Mesa de trabajo “Infraestructuras de información crítica”

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Resumen del intercambio 

A continuación, se presenta el informe general de la mesa de trabajo “Infraestructuras de información crítica” donde se encuentran sistematizados y sintetizados los aportes de cada subgrupo. Se mantuvo la estructura estipulada en la agenda de la actividad, que consistió en dos rondas de intercambio. 

Cabe destacar que, si bien cada ronda y parte se centraba en un tema delimitado, la discusión en la mayoría de los casos excedió la pregunta inicial.  

Parte 1. Ronda de intercambio sobre el borrador 

Esta primera ronda se dividió en dos partes, en las cuales los participantes realizaron aportes sobre el borrador. En la primera parte identificaron aportes generales sobre la propuesta borrador, mientras que en la segunda identificaron aportes específicos sobre el pilar “Infraestructuras de información crítica”. 

Parte A. Aportes generales sobre la propuesta borrador

En esta primera parte, las personas participantes respondieron a la pregunta: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno a las Infraestructuras de información crítica?  

Se plantearon diversos aspectos relevantes.  

Ubicación de la Estrategia en la Agenda Uruguay Digital 2025 

Se sostuvo que no se debe circunscribir el tema de infraestructura critica atendiendo solamente al Objetivo X de la Agenda Uruguay Digital 2025 (“Ciberseguridad”), sino incluirlo en el Objetivo IX, Línea de acción 42: “Desarrollar redes resilientes mediante el análisis de la infraestructura crítica de telecomunicaciones, que aseguren la disponibilidad de los servicios.” Además, se discutió ampliar la definición a “comunicaciones” en vez de “telecomunicaciones” 

Alcance de la ENC 

Surgieron debates acerca del alcance de la ENC, en particular sobre si debiera ser un documento con mayor detalle o más general. Algunos sostuvieron que debería tener un enfoque general, macro y holístico porque definir cuestiones de forma específica lo vuelve estructurado e inflexible y el área de las tecnologías está en constante cambio y actualización. Además, un alcance general de la ENC no impide que se puedan definir indicadores y objetivos generales. Por otro lado, se cuestionó si se está preparado para un abordaje general una vez se definan las infraestructuras críticas, ya que no hay tareas previas en la definición del marco teórico ni claridad sobre el estado de las instituciones involucradas. Aunque la estrategia se lea de manera amplia, al definirse las infraestructuras críticas quizá no quede claro cómo abordar las instituciones específicas. 

Se propuso una estructura con niveles: un nivel general que establezca cuestiones como el glosario y también una estructura de guía para que los actores sepan qué hacer a nivel de prevención, redacción, recuperación y defensa. Luego, especificar y desplegar estas cuestiones dentro de cada pilar. Dentro de los pilares, hay que agregar cuestiones como un glosario, principios básicos, requisitos mínimos, procesos de auditoría y funcionamiento activo de los procesos. También se deben definir los roles dentro de las líneas de acción, que especifiquen las responsabilidades de cada actor. 

Necesidad de un marco regulatorio claro 

Se planteó la necesidad de una ley que instrumente la estrategia, así como de un marco regulatorio más fuerte. Se propuso utilizar normas y marcos existentes como inspiración, y agregar varias regulaciones:  

  • Ciberdiplomacia: Conseguir tratados con países avanzados para mantener estándares de seguridad similares a los de las naciones seguras.  
  • Cultura y ecosistema: Incorporar una línea de acción para explorar nuevos mecanismos de financiación estatales que mejoren la ciberresiliencia en empresas y el Estado.  
  • Implementar una ley de ciberseguridad que contemple la criticidad de asegurar la infraestructura crítica. El concepto de seguridad debe estar incorporado desde el diseño.  

Se comentó en cuanto al pilar de cibercrimen, que hay una gran carencia en la parte jurídica que debe ser abordada para completar la política y para que este tema que involucra múltiples organismos tanto públicos como privados pueda ser llevado adelante, ya que escapa a las propias funciones de AGESIC, siendo como es en todos los países, una estrategia de Estado. 

