Mayoría de organizaciones ticas considera insuficiente legislación sobre ciberseguridad

La mayoría de organizaciones nacionales considera que la legislación sobre ciberseguridad es insuficiente.

Así se desprende de la encuesta realizada mediante el Estado de la Ciberseguridad en Costa Rica 2023, elaborado por el Laboratorio de Investigación, Desarrollo e Innovación en Ciberseguridad (LabCIBE) de la Universidad Nacional (UNA).

"Se reconoce una percepción general de que la legislación existente en torno a los delitos informáticos es insuficiente y requiere una actualización para abordar adecuadamente los desafíos emergentes en ciberdelincuencia.

Si bien se denota esta situación en la percepción de los encuestados, y que sea importante la necesidad de una revisión y adaptación continua de las leyes para mantenerse a la par con los avances tecnológicos y las tácticas cambiantes de los cibercriminales, si es necesario formar a la comunidad técnica, y a la ciudadanía en general, el conocer la existencia de delitos informáticos y cómo funciona el proceso penal, esto al ver el desconocimiento del mismo que existe entre la comunidad técnica", resalta el informe sobre la percepción de los encuestados.

Con respecto a la consulta de procedimientos legales, especialmente enfocado en el conocimiento de la ley de delitos informáticos, propiamente los artículos relacionados con la materia en el Código Penal, el 80% de los encuestados dice conocer la normativa relacionada, y al mismo tiempo el 92% piensa que no es suficiente con respecto a los incidentes informáticos, siendo contradictorio con respecto al porcentaje que indica que si la conoce, indica el estudio.

Actualmente el proyecto de Ley de Ciberseguridad se encuentra bajo el expediente 23.292 esperando llegar en algún momento a discusión en plenario legislativo.

Las respuestas

El documento añade que si bien el desarrollo cambiante en materia de tecnología hace que los temas legales deban tener una actualización constante, lo cual sería lo ideal, estos datos podrían reflejar que falta aún formación en los diferentes sectores para dar a conocer los delitos informáticos y cómo aplica, esto para poder reflejar si realmente consideran que no cubre los actuales escenarios, siendo que a nivel internacional la normativa costarricense en materia de tecnología, y específicamente en delitos informáticos, es en lo que mejor hemos salido calificados por organismos internacionales como los estudios realizados por la Organización de Estados Americanos, y estos vacíos del conocimiento legal y del procedimiento penal se ve reflejado en las respuestas dadas con respecto al motivo de que consideren la normativa insuficiente:

•No he leído la ley
•Es bastante superficial
• La Ley debe actualizarse ya que cada día hay nuevos esquemas y mecanismos empleados por los cibercriminales
• No cuenta con la especificidad apropiada
• En lo personal se debe incluir normativa que proteja al usuario cuando sufre un delito que no fue ocasionado por el usuario, si no por la falta de medidas de seguridad de las entidades bancarias y se debe hablar de sanciones de estas entidades
• Aún hay algunos días nublados del día en nuestra legislación
• No conozco la ley, es una tarea por realizar
• Si los cubriera estaríamos protegidos con las estafas en los bancos
• No la conozco
• No la he estudiado
• Porque no la he estudiado
• A pesar de la existencia de vasta de información en el tema de delitos informáticos, carece de un instrumento de aplicación y ejecución
• Está desactualizada
•Son leyes retrogradas que no protegen la información de las empresas y las organizaciones ni se adecuan a los tiempos y los avances tecnológicos
• En realidad, no estamos seguro por falta de conocimiento del tema
• Si bien se la han realizado algunas actualizaciones, aún está lejos de estar al nivel de normativas de países y regiones más desarrollados.

Muchos de los comentarios van enfocados a la no lectura de la normativa o falta de conocimiento en materia de derecho penal y procesal penal que pueden estar generando una confusión con respecto a los alcances en materia penal, sus etapas y los procedimientos que se realizan.

Conclusiones

Entre las conclusiones del informe resalta que desde la perspectiva jurídica, es evidente que Costa Rica actualmente enfrenta el reto de fortalecer su gestión en ciberseguridad, área en la que aún no se ha consolidado una dirección, control y manejo efectivos, por lo que es crucial que el Gobierno, desde el Micitt, asuma un papel protagónico en este campo.

La investigación académica señala que es esencial el poder desarrollar la Estrategia Nacional de Ciberseguridad, instrumento que guiará a los encargados, promoviendo una coordinación efectiva entre todas las entidades involucradas, para superar los actuales retos en ciberseguridad del país.

"Aunado a esto, es importante recordar que la tecnología en sí no es el problema; por el contrario, es parte de la solución, en el sentido que, la protección y uso seguro de las tecnologías no son responsabilidades exclusivas del Gobierno, sino que también recaen en instituciones autónomas, el sector privado y el empresarial; por tanto, todos son corresponsables, no obstante, es el Gobierno es quien debe liderar y dirigir los esfuerzos en ciberseguridad, recordando que es imperativo considerar el ciberespacio como un elemento central en la gestión de riesgos de la seguridad nacional.

Esto implica asignar los recursos necesarios a las instituciones para combatir la ciberdelincuencia, lo que debe complementarse con convenios internacionales y legislaciones que siempre se pueda revisar y actualizar", explica el reporte.

Finalmente, manifiesta que es necesario que las normativas relacionadas con la tecnología sean revisadas desde una perspectiva técnica, para asegurar que la legislación sea aplicable en el ámbito tecnológico, recordando que esto requiere un equilibrio entre las áreas jurídica e informática, para lograr normativas que sean tanto eficientes como efectivas.

"De manera que, ante este escenario se recomienda: Evaluación y mejora de la legislación y regulación de la ciberseguridad, si bien nuestra normativa ha sido evaluada positivamente, es importante revisar y actualizar la legislación y regulaciones actuales para asegurar que estén alineadas con las tecnologías emergentes y las amenazas cibernéticas actuales.

Esto puede incluir la creación de leyes más específicas en áreas como la protección de datos, la respuesta ante incidentes cibernéticos y sanciones para actividades delictivas en línea. Fortalecimiento de la investigación y desarrollo en ciberseguridad: Incrementar la inversión en I+D en ciberseguridad, tanto a nivel gubernamental como privado".