Las preocupaciones respecto al proyecto radican en la aplicabilidad y en poner al MICITT como cabeza de la Dirección Nacional de Ciberseguridad.

El proyecto de Ley de Ciberseguridad que se estudia en la Asamblea Legislativa en este momento, sería insuficiente para suplir las necesidades nacionales en esta materia.

Así lo indicó la experta en el tema y quien fungió como asesora de la Comisión de Ciencia y Tecnología de este poder de la República, Magaly Masís, en una entrevista concedida a Delfino.cr.

Masís, licenciada en Derecho con especialización en Derecho Informático, es la fundadora de la empresa Tech Secure AI, una organización cuya labor se basa en empoderar a compañías de todo el mundo en ciberseguridad avanzada.

Por ello, y por su experiencia de más de 20 años en tecnología tras trabajar en empresas como HP y Microsoft, fue considerada para ser parte de los asesores técnicos de esta iniciativa de ley.

La experta indica que estamos frente a un proyecto con “falencias y que se queda pequeño” para hacer frente a las necesidades del país en materia de ciberseguridad:

El proyecto tiene falencias y queda pequeño. La forma en la que las medidas están estructuradas al día de hoy, pensando en una Dirección Nacional de Ciberseguridad, se quedan cortas ante realidades como las que está enfrentando el país con situaciones como las amenazas de ciberseguridad a nivel mundial y el decreto de 5G, por ejemplo. Con lo pequeño que se está quedando el proyecto de ley y con lo lento que el asunto se está moviendo ante una tecnología que se mueve a años luz, esa Dirección ya debería tener definidos temas claves como estructura y organigrama para poder ir avanzando y eso es algo que no hemos logrado”.

El proyecto en cuestión es el 23292, Ley de Ciberseguridad en Costa Rica, el cual fue presentado por el legislador liberacionista José Joaquín Hernández Rojas, con Kattia Rivera Soto y el oficialista Jorge Antonio Rojas López como co-proponentes.

La iniciativa “tiene como finalidad establecer las reglas, la gobernanza e institucionalidad necesarias para proteger las plataformas tecnológicas del poder ejecutivo, con ello, la seguridad nacional” mediante la creación de una Dirección Nacional de Ciberseguridad dentro del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT).

Y es justo aquí donde aparece una de las principales preocupaciones asociadas a la iniciativa.

 “Se necesita un ente técnico que involucre a los sectores que se atienden”.

Según Masís, “en el proyecto hay falencias que deben ser corregidas para que se garantice una utilidad real en la ley en materia de ciberseguridad”.

La primera de ellas radica en la preocupación de que la cabeza de la Dirección Nacional de Ciberseguridad se centre en el MICITT, debido a que esa designación debería, señala, estar en manos de una entidad técnica.

La experta señaló que ha sido enfática, “incluso en las sesiones de la Comisión de Ciencia y Tecnología, sobre que la cabeza de la dirección debería recaer en un órgano que no tenga ningún tipo de sesgo político”, al tiempo que señaló que:

El MICITT es, obviamente, un ente del Poder Ejecutivo que va a representar una línea de pensamiento político y estratégico. Eso puede poner en riesgo esa objetividad y neutralidad. Por eso, si solo se aborda el tema desde el MICITT y desde el Poder Ejecutivo, sin ninguna otra área externa involucrada en ámbitos de la ciberseguridad, las decisiones en esta materia correrían el riesgo de volverse sesgadas y de tomarse sin el respaldo técnico necesario para garantizar que sean las mejores decisiones para el país”.

A su vez, la experta agregó que:

“Tenemos que pensar más allá del MICITT, que es el que ahorita están proponiendo: se necesita un ente objetivo y técnico que involucre a los sectores que se atienden, garantizando que sea una entidad autónoma y libre de cualquier interés externo. Para esto se deben considerar a los directores técnicos en ciberseguridad y a las entidades regionales que puedan ayudar en la mesa técnica”.

