Brasil puso el foco en tener una estrategia de cuidado y resiliencia de sus infraestructuras estratégicas críticas y, por ello, acaba de aprobar y poner en vigencia su Plan Nacional de Seguridad de Infraestructuras Críticas (Plansic) que, publicado a través del decreto N° 11.200, del 15 de septiembre de 2022, la presidencia de la República del país estableció plazos y lineamientos, además de la convocatoria intersectorial para abordar el tema.
Tal como lo detalla su letra, el objetivo del Plansic es “garantizar la seguridad y resiliencia de las Infraestructuras Críticas y la continuidad de la prestación de sus servicios”, puesto que la iniciativa propone compartir información, contar con alertas y análisis de riesgos, además de establecer la interdependencia de las redes.
Cabe señalar que el cuidado de las infraestructuras críticas y la planificación de estrategias al respecto es una preocupación de época: Chile estuvo discutiendo un criterio general y a la reflexión generalizada sumó legislación sobre delitos informáticos hace tres meses; y una necesidad que también surgió en Costa Rica a partir de las vulnerabilidades informáticas sucedidas a comienzos de año. Y, por ello también, la iniciativa brasilera recuerda que los lineamientos acordados deberán estar en sintonía con la Estrategia Nacional de Seguridad Cibernética, dictaminada a mediados de 2021 y a través de la que se creó la Red Federal de Gestión de Incidentes Cibernéticos.
En definitiva, se trata de todas infraestructuras estratégicas del país y, en el documento publicado se detalla que contempla a las redes de comunicaciones (telecomunicaciones, radiodifusión y servicios postales) pero también a las de aguas (represas y redes de abastecimiento urbano), las energéticas (eléctrica, terrestre, petróleo, gas natural y biocombustibles), las de defensa, finanzas, de bioseguridad y de bioprotección; y por ello ´propone la interacción de las diferentes carteras responsables (los ministerios de Comunicaciones, pero también de Desarrollo Regional, de Minas y Energía; de Infraestructura; de Economía, de Salud, de Desarrollo Regional, entre otros actores oficiales).
A lo largo de sus páginas, se establecen los plazos estratégicos para su puesta en marcha. Por ejemplo, determina que en seis meses se creará un comité de Gestión de Seguridad de Infraestructuras Críticas y que en 18 meses se definirá un protocolo.
Luego, y en un plazo previsto a dos años, se prevé que esté definido un criterio común para la vinculación entre el Sistema Integrado de Seguridad de Infraestructura Crítica y el Centro Gubernamental de Prevención, Tratamiento y Respuesta a Incidentes Cibernéticos (CTIR Gov); como también se deberá trabajar en la implementación del Sistema Integrado de Datos de Seguridad de Infraestructuras Críticas y estén definidos y publicados los reglamentos específicos con lineamientos para la gestión del Sistema Integrado de Datos de Seguridad de Infraestructuras Críticas, incluido el intercambio de información relevante sobre Seguridad de Infraestructuras Críticas.
Dos años más tardes, inclusive, quedará bajo la órbita de la presidencia del país la realización de “acciones de sensibilización”, acerca de la importancia de invertir en la materia para “minimizar los costes derivados de los ciberataques”.
Además, el plan establece que el sistema se pondrá en marcha mediante el trabajo conjunto de los propietarios y de los operadores de estas infraestructuras, sobre la base de un trabajo colaborativo intersectorial. “Cabe señalar que el ciberentorno es escenario de amenazas que poco a poco cobran mayor relevancia en las organizaciones. La intersección entre este tema y la Seguridad de las Infraestructuras Críticas hace que la gestión integrada de la aplicación de la legislación relacionada con ambos temas sea importante” dice el documento y propone que cada sector establezca criterios específicos, debido a las peculiaridades propias de las respectivas Infraestructuras Críticas, aunque se plantean lineamientos generales para la evaluación y monitoreo.
“Independientemente del grado de amenaza, se propone que los responsables de Infraestructuras Críticas se mantengan vigilantes, preparados y listos para disuadir, eliminar o reducir los riesgos que se materialicen. Para eso, es necesario analizar el grado de amenaza a intervalos regulares, a fin de verificar la necesidad de ajustes en la protección. El desarrollo de las medidas de seguridad y los planes de contingencia y continuidad del negocio es responsabilidad de los propietarios y operadores de las Infraestructuras Críticas”, dice el documento en el que también se busca garantizar la interdependencia de las redes: “La interdependencia es un aspecto de suma importancia a ser examinado, dada la relevancia de la relación de dependencia o interferencia de una infraestructura crítica en otra, o de su área en otra”, concluyó.
