Subgrupo 2
- Moderadora: Leticia Hernández, Agesic.
- Relatores: Marcelo Castillo ICD y Marta Manent, ICD.
- Participaron 9 (nueve) personas de 5 (cinco) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
GLOBANT (Sector privado) - Guillermo García
Sostiene que falta mucho en la parte de educación en escuelas, liceos, para que los niños empiecen a digerir todo el tema de seguridad informática. Faltan muchas campañas de concientización. Hay una falta de capacitación del personal docente también, tanto a nivel privado como a nivel público.
ANTEL (Institución pública) - Alejandro Ricarte
Falta maduración y eso lleva tiempo. En seguridad no se debería estar apagando incendios, y no hay roles específicos para hacer tareas de concientización. Con respecto a los incidentes, a nivel de Estado estaría bueno que en algún lado se sepa qué pasó, superando el hermetismo, porque, aunque el tema de la confidencialidad es atendible, reportar incidentes es necesario.
AGESIC (Institución pública) - Laura Amado
Cree que falta concientización desde el Estado en este tema. Por lo tanto, faltan recursos, falta formación y por eso cuesta mucho desde AGESIC trabajar con muchos organismos del Estado. Hay un tema normativo importante porque todos deberían estar obligados a reportar sus incidentes de seguridad, pero no hay una visión de los riesgos.
Agrega que un problema que tiene el Ministerio de Relaciones Exteriores es que no tiene un departamento de ciberseguridad. Resalta que hubo una reunión con el Canciller en la que se destacó que es imperioso que haya una Dirección de Ciberseguridad, y por ahora están trabajando juntos y apoyándose. Cree que con el cambio de gobierno pueden generarse cambios. Enfatiza la importancia de mirar ejemplos de cómo se estructura esto en otros países.
También subraya que en el ámbito de la ONU hay un grupo de expertos. pero es muy lento, hace años que están trabajando, y no llegan a firmar los acuerdos para los que se formó. Existen mecanismos a nivel internacional en los que Uruguay participa, siempre con Cancillería, pero son procesos largos.
OEA (Institución pública) - Alexander Crowther
Comenta que en Estados Unidos pasaba lo mismo respecto a Cancillería. Ahora el Consejo de Seguridad Nacional tiene una oficina con esa responsabilidad, que trabaja más con los organismos que trabajan en la política exterior. Cancillería debe atribuir esa responsabilidad.
Resalta que hay muchos modelos. El modelo de Escandinavia, que incluye a todos los sectores e incluso a toda la población en general, es el más fuerte, pero también es el más difícil de poner en obra.
Respecto a los mecanismos internacionales, señala que ahí se toman decisiones que impactarán en Uruguay, por lo que se debe decidir si Uruguay debe participar en esos grupos. Costa Rica participó y Uruguay, aunque sea un país chico, también puede participar. Hay que analizar dónde se quieren invertir recursos en materia de política internacional.
GLOBANT (Sector privado) - Guillermo García
Le parece importante la cooperación entre el Estado y los privados. Los privados tienen ventajas en materia de inversión de software y hardware y pueden aportar herramientas. Las empresas tienen dinero y a los Estados se les hace difícil porque no se animan políticamente a invertir fuerte en ciberseguridad y a asumir los grandes costos que requiere esta cuestión. Quienes deberían legislar en esta materia no saben instalar una aplicación en su celular ni tampoco sus asesores. Eso es preocupante.
TELEDATA (Sector privado) - Alejandro Pereyra
Plantea algunas cuestiones relevantes a la política internacional: ¿Es libre el ciberespacio, o debería estar controlado? Uruguay va por la idea de que sea libre, entonces desde la política se actúa en el ciberespacio con más libertad y por tanto cooperando con organismos internacionales. Uruguay adopta normas internacionales; sin embargo, en la Estrategia no está contemplada la implementación de las normas internacionales que se pretenden aplicar nacionalmente a las empresas públicas y privadas uruguayas. Debería obligarse a esas empresas a que se certifiquen, que no sea voluntaria la certificación. Hay que incentivar para que todos pasen por esa certificación. Las pymes deben recibir ayuda del Estado y las grandes deben implementar sus propias políticas. Eso falta como línea de acción.
