La ciberseguridad es un tema que ocupa al regulador de Brasil. Por estas horas, la Superintendencia de Subvenciones y Recursos para la Provisión de la Agencia Nacional de Telecomunicaciones (Anatel) publicó el Procedimiento Operativo con lineamientos para la auditoría de la política de ciberseguridad de proveedores de productos y equipos de telecomunicaciones para proveedores (PSC) que, establecido en la Ley N° 16417, de 22 de noviembre de 2024, determina los lineamientos que los operadores deben seguir. La medida se conoce 15 días después que el país instrumentara el organismo que velará por la seguridad de las infraestructuras críticas, entre las que también se encuentran las redes de telecomunicaciones.
Auditar la ciberseguridad
El Procedimiento Operativo presentado por la Anatel se basa en garantizar que los proveedores de equipos que atienden las necesidades de infraestructura de los prestadores de servicios de telecomunicaciones tengan una “política sólida” de ciberseguridad y que, a su vez, esté sujeta a auditorías periódicas.
El objetivo es establecer lineamientos para la realización de auditorías a proveedores de productos y equipos destinados a servicios de telecomunicaciones con el propósito de acreditar la implementación de la Política de Ciberseguridad para productos y equipos de telecomunicaciones para proveedores (PSC) establecida por el Grupo Técnico de Seguridad Cibernética y Gestión de Riesgos de Infraestructuras Crítcas (GT-Ciber). Esto busca cumplir con lo dispuesto en el artículo 7 del Reglamento de Ciberseguridad Aplicado al Sector de las Telecomunicaciones.
La medida que ya rige en el país pero cuyo cumplimiento obligatorio está fechado para dentro de un año, a partir del 26 de noviembre de 2025, robustece la Ley General de Telecomunicaciones vigente desde 1997 y el Reglamento de Ciberseguridad Aplicado al Sector de Telecomunicaciones en 2020. La apuesta también toma como referencia una veintena de normativas, estándares, recomendaciones ya vigentes. Inclusive, se aplica en conjunto con la Política de Ciberseguridad de proveedores de productos y equipos de telecomunicaciones para proveedores -disponible aquí-.
El anexo donde se la especifica -disponible aquí– determina que los fabricantes de equipos deberán presentar una política de ciberseguridad completa con auditorías formales y oficiales que acrediten la estrategia; y que deberá contar con la aprobación del GT-Ciber. Inclusive, prevé los requisitos para cumplimentar con una seguridad por diseño y por defecto, la privacidad, la política de soporte ante incidentes, las actualizaciones de seguridad e, inclusive, la comunicación de incidentes y estrategias de mitigación. Se trata de lineamientos que habían sido puestos a consideración del sector el año pasado, a través la Consulta Pública N° 75/2023.
La responsabilidad de llevarlo adelante será del Subgrupo Técnico de la Agencia, que estará coordinado por la Gerencia de Certificación y Numeración del organismo regulador y que está integrado por un equipo de 160 miembros, entre los que se encuentran representantes del sector, tanto de proveedores de servicios, como de la industria, de la academia, de centros de investigación, de laboratorios de pruebas, de Organismos de Certificación Designados y del regulador.
Imagen creada con ChatGPT
“Los proveedores de equipos desempeñan un papel crucial en la infraestructura de las redes de telecomunicaciones de los proveedores, proporcionando dispositivos esenciales, como enrutadores y conmutadores, que operan en el centro de estas redes. En este contexto, las prácticas de seguridad adoptadas por los proveedores deben ser rigurosas, constantemente actualizadas y adaptadas a las nuevas amenazas emergentes”, dijo el regulador en la presentación de esta estrategia anunciada hace cuatro meses. Destacó, en esta oportunidad, que “una política de ciberseguridad bien estructurada y alineada con R-Ciber demuestra el compromiso del proveedor con la protección de sus equipos durante todo el ciclo de vida del producto, desde las fases iniciales de desarrollo hasta el final de su vida útil, pasando por las actualizaciones de seguridad”.
Telcos, una infraestructura crítica
Por estos días, el país también anunció la creación del Comité Nacional de Seguridad de Infraestructuras Críticas, en el ámbito de la Cámara de Relaciones Exteriores (Creden) y Defensa Nacional del Consejo de Gobierno. Este hecho se enmarca, además, en el Plan Nacional de Seguridad de las Infraestructuras Críticas (Plansic), creado hace dos años y que ahora deberá actualizarse.
El objetivo será monitorear la implementación y evolución de la Política Nacional de Seguridad de Infraestructuras Críticas (PNSIC), promover la coordinación institucional entre sectores y áreas prioritarias de seguridad de infraestructuras críticas, orientar y acompañar la dimensionamiento de costos para la ejecución del Plansic y la elaboración de sus planes sectoriales. También apoyar la implementación de acciones relacionadas con la seguridad de las infraestructuras críticas con los órganos que integran el Comité Nacional y promover el intercambio de informaciones y datos entre órganos y entidades involucradas, entre otras acciones.
Estará compuesto por representantes de todo el aparato de gobierno: la Oficina de Seguridad Institucional de la Presidencia de la República, que la presidirá; de Casa Civil de la Presidencia de la República; y de los ministerios de Agricultura y Ganadería; de las Ciudades; de Ciencia, Tecnología e Innovación; de Comunicaciones; de Defensa; de Hacienda; de Gestión e Innovación en los Servicios Públicos; de Integración y Desarrollo Regional; de Justicia y Seguridad Pública; de Minas y Energía; de Puertos y Aeropuertos; de Salud; de Transportes; de Inteligencia. Además, por miembros del Comando de la Armada; del Ejército; y de la Fuerza Aérea.
Imagen: Glenn Carstens-Peters/Unsplash
Este comité tendrá una frecuencia de reuniones ordinarias semestrales, a excepción de las extraordinarias que puedan convocarse. Las decisiones serán tomadas en votación y determinará la creación de grupos de trabajo temáticos, que no tendrán una duración mayor al año. Se prevé que el primer informe objetivo del Plansic se envíe a la Secretaría Ejecutiva de Creden, antes del 31 de marzo.
Debe estar conectado para enviar un comentario.