Resumen del intercambio
A continuación se presenta el informe general de la mesa de trabajo “Política Internacional” donde se encuentran sistematizados y sintetizados los aportes de cada subgrupo.
Si bien se mantuvo la estructura estipulada en la agenda de la actividad, que consistió en dos rondas de intercambio, en este pilar las distintas partes que conforman a cada ronda fueron tratadas en conjunto por cada mesa.
Parte 1. Ronda de intercambio sobre el borrador
Durante esta primera ronda los y las participantes realizaron aportes sobre el borrador, identificando tanto aportes generales sobre la propuesta como aportes específicos sobre el pilar “Política Internacional”.
Se les preguntó: ¿Qué aspectos consideran más relevantes en la propuesta del primer borrador de la Estrategia Nacional de Ciberseguridad para abordar eficientemente retos y desafíos en torno a la política internacional? ¿Qué aspectos específicos creen que podrían mejorarse o añadirse en el pilar “Política Internacional” para desarrollar la ciberseguridad de Uruguay?
Las respuestas fueron diversas, y se encuentran estructuradas a continuación según ejes temáticos.
Nivel de precisión de la Estrategia
Se debatió el nivel de precisión que debe tener la Estrategia. Se valoró el documento por ser sencillo de leer y concreto, pero se señaló la necesidad de clarificar y detallar algunos puntos. El documento establece lineamientos idealistas y generales, pero es difícil ver cómo serán puestos en práctica. Falta ampliar la información general de acuerdo con los cometidos. Se plantea que el documento es abstracto, que debería ser más claro y acercarnos más a las líneas de acción. Se deberían dar pautas y tener una actitud más prescriptiva. Específicamente, se mencionó la falta de una definición clara para la población sobre infraestructuras de información críticas y servicios críticos. Se sugiere que ciertos aspectos de la propuesta requieren una mayor concreción y contextualización en el ámbito uruguayo y latinoamericano.
A favor de una estrategia más macro y menos micro, se sostuvo que los tiempos cambian y se requiere dinamismo y constante actualización: a escala micro, lo que se hace actualmente en cinco años será obsoleto. La Estrategia debe ser operativa.
Actores y sus roles
Hace falta ver concretamente qué rol va a tomar cada ente participante.
Se discutió el lugar que debe ocupar el sector privado en la Estrategia. Por un lado, se sostuvo que es fundamental que los privados estén involucrados en el proceso, y más cuando se establecen este tipo de normativas. El documento no toma tan en cuenta al sector privado. Por otro lado, se argumentó que la Estrategia debe enfocarse en las políticas públicas. Lo público tiene que ser el centro y marcar los lineamientos, mientras que el sector privado debería tener un rol de cooperación
También se le tiene que dar lugar a la academia. Se plantea que el documento debería ser más multiactoral.
Cooperación
Es muy importante la cooperación entre el Estado y el sector privado, ya que los privados tienen ventajas en materia de inversión de software y hardware y pueden aportar herramientas. En el Estado se necesita gente y hay empresas privadas en condiciones de dar una mano, de proveer gente capacitada y datos para paliar los incidentes.
Hay pocas instancias de trabajo colaborativo entre privados y el Estado. Podría generarse más colaboración a nivel de la base de datos, y sistematizarla, tomando en cuenta que la información confidencial no puede compartirse, pero sí las situaciones de crisis.
El sector privado puede aportar y, mutuamente, enriquecerse participando en Mesas de trabajo como éstas. Se subrayó la importancia de formar un equipo de trabajo estatal que incluya a todos los actores relevantes. Sería muy útil para la cooperación crear un Comité de Crisis. La mayor dificultad radica en los tiempos y la coordinación necesarios para implementar la estrategia.
Internacionalización
Se propuso ver modelos que se utilizan en el mundo para adaptarlo a Uruguay. Se planteó que debe haber una mirada local, regional y global. Falta una mirada global de parte del gobierno y de las entidades privadas. Hay que entender la internacionalización como un proceso y una oportunidad de ver nuevas perspectivas.
Se subrayó que es esencial participar en tratados como el Convenio de Budapest, pero también habría que promulgar procesos de vinculación internacional más allá de los tratados. Se sugirió acotar los acuerdos internacionales a las necesidades de Uruguay.
También se debe identificar en qué ámbitos participa Uruguay y cómo. Uno de los objetivos podría ser identificar otros países con quienes vincularse. Se trata de una decisión estratégica de alineación internacional.
Además, se planteó que se debería contemplar en la Estrategia la implementación de las normas internacionales que se pretenden aplicar nacionalmente a las empresas públicas y privadas uruguayas.