Por otro lado, las líneas de acción mencionan poder incentivar la colaboración. Señala que se podría generar una instancia participativa, porque hay que incentivar la participación del país. Uruguay no juega solo, es chico y de alguna manera en las líneas de acción se debe identificar en qué somos buenos, y aportar desde ahí. Por ejemplo, tenemos una industria de software (100% privada) en la que destacamos y podemos aportar en el mundo internacional. Sin embargo, recuerda que eso no nos debe impedir ver las debilidades: hay sectores como la agroindustria que también requieren ciberseguridad – no se trata solamente de las estructuras críticas. Si nos centramos solo en lo que somos buenos corremos el riesgo de tener puntos ciegos, y no ver los puntos en los que necesitamos ayuda, necesitamos depender de un tercero.
AGESIC (Institución pública) - Sebastián Gómez
Recuerda que también podría empezarse aportando a nivel nacional.
ANTEL (Institución pública) - Alejandro Ricarte
Sostiene que se valora más hacia afuera que adentro.
AGESIC (Institución pública) - Laura Amado
Trae a la mesa el problema que tiene el Estado con retener a las personas formadas: desde el Estado se ha identificado la necesidad de capacitación y formación. Por lo tanto se pasa años formando gente en el exterior, que trabajan uno o dos años formados y luego pasan al sector privado.
OEA (Institución pública) - Alexander Crowther
Sostiene que hay que imaginar mecanismos nuevos e innovadores como se han implementado en Israel o en Estonia. Uruguay tiene un punto a favor: tiene un ecosistema muy fuerte.
GLOBANT (Sector privado) - Guillermo García
Subraya que falta un plan de comunicación del Estado en esta materia. Hay organismos internacionales en varios Estados que proveen información sobre malware que se distribuye a través de planes de comunicación donde la población tiene aviso de qué malware o phishing esté circulando. En Uruguay esto no existe, y no hay comunicación sobre a dónde acudir. A nivel estatal en una seccional policial no se sabe cómo manejar los ciberdelitos. Hay que preparar a la primera línea de batalla que está en este tema, que es la policía. Falta preparación y no hay cómo canalizar este tipo de denuncias. Hay muchas experiencias internacionales con buenos ejemplos, como Colombia o Chile, que potencian sus redes sociales informando y comunicando eventos de ciberseguridad.
OEA (Institución pública) - Alexander Crowther
Chile, Brasil, Colombia, Canadá, México tienen buenas experiencias. Los europeos también son fuertes en ciberespacio, como los Países Bajos, y Uruguay podría tomar ejemplo. Hay otros países pequeños similares a Uruguay de donde se pueden tomar experiencias. Ese puede ser uno de los objetivos: identificar otros países con quienes vincularse, además de Argentina y Brasil, recordando que hay que ofrecer algo para ganar algo.
TELEDATA (Sector privado) - Alejandro Pereyra
Comenta que quizá tendría que encararse otro tema en este Pilar del borrador de la Estrategia: el hecho que a veces usamos aplicaciones o software donde, frente a un problema, hay que litigar en un país extranjero. Sostiene que a la larga siempre se terminará litigando algo. ¿En cibercrimen, por ejemplo, qué se puede hacer cuando Meta no da los datos? De hecho, en los ciberdelitos se les termina pidiendo información a empresas internacionales (Google, Meta) y a veces la justicia concluye que esas empresas no tienen que entregar datos. ¿Eso entraría acá en este Pilar, o el marco legal?
Además, en este mundo globalizado a veces pueden ocurrir ataques en otro país que terminen afectando acá. El daño ya está, pero la Justicia del país, ¿cómo hace? La justicia tiene que jugar un papel.
AGESIC (Institución pública) - Laura Amado
Señala que eso entraría en el Pilar de Gobernanza, salvo que se tratara de temas comerciales.
