Escuchar
Los funcionarios que se encargan de administrar los sistemas informáticos de las instituciones públicas podrían enfrentar multas de hasta 15 salarios base (alrededor de ¢7 millones, en este momento) por incumplir sus deberes o descuidar los datos sensibles de los ciudadanos, según propone un proyecto de ley, presentado por el diputado liberacionista José Joaquín Hernández el 22 de agosto. Se tramita bajo el expediente 23.292.
De acuerdo con el texto, las multas se clasificarían en faltas leves, graves y gravísimas. Algunas de las infracciones mínimas son incumplir el deber de notificar los incidentes de ciberseguridad a las personas afectadas, no establecer mecanismos técnicos y procedimentales para detectar amenazas, no llevar a cabo inventarios de los equipos y no remitir resultados de auditorías o evaluaciones de riesgos cibernéticos.
Mientras que entre las faltas más severas se encuentran utilizar sistemas de información prohibidos, no implementar un sistema de gestión de riesgo permanente para identificar alertas que afecten la continuidad del servicio, no responder a los incidentes de ciberseguridad significativos según sus planes y protocolos internos y no adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente.
Además, si se demuestra que hubo culpa o dolo en su accionar u omisión, los empleados “serán sancionados con la suspensión de su cargo por hasta 90 días sin goce de salario, sin perjuicio de otras sanciones previstas en el régimen disciplinario aplicable al funcionario. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación”.
LEA MÁS: Este es uno de los líderes del grupo ‘hacker’ que atacó a Costa Rica: dan $10 millones por él
La propuesta de “Ley de Ciberseguridad” plantea que estas sanciones administrativas sean aplicadas por una Agencia Nacional de Ciberseguridad adscrita al Ministerio de Ciencia, Tecnología y Telecomunicaciones (Micitt), con independencia técnica y recursos propios. Este nuevo órgano se encargaría de fiscalizar los incumplimientos del Poder Ejecutivo, pero también de cuidar la seguridad informática de todo el Estado.
Su finalidad, dice el documento, es establecer las reglas, la gobernanza e institucionalidad necesarias para proteger, mediante componentes preventivos, reactivos y proactivos, las infraestructuras críticas de información del país y, con ello, la seguridad nacional. Su principal aporte sería crear esta nueva agencia que se encargue de atender amenazas como la que sufrió el país con el grupo Conti, desde abril.
“Con el presente proyecto de ley se pretende posicionar la ciberseguridad como una prioridad y una política de Estado. La inversión que se requerirá para la puesta en práctica de la iniciativa no será superior a los daños generados durante este año y los que podrían generar futuros ciberataques contra la seguridad tecnológica y la soberanía nacional”, señala el texto, en cuya redacción participaron especialistas en el campo.
LEA MÁS: Estafas con NFTs: Que no lo engañen a usted ni a sus hijos que compran con su tarjeta en Internet
Diferencias
Uno de ellos es el experto en ciberseguridad Esteban Jiménez, quien dijo a La Nación que, para él, el único asunto por revisar es que en un inicio el proyecto le daba las competencias al Ministerio de Seguridad Pública por tener un enfoque de seguridad nacional, pero al final se trasladó esa responsabilidad al Micitt.
En su criterio, “es un grave error” porque al dar la coordinación a Seguridad Pública se le permitía a todas las policías del país digitalizarse, además de que se creaba una nueva carrera en la Escuela Policial a la cual se le integrarían fondos para trasladar las capacidades de ciberseguridad y crear un plan de ciberacademia dentro de este ministerio. Alegó que dejarlo en Micitt “es inapropiado” y lo intentarán corregir mediante mociones.
Sin embargo, el proyecto de ley señala que el Ministerio de Ciencia, Tecnología es el que ha venido desempeñando avances en materia de ciberseguridad como la creación de un Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT), el cual, aunque ha rendido frutos, necesita más recursos y músculo para realizar sus tareas adecuadamente.
LEA MÁS: Así puede bloquear las promociones no deseadas que le aparecen en su celular
Recursos
La iniciativa establece las obligaciones mínimas de gestión de la seguridad de la información que deberán cumplir todas las instituciones del sector público, ya que actualmente no existen disposiciones legales. Además, se prevé un plazo de un año a partir de la entrada en vigor de la ley para que las unidades operativas de la Agencia se constituyan de forma paulatina, conforme se van asignando los recursos y capacidades.
El principal ingreso del nuevo órgano del Micitt será un 1,5% del total de recursos presupuestados por todas las instituciones del sector público, que deberán ser transferidos a la Agencia antes del 30 de enero de cada ejercicio presupuestario. Las instituciones deberán cumplir con lo dispuesto en el título IV de la Ley N° 9635.
“Aquellas de estas que no trasladen los recursos en la cantidad y el plazo definido en la presente ley, no podrán asignar presupuestariamente en el siguiente ejercicio económico un monto superior al gasto ejecutado en el año precedente según la liquidación respectiva, hasta tanto se realicen las transferencias adeudadas”, agrega.
Sin embargo, también se podrá recibir donaciones y subvenciones provenientes de otros países, entidades públicas u organismos internacionales, que no comprometen la independencia y la transparencia de la Agencia, en los términos que establezca el reglamento, así como el 50% de los ingresos por el cobro de multas a empleados públicos que incurran en faltas, las cuales van de uno a 15 salarios base (¢462.200 en 2022).
LEA MÁS: ¿Vale la pena ahorrarse unos cincos por comprar o vender en el Marketplace de Facebook?
