La ciberseguridad es una práctica que nos brinda las herramientas necesarias para protegernos como sociedad y construir un entorno más seguro en lo referente a servicios digitales. Contempla diferentes áreas como la seguridad informática, la gobernanza de la ciberseguridad, de la seguridad de la información y de los riesgos. En cuanto al enfoque normativo gubernamental, con el paso de los años, distintos países comienzan a dar cada vez mayor importancia a la ciberseguridad en Latam, elevando en jerarquía las instituciones que la abordan y planteando la problemática a nivel nacional y no solo en la propia seguridad de los Estados nacionales.
Esto se refleja en la aprobación y ejecución de estrategias y políticas nacionales y, en los años más recientes, en regulaciones nacionales que surgieron en algunos países de nuestra región a través de decretos y con una primera ley con el debate legislativo necesario en Chile muy recientemente. Con estas normas, se establece desde el máximo nivel regulatorio cómo deben implementarse las medidas de ciberseguridad en Latam, aquellas que van a cuidar los intereses de las personas, empresas e instituciones.
A continuación, un resumen de normativas en las que lograron avanzar en este sentido Colombia, Brasil, Chile y Argentina. Varias de estas regulaciones muestran que se inició un camino hacia un enfoque estratégico de la ciberseguridad, y también que el tema es novedoso para la región en sus alcances a nivel nacional.
Índice de temas
Ciberseguridad en Latam: 4 casos destacados
Colombia
En Colombia, donde rige desde hace dos años el decreto Nro 338/2022, el tema había comenzado a abordarse desde 2011 con tres documentos de política pública, CONPES, elaborados por el Consejo Nacional de Política Económica, con objetivos y rendición de cuentas, y regulaciones en materia Seguridad Digital en el contexto del Gobierno Digital y la Función Pública.
En los CONPES se fueron abordando temas como la regulación en materia de incidentes o emergencias cibernéticas (2011), la Política Nacional de Seguridad Digital (2016), el Plan Nacional de Protección y Defensa de Infraestructuras Críticas del Ministerio de Defensa (2017) y una nueva Política Nacional de Confianza y Seguridad Digital (2020) como líneas a resaltar. Finalmente, en 2022 llegó el Decreto 338 de Seguridad Digital.
Marco general
Cabe mencionar que es el Ministerio TIC la autoridad en el Poder Ejecutivo responsable de llevar adelante las políticas para la Administración Nacional y que en 2021 emitió una resolución con lineamientos y estándares para la adopción de un Modelo de Seguridad y Privacidad de la Información como habilitador del Gobierno Digital, basado en la familia ISO 27000 de normas, diseñada para ayudar a las organizaciones a proteger su información y lograr que se manejen de manera segura. Se trata de normas que proporcionan una serie de controles y procesos que permiten identificar, evaluar y gestionar los riesgos relacionados con la seguridad de la información.
En el Decreto 338/2022 se encuentran lineamientos generales que apuntan a fortalecer las instituciones para la gobernanza de la Seguridad Digital, dando institucionalidad a las organizaciones que van a llevar adelante las políticas. También se indica al Ministerio TIC hacer un inventario de infraestructuras críticas cibernéticas y servicios esenciales, a la vez que se establece un modelo con diferentes equipos de respuesta CERT (Computer Emergency Response Team) o CSIRT (Computer Security Incident Response Team) en distintos niveles para actuar ante los eventuales incidentes que puedan originarse.
Brasil, un ejemplo de ciberseguridad en Latam
En cuanto a Brasil, podemos destacar la elaboración de una Política Nacional de Seguridad de la Información sancionada y modificada mediante dos decretos, el 9637 de 2018 y el 10641 de 2021 para el ámbito de la Administración Pública Federal. También fueron sancionadas una Estrategia Nacional de Ciberseguridad por Decreto 10.222 en 2020. Además, en el ámbito de las Infraestructuras Críticas, Brasil elaboró una Estrategia Nacional y luego un Plan Nacional de Seguridad de Infraestructuras críticas, ambos por decreto, el primero en 2020 y el segundo en 2022.
En esta línea, en 2021 se estableció la Red Federal de Gestión de Incidentes Cibernéticos (dec. 10.748) con el objeto de mejorar y mantener la coordinación entre los órganos y entidades de la administración pública federal directa y autónoma para la prevención, tratamiento y atención de incidentes cibernéticos, con el fin de aumentar el nivel de resiliencia en ciberseguridad de sus activos de información.
Finalmente, en 2023 se estableció la Política Nacional de Ciberseguridad y el Comité Nacional de Ciberseguridad en el Decreto 11.856. En esta última norma, que tuvo como origen un proyecto de ley que no llegó a ser aprobado, se plantean diversos objetivos tales como promover tecnologías nacionales destinadas a la ciberseguridad, garantizar la confidencialidad, integridad, autenticidad y disponibilidad de la información, combatir los delitos cibernéticos, aumentar la resiliencia de las organizaciones públicas y privadas ante incidentes e incrementar la acción coordinada entre los diferentes niveles del Estado, el sector privado y la sociedad en general.