Por lo anterior, la experta considera que la cabeza de un eventual órgano fiscalizador en la materia debería estar en manos de la Superintendencia de Telecomunicaciones (SUTEL), pues así se garantizaría “que la agencia sea independiente de acción”:

La forma ideal es que el país trabaje con una agencia nacional de ciberseguridad que sea independiente de acción, que tenga los recursos necesarios para poder implementar la labor rectora y fiscalizadora y que tenga una parte técnica robusta. El país ahora tiene una nueva visión en materia de recursos y de presupuestos y por eso es mejor que se piense en una dirección como ente aparte, dotando a ésta de independencia para tomar decisiones técnicas. Por eso es que yo la veo bajo el ala de la SUTEL, por la independencia, el entendimiento y la madurez en las decisiones que la SUTEL ha tomado en materia de telecomunicaciones, basada en criterios técnicos”.

Es necesario trabajar estos puntos en el proyecto de ley en garantizar que su alcance sea el útil y funcional pero además en garantizar que tengamos los recursos, la independencia, la neutralidad y la objetividad técnica necesaria para tomar decisiones acertadas”.

Preocupaciones sobre aplicabilidad y eliminación de barreras

La experta también señaló que existen preocupaciones respecto al marco de aplicación del proyecto y a su margen de acción en entidades nacionales, las cuales harían inviable el trabajo de la regulación.

En este sentido, Masís señaló que el proyecto lo que hace es delimitar el alcance de la ley un sector en específico, el poder ejecutivo, dejando de lado a todo el resto de actores que están involucrados en este tema, una delimitación que no es la adecuada para trabajar una realidad la mundial:

Hoy en día la tecnología está absolutamente en todos lados y, todavía más con el desarrollo posterior a la pandemia, el cual ha convertido a la tecnología en una herramienta fundamental para cumplir objetivos en lo público y en lo privado. Cuando nosotros vemos el proyecto de ley, ese proyecto lo que hace es delimitar el alcance a un sector en específico, el Poder Ejecutivo; y cuando nosotros vemos que este proyecto se circunscribe a algo tan cerrado y no a todas las redes del país, por su puesto que lo que nos genera es una preocupación. No tenemos claridad de cómo vamos a hacer para garantizar que este proyecto abarque a todos los sectores necesarios, lo cual genera una complejidad mayor, pues es básico establecer un rango de alcance mínimo para que la ley tenga sentido y utilidad”.

Por ello, y durante su trabajo como asesora en la Comisión de Ciencia y Tecnología, Masís también basó sus recomendaciones en garantizar la seguridad de estructuras y servicios críticos y básicos para el Estado como lo son salud, seguridad, agua y telecomunicaciones, las cuales, señala, deben formularse considerando a todos los actores involucrados y con un detalle claro de acción para cada uno.

Al día de hoy, en el proyecto de ley no se contempla el enfoque de las empresas involucradas en el ecosistema, por lo que si por ejemplo se presenta un ciberataque a un hospital, el proyecto no va a dar una pauta al manejo del incidente más que para la institución involucrada. Las funciones críticas no están agregadas en específico en el proyecto de ley y si bien es difícil hacerlo para todos los casos y esa es una realidad, sí deberíamos tener un alcance mínimo que involucre a todos esos actores”.

Finalmente, la experta señaló que el proyecto no es claro aún en señalar cómo se van a aplicar los requerimientos técnicos que se promulgarán, de tal forma que se garantice el cumplimiento del “Acuerdo para la Eliminación de Barreras Técnicas en la Comercialización” de la Organización Mundial del Comercio (OMC), ni cuál es la base que se va utilizar para escoger la medida adecuada, lo que también pondría en riesgo a la funcionabilidad de la iniciativa:

La ciberseguridad va a tener necesidades distintas dependiendo del sector en el que se implemente, por lo que si queremos garantizar esa funcionalidad en la parte técnica, tenemos que garantizar en el proyecto de ley que este estándar sea emitido por una organización que cuente con el reconocimiento del sector donde se pretende aplicar. Es importante utilizar un estándar con utilidad comprobada, algo que aún no está en el proyecto de ley. El no dejarlo claro le permitiría al ente director escoger el que más le funcione en el momento y eso le quita objetividad técnica a las decisiones que se vayan a tomar”.

Por todo lo anterior, Masís finalizó señalando que:

Estos factores clave no están en el proyecto de ley y por ello, el texto debería reformarse para corregir lo corto que se está quedando”.