Las amenazas en ciberseguridad cada vez son más peligrosas, más sofisticadas, más recurrentes y más cercanas a cada empresa y persona. “Todos debemos pensar que fuimos hackeados o que lo seremos en algún momento”, dicen los expertos en la materia. Ante este contexto, el gobierno uruguayo trabaja en su Estrategia Nacional de Ciberseguridad (ENC), que incorpora “agentes de investigación” fuera del radar popular, unifica una visión de Estado y se centra en las personas.
La creación de la ENC se enmarca dentro de la Agenda Uruguay Digital 2025 presentada por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), que busca mitigar riesgos de ciberseguridad y garantizar la disponibilidad de los activos críticos de información.
A principios de mayo se hizo el lanzamiento del proceso de cocreación de la estrategia, el cual tomará opiniones de expertos y organismos internacionales sobre el borrador comenzado en 2023, que luego tendrá otra instancia de consulta pública entre julio y agosto de este año.
La expectativa es que la versión final, entre las opiniones, comentarios y correcciones de expertos y opinión pública sobre el borrador, pueda llegar antes de que termine setiembre y que antes del cierre de octubre pueda ser publicada. El documento también tuvo como insumo el análisis de estrategias nacionales de otros países y la definición de principios rectores,
Según dijeron fuentes del equipo de trabajo a El País, “se ha venido haciendo las cosas bien”.
La cocreación de la ENC es liderada y coordinada por Agesic, con el asesoramiento del Consejo Asesor Honorario de Seguridad de la Información (Cahsi) y el Comité de Gestión de la Estrategia Nacional de Ciberseguridad (Cgenc), además de contar con la participación del Comité de Gestión de Estrategia Nacional de Ciberseguridad.
Este último está integrado por organismos como los ministerios del Interior, Defensa e Industria, el Banco República (BROU), el Banco Central (BCU), Antel, Ancap, UTE, la Secretaría de Inteligencia, además de Agesic.
También contó con el apoyo de organismos internacionales como el Banco Interamericano de Desarrollo (BID), el Centro de Competencia Cibernética para América Latina y el Caribe (LAC4) y la Organización de los Estados Americanos (OEA).
Según explicó a El País el director ejecutivo de Agesic, Hebert Paguas, la estrategia surge de la Rendición de Cuentas, en los que se incorporaron artículos dedicados específicamente a la ciberseguridad.
“Uruguay necesitaba una visión nacional de ciberseguridad”, afirmó Paguas.
En este sentido, señaló que “estrictamente” el país cuenta con competencias dadas a Agesic, la política de ciberdefensa del Ministerio de Defensa y la persecución de cibercriminales del Ministerio del Interior, pero que aún se requería de una “visión nacional” transversal.
Esta visión unificada consta de seis pilares plasmados en el borrador de la estrategia: Gobernanza y Marco Legal y Regulatorio, Cibercrimen, Infraestructuras Críticas, Ciberdefensa, Cultura y Ecosistema, y Política Internacional.
Según Paguas, la misma engloba lo que ya están realizando en paralelo respecto a la tipificación del cibercrimen como delito y la incorporación de Uruguay al Convenio de Budapest (primer tratado internacional contra delitos informativos).
Asimismo, señaló que las líneas de acción prácticas para desarrollar estos pilares se encuentran en la educación y concientización de la población, la actualización del marco legal, fomentar la investigación y el desarrollo de tecnologías en servicios de seguridad, protección de infraestructuras de información crítica y el desarrollo de estructuras que permitan la “gobernanza integral de ciberseguridad en el país”.
Por su parte, fuentes del equipo de trabajo explicaron que dentro de estas líneas de trabajo se encuentran la definición del marco legal para los diferentes niveles de organizaciones y sus responsabilidades, los mecanismos de cooperación, generar capacidades para la investigación del cibercrimen, fomentar el desarrollo de carreras y especialización vinculadas a la temática, fortalecer la estructura al combate del cibercrimen, entre otros.
“No es inventar la rueda, es aprender de quienes tienen el trabajo más desarrollado y adaptarlo a nuestras necesidades”, señalaron.
