El Decreto de Urgencia 007-2020 fue creado con el objeto de establecer las medidas que resulten necesarias para garantizar la confianza de las personas en su interacción con los servicios digitales prestados por entidades públicas y organizaciones del sector privado en el país. Luego de su publicación, poco antes de la pandemia, quedó pendiente el respectivo reglamento, del cual ya se han trabajado dos propuestas con anterioridad.
La tercera propuesta, publicada para comentarios en el diario El Peruano el 5 de abril del 2025, ha sido comentada como primicia en el eBIZ CAMPUS por el secretario de la Secretaría de Gobierno y Transformación Digital (SGTD) , César Vílchez. En el panel respectivo participaron comentando los especialistas Giovanni Pichling de Asbanc, y Alfredo Alva de Cloud Security Alliance. El moderador fue el Dr. Erick Iriarte Ahon, CEO de eBIZ.
Erick Iriarte comentó que el reglamento va en coincidencia con lo que ya estableció el nuevo Reglamento de la Ley de Protección de Datos Personales, que acaba de entrar en vigor el 30 de marzo de este año. Destacó que se fortalece la estructura del Centro Nacional de Seguridad Digital. «Es una estructura que fue creada por el D.U. 007, pero no tenía dientes y este reglamento trae los colmillos, tanto para entidades públicas como privadas».
César Vílchez, secretario de la Secretaría de Gobierno y Transformación Digital (SGTD) , comentó que el presente reglamento, que se enmarca en el D.L. 1412 (Ley de Gobierno Digital), tiene como uno de sus objetivos el cuidado de la identidad digital sobre todo gracias a la interoperabilidad entre instituciones del Estado y el intercambio automatizado de datos entre el sector público y privado. Por ejemplo, cuando se verifica el DNI de un ciudadano que requiere contratar un servicio, es un procedimiento en línea que debe tener garantías de seguridad.
Vílchez destacó que el tema de seguridad digital se viene trabajando desde hace varios años y ha habido progresos. El índice global de ciberseguridad del año pasado, a cargo de la Unión Internacional Telecomunicaciones, nos ubica en un nivel intermedio de ciberseguridad y con un buen puntaje en el aspecto legal.
De los cinco niveles que existen a nivel global, estamos en el tercer nivel, junto con Chile, Colombia y Costa Rica. Eso nos da el sétimo lugar en el ranking latinoamericano. «En el Ejecutivo, se está trabajando a velocidad crucero, con un alto nivel de coordinación con los gobiernos regionales, municipales y el sector privado», enfatizó.
«No queremos que esta norma sea una camisa de fuerza (…) El modelo busca generar confianza para que la ciudadanía utilice las plataformas digitales y los servicios públicos en línea ofrecidos por el Estado, así como por diversas empresas, incluyendo pequeñas y medianas empresas».
César Vílchez, secretario de la Secretaría de Gobierno y Transformación Digital
Recordó que hay más de tres millones de empresas y solo 4 000 organizaciones estatales y para lograr la confianza digital en la ciudadanía se necesita la cooperación de ambos sectores, y por eso el Reglamento tiene un capítulo con medidas para la seguridad digital de cada uno de ellos. «La seguridad es tarea de todos», remarcó.
Vilchez señaló que el país recibe apoyo internacional que permite optimizar la prevención de incidentes y mitigar rápidamente los efectos cuando se producen hechos que atentan contra la seguridad digital. Se tiene tanto la ayuda de gobiernos como el de Israel o España como de organizaciones como la Interpol y las principales grandes empresas de tecnologías, como Google y Microsoft, detalló.
El año pasado, comentó Vilchez, se reportaron cerca de 60 incidentes que afectaron los datos personales de ciudadanos manejados por instituciones públicas. La rápida coordinación con Europa y los proveedores de servicios permitió una acción rápida para levantar los sitios que difundían esos datos. Y este año, dado el reciente evento que involucra datos de la Reniec, se pudo detener el problema antes de 48 horas.
«Debemos unir las capacidades del sector público y sector privado en beneficio del sistema digital en el Perú. La relación de comunicación y coordinación debe ser más estrecha».
Giovanni Pichling, gerente de operaciones en la Asociación de Bancos del Perú (Asbanc)
Una propuesta integral
El reglamento propone generar la confianza digital dando las condiciones necesarias para contar con un buen ecosistema digital, donde las empresas respeten la ética y se desarrollen estrategias proactivas que involucren al sector público y privado, incluyendo a los proveedores de servicios digitales. «Que sea transparente, segura, inclusiva y confiable», dijo.
En el capítulo 5, relacionado a los incidentes de seguridad digital, se establece la necesidad de contar con reportes de incidentes de seguridad, que hasta la fecha no han sido obligatorios. «Esto es muy importante ahora que estemos en tiempos de inteligencia artificial», comentó.
La gestión del riesgo de seguridad digital, añadió Vílchez, implica trabajar con las pequeñas empresas, que representan el 99% del sector privado, entrenándolas en la cultura de prevención. «No queremos que esta norma sea una camisa de fuerza», comentó. «El modelo busca generar confianza para que la ciudadanía utilice las plataformas digitales y los servicios públicos en línea ofrecidos por el Estado, así como por diversas empresas, incluyendo pequeñas y medianas empresas. Queremos que esta norma sea una regulación que supervise, monitoree y facilite, generando confianza en el uso de la tecnología digital».
El camino para recorrer y llegar al nivel de lo que se maneja en Brasil, por citar un ejemplo, es largo porque la ciberdelincuencia ha evolucionado bastante y es cada vez más peligrosa, acotó Giovanni Pichling, gerente de operaciones en la Asociación de Bancos del Perú (Asbanc). En el Perú hay empresas, grandes o pequeñas, pero también personas y lo más importante es proteger a la persona. Los controles, sistemas y las medidas de seguridad deben ser no solo para proteger la información, los datos, sino sobre todo a las personas. Incidentes siempre habrá, pero se requiere resiliencia para recuperarse, y eso es lo que se tiene que trabajar, dijo.
A su turno, Alfredo Alva, vice presidente de Cloud Security Alliance, destacó que será importante implementar medidas y procedimientos que se adapten a las capacidades de cada de cada organización porque no basta con promocionarlo, especialmente en el caso de las pymes. El Estado podría promover asistencia técnica para la implementación, capacitaciones y en algunos casos financiamiento e incentivos para facilitar esta adopción de medidas dispuestas en el reglamento para las pymes, que tienen menos presupuesto para seguridad, señaló. Además de plataformas de apoyo, dijo, será importante ofrecer guías de implementación «un poco más claras para las pequeñas organizaciones».
La nueva dirección propuesta para cuidar la ciberseguridad requiere el apoyo de diversos actores y un trabajo coordinado entre el sector público y privado, añadió, con tutorías, capacitaciones y recursos para poder trabajar, porque es algo costoso y faltan especialistas en la materia disponibles, comentó Giovanni Pichling. «Debemos unir las capacidades del sector público y sector privado en beneficio del sistema digital en el Perú. La relación de comunicación y coordinación debe ser más estrecha», remarcó.
«Necesitamos tener más espacios como estos, de diálogo con el Gobierno, en donde nos puedan ayudar con la inclusión de ejemplo, de casos prácticos sobre los lineamientos a implementarse. Eso ayudaría mucho a las entidades a comprender mejor cómo aplicar estos requerimientos, sobre todo en situaciones específicas. Mucha apertura a procesos de consultas y retroalimentado entre públicos, privados y académica hacen falta», remarcó Alfredo Alva.
