En la República Dominicana existe la denominada Estrategia Nacional de Ciberseguridad (ENC), la cual fue creada por el Decreto núm. 313-22 de fecha 14 de junio del presente año, cuyo órgano de vigilar, monitorear e implementar es el Centro Nacional de Ciberseguridad (CNCS).
En atención a la estrategia, se emite recientemente el Decreto núm. 685-21 de fecha 18 de noviembre del año 2022 para establecer principios y lineamientos a los fines de creación de políticas y estándares en la Administración Pública con el objetivo de incrementar la madurez cibernética, la notificación obligatoria de eventos e incidentes de ciberseguridad, así como el intercambio de información sobre amenazas cibernéticas.
En ese sentido, dichas disposiciones vienen a ser aplicadas solo al sector público, específicamente todos los órganos que dependan del Poder Ejecutivo, excluyendo los demás poderes del Estado y órganos constitucionales, brindándoles la oportunidad de que estos opten voluntariamente por tal normativa si así lo desearen en conjunto con las demás a emitir por el CNCS.
Sobre este precepto se resalta tres elementos que mejoraran la práctica de seguridad cibernética en nuestro país, a saber: 1) la gestión de riesgos, 2) la notificación de incidentes y amenazas cibernéticas, y 3) la designación de un responsable de seguridad.
Con respecto al análisis y tratamiento de riesgos cibernéticos, se hace imperiosa la realización ahora de este proceso hacia los servicios, aplicaciones, sistemas de información e infraestructura tecnológica, ordenándose para esta última que sea llevado a cabo con una periodicidad anual. Sobre este acápite, la norma indica que se debe usar una metodología que este dirigida a la identificación de las amenazas y vulnerabilidades tecnológicas, la probabilidad de ocurrencia y el posible impacto previsto a las operaciones.
Con relación al segundo aspecto principal de este recién incorporado decreto al ordenamiento jurídico dominicano, se especifica que el reporte de incidentes de ciberseguridad es obligatorio. Este dispone que su alcance comprende la notificación de incidentes que pudieran afectar la disponibilidad, confidencialidad e integridad de la información, las aplicaciones, los servicios, los sistemas de la información y la infraestructura tecnológica.
Se detalla que la notificación de incidentes debe de ser realizada dentro de las 24 horas de haber sido detectado el suceso. Las informaciones sobre una amenaza o incidente de ciberseguridad llegarán al Equipo Nacional de Respuesta a Incidentes Cibernéticos (CSIRT-RD) o el CSIRT-RD sectorial, vía el CNCS, sobre el cual la disposición le ha otorgado la función de articular gestiones tendentes a lograr la solución del incidente declarado, y a desarrollar y habilitar las herramientas y plataformas necesarias para facilitar a los denunciantes los procesos de notificación, comunicación e intercambio de información.
La norma en esta variante tiene un enfoque preventivo, ya que ordena que, aunque el incidente haya sido subsanado o mitigado, el mismo debe de ser comunicado, a los fines de que las entidades encargadas de aplicar esta pieza jurídica creen alertas tempranas a terceros o realicen acciones de coordinación adicionales.
Sobre la clasificación o niveles de los incidentes de ciberseguridad, los mismos podrán ser “bajo”, “medio”, “alto” o “crítico”, atendiendo a la criticidad e impacto de estos; en ese sentido, acorde al decreto, será uno que otro dependiendo si suponen un perjuicio bajo, medio, alto o crítico sobre las funciones de la organización, sus activos (financieros, información, imagen y otra naturaleza), los individuos afectados, los daños reputacionales, la interrupción de la prestación de servicios, el incumplimiento de la ley o regulación, la afectación de la seguridad nacional y ciudadanía, Etc.
Es por ende que se conmina a los órganos obligados a crear procesos para la gestión, monitoreo y evaluación integral de incidentes de ciberseguridad y vulnerabilidades y amenazas tecnológicas, de manera que se identifiquen, se documenten y se notifiquen.
Cabe resaltar que el decreto trae consigo un elemento importante para la materia de datos personales, y por consiguiente, para las personas y sus derechos; el mismo exige la notificación de violaciones de seguridad a los titulares de datos que se vean afectados en derechos o libertades, en los casos de destrucción, pérdida, alteración accidental o ilícita de sus datos personales. En dicho aviso, se deben de comunicar informaciones sobre la naturaleza del incidente, los datos o servicios comprometidos, las acciones correctivas realizadas, y las recomendaciones sobre las medidas que estos puedan adoptar para proteger sus intereses. Sobre esta importante acción, se crea la excepción de que si se trata de un incidente cibernético que constituya un hecho de interés de seguridad nacional, y mientras haya una investigación en curso, la alerta a los titulares estará pautada.
Finalmente, sobre el tercer aspecto importante del decreto, se habla del oficial y/o responsable de seguridad. Según la normativa, debe haber una designación y notificación al CNSC, el CSIRT-RD o el CSIRTRD sectorial, de la persona que desempeñaría la función de oficial y/o responsable de seguridad, quien sería el punto de contacto entre estos organismos y la institución. Será este contacto quien, además de sus funciones propias, deberá cuidar que las medidas aplicadas o a implementar para mitigar o controlar el incidente no comprometa la evidencia o la información que pudiera ser relevante para la investigación que pudiera estar en curso; además de crear reportes adicionales, en caso de que se descubriera información adicional o diferente a la declarada inicialmente. En todos los escenarios las instituciones afectadas deberán informar el estado de las acciones que hayan sido recomendadas por el CNCS, hasta su resolución.
Con todo lo anterior, se instaura en la República Dominicana pasos normativos firmes para desarrollar más aun la ciberseguridad en la Administración Pública, la misma que constituye un reto mundial dado los riesgos inherentes en sí de los sistemas, siniestros naturales y los pasos ilícitos agigantados que desaprensivos digitales cometen. Ahora cabe fijar la planificación para la implementación y concientización sobre gestión de riesgos, notificación de incidentes de ciberseguridad y designación de responsable de seguridad.
Pingback: Gestión de riesgos, notificación de incidentes de ciberseguridad y designación de responsable de seguridad: obligatorios en la Rep. Dom. – Data Law RD