Glosario y definición de las IIC 

Se hizo hincapié en la necesidad de un glosario de términos para establecer definiciones en común que avalen de qué se esté hablando y no queden dudas. Muchos de los términos son muy generales y se usan indistintamente, cuando no son lo mismo. Es necesario tener un glosario común para marcar términos como ciberdefensa, ciberataque, y resiliencia, entre otros.  

Además, se reiteró mucho la necesidad de definir las infraestructuras de información crítica. Se cuestionó el término “infraestructuras de información crítica”, y se planteó reemplazarlo por “infraestructuras críticas” para incluir a las infraestructuras “físicas”.  

También se propuso ampliar este pilar, definiendo mejor las infraestructuras críticas y prefiriendo el término "sistemas de información crítica". En todo caso, se sostuvo que es necesario esquematizar y clarificar esta parte, especificando cuáles son las infraestructuras críticas en Uruguay y cuáles son los sistemas de información crítica que dependen de ellas. 

Estas especificaciones son cruciales para asignar roles y decretar situaciones de emergencia que le permitan a los diferentes actores responsables saber cuándo deben responder. Las definiciones necesitan legitimidad de carácter de ley para que funcionen como una garantía legal antes las acciones y las consecuencias. 

Inclusión de infraestructuras físicas 

Respecto a la inclusión de las infraestructuras físicas, se señaló que el enfoque del borrador de la “Estrategia Nacional de Ciberseguridad de Uruguay” basa su desarrollo directamente sobre todos los aspectos que suceden en el ciberespacio, sin tener en cuenta que éste funciona dado la existencia de las infraestructuras físicas de comunicaciones, las cuales dependen a su vez de otras infraestructuras físicas esenciales. Por lo tanto, cualquier incidente de carácter físico / operativo que interrumpa el normal funcionamiento de estas infraestructuras nombradas (de comunicaciones y de abastecimiento de recursos para su funcionamiento), provocaría un colapso en cascada del ciberespacio. 

Que no esté determinado, desarrollado y priorizado cada eslabón en esta “cadena”, en conjunción con los planes de acción y previsión frente a afectaciones de los mismos, hace que cualquier plan o estrategia de ciberseguridad, por mejor planificada y desarrollada que esté, quede obsoleta por el más insignificante acontecimiento. La Estrategia Nacional debe tener un enfoque integral y no limitarse solamente a sistemas informáticos. 

Inventario de las IIC 

Con el fin de definir e identificar a las infraestructuras de información crítica, se propuso realizar un inventario de éstas, lo que incluye identificar activos críticos y medir la criticidad de las infraestructuras en base a la criticidad de los activos. Se debe tener claro el estado actual mediante auditorías, identificar plenamente los incidentes, lograr ciertas certificaciones, y generar un programa de capacitación y concientización en ciberseguridad. 

También se deben clasificar las IIC para establecer medidas de protección. Hay que tener criterios claros para definir lo que es una estructura crítica. Se sugirió que quizá la responsabilidad de definirlas podría trasladarse a cada uno de los responsables de los distintos organismos públicos o empresas privadas para que las pudieran identificar.  

Se deben incluir específicamente las estructuras críticas que están relacionadas con países limítrofes, y tener en cuenta sus desafíos.  

A partir de este inventario, se podrá desarrollar un BCP o estrategias de recuperación ante desastres.   

Definición de actores, roles y responsabilidades, coordinación 

Se recalcó la importancia de identificar los actores, definir sus roles, y especificar sur responsabilidades. Se propuso un modelo de gobernanza con responsabilidades definidas, priorizando la adopción de criterios mínimos y la creación de estándares y auditorías.  

Se destacó la importancia del sector privado, y se hizo hincapié en que al incluir una mezcla de entidades privadas y públicas, debe haber mecanismos de coordinación en la relación público-privada para que sea efectiva. 

Es una estrategia difícil de concretar, lo que impone la necesidad de definir quién liderará la estrategia desde el Estado. Aunque AGESIC ha iniciado el proceso y ha establecido ciertos pilares, la estrategia es demasiado grande para que AGESIC la gestione sola. Se requieren recursos jurídicos, económicos y de empoderamiento para atraer y vincular al sector privado, que a menudo carece de la capacidad financiera para implementar medidas de ciberseguridad por sí mismo. AGESIC debe proporcionar recursos, consultorías y capacidad a organismos para ayudarlos a implementar la estrategia.  

