¿Qué es el Decreto 338 de 2022?

El 26 de mayo de 2015, el Gobierno Nacional y el Ministerio de Tecnologías de la Información y las Comunicaciones (MinTIC), expidió el Decreto Único Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones con el fin de establecer los lineamientos generales para fortalecer la gobernanza de la seguridad digital y crear el modelo y las instancias de Gobernanza de Seguridad Digital. El objetivo de este decreto se centró en promover el uso y apropiación de las TIC entre los ciudadanos, las empresas, el Gobierno y demás instancias nacionales como soporte del desarrollo social, económico y político de la Nación.

Sin embargo, como ha ocurrido con diferentes normativas, el Decreto expedido en 2015 necesitaba adiciones y especificaciones que se ajustaran a la realidad que estaba viviendo el país en materia laboral y tecnológica. Asimismo, buscaba responder y atenuar los daños ocasionados por los ciberataques. Por esa razón, el 8 de marzo de 2022 se decretó que debía agregarse un nuevo título al documento existente en la parte que comprende el Régimen Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones. El nuevo título está pensado para abarcar los lineamientos generales que fortalezcan la gobernanza de la seguridad digital, la identificación de infraestructuras críticas cibernéticas y servicios esenciales, la gestión de riesgos y la respuesta a incidentes de seguridad digital.

¿A quiénes cobija este decreto y cuál es su objetivo?

Este decreto está pensado para las entidades que conforman la Administración Pública, entendidas como los organismos de naturaleza pública que, de manera permanente, tienen a su cargo el ejercicio de las actividades y funciones administrativas o la prestación deservicios públicos del Estado Colombiano. El decreto está enfocado en ciertas modificaciones para establecer los lineamientos en cuanto a seguridad digital. De esa forma, busca reglamentar parcialmente los artículos: 64 de la Ley 1437 de 2011, 147 de la Ley 1955 de 2019 y 230 de la Ley 1450 de 2011, modificado por el artículo 148 de la Ley 1955 de 2019. En ese sentido, se establece que las autoridades deben adoptar medidas para garantizar la gobernanza de la seguridad digital bajo los siguientes objetivos:

- Fortalecer el liderazgo y orientación estratégica de la seguridad digital del país con un enfoque participativo y colaborativo.

- Impulsar un enfoque integral para la gestión de riesgos de seguridad digital.

- Proveer mecanismos para coordinarla gestión y respuesta a incidentes de seguridad digital.

- Promover la confianza para el intercambio de información y la gestión del conocimiento sobre seguridad digital en el país.

- Impulsar la generación de capacidades de seguridad digital de las partes interesadas de manera eficiente y colaborativa.

Igualmente es importante aclarar que también pueden acogerse a este decreto las personas jurídicas de derecho privado que tengan a su cargo la prestación de servicios y que administren o gestionen infraestructuras críticas cibernéticas o presten servicios esenciales

¿Qué representa este decreto para la ciberseguridad?

Aunque todas las empresas que tienen el campo digital como modelo y sustento de negocio es fundamental pensar en formas de evitar el ciberataque. Es importante que tengan un respaldo gubernamental pensado desde la gobernanza, por eso este decreto sienta un precedente respecto a las garantías y respaldos que tienen por parte del gobierno las compañías. Algunos de los puntos a tener en cuenta son los siguientes:

1. El Gobierno garantizará que la gobernanza digital se implemente bajo cinco instancias principales: Coordinación Nacional de Seguridad Digital, Comité Nacional de Seguridad Digital, Grupos de Trabajo de Seguridad Digital, Las Mesas de Trabajo de Seguridad Digital y Puestos de Mando Unificado de Seguridad Digital.

2. MinTic hará un inventario de infraestructuras críticas públicas cibernéticas nacionales y de servicios esenciales en el ciberespacio. Para ello, deberá identificar los sectores y subsectores que cuentan con infraestructuras críticas cibernéticas o prestan servicios esenciales para el mantenimiento de las actividades económicas y sociales.

3. Se establecerá un Modelo Nacional de Atención y Gestión de Incidentes que estará a cargo de MinTIC y que a su vez coordinará el Equipo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT), con el fin de cooperar y ayudar a responder de forma rápida y eficiente a los incidentes de seguridad digital y a gestionar de forma activa las amenazas de seguridad digital. También se incluirá la coordinación a nivel nacional e internacional de las distintas capacidades de respuesta a incidentes o Centros de Operaciones de Seguridad Digital existentes. De igual forma se pondrá a disposición la Plataforma Nacional de Notificación y Seguimiento de Incidentes de seguridad digital.

Aunque este Decreto da luces importantes sobre la ciberseguridad, no deja de existir un vacío para las empresas que también dependen de la seguridad digital sin hacer parte de los servicios públicos del Estado. Con esta nueva normalidad, no solo han aumentado las formas de trabajo a través del entorno digital, sino los ataques y agresiones. Por eso, es de suma importancia que se siga pensando en eso y que se busque una respuesta para responder a todas las empresas y ciudadanos.

Te recomendamos leer: Cinco consejos con aplicaciones móviles