El 31 de enero de 2022, el MinTic publicó para comentarios de la ciudadanía el borrador del decreto de ciberseguridad. Este documento busca reglamentar al menos cuatro grandes temas: gobernanza de la seguridad digital, gestión de riesgos de seguridad digital, identificación de infraestructuras críticas y servicios esenciales y respuesta a incidentes de seguridad digital del sector gobierno de Colombia, por lo cual resulta fundamental que su enfoque sea compatible con parámetros internacionales sobre ciberseguridad y derechos humanos. Sin embargo, la propuesta de decreto del MinTIC tiene problemas estructurales importantes y debido a la importancia del tema, gobernanza y ciberseguridad, se echa de menos un enfoque actualizado, garantista y transparente.
A grandes rasgos, los principales inconvenientes encontrados por Fundación Karisma ,los cuales fueron explicado en los comentarios que enviamos al ministerio, son los siguientes:
1. Necesitamos que las políticas de seguridad digital sean transparentes y democráticas.
Si bien, el Mintic publicó para comentarios su borrador del Decreto de Ciberseguridad, este ha sido la inclusión directa a la sociedad civil respecto de su puesta en marcha de políticas de gobernanza y seguridad en internet. En un asunto tan importante, donde se ponen en juego derechos fundamentales, un periodo corto para comentar una norma es insuficiente. Hace falta que la ciudadanía este durante los debates previos y se le permita expresar en todo momento sus preocupaciones o temores, e incluso que esto se haga públicamente mediante una ley.
Además, esta falta de transparencia en el diseño de la política pública de ciberseguridad desconoce las recomendaciones y lineamientos de la OCDE a sus estados miembro sobre cómo crear política de atención a riesgos e incidentes digitales con miras a crear confianza en la ciudadanía.
2. El centro de la política de seguridad digital deben ser las personas y la protección de sus derechos.
La digitalización del mundo actual expone a todas las personas a riesgos digitales. Por esta razón, los Estados deben proteger, no solo su propia infraestructura o a las grandes industrias, sino a toda la ciudadanía y a la democracia, sobre esto es especialmente clara la OCDE en sus Recomendaciones sobre la gestión del riesgo digital.
Lamentablemente, la propuesta del MinTIC desconoce los lineamientos de la OCDE y la visión que se plasma en la norma deja por fuera riesgos posibles relacionados con temas como infraestructura o salud. Pero también excluye parámetros especiales de protección a grupos como defensores de derechos humanos, periodistas o alertadores sobre vulnerabilidades.
3. El abordaje que se le da a la política de seguridad digital está desactualizado
El borrador de decreto de MinTic responde a una visión de la seguridad digital militarista y que solamente tienen en cuenta la seguridad nacional, una propuesta que ha sido reevaluada en la última década. Además, la propuesta da al Ministerio de Defensa mucho poder y control y en donde se administra el riesgo con inventarios estáticos de infraestructuras críticas, algo que en el panorama actual es insuficiente.
Actualmente, desde la OCDE, se propone un modelo de gobernanza que incluya a todos los interesados e involucrados y que les dé herramientas a estos para gestionar y prevenir sus propios riesgos, y donde el Gobierno tenga una labor de coordinar y proponer modelos de análisis de riesgo. Es decir, una visión dinámica con múltiples actores, en contraposición a una visión estática con un solo y poderoso protagonista. Lamentablemente, la propuesta de mintic, se limita ha hacer un inventario de infraestructura.
4. La política de gobernanza digital debe incluir una ruta de divulgación de responsabilidades y un sistema para proteger a los investigadores de seguridad digital
Finalmente, se echa de menos en el documento la creación de una ruta de divulgación de vulnerabilidades, una tarea pendiente del Gobierno colombiano desde la entrada en vigencia del Conpes 3995 de 2020, política que establece el deber de crear una ruta, pero del cual no hemos tenido noticia a pesar de varias peticiones a MinTIC Y MinDefensa. Además, también salta a la vista la falta de un mecanismo de protección para investigadores de seguridad digital que divulgan de forma responsables vulnerabilidades del Estado, de forma tal que estás se corrijan y se eviten incidentes como los que de forma reciente han afectado al Dane o MinTIC.
En conclusión
La propuesta de Mintic está desactualizada y no atiende los parámetros básicos de la OCDE en cuanto a gestión del riesgo, transparencia y participación ciudadana. Desde Karisma, lamentamos este enfoque y que sea la ciudadanía la que tenga que pedir al gobierno que aplique los parámetros de los organismos económicos a los que se adhiere, limitando así la posibilidad de proponer un mayor abordaje de temas de derechos humanos y no facilitando los procesos debido a los espacios limitados de participación.
La ñapa
No todo el contenido del decreto de ciberseguridad es negativo, para Fundación Karisma es un acierto que el ColCERT pase del control de MinDefensa a MinTic, de forma tal que se elimine el carácter belicista de dicha entidad y se den garantías para activistas, defensoras de derechos humanos, investigadores o hackers éticos a la hora de reportar una vulnerabilidad o incidente
Te invitamos a conocer el documento con nuestros comentarios que está disponible para lectura y/o descarga.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Comentarios al borrador del decreto de ciberseguridad del MinTIC.
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co.