También se mencionó que debe haber un responsable en cada organismo, así como centros de referencia y de respuesta.  

Se remarcó que aún falta coordinación. Es necesario generar protocolos de comunicación entre los sectores de infraestructuras críticas.  

Capacitación e intercambio 

Es vital unir al sector, por la sinergia que se puede generar desde las capacitaciones hasta la respuesta a incidentes, al tener un común accionar entre todos. Se propuso crear un entorno común de trabajo, haciendo énfasis en la necesidad de capacitación y de intercambio. También se elogió la iniciativa de generar instancias como ésta, de diálogo entre distintos actores.  

Se requiere estandarización y protocolos de comunicación. Se enfatizó que el eslabón más débil de la cadena es el humano, por lo que las capacitaciones y el trabajo en equipo son muy importantes.  

Gestión de riesgos, mecanismos de prevención 

Falta gestión de riesgos, planes de contingencia, manejo de incidentes, mecanismos de prevención. No está definida la matriz de riesgo, hace falta un procedimiento estandarizado. 

Se comentó que el mecanismo de detección y respuestas es complicado por el tema de las pruebas.  

Debe haber un Plan B y respaldos en caso de incidentes.  

Fortalecimiento del monitoreo  

Se deben establecer indicadores de avance y fortalecer el monitoreo.  

Política de Estado, enfoque internacional  

Se sostuvo que se debería agregar más información internacional en la Estrategia para quienes no están familiarizados con el tema, así como datos del Estado.  

Además, para gestionar las infraestructuras, se deben adoptar programas reconocidos internacionalmente que garanticen madurez organizacional. 

Esta Estrategia debería ser una política de Estado.  

Trabajar en conjunto IT, OT, y software 

Se detectó una disociación total entre IT y OT (tecnología de la información y tecnología operativa) que hay que subsanar. Se planteó que a nivel de diseño es importante tomar tres aspectos: IT, OT y software, en especial el desarrollo de software seguro. Se deben crear certificaciones o ir al aprendizaje en las facultades para poder incorporar la ciberseguridad en eso.  

Parte B. Aportes específicos sobre el pilar a analizar en la mesa

En esta parte, las personas participantes respondieron a la pregunta: ¿Qué aspectos específicos creen que podrían mejorarse o añadirse en el pilar “Infraestructuras de información crítica”?  

Se plantearon una diversidad de aspectos a considerar y añadir en este pilar.  

Presupuesto 

Habría que calcular un presupuesto y un estimado de recursos humanos. Es muy importante incorporar la parte de innovación e inversión, y que sea más fácil conseguir los recursos.  

Se mencionó que el presupuesto tiene que estar dentro de los planes estratégicos de las empresas públicas y privadas, porque sino no se invertirá en eso. El presupuesto no es ajeno: se necesitan recursos para todo. Hay que pensar en el sector privado como un ámbito con múltiples actores donde puede que no todos tengan la capacidad económica para financiar lo propuesto por el pilar, lo que debilitaría toda la cadena de protección de las IIC. El presupuesto debería ser concebido a nivel nacional, pero también en especial consideración del sector privado y otros actores que podrían debilitar la cadena de protección de las IIC. 

Hay que priorizar la asignación de recursos y trabajar mucho en mejorar lo que hay en vez de generar iniciativas nuevas.   

Hubo visiones opuestas: también se opinó que el presupuesto debe basarse en un plan de acción más detallado, y no es el momento de hacerlo. Actualmente se debe de apuntar a que la ENC y el pilar tengan un enfoque general, macro y holístico. 

Prevención 

Se marcó la importancia de la prevención y la relevancia de tener mecanismos de medición de impacto. Hay que hacer pruebas de qué pasa si se corta un servicio, saber quién lo puede arreglar, quién tiene ese conocimiento. Se deben implementar mecanismos de reportes porque no está contemplada la prevención.  

Es importante identificar vulnerabilidades y que se vea el panorama internacional. Se debe establecer un criterio mínimo que todos tienen que cumplir. Se recalcó la necesidad de medir. Se dudó, sin embargo, si enfrentar en detalle la necesidad de prevención en la estrategia.  

