Obligatoriedad del Marco de Ciberseguridad de Agesic: impacto en organismos públicos y en el sector privado.

Por el ingeniero José Luis Mauro Vera, MBA, CISA, CDPSE, Senior Manager del sector Technology Risk de EY Uruguay.

Recientemente fue aprobado el decreto que reglamenta los cometidos de Agesic y su ámbito de aplicación, en particular a lo referido con la Ciberseguridad. El Decreto N.º 66/025 aumenta el ámbito de aplicación del Marco de Ciberseguridad de Agesic, ya que al ámbito de organismos públicos se suman algunas empresas del sector privado. Esta disposición se inserta en un contexto donde la gestión de la seguridad de la información se vincula directamente con la continuidad operativa, la protección de datos personales y el cumplimiento normativo.

Aplicación en organismos públicos y también en ciertas empresas privadas.

Los organismos de la Administración Central, los gobiernos departamentales, los entes autónomos, los servicios descentralizados y las personas de derecho público no estatal deben adoptar el marco de forma integral. Además del sector público, el Decreto también establece obligaciones para empresas privadas que brinden servicios críticos al Estado. El artículo 2 del Decreto 66/025 define estos servicios como aquellos cuya interrupción pueda tener un alto impacto en la salud, la seguridad, la economía o el funcionamiento esencial de la sociedad. Entre los ejemplos más directos se encuentran los servicios de telecomunicaciones, energía eléctrica, agua potable, infraestructura digital y plataformas de servicios electrónicos y financieros. Por lo cual, se extiende a los proveedores de los entes autónomos que presten este tipo de servicios.

Ejemplos de requisitos del marco

La adopción del marco implica la implementación de medidas a nivel de personas, procesos y tecnologías, como la designación de un Responsable de Seguridad de la Información (RSI), la conformación de un Comité de Seguridad de la Información (CSI), la definición de políticas formales, la implementación de una metodología de evaluación de riesgos y someterse a auditorías internas y externas. Por ello es necesario inventariar los activos de información para su posterior evaluación de su criticidad, clasificación, y posterior protección mediante controles manuales y automáticos. Entre ellos se incluyen medidas de cifrado, segmentación de redes, controles de acceso en los sistemas y revisión periódica de privilegios.

Y dado que la ciberseguridad no termina con la protección de los activos, también requiere contar con los recursos y capacidades para detectar, responder y recuperarse en forma efectiva y eficiente de incidentes de ciberseguridad. Para ello se deben integrar aspectos tecnológicos, de gestión de crisis, coordinación y comunicación con las partes interesadas.

Además de cumplir con la normativa, estas acciones generan trazabilidad interna y fortalecen la posición de la empresa frente a auditorías o procesos de licitación. La adopción del marco puede integrarse, además, con certificaciones ISO 27001 ya existentes, y actuar como una garantía operativa frente a incidentes con impacto contractual o financiero.

Implementación y responsabilidades

El proceso de implementación va a depender en mayor medida de la situación actual y grado de madurez en el cual se encuentra la organización. En tal sentido, la realización de diagnósticos y auditorías de ciberseguridad utilizando el modelo de madurez provisto por el marco, ayuda a identificar los gaps e iniciativas para avanzar en cada una de sus funciones. Luego, teniendo en cuenta las oportunidades de mejora identificadas, podría definirse un roadmap considerando los siguientes bloques:

1. Gobernanza: Designar al RSI y constituir el CSI, de modo de definir la estrategia corporativa de ciberseguridad, asignar los recursos presupuestales necesarios y definir y aprobar las políticas y lineamientos generales necesarios.

2. Riesgos: Aplicar una metodología para identificar amenazas, vulnerabilidades y priorizar medidas de tratamiento, basadas en un inventario de activos de información actualizado. En la mayoría de los casos requiere incorporar o mejorar la madurez de la gestión de riesgos corporativos, ya que parte de ellos son riesgos de ciberseguridad.

3. Controles: Implementar políticas y medidas técnicas vinculadas a accesos, activos, continuidad y respuesta a incidentes. Las medidas no solo incluyen la adopción de tecnologías específicas para proteger y detectar incidentes, sino también la sensibilización y capacitación de equipos capaces de dar respuesta a incidentes de ciberseguridad.

4. Seguimiento: Establecer un ciclo de revisión continua, preparación y realización de auditorías.

Este enfoque es aplicable tanto en organismos públicos como en empresas privadas alcanzadas por el decreto. En todos los casos, el resultado esperado es la reducción de la exposición al riesgo, la mejora de la eficiencia operativa y el cumplimiento de los requisitos legales vigentes.

Hacia el siguiente paso en la madurez de la ciberseguridad

La adopción del Marco de Ciberseguridad de Agesic dejó de ser una recomendación técnica para transformarse en una exigencia legal. Para los organismos públicos, representa una estructura básica para cumplir con la Ley 20.212 y con otras normativas transversales, como la protección de datos personales, y otras de sectores específicos, como la salud, las telecomunicaciones o el sector financiero. Para las empresas privadas, especialmente aquellas que prestan servicios al Estado o forman parte de su infraestructura digital, el Marco se convierte en una condición sine qua non para mantener relaciones contractuales y operativas.

Implementar este marco no solo reduce riesgos, sino que también estructura responsabilidades, mejora procesos y permite responder con evidencia ante incidentes o auditorías, dando un paso relevante en el nivel de madurez en el gobierno y la gestión de la ciberseguridad. En un entorno regulado, competitivo y digitalmente interconectado, la aplicación del marco no es un diferencial: es un requisito para continuar operando.