Brasil profundizó su política de ciberseguridad. A partir de ahora, todos los proveedores de servicios de telecomunicaciones, sin importar su tamaño, deberán establecer estrategias para mitigar vulnerabilidades, además de estar sujetas a controles ex ante. Los cables submarinos fueron incluidos en la normativa y ante cualquier incidente de seguridad, todos los actores del ecosistema telco deberán informar de manera obligatoria sobre ese problema.
Así lo estableció el Consejo de Administración de la Agencia Nacional de Telecomunicaciones (Anatel) en su reunión del último jueves, cuando se modificó el Reglamento de Ciberseguridad Aplicado al Sector de Telecomunicaciones (R-Ciber) aprobado el 21 de diciembre de 2020 a través de la Resolución número 740. Los cambios ponen en pie de igualdad a todas las compañías que brinden servicios de telecomunicaciones, sin importar su tamaño. Deberán cumplir, en este sentido, con el artículo 8 del mencionado reglamento destinado a mitigar las vulnerabilidades en los equipos que se ofrecen a los usuarios de estos servicios.
Uno de los aspectos más relevantes introducidos en esta oportunidad se vincula con el control ex ante de la Anatel, que abarca ahora a los cables submarinos internacionales, además de los operadores móviles con red propia y los prestadores que actúan en el mercado mayorista. En todos los casos, el fundamento para incluirlos en esta supervisión previa de parte de los organismos de control responde a la criticidad de los servicios e infraestructuras que operan.
“Actualmente, es fundamental que estas entidades estén sujetas a un régimen de supervisión ex ante, garantizando así la seguridad y resiliencia del ecosistema de telecomunicaciones del país”, explicó Alexandre Freire, asesor del organismo en este tema, en declaraciones a Telesíntese. De este modo, las operadoras pasan a formar parte desde ahora del Grupo Técnico de Seguridad Cibernética y Gestión de Riesgos de Infraestructura Crítica de la Anatel. El regulador, de este modo, incrementa su control sobre el entramado de las redes de telecomunicaciones que actúan en Brasil.
Sobre la obligatoriedad de informar los incidentes de seguridad, la Anatel estableció que esa notificación debe realizarse ante la Autoridad Nacional de Protección de Datos Personales (ANPD), como forma de fortalecer la transparencia y la coordinación entre los organismos reguladores cuando surja la necesidad de actuar frente a una situación de este tipo.
En paralelo a los controles, las nuevas disposiciones también abrieron un espacio para promover la innovación. Los proveedores de servicios podrán contratar start ups sin la obligación de que cumplan determinados requisitos de ciberseguridad pero siempre que garanticen las disposiciones emanadas en los artículos 7°, §§ 3° y 4° del R-Ciber. En ellos se establece que las empresas deben desarrollar, implementar y mantener una Política de Ciberseguridad, además de utilizar productos y servicios que tengan una política de ciberseguridad compatible con los principios de las regulaciones vigentes, tal como se lee desde aquí.
Esta medida es entendida como la posibilidad de que las empresas de tecnología puedan encarar experimentos sin estar limitadas por el cumplimiento normativo. Y dejan en manos de los actores más familiarizados con las obligaciones de ciberseguridad a gestionar los riesgos asociados.
Quienes asesoraron en la materia afirmaron que, además de estar alineadas con prácticas internacionales, estas medidas dan más claridad sobre la contratación y uso de centros de datos y servicios de computación en la nube además de robustecer los objetivos del Plan Nacional de Ciberseguridad aprobado a finales de 2023, y de los Objetivos de Desarrollo Sostenible 2030 (ODSC).