AGESIC (Institución pública) - Fabiana Santillán
Responde que hay que esperar que sea litigio para que sea legal y entran en juego cuestiones tales como la ciber soberanía.
Además, indica que para poder entrar en el Convenio de Budapest se deben ajustar muchos aspectos del ciberdelito. Hay ámbitos internacionales, como la ONU o la OEA, donde se dan espacios de colaboración ante incidentes. Si es entre países actúa Cancillería, pero ahí está la dificultad: deben haber funcionarios con conocimientos en el tema.
GLOBANT (Sector privado) - Guillermo García
Y abogados que estén en condiciones de litigar internacionalmente en este tema, agrega. En el Estado no hay dinero, se necesita gente y es fundamental la cooperación. Argumenta que hay empresas privadas en condiciones de dar una mano a los Estados, de proveer gente que sepa y que tenga datos para paliar los incidentes.
TELEDATA (Sector privado) - Alejandro Pereyra
Comenta que hay pocas instancias de trabajo colaborativo entre privados y el Estado. Podría generarse más colaboración a nivel de la base de datos, y sistematizarla.
Sin embargo, señala que los privados tienen que dejar pasar cierto tiempo para reportar una vulnerabilidad.
GLOBANT (Sector privado) - Guillermo García
Señala que la información confidencial no puede compartirse, pero sí las situaciones de crisis. El sector privado puede aportar y, mutuamente, enriquecerse participando en Mesas de trabajo como éstas. Sería muy útil para la cooperación crear un Comité de Crisis a nivel del Estado.
ANTEL (Institución pública) - Alejandro Ricarte
Sostiene que a veces el sector privado tarda en responder frente a actividades sospechosas, y a veces reacciona después de que ya se han tomado medidas.
Un aspecto importante es la cuestión de concientización. Hay que buscar caminos diferentes para llegarle a la gente por varios lados según sus intereses. Por ejemplo, mientras que a ciertas personas se les puede hacer una presentación, otros, más jóvenes, pueden recibir información a través de TikTok, y así según grupos de población.
Destaca que aún no hay conciencia de riesgo.
TELEDATA (Sector privado) - Alejandro Pereyra
Destaca que cuando uno se acerca al ámbito educativo, hay que hacer un trabajo en los que están a la cabeza de las escuelas y los colegios privados. Todavía falta mucho; hay que hacer un trabajo fuerte para proteger a los alumnos.
GLOBANT (Sector privado) - Guillermo García
Resalta que esto es un problema aún más grave en el Interior del país.
También agrega que muchas cosas de Ciberseguridad se levantan con las certificaciones, cuando se hacen entrenamientos internos o vienen auditores externos.
OEA (Institución pública) - Alexander Crowther
Comenta acerca de iniciativas exitosas en materia de educación: en Estonia desde 1993 está implementado “El Salto del Tigre”. Lo digital está implementado desde el Kinder, está integrado en la escuela primaria y lo único que no se puede hacer en Internet es casarse y morirse. Ese programa en 20 años será una maravilla.
Enfatiza que en Uruguay hay un alto nivel de penetración de internet, un ecosistema de información, recursos, dinero, y es pequeño y homogéneo - como Estonia o Singapur. Por estas razones, debería ser más fácil generar este tipo de educación.
AGESIC (Institución pública) - Laura Amado
Marca la diferencia entre el sector público y el privado: en el público existe CEIBAL y hay equipos trabajando en ciberseguridad. Mientras tanto en el ámbito privado no está muy presente el tema.
TELEDATA (Sector privado) - Alejandro Pereyra
Cree que esto es consecuencia del nivel de libertad, del ciberespacio 100% libre que eligió Uruguay. En efecto, si el ciberespacio es cerrado es otra cosa. Por lo tanto, se debe abordar por otro lado. La educación es un punto. Sostiene que, en el tema de preparación, una cosa es educación a nivel de usuarios y otra cosa es capacitación para el que está detrás de la tecnología. La educación para el usuario va por un camino de concientización de ciberdelitos, como la ciberpedofilia y a nivel de empresas va por otro camino, ya que según los estudios internacionales entre el 70% y el 80% de las personas que trabajan en esto, de acá a tres o cuatro años van a tener conciencia en ciberseguridad. Tal vez hay que poner foco en eso. Si bien en general en las empresas privadas ya hay bastante consciencia de eso, las políticas no pueden dejar gente afuera.