Chile, la primera Ley de Ciberseguridad en Latam y el Caribe
Chile, por su parte, es el único de los países sudamericanos que cuenta con una ley de ciberseguridad debatida ampliamente en el Poder Legislativo, sancionada este mismo año. Previamente, desde 2017, el Ministerio del Interior y Seguridad Pública había dado sucesivos pasos estableciendo distintas políticas y medidas, hasta que el 8 de abril de 2024 el Parlamento aprobó la Ley 21.663, conocida como Ley Marco de Ciberseguridad.
La primera Política Nacional de Ciberseguridad (2017-2022) contenía la elaboración del Proyecto de Ley, junto a varias acciones puntuales, como la creación de una norma técnica para el desarrollo o contratación de software en el Estado acorde a estándares de desarrollo seguro, decretar coordinadamente requisitos actualizados de seguridad para sectores económicos regulados, o la elaboración de buenas prácticas para la ciudadanía y el sector público, por mencionar algunas.
En 2022, por norma del Ministerio del Interior y Seguridad Pública se establece la obligatoriedad de reporte de incidentes de ciberseguridad para los Ministerios y demás organismos de la Administración centralizada y descentralizada del Estado al Centro de Respuesta ante Incidentes de Seguridad Informática (CSIRT). Asimismo, y considerando los riesgos actuales, Chile ha aprobado la Ley 21.542 que modifica la carta fundamental con el objeto de permitir la protección de infraestructura crítica por parte de las fuerzas armadas, en caso de peligro grave o inminente.
Ley Marco de Ciberseguridad
La Ley Marco de Ciberseguridad, por otro lado, tiene entre sus principales objetivos establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; y establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones y los mecanismos de control, supervisión y de responsabilidad ante infracciones.
Los grandes ejes de esta ley son las obligaciones para los prestadores de Servicios esenciales y operadores de Importancia Vital, y la creación de una Agencia Nacional de Ciberseguridad (ANCI), un Consejo Multisectorial y equipos CSIRT para la respuesta ante incidentes.
El caso de Argentina
En Argentina, las decisiones de más alto nivel se remontan al Decreto 577/2017 y al Decreto 480/2019 que establecieron la conformación del Comité Nacional de Ciberseguridad con cinco organismos representados, a saber, la Secretaría de Asuntos Estratégicos de la Jefatura de Gabinete de Ministros, el Ministerio de Defensa, el Ministerio de Seguridad, el Ministerio de Relaciones Exteriores y Culto, y el Ministerio de Justicia y Derechos Humanos.
El mandato del Comité fue la elaboración de una Estrategia Nacional y del plan de acción necesario para su implementación entre los objetivos más importantes. Además, incluye fijar los lineamientos y criterios para la definición, identificación y protección de las infraestructuras críticas nacionales.
En 2019, mediante la Resolución 829 de Secretaría de Gobierno de Modernización de la Jefatura de Gabinete de Ministros, se publicó la primera Estrategia Nacional de Ciberseguridad en la que también se invita a adherir a las provincias y Ciudad Autónoma de Buenos Aires.
Principios y objetivos
La estrategia contiene cinco principios rectores y ocho objetivos. En el marco de esta estrategia se conformaron mesas de trabajo integradas por representantes de los Ministerios e invitados de distintos organismos públicos coordinados por la Unidad Ejecutiva. En 2021, Argentina publicó una norma para exigir requisitos mínimos de seguridad de la información para organismos del Sector Público Nacional.
Unos años después, en agosto de 2023, mediante la Resolución Nro 44 de la Secretaría de Innovación Pública se presentó una nueva estrategia con ocho principios rectores y ocho objetivos que incluyen el fortalecimiento del sistema institucional; la protección de las infraestructuras críticas nacionales; la protección y recuperación de los sistemas de información del Sector Público; la concientización y educación; el desarrollo del marco normativo; el fomento de la industria de la ciberseguridad y el fortalecimiento de capacidades de prevención, detección y respuesta ante ilícito o usos indebidos del ciberespacio.
Una nueva etapa
Con la nueva reestructuración del Poder Ejecutivo Nacional realizada por la presente administración, aún no se han conocido avances sobre planes respecto de ésta última Estrategia Nacional de Ciberseguridad.
En otra órbita del Estado, mediante el Decreto 614/2024, se ha reorganizado el Sistema de Inteligencia Nacional bajo la Secretaría de Inteligencia del Estado (SIDE) y en particular se ha creado una Agencia Federal de Ciberseguridad (AFC) como “el órgano con competencia sobre la ciberdelincuencia, las infraestructuras críticas y objetivos de valor estratégico tecnológicos y de la información”.
Prohibida su reproducción total o parcial.