sector privado, que a menudo carece de la capacidad financiera para implementar medidas de ciberseguridad por sí mismo. 

Menciona que la ciberseguridad tiene muchas partes, lo que dificulta que organismos pequeños, como los de salud, adopten un plan de ciberseguridad. Propone que AGESIC debe adoptar una postura paternalista hacia estos organismos, proporcionando recursos, consultorías y capacidad para ayudarlos a implementar la estrategia. 

Sugiere que se debe definir claramente quién en el Estado será responsable de esta estrategia, dotándolos de recursos financieros y jurídicos para tomar las infraestructuras críticas y adoptarlas. Además, resalta la necesidad de tener la autoridad para supervisar y controlar al sector privado en términos de ciberseguridad, asegurando que cumplan con las normas y no pongan en riesgo a los clientes. 

AGESIC (Institución pública) - Maximiliano Barreiro  

Sugiere agregar más información internacional en la estrategia para aquellos que no están familiarizados con el tema. Propone incluir el uso de datos del Estado. Cree que sería útil definir mejor el concepto de resiliencia, ya que es algo nuevo y necesita desarrollo.  
En cuanto al capítulo de cibercrimen y ciberdelito, menciona que hay una gran carencia en la parte jurídica que debe ser abordada para completar la política. Reconoce que las infraestructuras críticas están soportadas por sistemas de información y destaca que el software está tomando más control de estas infraestructuras, lo que aumenta la vulnerabilidad. 
Propone ampliar este capítulo, definiendo mejor las infraestructuras críticas y prefiriendo el término "sistemas de información crítica". Cree que es necesario esquematizar y clarificar esta parte, especificando cuáles son las infraestructuras críticas en Uruguay y cuáles son los sistemas de información crítica que dependen de ellas. 

CORREO URUGUAYO (Institución pública) - Andrea Machado  

El borrador le parece genérico. Cree que hay que definir la infraestructura crítica, ver a qué se refiere. También plantea que hoy en día no existe una ley de seguridad y eso falta. Considera importante que haya una ley que instrumente la estrategia.  

UTE (Institución pública) – Evelyn Anton 

Transmite que distribuyó la estrategia a diferentes sectores en UTE y la mayor preocupación fue de aquellos sectores vinculados a operaciones e infraestructura "física", talleres por ejemplo, que no se sintieron reflejados en el concepto de infraestructura crítica.  

BPS (Institución pública) - Álvaro Arias 

Plantea la necesidad de tener un inventario de Infraestructuras críticas, con niveles de criticidad y planes de acción acorde a ellos.