Ronda 2. Aportes Estratégicos, Priorización e Identificación de Actores
En esta ronda se hicieron aportes y comentarios respecto a cada uno de los objetivos del pilar “Política internacional”, y se establecieron algunas actividades prioritarias.
Objetivo 1: “Desarrollar las capacidades nacionales para un abordaje internacional de la ciberseguridad”
Se enfatizó la importancia de plantear una coordinación con el Estado. Se propuso establecer una coordinación formal entre la Cámara Uruguaya de Tecnologías de la Información (CUTI) y AGESIC para intercambiar experiencias y capacidades.
Se enfatizó en la necesidad de establecer objetivos concretos y específicos sobre qué capacidades desarrollar, sugiriendo integrar la educación en ciberseguridad en instituciones académicas y diplomáticas.
Se debe buscar un núcleo que vincule las capacidades del ámbito privado y público y ver cómo cooperar, parándose en lo que ya tenemos.
Objetivo 2: “Incrementar la presencia y colaboración de Uruguay en espacios regionales e internacionales”
Comunicación
Se hizo hincapié en la necesidad de fortalecer la comunicación interna y externa sobre acuerdos internacionales y capacidades en ciberseguridad.
Fortalecimiento institucional
Se subrayó la necesidad de fortalecer Cancillería y sus capacidades técnicas, por ejemplo creando equipos encargados de tratar específicamente los temas de Ciberseguridad e incorporando asesores técnicos. Se habló de que siempre se está pidiendo informes desde Cancillería acerca de lo que se está discutiendo en ámbitos internacionales.
También se debe encontrar la manera de establecer la comunicación entre lo técnico y lo diplomático, de crear capacidades para que se traduzca el conocimiento técnico en conocimiento diplomático y viceversa. La postura del país debe ser la adecuada en la representación diplomática.
Desafíos en la educación y formación
Se destacó que la academia tiene un rol importante a cumplir. Se debe incluir la temática de ciberseguridad en diferentes carreras académicas (Derecho, Relaciones Internacionales) y en la diplomacia. Se propuso que debería haber posgrados en la carrera diplomática especializados en el tema.
También se discutió la inclusión de la ciberseguridad en currículos educativos desde la secundaria hasta la formación académica superior: se debe visibilizar esa opción desde la secundaria, para que se considere como una posibilidad incluso redituable.
Se propuso actualizar las capacidades técnicas y diplomáticas en Cancillería para abordar mejor los temas de ciberseguridad en ámbitos internacionales. Se sugirió que AGESIC podría organizar un curso de pocos meses para diplomáticos y sacar en el corto plazo gente capacitada, o al revés, que el personal de AGESIC pueda capacitarse en diplomacia.
Se indicó el problema de la continuidad de la formación en Cancillería, por el sistema de rotación en la carrera.
Visibilización de los cursos existentes
Se señaló que OEA tiene cursos gratuitos en Ciberseguridad que la gente desconoce. AGESIC también tiene uno para toda la ciudadanía.
Alianzas y colaboraciones
Hubo propuestas para fortalecer alianzas con organismos internacionales, empresas locales, con la academia e incluso con el Parlamento para mejorar la legislación y capacidades en ciberseguridad.
Se destacó que el Parlamento integra la Unión Parlamentaria Internacional y es un asunto del que no se ocupa por falta de conocimientos. Los legisladores no tienen formación, y lamentablemente los parlamentarios suelen mandar a sus secretarios. Quizá se podría imponer un deber de capacitación en estos temas.
Se resaltó la disposición del sector privado para colaborar en iniciativas educativas y de formación en ciberseguridad.