No obstante, ante la necesidad de una “adaptación continua” por el aumento “permanente” de las amenazas, señalaron que la estrategia consta de principios rectores que enmarcan las líneas de trabajo, de la mano con los pilares establecidos. Entre ellos está la centralización de la identificación, evaluación y mitigación de los riesgos en ciberseguridad, con un “enfoque proactivo y ágil”.
A su vez, otro principio se basa en la “resiliencia”, es decir en que se generen medidas, para alcanzar el “gran desafío” de que las personas y organizaciones “sean conscientes”, que cuenten con las posibilidades para llevar las medidas, que puedan “prevenir, proteger y responder adecuadamente”.
El tercer principio consta de una “visión integral” de la ciberseguridad, que apunta a “abordar el tema de una manera holística”, a través de medidas coordinadas e interdisciplinarias.
El cuarto principio trata de un enfoque “centrado en las personas”, en donde estas “confíen en los sistemas”, y el quinto es la articulación y fortalecimiento del ecosistema, en donde se de la colaboración y cooperación entre los actores del sistema.
Para este último, las fuentes señalaron que se busca un fortalecimiento en la inversión de la investigación e innovación en tecnologías cibernéticas avanzadas, así como también impulsar la capacitación de profesionales en la materia.
Por su parte, Paguas destacó que se integró al sector privado al ecosistema de ciberseguridad, ya que las empresas son “cada vez más tecnológicas”, por lo que se requiere una “visión de qué pasa en el país más allá del sector público”, que no se tenía.
En esta línea, en la Rendición de Cuentas se estableció que las entidades públicas y privadas vinculadas a sectores críticos del país -salud, orden público, energía, telecomunicaciones, transporte, servicios financieros, entre otros- tengan medidas de ciberseguridad.
En tanto, respecto a la investigación, Paguas afirmó que ya existen equipos forenses en Agesic, Ministerio de Defensa y Ministerio del Interior, junto con colaboradores privados que actúan al ocurrir incidentes, sin embargo con la estrategia se busca darle “formalidad” a la coordinación entre los equipos, ya que en la actualidad trabajan “informalmente” en conjunto.
En esta línea, señaló la participación de Antel como un “agente de investigación de ciberseguridad”, que “nadie” lo tiene como tal, o Ancap, que cuenta con “excelentes profesionales”.
“Es para que compartan información y expertise”, afirmó.
Las empresas lo ven como un "gasto" y no como una inversión
Si bien antes los ciberataques se veían más centralizados en el sector de la tecnología, ahora todos los sectores de actividad son posibles objetivos de los mismos, señaló a El País el director de Advisory Services en KPMG, Marcelo Cagnani.
Respecto a la Estrategia Nacional de Ciberseguridad, como agente del ecosistema que trabaja en el sector privado, explicó que contar con ella ayuda a mitigar las amenazas y gestionar riesgos, funcionando como una “base” para que luego de su concreción puedan desarrollarse diferentes iniciativas.
En esta línea, sostuvo que todos los pilares mencionados tienen una misma relevancia, aunque enfatizó que la infraestructura crítica es “primordial”, ya que hay sectores que son más proclives a los ataques, como los son el de la salud, el gobierno, la educación, el manufacturero, la tecnología y la banca.
Asimismo, señaló que en relación a estos sectores, la banca “quizá tiene un grado de madurez mayor que otros”, ya que cuenta con mayor preparación, una estrategia de procedimientos y políticas más definida, lo que “ayuda a que tenga protecciones mayores que otras industrias”.
En tanto, explicó que el resto de las industrias “han pasado por un periodo de mejora”, pero aún les “falta”. Asimismo, sostuvo que en el caso del gobierno, ha mejorado a través de lo trabajado en auditorías y mejoras propuestas, pero al ser “muy amplio” se encuentra con “un tema de recursos que, al encontrar una debilidad, hay que invertir”.
En esta línea, opinó que ya no se puede afirmar que “las empresas no tienen en agenda la ciberseguridad”, ya que ahora son más “conscientes” de las amenazas, pero “a veces no lo ven como una inversión sino como un gasto”. “Nadie ve los resultados como positivos, porque ven que no pasó nada. Eso es lo bueno, que no pasó nada. El problema es cuando pasa algo”, concluyó.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.