Tras los ciberataques sufridos a nivel país en los pasados meses, que afectaron gravemente servicios esenciales y por consiguiente a todos los costarricenses; se evidenció la problemática que ha existido siempre en cuanto a la poca preparación del país en contra de amenazas cibernéticas. Ante esta situación, desde el Partido Liberación Nacional han presentado el proyecto Ley de Ciberseguridad de Costa Rica (expediente 23.292), que se basa en crear una agencia especializada para tratar con estas amenazas de manera preventiva, reactiva y proactiva.

Agencia Nacional de Ciberseguridad

Se crearía a partir de esta ley la Agencia Nacional de Ciberseguridad, como un órgano adscrito al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). No podrá tener total independencia administrativa por las restricciones que se han implementado en el país a partir de la situación fiscal. La agencia actuará como Centro de Operaciones de Seguridad (SOC por sus siglas en inglés) y estará conformada por:

  1. Dirección General. La persona directora de la Agencia será nombrada por el Poder Ejecutivo. Deberá ser profesional en informática y contar con un mínimo de ocho años de experiencia en temas de ciberseguridad.
  2. Consejo Asesor. Conformado por el director de la Agencia y representantes de: el Consejo de la SUTEL, la Junta Directiva de la ARESEP, el CONASSIF, el OIJ, la CAMTIC, la INFOCOM y el CPIC.
  3. Centro de Intercambio y Monitoreo de Redes (CIMR-CR). El cual se encargará de la función preventiva de la Agencia. Establece el monitoreo continuo de alertas provenientes de redes y diversos sensores de seguridad digital. Haciendo especial énfasis en las Infraestructuras Críticas de la Información, elemento clave de esta ley.
  4. Centro de Respuesta a Incidentes de Seguridad (CSIRT-CR). Equipo ya existente en el MICITT, pero que no ha contado con los recursos suficientes para enfrentar los riesgos de ciberseguridad de la actualidad. Encargado de la función reactiva; gestión de los canales de comunicación para recibir alertas, mantenimiento y clasificación del registro de incidentes y soporte a las instituciones afectadas por estos incidentes.
  5. Centro de Inteligencia de Datos en Ciberseguridad (CID-CR). A cargo de la función proactiva, realizando análisis de datos y prevención de amenazas. Se centrará en proveer información predictiva y en mantener actualizada a la Agencia y sus colaboradores en las nuevas amenazas.

Registro Nacional de Incidentes de Ciberseguridad

El registro de incidentes administrado por el CSIRT-CR, en colaboración con el CID-CR y el CIMR-CR, incluirá datos técnicos y antecedentes de la ocurrencia de incidentes de ciberseguridad. Además del análisis y estudio de estos incidentes. Será de carácter público, con la posible excepción de ciertos datos sensibles que deberá describir el eventual reglamento de esta ley.

Infraestructuras Críticas de Información

Esta es una parte fundamental del proyecto de ley, ya que nos indica qué se está buscando proteger. Las Infraestructuras Críticas de Información (ICI) corresponden a toda infraestructura informática física o virtual necesaria para proveer servicios esenciales y cuya afectación por parte de un ciberataque pueda comprometer la prestación continua de esos servicios. Es decir, aquellos sistemas de almacenamiento y procesamiento de datos que afecten servicios esenciales de salud, seguridad, educación u otros derechos fundamentales serán el foco de los esfuerzos de ciberseguridad. Estas ICI deberán ser monitoreados por el CIMR-CR y protegidas por la Agencia en general.

Será necesario trabajar con diversos sectores e instituciones para identificar estas ICI, determinar quiénes son sus operadores e implementar los requerimientos que la Agencia estime necesarios en la protección de la información. Los operadores de las ICI deberán reportar al CSIRT-CR o a un CSIRT Sectorial cualquier incidente de seguridad, para que la Agencia pueda reaccionar adecuadamente. Además, deberá notificarse a las personas afectadas por el incidente, algo que veríamos usualmente en leyes de protección de datos personales.

El proyecto también incorpora ciertas bases para la gestión de la seguridad de la información en el sector público, algo que no se ha logrado estandarizar en el pasado. Podría permitir una sana colaboración entre instituciones en pro de las mejores prácticas en materia de ciberseguridad. Aprovechando también la experticia que concentraría la Agencia para favorecer a todos los sectores involucrados.

Los transitorios del proyecto indican que podría tomar hasta dos años después de la publicación de esta ley para tener en funcionamiento la totalidad de los servicios que busca implementar. Incluyendo la creación del reglamento en los primeros seis meses posteriores a su publicación y la creación paulatina de los nuevos CID-CR y CIMR-CR.

El proyecto viene a enfrentar problemáticas actuales que no han logrado desafiarse hasta ahora a nivel legislativo. Estamos a la espera de ver qué sucederá también con el proyecto para la Reforma Integral a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (expediente 22.388), presentado el año pasado por el Partido Acción Ciudadana. Sería ideal también ver avances (y la participación activa de Costa Rica) en las propuestas que existen a nivel regional para la cooperación entre países de América Latina y el Caribe.

Este artículo representa el criterio de quien lo firma. Los artículos de opinión publicados no reflejan necesariamente la posición editorial de este medio. Delfino.CR es un medio independiente, abierto a la opinión de sus lectores. Si desea publicar en Teclado Abierto, consulte nuestra guía para averiguar cómo hacerlo.