Plan de acción para el manejo de crisis  

Habría que tener un plan de acción general para el manejo de crisis y generar una metodología de catálogo de infraestructuras críticas. 

Comunicación y capacitación 

También es importante fomentar el intercambio de las amenazas. En las organizaciones críticas, debe ser obligatoria la capacitación en ciberseguridad. Se recalcó la importancia de la coordinación.  

Actualización constante 

Los sistemas industriales están interconectados y se conciben para que duren 20 años.  Es un trabajo continuo que requiere actualización constante.  

Gobernanza de las infraestructuras críticas 

Se debe priorizar la infraestructura crítica.  

Es necesario definir una gobernanza clara de las infraestructuras críticas. Debería ser controlado por un órgano independiente. Hay riesgos que afectan a muchos sectores. Se propuso agregar el objetivo de identificar las infraestructuras críticas y priorizarlas, ya que lo que no se conoce no se puede atacar. Es necesario identificar responsables y referentes de las infraestructuras.  

Se debe fortalecer el rol de los reguladores de cada sector. Se deberá potenciar la participación de los reguladores. AGESIC o un ente aparte debería lograr regular y generar planes de contingencia. 

Se debe jerarquizar: se propuso llevar el área de tecnología a la altura de otras gerencias.  

Roles  

En el pilar se deben detallar roles claros, el alcance del tamaño de las infraestructuras y las amenazas para Uruguay; en base a estas cuestiones, definir luego qué son las infraestructuras críticas. 

Se planteó la necesidad de un referente de ciberseguridad distinto de TI, pero no hubo consenso. Por un lado, se estimó que debería venir de afuera, y por otro lado, se consideró que es natural que el responsable encargado de ciberseguridad nazca en TI y que crear una gerencia específica requeriría una asignación presupuestaria. 

Definición de las IIC 

No hubo consenso sobre si debería de definirse qué son las infraestructuras críticas o no dentro del pilar. Se remarcó la necesidad de definir un criterio común, y se propuso determinar los sectores afectados o involucrados en las infraestructuras críticas, en vez de definir las infraestructuras críticas en sí mismas.  

Dependencia entre infraestructuras críticas  

Se debe establecer la dependencia entre las infraestructuras críticas y la relación que tienen, porque no es suficiente seguir buenas prácticas que hagan que el nivel de madurez en una infraestructura crítica sea muy valorable y presentable, si quien la abastece de energía, por ejemplo, no lo hace. 

Transversalidad  

Se cuestionó si “Infraestructuras de la información crítica” debería ser un pilar, ya que es transversal a todos los otros pilares. Es crucial que la ENC contemple las infraestructuras de la información crítica como un eje transversal. 

Marco normativo  

Varios participantes de la mesa hicieron referencia a que es necesaria una ley de infraestructuras críticas para que el alcance llegue a los diferentes actores de forma transversal, ya que sin obligatoriedad no se podrá involucrar efectivamente al sector privado. Es importante la legislación para que no haya matices en cuanto al ámbito de las infraestructuras críticas. 

También se sostuvo que existe un marco normativo, y el mayor problema es el incumplimiento del mismo. Para mejorar el cumplimiento se debe concientizar y educar.  

Capacitación y educación 

Para fortalecer y subir los niveles de madurez en las infraestructuras críticas, se debe generar mejor capacidad en la educación a todos los niveles.  

Se propuso un plan de concientización para públicos y privados: se podría tener un equipo de delegados liderado por AGESIC, y no requeriría mucho presupuesto. 

Gestión de riesgos 

Se trajo a la mesa la necesidad de la gestión de riesgo acompañada a las infraestructuras críticas. Cuando se define el riesgo de un activo, se define que este activo tiene un dueño responsable. Hay que encontrar qué medidas de control se deberán tomar para mitigar el riesgo, con su adecuada gestión de riesgo.  

Infraestructuras críticas físicas  

En las infraestructuras críticas físicas es importante el tema de control de acceso. Se planteó la necesidad de simulacros y de planes de recuperación de acceso.  

