En los últimos treinta anos las tecnologías de la información y las comunicaciones (TIC) han estado en constante evolución y han revolucionado desde la forma en que trabajamos hasta la forma como nos relacionamos. En la misma medida en que el uso de las TIC se amplia, así́ también se multiplican los riesgos y peligros asociados a su uso.

Los esfuerzos por crear un ciberespacio nacional seguro pueden rastrearse a actividades que se han venido realizando por más de quince anos, desde la redacción y aprobación de legislación contra el delito cibernético (Ley 53 sobre Crímenes y Delitos de Alta Tecnología), hasta la ratificación de importantes tratados internacionales, como el Convenio sobre Ciberdelincuencia del Consejo de Europa, y la creación de organismos especializados para la persecución y enjuiciamiento de estos delitos, como es la Dirección de Investigación de Crímenes y Delitos de Alta Tecnología de la Policía Nacional (DICAT) y la Procuraduría Especializada en Delitos de Alta Tecnología (PEDATEC).

No obstante estas acciones, el país requiere reforzar su capacidad para hacer frente a las amenazas e incidentes cibernéticos y la implementación de instrumentos legislativos y políticas publicas orientadas a la coordinación interinstitucional, intersectorial y fortalecimiento de la capacidad de respuesta eficaz.

En el ano 2016 fue aprobado por el Gobierno dominicano el programa Republica Digital, concebido como un conjunto de políticas y acciones que promueven la inclusión de las TIC en los procesos productivos, educativos, gubernamentales y de servicios.

Con la adopción mediante el decreto 230-18 de la Estrategia Nacional de Ciberseguridad de la Republica Dominicana 2018-2021 (ENCS), se dio inicio al fortalecimiento en el país de las políticas de ciberseguridad. En términos generales, esta ENCS aspira a un ciberespacio más seguro.

Esto se propone lograrlo a través de la adopción de un marco legal que regule la ciberseguridad y el fortalecimiento institucional, la protección de infraestructuras criticas e infraestructuras TI del Estado, la educación y cultura sobre ciberseguridad y las alianzas nacionales e internacionales.

Mediante una legislación y la regulación sobre Coberseguridad el Estado contará con mecanismos de respuesta básicos para la investigación y el enjuiciamiento de delitos y la imposición de sanciones por el incumplimiento de sus disposiciones.

Actualmente cursa en el Senado y anteproyecto de Ley de Gestión de Ciberseguridad para la Republica Dominicana.

  1. El Centro Nacional de Ciberseguridad

El decreto 230-18 en su Articulo 10 crea el Centro Nacional de Ciberseguridad (CNCS) como dependencia del Ministerio de la Presidencia de la Republica Dominicana. El objeto del centro es “la elaboración, desarrollo, actualización y evaluación de la Estrategia Nacional de Ciberseguridad, la formulación de políticas derivadas de dicha estrategia y la definición de las iniciativas, pro- gramas y proyectos que lleven a la realización exitosa de esta, así́ como la prevención, detección y gestión de incidentes generados en los sistemas de información relevantes del Estado e infraestructuras criticas nacionales”.

Para fortalecer su rol y facultades, el anteproyecto de ley persigue formalizar su creación como entidad de derecho público y con personalidad jurídica propia y autonomía funcional y presupuestaria, bajo la dependencia del Ministerio de la Presidencia.

El proyecto de ley establece que el CNCS estará integrado por un órgano colegiado que se denominará Consejo Nacional de Ciberseguridad y por una Dirección Ejecutiva. El Consejo estará presidido por el Ministerio de la Presidencia, e integrado además por el Ministerio de Defensa, el Ministerio de Interior y Policía, la Procuraduría General de la Republica, la Policía Nacional y el Director Ejecutivo del centro.

  1. Infraestructura Critica

El proyecto de ley define lo que se conoce en las sociedades modernas como infraestructuras criticas; por ejemplo, electricidad, gas, puertos y aeropuertos, gestión del agua y las tecnologías de la información y las comunicaciones, cuya interrupción puede tener graves consecuencias para la economía y el bienestar de los ciudadanos, con potencial gran impacto en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado, con lo cual  las de las infraestructuras criticas van más allá́ de la responsabilidad de las empresas, los sectores y, a veces, incluso de los Estados.

En esos términos la Ley No. 267-08, sobre Terrorismo, en su articulo 8 determina una lista de infraestructuras estratégicas, enumerando las siguientes:

  1. a) las terminales y depósitos de combustible, propiedad del Estado o de empresas privadas;
    b) los puertos de cabotaje o internacionales, los aeropuertos internos e internacionales, civiles o militares;
    c) las presas, embalses, lagos, canales principales de riego, acueductos o plantas de tratamiento de agua;
    d) las industrias o establecimientos públicos o propiedad de particulares que tengan especial significación en la economía del país;
    e) las plataformas marítimas construidas dentro de áreas marítimas de jurisdicción nacional, incluida la zona económica exclusiva;
    f) las redes de transmisión eléctrica, telefónicas, de transporte de pasajeros y de cargas, así́ como los sistemas de áreas protegidas conforme a la Ley General de Medio Ambiente y Recursos Naturales;
  2. g) los sistemas de correo o envió de correspondencia, públicos y privados;
  3. h) los monumentos nacionales de importancia histórica o cultural;
  4. i) sistemas de generación de energía eléctrica y plataforma tecnológica.

