Imagen: Semana Económica
ENTREVISTA. Marushka Cochobar, secretaria de Gobierno Digital de la PCM, evalúa implementar la emisión de sellos para reconocer a los proveedores de servicios digitales privados que cumplan con reportar incidentes digitales al Estado.
El Ejecutivo emitió la semana pasada un decreto de urgencia sobre gobierno digital que establece obligaciones para los proveedores de servicios digitales privados, entre los que se destacan la de reportar incidentes digitales, implementar normativa emitida por la Secretaría de Gobierno Digital y gestionar los riesgos de seguridad digital dentro de sus organizaciones y los servicios digitales que brindan.
Marushka Chocobar, secretaria de Gobierno Digital de la PCM y miembro del Comité Perú Digital de IPAE, señala en entrevista a SEMANA económica que el reglamento está en proceso de elaboración de manera estrecha con el sector privado y que con esta normativa las empresas que brindan servicios digitales podrán tener el respaldo estatal para manejar y prevenir eventuales ciberataques.
¿Cuál es el diagnóstico del sector privado que los lleva a incluirlos en el recién creado Marco de Confianza Digital?
Nosotros ya venimos trabajando con el sector privado de manera colaborativa y en cooperación hace más o menos dos años. Tanto el sector privado como el público han recibido una serie de ciberataques. Todos recordamos el gran ciberataque del 2018, que igual el Perú no fue tan impactado como otros países, y estuvimos en una cooperación constante. Lo que hemos hecho es ponerle un contexto legal, tratar de regularlo y que se haga de una manera mucho más proactiva y sistematizada. El Registro de Incidentes Digitales que se ha creado es necesario para poder tener un estudio sobre cómo vienen los ataques digitales, y así poder prevenirlos. Sabemos que no podemos garantizar la seguridad digital de los servicios en general. Ni públicos ni privados. Pero mientras más información tengamos, podemos prepararnos mejor. Un ciberataque que pudiera afectar directamente a la operación del sector privado, y que es su responsabilidad, en segundos puede saltar al sector público y afectarlo. Si no tenemos capacidad de reacción e información respecto del ataque sobre el privado, no tenemos la posibilidad de atenderlo.
Si los proveedores privados de servicios digitales incumplen la obligación de informar incidentes al Registro Nacional de Incidentes de Seguridad Digital, ¿existirá algún tipo de sanción?
No hemos determinado con la ley un tipo de sanción. Hemos tenido tenemos una primera sesión para la reglamentación, en donde se definirá si existe o no un tipo de sanción y de qué tipo sería, si es una multa, si es una categorización o si es una advertencia. Lo que sí está considerado en la Ley es que la Secretaría de Gobierno Digital, al ser el ente rector en materia de confianza digital, puede disponer reconocimientos. Estamos pensando en sellos, como el sello de confianza digital. Hemos venido conversando para que, más allá de una sanción, haya por el contrario un reconocimiento y un no reconocimiento tácito de los servicios que tienen el sello de confianza digital. Primero, vamos a escuchar al sector privado en cómo podría ser este protocolo de reporte, qué marco de confidencialidad se requiere —porque estamos hablando también de la reputación de las empresas privadas—, qué protocolos internacionales se respetarán. Ésa será la primera versión del reglamento para luego ya ir al sector público.
Entonces, podríamos decir que para el tema del incumplimiento de obligaciones se está pensando más en un esquema de incentivos antes que un castigo.
En una primera etapa es más un esquema de reconocimientos, el incentivo está más pegado a la parte del dinero. Entonces, es mejor un esquema de reconocimientos. Aquel que no esté reconocido con un sello de confianza tiene que preocuparse, porque el ciudadano es el que finalmente hace la evaluación de qué servicio usa y qué servicio no.
Sobre la obligación de gestionar riesgos de seguridad digital, ¿habrá alguien encargado de determinar que se cumplan con los estándares establecidos por la secretaría? ¿Se convertirá en una superintendencia?
Este DU está bien vinculado a la Política Nacional de Transformación Digital, que tendrá un capítulo de seguridad digital. Este capítulo establecerá protocolos y lineamientos. Hay algunas cosas que son obligatorias para el sector privado y otras que se pueden tomar como referenciales. El sector privado, al interior, establece sus protocolos. Cuando sea un servicio digital que se presta al ciudadano —sistema de ventas, plataformas de compra por internet— tendrán que seguir los lineamientos que defina el ente rector, en este caso la PCM.
Entonces, van a tener que fiscalizar también…
Cuando el sector privado reporte el registro del incidente, comienza casi inmediata una fiscalización. Reporta, entonces tenemos que vigilar qué tanto control tuvo. El ámbito de confianza digital tiene otros dos fiscalizadores: la Autoridad Nacional de Protección de Datos, que pone multa de frente cuando hay la liberación de datos, y el Indecopi, que pone multa y otras medidas en el marco de protección del consumidor. Lo que hemos hecho desde el Estado es organizarnos para que no vaya cada uno por su lado, si no [tener] un marco organizativo mucho más claro, lo que es mucho mejor para el sector privado, porque así no va a recibir dos multas, si no que recibirá una única llamada de quien corresponda.
¿Y eso va a estar dirigido por la Secretaría de Gobierno Digital?
Así es. Nosotros como país estamos creciendo en los servicios digitales, éste es el momento adecuado para tener una normatividad de este nivel flexible, ágil y participativa, para poder fomentar la economía digital y para proteger al ciudadano.
¿Estas obligaciones serán aplicables a todos los proveedores de servicios digitales o se está pensando en establecer criterios como rubro o facturación para fijar la obligatoriedad?
No. Todos los proveedores de servicios digitales que aquí están definidos [en el decreto de urgencia] estarán obligados. Quizás habrá protocolos en función a casuísticas.
¿Cómo esta transformación, y las obligaciones que involucran al sector privado, podrían beneficiarlo?
El primer beneficio es poner un poco de orden alrededor de cómo se prestan los servicios y cómo se van construyendo. Cuando en el sector privado y público diseñamos servicios digitales, los tenemos que hacer digitales y seguros desde el diseño. Entonces, los equipos ágiles que hoy existen en los laboratorios de innovación en general, tienen que incorporar las reglas de seguridad dentro de estos diseños, y a veces esto no sucede, se mandan servicios digitales sin tomar en cuenta la parte de seguridad. El segundo beneficio es sentir el respaldo del Estado ante un ataque que podría sobrepasar sus capacidades.
¿Cuál es la urgencia y necesidad de esta medida para que haya sido aprobada a través de un decreto de urgencia?
Te voy a dar unos números. Primero, el tema de la necesidad es claro, el tema era sustentar la urgencia, y la urgencia se basa en la revolución digital en general. Hoy el Perú tiene brechas fuertes en temas de tecnología; por ejemplo, hoy solo el 12% de las pymes compra por internet, y solo el 7% vende por internet —datos del Ministerio de la Producción—, y las pymes que se acercan a lo digital facturan el doble. Entonces, si queremos promover competitividad y tenemos metas claras hacia el 2021, tenemos que incorporar los temas digitales. En el 2018 el Perú concentró el 14% de los datos de robo de información en Latinoamérica.