• Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Ciberseguridad y regulación: cuatro experiencias de sudamérica

Ciberseguridad y regulación: cuatro experiencias de sudamérica

Por Marcela Pallero, Directora de Seguridad en TIC de la Fundación Sadosky

La ciberseguridad es una práctica que nos brinda las herramientas  necesarias para protegernos como sociedad y construir un entorno más seguro en lo referente a servicios digitales. Contempla diferentes áreas como la seguridad informática, la gestión y gobierno o gobernanza de la ciberseguridad, de la seguridad de la información y de los riesgos.

En cuanto a lo relacionado con lo gubernamental, con el paso de los años distintos países comienzan a dar cada vez mayor importancia a la ciberseguridad. Esto se refleja en las estrategias y políticas nacionales y en los años más recientes en regulaciones nacionales que surgieron en algunos  de nuestra región, ya sea a través de leyes o decretos. 

Con estas normas, se establece desde el máximo nivel regulatorio cómo deben implementarse las medidas de ciberseguridad que van a cuidar los intereses de las personas, empresas e instituciones.

Aquí veremos tres países que han logrado avanzar en este sentido, como son Colombia, Brasil y Chile, y una breve revisión sobre la situación de Argentina. Los dos primeros a través de decretos, y el tercero mediante una ley sancionada por el Congreso. En los tres casos, estas regulaciones demuestran que han tomado a la ciberseguridad como necesidad estratégica.

Colombia: el Decreto que consolida y avanza hacia la gobernanza de ciberseguridad 

En Colombia, donde rige desde hace dos años el decreto Nro 338/2022, el tema había comenzado a trabajarse ya en 2011 con el documento  Conpes 3701, denominado Política de Ciberseguridad y Ciberdefensa, y se profundizó ese camino en 2016 con el Conpes 3854 al que nombraron Política de Seguridad Digital. Los Conpes son documentos de política pública elaborados por el Consejo Nacional de Política Económica y Social.

Luego del Plan Nacional de Protección y Defensa de Infraestructuras Críticas del Ministerio de Defensa (2017) y el Conpes 3995 Política Nacional de Confianza y Seguridad Digital (2020) como últimos antecedentes, finalmente llegó el decreto 338/2022 de Seguridad Digital.

Sus lineamientos generales apuntan a fortalecer las instituciones para la gobernanza de la seguridad digital, dando institucionalidad a las organizaciones que van a llevar adelante las políticas y las medidas. También se indica al Ministerio TIC hacer un inventario de infraestructuras críticas cibernéticas y servicios esenciales, a la vez que se establece un modelo con diferentes equipos de respuesta CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team) en distintos niveles para actuar ante los eventuales incidentes que puedan originarse.

A nivel gubernamental,  Colombia adoptó el modelo de seguridad y privacidad  basado en la familia ISO 27000 de normas, diseñada para ayudar a las organizaciones a proteger su información y lograr que se manejen de manera segura. Se trata de normas que proporcionan una serie de controles y procesos que permiten identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información. 

Brasil y su Política Nacional de Ciberseguridad de 2023

En cuanto a Brasil, se puede citar como uno de los antecedentes de 2018 de la Política Nacimiento de Ciberseguridad al Decreto Nro 9637 de Seguridad de la Información, casi totalmente derogado hoy. Dos años más tarde, los decretos Nro 10.222 y Nro 10.569 establecieron las estrategias de Ciberseguridad y de Seguridad de Infraestructuras críticas respectivamente. Luego de otros pasos intermedios en 2021 y 2022, el decreto Nro 11.856 de 2023 estableció la Política Nacional de Ciberseguridad y el Comité Nacional de Ciberseguridad.

Este último decreto, que tuvo como origen a un proyecto de ley que no llegó a ser aprobado, se plantea diversos objetivos tales como promover tecnologías nacionales destinadas a la ciberseguridad, garantizar la confidencialidad, integridad, autenticidad y disponibilidad de la información, combatir los delitos cibernéticos, aumentar la resiliencia de las organizaciones públicas y privadas ante incidentes, e incrementar la acción coordinada entre los diferentes niveles del Estado, el sector privado y la sociedad en general.