Interior del país y descentralización 

Se enfatizó la importancia de que este pilar llegue al interior del país también, ya que muchas veces no llega este tema, pero es fundamental. Esto incluye, también, a las infraestructuras transfronterizas. 

Se debe de incluir el rol de los gobiernos departamentales y explicitar las infraestructuras críticas que les corresponden si las tienen. 

Sector privado  

Varios participantes hicieron mención del sector privado como un actor que debe estar involucrado, pero se enfatizó que no será fácil su participación. Más allá de la necesidad de regulación, se deben pensar incentivos para el sector privado. Hay que asegurar que sea una prioridad empresarial destinar los recursos a este ámbito. El sector privado destina recursos a la protección de las IIC cuando hay una percepción de riesgo alta, que no siempre ocurre y es un problema. 

Además, se subrayó la necesidad de colaboración dentro del sector privado para la gestión y protección de las IIC. 

En cuanto a las IIC pertenecientes al sector privado pero de importancia nacional, varios participantes opinaron que debe de haber un responsable o referente más allá del privado.  

En resumen, se debe concretizar un enfoque integral, tal como sostenido en la Estrategia. 

Parte 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa  

La segunda parte de intercambio sobre el borrador propuesta se dividió en tres partes centradas en aportes estratégicos que incluían plantear objetivos, proponer actividades específicas y analizar su viabilidad.  

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa 

En esta parte las personas participantes discutieron acerca de los objetivos planteados en el pilar “Infraestructuras de información crítica”. 

Los integrantes de la mesa validaron los objetivos planteados, con algunos aportes detallados a continuación. 

Denominación del pilar 

Más allá de los objetivos, no todos están de acuerdo con que las infraestructuras críticas sean solo de información, ya que, para muchos, “información” implica que la dimensión física queda por fuera cuando no debería. Además, todas las infraestructuras críticas no necesariamente almacenan información, sino que muchas sustentan la circulación de información entre los diferentes actores y sectores. También se argumentó que hay que abarcar todas las infraestructuras críticas en general, no solo las de información, ya que si una infraestructura crítica se ve perjudicada, las consecuencias las sufrirá todo el sistema. Por estos motivos, se propuso eliminar “información” de la denominación. 

Otros opinaron que la palabra “infraestructura” acota a la dimensión física, por lo que los servicios se verían excluidos cuando no deberían; de esta forma, debería de incorporarse “servicios” a la denominación del pilar para que pase a ser “Infraestructuras y servicios de la información crítica”. 

También hubo participantes que compartieron que no le encuentran problemas a la denominación actual del pilar porque perciben que la infraestructura engloba tanto la dimensión física como a los servicios. 

Preámbulo del pilar 

El preámbulo del pilar menciona “consecuencias devastadoras”. Se destacó la necesidad de definir qué son las consecuencias devastadoras y cuál es el alcance por las cuales se miden. 

Nuevo objetivo: definición, identificación y clasificación de las IIC 

Se reiteró en varias mesas que uno de los nuevos objetivos debe ser llegar a una definición, identificación y clasificación de las IIC. Es importante, para esto, identificar cuáles son los activos críticos de esas IIC.  

Con este fin, se debe asignar el rol de identificar las IIC. Una vez establecidos estos puntos, se podrá priorizar las IIC y generar capacidades para que esas priorizaciones tengan una adaptabilidad ágil y flexible para responder a los cambios y a las amenazas. 

Nuevo objetivo: prevenir 

Se propuso agregar un objetivo: el de prevenir. Dentro de ese objetivo podría estar también la Seguridad por Diseño, ya que su falta es una debilidad actualmente. Por otro lado, también se propuso incluirlo como línea de acción dentro de los objetivos, y algunos participantes consideraron que no era necesario, ya que está contemplado de manera más amplia en la ENC.  

Nuevo objetivo: considerar la dependencia entre las IIC 

Se debe considerar la dependencia entre las IIC, y establecer protocolos de acción si cae una. Es necesario tener un “Plan B” de soporte en caso de incidentes. 