Se debe utilizar la tecnología cibernética para mejorar la cooperación y el diálogo internacional, estableciendo canales de comunicación para lograr objetivos comunes y aprovechar recursos internacionales. Se propuso contemplar una ayuda externa hacia Uruguay y generar una red de intercambio en asistencia ante incidentes específicos, con recursos disponibles y acuerdos previos. Se consideró relevante y destacada la propuesta de desarrollar una política internacional de ciberseguridad y se resaltó la cooperación internacional como crucial debido a la naturaleza transfronteriza de las amenazas cibernéticas.
Se insistió en la necesidad de alineación y armonización entre la estrategia de ciberseguridad y la de innovación, ya que una sin la otra es problemática.
Se enfatizó en la importancia de no perder autonomía y soberanía, pero también la necesidad de cooperación entre los Estados y el compartir información y buenas prácticas.
Educación y concientización
Se señaló la ausencia de elementos concretos en educación y capacitación dentro de las líneas de acción, lo que es grave porque aún no hay conciencia de riesgo. Faltan muchas campañas de concientización. Falta mucho en lo relativo a la educación en escuelas y liceos. Hay una falta de capacitación del personal docente también, tanto a nivel privado como a nivel público.
Hay que buscar caminos diferentes para llegarle a la gente por varios lados según sus intereses y el grupo de población al que pertenecen.
Capacitación
Se subrayó la importancia de un enfoque en la formación y retención de personal capacitado. Para eso, se debe adjudicar la responsabilidad de generar capacitación.
Además, falta concientización desde el Estado en este tema. Por lo tanto, faltan recursos, falta formación y por eso cuesta mucho desde AGESIC trabajar con muchos organismos del Estado.
Además, desde el Estado hay que generar mecanismos nuevos e innovadores para retener a las personas formadas, ya que se suele invertir en la capacitación y formación de personas que, una vez formadas, pasan al sector privado.
Se indicó la necesidad de especificar la formación necesaria para los diplomáticos en la cooperación internacional en ciberseguridad.
Debería obligarse a las empresas a que se certifiquen, y también incentivarlas. Se sugirió que las pymes podrían recibir ayuda del Estado, mientras que las empresas grandes deberían implementar sus propias políticas. Eso falta como línea de acción.
Reporte de incidentes
Se debe superar el hermetismo: si bien el tema de la confidencialidad es atendible, reportar incidentes es necesario. Hay un tema normativo importante porque todos deberían estar obligados a reportar sus incidentes de seguridad.
Estructura de Cancillería
Un problema que tiene el Ministerio de Relaciones Exteriores es que no tiene un departamento de ciberseguridad.
Identificación de debilidades y fortalezas
Uruguay debe identificar sus fortalezas para aportar desde ahí, tanto a nivel nacional como internacional (por ejemplo, destaca en la industria del software). También debe identificar sus debilidades para determinar las áreas en las que es necesario pedir ayuda y depender de un tercero.
Comunicación
Falta un plan de comunicación del Estado en esta materia. Se debería proveer información a la población acerca del malware o phishing que está circulando. Tampoco hay comunicación sobre a dónde acudir en caso de incidentes.
Preparación en todas las instancias
A nivel estatal en una seccional policial no se sabe cómo manejar los ciberdelitos. Hay que preparar a la primera línea de batalla que está en este tema, que es la policía. Falta preparación y no hay cómo canalizar este tipo de denuncias.
Litigio internacional
En alguno de los pilares se debe incluir una problemática que no ha sido planteada: ¿qué ocurre, a quién se acude, en casos en los que hay que litigar en un país extranjero respecto al uso de una aplicación o software? En este mundo globalizado pueden ocurrir ataques en otros países que afecten a Uruguay. El Poder Judicial debe jugar un papel en eso.
Se planteó que este tema podría entrar en el pilar de esta mesa o en el de “Gobernanza y marco normativo”.
Se subrayó la necesidad de una política internacional de ciberseguridad respaldada por leyes y estructuras robustas.
Parte 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
En la segunda parte del intercambio, las personas participantes discutieron acerca de los objetivos planteados en el pilar “Política Internacional”, aportaron actividades y acciones para el pilar, realizaron análisis de viabilidad, priorizaron ciertas acciones, e identificaron actores relevantes.
Los objetivos fueron validados, con ciertos aportes estratégicos y sugerencias de actividades a realizar:
Definición de principios rectores, objetivos y estándares
Se sostuvo que el documento debe ser lo más apolítico posible. Hay que asegurar que la política tenga una visión a largo plazo con planes específicos y asignar los recursos necesarios para su implementación efectiva, garantizando la continuidad y coordinación.