Chile, la primera Ley de Ciberseguridad de América Latina y Caribe

Chile, por su parte, es el único de los países sudamericanos que cuenta con una ley de ciberseguridad debatida ampliamente en el Poder Legislativo, publicándose  este mismo año. Previamente, desde 2017, el Ministerio del Interior y Seguridad Pública había dado sucesivos pasos estableciendo distintas políticas y medidas, hasta que el 8 de abril de 2024 el Parlamento aprobó la Ley 21.663, conocida como Ley Marco de Ciberseguridad.

Sus principales objetivos son establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; y establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Los grandes ejes de esta ley son las obligaciones para los prestadores de Servicios esenciales y operadores de Importancia Vital, y la creación de una Agencia Nacional de Ciberseguridad (ANCI), un Consejo Multisectorial y equipos CSIRT para la respuesta ante incidentes.

En los tres casos analizados, la conclusión es que se trata de regulaciones que llevan un tiempo importante de gestación, con la participación de diferentes sectores y que denotan la decisión política de estos Estados de dar máxima prioridad a un tema de importancia creciente como lo es la ciberseguridad. 

Argentina: panorama actual 

En Argentina, las decisiones de más alto nivel se remontan al Decreto Nro 577/2017 y al Decreto Nro 480/2019 que establecieron la conformación del Comité Nacional de Ciberseguridad con cinco organismos representados, a saber,  la Secretaría de Asuntos Estratégicos de la Jefatura de Gabinete de Ministros, del Ministerio de Defensa, del Ministerio de Seguridad, del Ministerio de Relaciones Exteriores y Culto y del Ministerio de Justicia y Derechos Humanos.

El mandato del Comité fue la elaboración de una Estrategia Nacional y del plan de acción necesario para su implementación entre los objetivos más importantes. Además, incluye fijar los lineamientos y criterios para la definición, identificación y protección de las infraestructuras críticas nacionales.

En 2019 mediante la Resolución Nro 829 de Secretaría de Gobierno de Modernización de la Jefatura de Gabinete de Ministros se publicó la primera Estrategia Nacional de Ciberseguridad en la que también se invita a adherir a las provincias y Ciudad Autónoma de Buenos Aires. 

La estrategia contiene cinco principios rectores y ocho objetivos, en el marco de esta estrategia se conformaron mesas de trabajo integradas por representantes de los Ministerios e invitados de distintos organismos públicos coordinados por la Unidad Ejecutiva creada en 2019, no existiendo una memoria sobre el cumplimiento de objetivos o rendición de cuentas. 

En Agosto de 2023 mediante la Resolución Nro 44 de la Secretaría de Innovación Pública se presentó una nueva estrategia con ocho principios rectores y ocho objetivos que incluyen al fortalecimiento del sistema institucional; la protección de las infraestructuras críticas nacionales; la protección y recuperación de los sistemas de información del Sector Público; la concientización y educación; el desarrollo del marco normativo; el fomento de la industria de la ciberseguridad y el fortalecimiento de capacidades de prevención, detección y respuesta ante ilícito o usos indebidos del ciberespacio. 

Con la nueva reestructuración del Poder Ejecutivo Nacional realizada por la presente administración, aún no se han conocido avances sobre planes respecto de ésta última Estrategia Nacional de Ciberseguridad.

Referencias: 

Colombia: 

Decreto Nro  338/2022

https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=181866 

Conpes 3701

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3701.pdf

Conpes 3854

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3854.pdf

Conpes 3995

https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf 

Brasil: 

Decreto Nro 11856

https://www.planalto.gov.br/ccivil_03/_ato2023-2026/2023/decreto/D11856.htm 

Chile: 

Ley 21663, Ley Marco de ciberseguridad 

https://www.bcn.cl/leychile/navegar?idNorma=1202434 

Argentina: 

Decreto Nro 480/2019

https://servicios.infoleg.gob.ar/infolegInternet/anexos/325000-329999/325052/norma.htm 

Argentina: Resolución SGM Nro 829/ 2918 Estrategia Nacional de Ciberseguridad 

https://servicios.infoleg.gob.ar/infolegInternet/anexos/320000-324999/323594/norma.htm 

Argentina: Resolución SIP Nro 44/2023 


https://www.boletinoficial.gob.ar/detalleAviso/primera/293377/20230904