Modificaciones al objetivo 1: “Proteger las IIC” 
  • En la descripción del objetivo 1, se establece que las IIC “deberán estar preparadas para detectar y gestionar de forma correcta los incidentes de ciberseguridad”. Se sugiere incluir la prevención, que debe contemplar el monitoreo de las tendencias de ciberataque (mantenerse actualizado sobre las últimas vulnerabilidades y amenazas de seguridad para poder tomar medidas preventivas adecuadas); generar una base de conocimientos e identificación de vulnerabilidades; generar mecanismos de comunicación e instancia de intercambio.  
  • Respecto a la línea de acción iv del objetivo 1 (“Proteger las IIC”), se propuso modificar la redacción: “Desarrollar ejercicios conjuntos entre varias IIC para el desarrollo de las habilidades y garantizar que los canales de comunicación funcionan.” 
  • Se propuso agregar una línea de acción a este objetivo que sea: “Implementar y fortalecer las capacidades nacionales de ciberdefensa”. Debe incluir los sistemas de monitoreo necesarios para proteger las IIC. 
  • También se sugirió agregar una línea de acción que sea: “Definir una gestión de riesgos para las IIC con sus correspondientes responsables.” 
Modificaciones al objetivo 2: “Fortalecer la resiliencia de las IIC” 
  • Respecto a la primera línea de acción de este objetivo (“Establecer los planes de recuperación de las IIC”), varios participantes “recuperación” implica que ya hubo un incidente, por lo que vieron necesario incluir también la prevención. Surgieron dos ideas principales de cómo concretar esto: incluir “prevención” de forma explícita dentro de esta línea de acción a modo de fomentar la cultura de prevención; o incluir otra línea de acción u objetivo sobre gestión de riesgo que incluya la prevención. 
  • En cuanto a la línea de acción iv (“Generar y/o adoptar los estándares y las auditorías a tales fines”), se percibió que “los estándares y las auditorías” era muy genérico, especialmente considerando que ya hay un Marco de Ciberseguridad en Uruguay que puede funcionar como estándar. Como el Marco de Ciberseguridad no es tan abarcativo para considerar todas las cuestiones del pilar y de la ENC y se encuentra más enfocado al Gobierno Central, se propuso primero adaptar el Marco de Ciberseguridad para que se alinea a los temas de la ENC y luego adoptarlo a la ENC. De esta forma, la nueva redacción de esta línea de acción sería: “Adaptar y adoptar el Marco de Ciberseguridad a tales fines.” 
  • Se cuestionó la necesidad de incluir la línea de acción v (“Desarrollar una nueva infraestructura de Claves Públicas Nacional contemplando tendencias internacionales y algoritmos criptográficos post cuánticos”) en el objetivo 2. Se planteó que es demasiado técnica y no es aplicable para esta primera Estrategia, sino que debería definirse en un nivel ulterior. 
  • En cuanto a la resiliencia, se destacó que se debe definir el término con más precisión y se subrayó que hay que tener en consideración la necesidad de la interdependencia y colaboración, no solo intra/local sino internacional. Se subrayó la complejidad de casos como Salto Grande que, además de ser infraestructura crítica, es internacional. 
Presupuesto 

Se debatió si el garantizar presupuesto para alcanzar el logro de los objetivos es o no una línea de acción, pero no se llegó a un consenso.  

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

Las personas participantes aportaron actividades y acciones para el pilar “Infraestructuras de información crítica”. 

Las acciones propuestas por los y las participantes son:  