Respecto a la transversalidad que tiene el documento, se resaltó que es valiosa pero algunos participantes sostuvieron que se le debe poner un límite. Hay que ser racional con la situación crítica y los costos.
Los estándares no deben ser limitantes: una vez se conforme el equipo diplomático, se podrá definir en el momento lo que se necesita. Se debe definir objetivos específicos y consensuados que trasciendan administraciones, incluyendo a representantes políticos, empresas estatales, academia y agencias gubernamentales relevantes.
También se enfatizó en la necesidad de establecer objetivos concretos y específicos sobre las capacidades a desarrollar, sugiriendo integrar la educación en ciberseguridad en instituciones académicas y diplomáticas.
Coordinación y comunicación
Se hizo hincapié en la necesidad de fortalecer la comunicación interna y externa sobre acuerdos internacionales y capacidades en ciberseguridad.
Además, se debe buscar un núcleo que vincule las capacidades del ámbito privado y público y ver cómo cooperar, parándonos en lo que ya tenemos. Se resaltó la disposición del sector privado para colaborar en iniciativas educativas y de formación en ciberseguridad.
Se enfatizó la importancia de plantear una coordinación con el Estado. Se propuso establecer una coordinación formal entre la Cámara Uruguaya de Tecnologías de la Información (CUTI) y AGESIC para intercambiar experiencias y capacidades.
Gobernanza
Respecto a la gobernanza, hay que ver hasta dónde se va a bajar para definir grupos de trabajo específico. Si bien la competencia técnica debería estar en AGESIC, también debería haber un área puntual dentro del Ministerio de Relaciones Exteriores. Se plantea la posibilidad de establecer un grupo especializado que acompañe en las misiones diplomáticas, siempre con coordinación internacional. No tienen que ser técnicos, pero deben saber de la temática para poder acompañar correctamente. Se menciona la importancia de proporcionar cursos de ciberdiplomacia.
Normativas internacionales
Se debería agregar algo más específico respecto a normativas internacionales.
Se propuso la creación de una agencia o ministerio de ciberseguridad para asegurar la continuidad y gobernanza a largo plazo.
Posición país
Hubo debates acerca de si se debe tomar una posición país clara: se recalcó que como país no podemos ponernos a crear normativa nueva, y que la decisión de alinearse o no dependerá en última instancia del ámbito multilateral donde se dé el acuerdo. Sin embargo, también se sostuvo que se debe generar un marco que nos dé identidad como país, para no adaptarnos a lo que aparezca. Se argumentó que a veces se idealizan los tratados y la internacionalidad, y eso limita la soberanía del Estado.
Se señaló por un lado que habría que arrancar por acuerdos binacionales, y por otro que hay que seguir a entidades supranacionales como la OEA y la Unión Europea.
Cooperación internacional
Hubo consenso sobre la importancia de identificar países clave para establecer relaciones estratégicas a nivel regional y global, creando una red de países afines para compartir conocimiento e inteligencia sobre ciberamenazas. Se debe promover la adopción de estándares y certificaciones reconocidas internacionalmente, con incentivos para reducir costos para las empresas, y asegurando la compatibilidad regional.
Fortalecimiento institucional
Se subrayó la necesidad de fortalecer Cancillería y sus capacidades técnicas, por ejemplo creando equipos encargados de tratar específicamente los temas de ciberseguridad e incorporando asesores técnicos. Se debe encontrar la manera de establecer la comunicación entre lo técnico y lo diplomático, y de crear capacidades para que se traduzca el conocimiento técnico en conocimiento diplomático y viceversa.
Formación y capacitación en Cancillería
Se propuso actualizar las capacidades técnicas y diplomáticas en Cancillería para abordar mejor los temas de ciberseguridad en ámbitos internacionales. Se sugirió que AGESIC podría organizar un curso de pocos meses para diplomáticos y sacar en el corto plazo gente capacitada, o al revés, que el personal de AGESIC pueda capacitarse en diplomacia.
Se indicó el problema de la continuidad de la formación en Cancillería, por el sistema de rotación en la carrera.
Desafíos en la educación
Se discutió la inclusión de la ciberseguridad en currículos educativos desde la secundaria: se debe visibilizar esa opción para que sea considerada como una posibilidad redituable para la población joven.
Se destacó que la academia tiene un rol importante a cumplir. Se debe incluir la temática de ciberseguridad en diferentes carreras académicas (Derecho, Relaciones Internacionales). Se propuso que debería haber posgrados especializados en el tema.
También se mencionó la falta de formación en ciberseguridad de los legisladores, sugiriendo que quizá se debería imponer un deber de capacitación en estos temas.