Son cientos de miles de millones de incidentes de seguridad informáticos que se dan cada año a nivel mundial. Es imposible conocer la cifra exacta por la naturaleza del hecho pero, si hay algo que es seguro, es que los organismos del Estado uruguayo no son ajenos a esta realidad.

Durante el año 2023, se registraron 4.968 incidentes, de los cuales el 1% tuvo una severidad alta o muy alta.

La Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic) tiene a su cargo el monitoreo de estos datos. El organismo constató que el año pasado hubo un aumento de 16% en la cantidad de incidentes en comparación con 2022.

Una de las causas que lo explica, según Agesic, es la “implementación de nuevas metodologías de detección y a la mejora continua en el monitoreo de los organismos del Estado”.

A partir de 2024 habrá más datos sobre los incidentes informáticos ya que, a través de la rendición de cuentas, se estableció que algunos privados también deban informar a Agesic. En la ley se incluyó varios puntos vinculados a la seguridad informática, como, por ejemplo, la creación de un Comité de Gestión de la Estrategia Nacional de Ciberseguridad, presidida por la agencia e integrada por varios ministerios como Defensa, Interior, Industria. También estarán representados allí el Banco República, el Banco Central del Uruguay, Antel, Ancap, UTE, entre otros.

Foto: Darwin Borrelli

El presidente de Agesic, Hebert Paguas, indicó que el comité se reunió ayer por primera vez y que concurrieron delegados de todos los integrantes, incluidos los presidentes de las empresas públicas y la ministra de Industria, Elisa Facio. En el encuentro se definieron los primeros pasos para elevar al Poder Ejecutivo un proyecto de decreto reglamentario de la rendición de cuentas y otro proyecto de decreto que definirá la primera estrategia nacional de ciberseguridad.

“Pretendemos tener una mirada más transversal del Estado, pero también de los privados que interactúan con el Estado. Por lo tanto, es importante reglamentar hasta dónde vas, hasta dónde podés pedir”, comentó Paguas, y recordó se le dio a Agesic la posibilidad de sancionar. Por lo tanto, queda pendiente reglamentar qué será pasible de penalización y cuál será la sanción aplicable.

Podría ser -dio el jerarca a modo de ejemplo, lo que no quiere decir que se implemente- que se sancione a una empresa con infraestructura crítica de información que no informe un incidente grave en seguridad en las siguientes 24 horas.

Uno de los cambios que se comenzará a implementar, que está vigente en la ley, es que Agesic deberá informar cada seis meses a la Asamblea General de los incidentes que se le reportan. Paguas argumentó que es para que “todo el sistema político que está representado en el Poder Legislativo pueda enterarse de lo que está ocurriendo y quién está incumpliendo” con las normas.

Una de las propuestas que tiene Agesic para la estrategia nacional de ciberseguridad es poder tener un Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy) que atienda las personas, algo que hoy no existe, según explicó Mauricio Papaleo, director de seguridad de la información de Agesic.

Uno de los elementos que “detectaron” es que los individuos no saben a dónde dirigirse ante un incidente, dijo Papaleo, y añadió que un país que lo implementa es España -se llama Instituto Nacional de Ciberseguridad-, donde hay un “área específica” para la ciudadanía.

Otro de los cometidos que adquirió Agesic es colaborar con la Agencia Reguladora de Compras Estatales “en la inclusión de requisitos de seguridad por diseño en los pliegos de compras públicas”, dice la normativa. Ambos “determinarán un listado de servicios o productos que requerirán, previo a la publicación de la compra respectiva, de un informe en materia de seguridad por parte de la agencia”.