Es cierto que la clasificación aquí́ realizada solo se enfoca en infraestructuras que pueden afectarse por actos de terrorismo, pero también hay que tener en cuenta que una amenaza o un ataque cibernético no necesariamente puede ser tipificado como un acto de terrorismo.

La propuesta legislativa contempla la creación de un mecanismo por medio del cual el CNCS pueda designar un sistema de información como una infraestructura critica, cuya perdida o la vulnerabilidad del sistema de información tenga un efecto debilitante en la disponibilidad de dicho servicio

  1. Obligaciones de los Operadores de Infraestructura Critica

Debido a la importancia de una infraestructura critica, su operación comprende el cumplimiento de una serie de obligaciones en pos de salvaguardar la ciberseguridad y de aumentar la ciberresiliencia.

A esos fines el anteproyecto de ley contempla las siguientes obligaciones.

– Obligación de entregar información relevante relacionada con el sistema de información dentro de un periodo de _______ según lo requiera el CNCS, con el fin de determinar si el sistema de información cumple con los criterios de una infraestructura crić- tica.

Se contemplan excepciones o dispensas a la entrega de información que pudiese ser considerada como confidencial.

Los cambios sustanciales en el diseño, la configuración, la seguridad o el funcionamiento de la infraestructura critica, deben ser notificados al CNCS una vez realizados, si se tratare de un cambio sustancial que afecte o puedan afectar la ciberseguridad de la infraestructura critica o la capacidad del propietario de la infraestructura critica para responder a una amenaza o incidente de cibersegurida.

– Obligación de notificar incidentes de ciberseguridad.

El propietario de una infraestructura critica debe notificar al CNCS la ocurrencia de lo siguiente: a)  un incidente de ciberseguridad que haya afectado a la infraestructura critica; b)  un incidente de ciberseguridad que haya afectado a cualquier sistema de información bajo su control que esté interconectado o que se comunique con la infraestructura critica; y c)  cualquier otro tipo de incidente de ciberseguridad que el CNCS haya especificado al propietario de la infraestructura critica.

De esto se desprende una obligación subsidiaria que es aquella mediante la cual los propietarios de las infraestructuras criticas deberán establecer mecanismos técnicos y procedimentales con el fin de detectar amenazas e incidentes de ciberseguridad. Estos mecanismos incluyen el uso de equipos de respuesta a incidentes, la implementación de estándares de ciberseguridad, entre otros.

– Obligación de realizar auditorias de ciberseguridad y evaluaciones de riesgo: Se propone  la creación de los medios que permitan evaluar la idoneidad del cumplimiento de medidas técnicas, estándares de desempeño y otros elementos que deben aplicar los propietarios de las infraestructuras criticas.

Se dispone la realización de auditorias de ciberseguridad y evaluaciones de riesgos al menos una vez cada dos anos. Estas auditorias deberán ser comunicadas al CNCS proporcionándole una copia del informe de su resultado.

El CNCS, cuando constate que el informe de una auditoria realizada no se llevó a cabo de manera satisfactoria, puede ordenar al propietario de la infraestructura critica que haga que el auditor lleve a cabo ese aspecto de la auditoria de nuevo o, en caso de que se encuentren no conforme con el resultado de la auditoria de los sistemas, podrá́ ordenarle al propietario de la infraestructura critica que lleve a cabo pasos adicionales para asegurar el nivel de ciberseguridad de dicha infraestructura critica.

La obligación de realizar auditorias y evaluaciones de riesgo también procede cuando el propietario de una infraestructura critica ha notificado al CNCS que ha realizado un cambio sustancial en el diseño, configuración, seguridad u operación de la infraestructura critica.

– Obligación de efectuar ejercicios de ciberseguridad: La realización de ejercicios de ciberseguridad permite estar preparados y saber qué hacer durante incidentes reales y fortalece los planes de contingencia, mejorando así́ la familiaridad con las herramientas y procesos necesarios para abordar y remediar los incidentes de una mejor manera.

Esta obligación recae sobre el CNCS con el fin de probar el estado de preparación de todos los involucrados en las diferentes infraestructuras criticas para responder a incidentes de ciberseguridad importantes.

Sobre la Divulgación Responsable de Vulnerabilidades

La ley que se contempla promueve la investigación, la publicación y la divulgación de vulnerabilidades, siempre que estas se hagan basadas en la buena fe. Es decir, no se consideraría que una persona infringió́ disposiciones legales sobre la confidencialidad, integridad y disponibilidad de datos y sistemas, reglamentos, contratos y códigos de conducta profesionales por el hecho de comunicar, publicar o divulgar vulnerabilidades, siempre que esto se haga basándose en la buena fe y que se tomen en cuenta aspectos como la no solicitud de recompensas bajo coerción o amenaza de publicación de la información, así́ como el otorgamiento de un tiempo razonable para solucionar la vulnerabilidad antes de publicarla o divulgarla.

Las amenazas a la seguridad cibernética son un problema mundial y necesitan una solución global en la que participen todos los actores involucrados, en la que exista una responsabilidad compartida del Gobierno, el sector privado y la sociedad civil en general.