La ciberseguridad tiene muchas similitudes con los seguros. Frente a riesgos reales se pueden tomar dos actitudes: no hacer nada y asumir los costos en caso de que el daño se produzca, o invertir en mitigación para disminuir la probabilidad de que pasen y, con ello, estar preparados en caso de que aun así se den. Cuando el costo de un desastre es muy alto, lo prudente es la segunda alternativa.
La Agenda Digital de Uruguay
Este pequeño país del sur de América Latina, con apenas 3,4 millones de habitantes, se ha convertido en líder regional y referente internacional del desarrollo digital. Así lo demuestran tanto los indicadores como los resultados de varias iniciativas emblemáticas, como las de inclusión digital de niños y adultos mayores, la trazabilidad ganadera, los trámites en línea, la Historia Clínica Electrónica Nacional, la firma digital para toda la población, o la incorporación generalizada en la Administración Pública de herramientas documentales como el expediente digital o las comunicaciones y notificaciones digitales, entre otras.
El desarrollo digital de Uruguay, acelerado por la aplicación sostenida de una política digital, le ha valido el reconocimiento de los países que lideran el avance digital a nivel mundial. Con su inclusión en 2017 en el grupo de países D7, Uruguay ha sido el primer país latinoamericano en ocupar un espacio de decisión global respecto al desarrollo de las sociedades digitales.
Ciberseguridad, la piedra angular de una agenda digital sólida
Estos reconocimientos también se extienden en materia de Ciberseguridad. Uruguay es el país con “la madurez más alta de la región en cuatro de las cinco dimensiones” medidas según el modelo de madurez de la ciberseguridad de la Universidad de Oxford. Asimismo, Uruguay se ubica en los primeros puestos en las Américas según el Índice Global de Ciberseguridad de la International Telecommunication Union: en 2018 ocupó el tercer puesto detrás de EE. UU. y Canadá.
Además, Uruguay cuenta con fortalezas concretas en el área tales como: un Marco de Ciberseguridad; un CSIRT (Computer Security Incident ResponseTeam) nacional, denominado CERTuy, el cual dispone de un SOC (Security Operations Center) que brinda servicios en modalidad 24×7 a nivel del gobierno; una red de CSIRT’s establecida en áreas críticas como Defensa Nacional, las empresas estatales ANCAP (combustibles) y ANTEL (telecomunicaciones) y en la iniciativa de educación digital Plan Ceibal; y una red significativa de proveedores privados de servicios de ciberseguridad. El país avanzó también en materia de identidad digital con un ecosistema de certificados y firmas electrónicas, con una autoridad nacional y con proveedores públicos y privados establecidos y en pleno crecimiento. Esto último, de hecho, ha sido clave tras el comienzo de las restricciones en el marco del COVID-19.
Por otro lado, se han realizado esfuerzos importantes en la capacitación y nivelación de conocimientos a nivel gubernamental, al igual que en temas de establecimiento de políticas y referentes de seguridad en cada uno de los organismos del Estado. El sector académico ofrece además cursos, capacitaciones y maestrías especializadas en la materia, al mismo tiempo que existen organizaciones privadas presentes en el país que complementan la oferta en esta área.
Desafíos pendientes
Sin embargo, todo ello no es suficiente y los desafíos que se tienen por delante son importantes.
En primer lugar, existen estudios nacionales que demuestran la necesidad ampliar la cantidad de profesionales dedicados a la ciberseguridad. Para ello es preciso, entre otras cosas, motivar a los jóvenes en edades tempranas a incursionar en la temática y mejorar los planes de formación en ciberseguridad tanto a nivel técnico como de grado y posgrado.
En segundo lugar, es preciso evolucionar en aspectos legales y regulatorios. Esto pasa por concretar la aprobación de algunas leyes que son determinantes en materia de ciberseguridad, por ejemplo, en lo relacionado con delito cibernético, su marco regulatorio y aplicación, así como las condiciones exigibles al momento de comprar u ofrecer servicios de nuevas tecnologías para que sean más seguros.
Fortaleciendo la ciberseguridad en Uruguay
Actualmente Uruguay es el primer país de la región en acceder, mediante una operación realizada con el BID, al apoyo técnico y financiero de dicha organización con el objetivo de continuar fortaleciendo la ciberseguridad a nivel nacional.
EL proyecto abarca varios aspectos fundamentales como mejorar, mediante entrenamientos, la capacidad de respuesta frente a incidentes de la comunidad de ciberseguridad, potenciar el SOC actual y transformarlo en el Centro de Operaciones de Seguridad Gubernamental (GSOC, donde no solo se podrá detectar lo que sucede en el perímetro de los organismos sino también dentro de cada uno de ellos), brindando servicios a todo el Estado de forma centralizada en el formato de 24×7 y apoyar la formación y generación de capacidades, de forma tal que el país pueda elevar y mejorar sus capacidades actuales en la materia. Redoblar la concientización realizada -que, en sectores educativos en su mayoría, ha alcanzado las 900.000 personas, es otro importante aspecto para llegar a toda la ciudadanía con la ciberseguridad y la privacidad.
En el entendido de que el impacto económico de los ciberataques se ubica en promedio entre el 0,5 y el 1% del PIB, debemos trabajar en un marco para una adecuada calibración de los riesgos de ciberseguridad y el correcto tratamiento que permita minimizarlos.
El proyecto “Fortalecimiento de la Ciberseguridad en Uruguay” es una excelente oportunidad para consolidar la digitalización segura de la ciudadanía y ser la base para potenciar y brindar apoyo a la industria de las TIC -en pleno crecimiento económico- logrando transformar al país no solo en un centro de referencia sino también en un ejemplo de la colaboración público-privada en la materia.
SOBRE EL AUTOR:
Mauricio Daniel Papaleo es Director de Seguridad de la Información en la Agencia de Gobierno Electrónico y Sociedad de la Información y Conocimiento de Uruguay (AGESIC). Es Ingeniero en Computación por la Universidad de la Republica (Uruguay) y cuenta con una maestría en Dirección y Gestión de los Sistemas de Seguridad Social por la Universidad de Alcalá-OISS.
Leave a Reply