El día 15 de mayo de este año, la Presidencia del Consejo de Ministros (PCM) ha expedido el Decreto Supremo Nº 050-2018-PCM que aprueba la definición de “Seguridad Digital”, un concepto que venía trabajando a través de la Secretaría de Gobierno Digital (ex ONGEI) desde el año pasado. Este es un paso previo al desarrollo de un Plan Nacional de Ciberseguridad, una política pública importante pero hasta ahora ausente en nuestro incipiente ecosistema digital.
Antecedentes
¿Por qué es importante que la PCM haya definido qué es Seguridad Digital? Principalmente por dos motivos: El primero es que esta definición le da un fina feliz a una controversia surgida el año pasado con motivo de un Proyecto de Ley que comentamos en su momento. Dicho Proyecto proponía la ampliación de competencias de la Dirección Nacional de Inteligencia (DINI) dentro del Sistema Nacional de Inteligencia (SINA) en materia de ciberseguridad, pero no lo hacía del todo bien: se superponían competencias, se entregaba demasiado poder a la DINI, se dejaba sin piso a espacios de coordinación participativos, etc. Felizmente, luego de varias Mesas de Trabajo, el Proyecto se mejoró y solo quedaba pendiente la definición que iba elaborar la PCM y que ahora ya tenemos.
El segundo motivo es que el país necesita desde hace varios años contar con un marco legal más claro respecto de la ciberseguridad, no solo para beneficiar el funcionamiento del Estado sino también para proteger mejor a la empresa y al ciudadano. No nos referimos por supuesto a institucionalidad, que ya la tenemos. Tampoco a leyes sustantivas, que para eso ya existe la Ley de Delitos Informáticos. Nos referimos más bien a una política pública que nos indique claramente cual es la idea de Ciberseguridad que quiere promover el Estado y cuál es nuestro papel dentro de ella. En resumen, un Plan Nacional de Ciberseguridad. Lo necesitamos, varios actores ya lo han exigido e incluso desde hace algún tiempo hay una propuesta de Política Nacional de Ciberseguridad, pero el tema no ha avanzando mucho. En ese sentido, tener una definición tan medular como “¿Qué es la seguridad digital?” expedida por el Estado es quizás el paso previo más importante que se ha dado en los últimos años.
Buenas noticias
Teniendo en cuenta lo anterior, diríamos que la mera existencia de la definición ya es algo bastante positivo. Sin embargo, nos agrada reconocer que también se ha hecho un buen trabajo en relación a la redacción del concepto de Seguridad Digital. Pero empecemos indicando cómo está escrito:
La Seguridad Digital en el ámbito nacional es el estado de confianza en el entorno digital que resulta de la gestión y aplicación de un conjunto de medidas proactivas y reactivas frente a los riesgos que afectan la seguridad de las personas, la prosperidad económica y social, la seguridad nacional y los objetivos nacionales en dicho entorno. Se sustenta en la articulación con actores del sector público, sector privado y otros quienes apoyan en la implementación de controles, acciones y medidas; debiéndose tener presente para estos efectos los aspectos siguientes (…)” (El énfasis es nuestro)
En general, las definiciones de seguridad digital o ciberseguridad que existen en el mundo suelen hacer hincapié casi siempre en los activos (sistemas, infraestructura, etc.) del Estado o en la continuidad de los servicios dentro del ciberespacio. Son muy pocos los casos en los que un país o alguna organización multilateral ha adoptado definiciones que tomen en cuenta también que el fin último de dar seguridad a esos activos es la protección de las personas. Con la definición que ha hecho la PCM nos hemos alineado con estos últimos, lo que son buenas noticias.
Pero no solo eso, sino que la redacción va un poco más allá y define claramente que dicha seguridad solo en factible en la medida que exista articulación entre los múltiples actores involucrados en la gestión del ciberespacio. Esto, que puede parecer una obviedad, resulta importante en la medida en que al ser una definición oficial, su texto se convierte automáticamente en guía para desarrollos normativos posteriores. Por ejemplo, piénsese que en adelante cualquier ley o decreto en materia de ciberseguridad no puede establecer que la aplicación de medidas de ciberseguridad es solo competencia del Estado o de una entidad en particular sin contradecir esta definición.
En general, el trabajo de la Secretaría de Gobierno Digital en este caso y en otros temas relacionados al Gobierno Electrónico ha sido bastante prolijo hasta ahora, teniendo en cuenta sus limitaciones institucionales. Nos gustaría pues que en materia de ciberseguridad se siguiera avanzando de esta forma y se profundice la participación de otros actores no estatales. Es momento de empezar a pensar no solo programáticamente sino también en torno a casos como los que hemos reportado recientemente que necesitan de mecanismos de prevención y respuesta.
Ex Director de Políticas Públicas (2013-2020)
Bachiller en Derecho por la Universidad Nacional Mayor de San Marcos.
Un comentario