  • Lo primero es definir qué infraestructura se va a considerar para luego ver elaborar un plan de acción. Se debe generar una metodología que permita la identificación y elaboración de un inventario/catálogo de infraestructuras críticas, porque van cambiando y se deben actualizar.  
  • También se debe identificar las dependencias entre ellas y su impacto, tanto a nivel nacional como internacional.  
  • Una vez identificada una criticidad, el monitoreo debería ser obligatorio y reportar a un lugar centralizado, a definir. Incrementar las capacidades de monitoreo en una primera etapa sería lograr que las 15 IIC públicas tengan un monitoreo real y robusto y no meramente nominal. Se debe una línea base de infraestructuras, y debe generar la capacidad para que el riesgo y el impacto se estén midiendo constantemente.   
  • Definir organismos rectores, para que gestionen e identifiquen las IIC. Se necesita una línea de acción para priorizar las estructuras y definir criterios mínimos de ciberseguridad. Identificar claramente las responsabilidades y tareas a nivel privado y público. 
  • Establecer una figura coordinadora para que se lleven a cabo las mejoras en las respuestas de incidentes y monitoreos. Es muy importante la auditoría y monitoreo constante de amenazas críticas, así como el monitoreo del cumplimiento de las líneas de acción y de su impacto.  
  • Respecto al monitoreo, también se sugirió jerarquizarlo: hoy AGESIC es responsable de concentrar ese monitoreo, pero si se generan las capacidades que se plantean en la línea de acción ii del Objetivo (generar equipos especializados a nivel sectorial), se deberían establecer monitoreos dentro de cada organismo, de cada organización. 
  • Debe haber intercambios en estos monitoreos.  
  • Se deben identificar responsables de cada organismo en IIC.  
  • Generar una base de conocimiento compartida. Se debería compartir los conocimientos recolectados por ese monitoreo continuo en una comunidad técnica para que todos se enriquezcan. Se propuso incluir una línea de acción que establezca la necesidad de compartir el aprendizaje, y que haya una instancia de recolección de la información en las distintas infraestructuras críticas identificadas. A partir de esa base de conocimiento se puede ir madurando y evolucionando. 
  • Establecer capacitaciones obligatorias en seguridad de la información para todos los involucrados. 
  • Desarrollar programas que "democraticen" de alguna manera el acceso a las soluciones de seguridad, ya que las realidades económicas de los organismos es muy dispar.  
  • Asegurar el involucramiento de operarios a nivel industrial en cuestiones relacionadas a la ciberseguridad, a través de concientización y capacitación tanto de estos como de los altos mandos. Por ejemplo, se podrían implementar simulacros de ciberseguridad para lograr la sensibilización y conciencia sobre los riesgos a nivel industrial. 
  • Crear equipos multidisciplinarios especializados en ciberseguridad.  
  • Establecer el compromiso de gestión y liderazgo en todos los niveles.  
  • Establecer un criterio mínimo en ciberseguridad, un marco, que contemple los procedimientos y garantice auditorías y lineamientos, tanto en el ámbito público como en el privado.  
  • Elaborar un plan de acción para el manejo de crisis.  
  • Debido a la interdependencia de las IIC, se deben realizar ejercicios en conjunto. 
  • Medirse para mejorar, evaluarlo en los proyectos de impacto. 
  • Garantizar que la adquisición de insumos de tecnología cumpla los requerimientos adecuados (no comprar por precio). 
  • Explicar dentro de un glosario las definiciones importantes como infraestructura crítica, sistemas de información, OT, TI, entre otros. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados

Las personas participantes realizaron análisis de viabilidad, priorizaron ciertas acciones e identificaron actores relevantes.  

Respecto al objetivo 1 (“Proteger las IIC”), se mencionó que deberían estar involucrados el Ministerio de Defensa, el Ministerio de Educación y Cultura, un representante de cada IIC, uno de cada área pública y privada, de la academia, AGESIC, y un regulador.  

Respecto al objetivo 2 (“Fortalecer la resiliencia de las IIC”), se debería tener en cuenta al Ministerio de Economía y Finanzas, al Ministerio de Relaciones Exteriores, al Ministerio de Defensa y Secretaría de Inteligencia del Estado, a Fiscalía, al Poder Judicial, a AGESIC, y a representantes de cada IIC. 

Otros actores mencionados fueron el Ministerio del Interior, el Ministerio de Industria, Energía y Minería, URSEA (Unidad Reguladora de Servicios de Energía y Agua), URSEC (Unidad Reguladora de Servicios de Comunicaciones), y organismos públicos y privados. Se tiene que definir cómo el país encarará el tema de infraestructuras críticas, no solo para situaciones nacionales, sino para la realización de eventos internacionales, donde la infraestructura debe ser tenida en cuenta. 

En cuanto a la priorización, lo primero es asegurar la estructura organizativa (se debe establecer una jerarquía dentro de los actores), y un inventario/catálogo de las IIC. Se debe empezar definiendo exactamente lo que son las IIC, y quién tiene el rol de identificarlas.  

 

Etiquetas

Políticas de Ciberseguridad Ciberseguridad Política Digital del Uruguay