Lima

15 de Septiembre 2019

Informe ante las observaciones del Poder Ejecutivo a la Autografa de la Ley
de Ciberseguridad
By Erick Iriarte Ahon

I. Sobre la naturaleza de las leyes

La Constitución Política del Perú establece en su artículo 102, como atribuciones
del Congreso la siguiente:

“Artículo 102°.- Son atribuciones del Congreso:

1. Dar leyes y resoluciones legislativas, así como interpretar, modificar o derogar las
existentes.
2. Velar por el respeto de la Constitución y de las leyes (…)”

Es pues atributo del Congreso dar las leyes, en las materias que considere
oportuno de acuerdo al devenir de la historia, siendo que los congresistas tienen
iniciativa legislativa.

De igual manera la Constitución indica:

“Artículo 44°.- Son deberes primordiales del Estado: defender la soberanía nacional;
garantizar la plena vigencia de los derechos humanos; proteger a la población de
las amenazas contra su seguridad; y promover el bienestar general que se
fundamenta en la justicia y en el desarrollo integral y equilibrado de la Nación.

(…)

Artículo 58°.- La iniciativa privada es libre. Se ejerce en una economía social de
mercado. Bajo este régimen, el Estado orienta el desarrollo del país, y actúa
principalmente en las áreas de promoción de empleo, salud, educación, seguridad,
servicios públicos e infraestructura.

(…)

Artículo 163°.- El Estado garantiza la seguridad de la Nación mediante el
Sistema de Defensa Nacional.

La Defensa Nacional es integral y permanente. Se desarrolla en los ámbitos
interno y externo. Toda persona, natural o jurídica, está obligada a participar
en la Defensa Nacional, de conformidad con la ley”

Los artículos indicados de la Constitución Política del Perú establecen claramente

que es deber del Estado las materias de Seguridad y Defensa Nacional, siendo la
potestad legislativa del Poder Legislativo, del Poder Ejecutivo (sea por delegación
o por iniciativa) y de igual manera de diversas entidades de acuerdo a lo que la
Constitución establece.

Siendo lo antes dicho parte de la Constitución, es entendible que las normativas
sobre seguridad digital, no deben solo leerse desde la parte digital sino desde la
parte de la seguridad. Tambien es cierto que pudo bien haber sido avanzada en su
desarrollo por normativa de menor rango a una ley desde el Poder Ejecutivo, pero
ello no significa que el Poder Legislativo no pueda modificar, de acuerdo al articulo
102, inciso 1, las existentes.

Es ademas importante señalar que el DS 050-2018-PCM1 tiene como ambito de
aplicación solo las entidades gubernamentales, artículo 3 de dicho Decreto
Supremo :

“Artículo 3.- Alcance
El presente Decreto Supremo es de alcance obligatorio a todas las entidades de la
Administración Pública comprendidas en el Artículo I del Título Preliminar del Texto
Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General,
aprobado por Decreto Supremo N° 006-2017-JUS.”

De igual modo el DL 1412, Ley de Gobierno Digital 2 tiene como ambito de
aplicación las entidades gubernamentales y las empresas bajo FONAFE.

“Artículo 2.- Ámbito de aplicación

2.1. La presente Ley es de aplicación a toda entidad que forma parte de la
Administración Pública a que se refiere el artículo I del Título Preliminar del Texto
Único Ordenado de la Ley N° 27444, Ley del Procedimiento Administrativo General.
Sus regulaciones también alcanzan a las personas jurídicas o naturales que, por
mandato legal, encargo o relación contractual ejercen potestades administrativas, y
por tanto su accionar se encuentra sujeto a normas de derecho público, en los
términos dispuestos por la Presidencia del Consejo de Ministros.

1 DS 050-2018-PCM - https://busquedas.elperuano.pe/normaslegales/aprueban-la-

definicion-de-seguridad-digital-en-el-ambito-nac-decreto-supremo-n-050-2018-pcm-
1647865-1/

2 DL 1412 - https://busquedas.elperuano.pe/normaslegales/decreto-legislativo-que-

aprueba-la-ley-de-gobierno-digital-decreto-legislativo-n-1412-1691026-1/

2.2. En el caso de las empresas que conforman la actividad empresarial del Estado, su
aplicación se da en todo aquello que le resulte aplicable.”

Igualmente el DL 1412, tiene como objeto

“Artículo 1.- Objeto

La presente Ley tiene por objeto establecer el marco de gobernanza del
gobierno digital para la adecuada gestión de la identidad digital, servicios
digitales, arquitectura digital, interoperabilidad, seguridad digital y datos, así
como el régimen jurídico aplicable al uso transversal de tecnologías digitales en la
digitalización de procesos y prestación de servicios digitales por parte de las
entidades de la Administración Pública en los tres niveles de gobierno.” (las
negritas son nuestras)

Es decir su ambito esta claramente delimitado y la autografa de ley va a todo el
Estado, no solo a las entidades gubernamentales, sino inclusive a las personas
naturales.

Es decir las dos normas presentadas como base de la observación del Poder
Ejecutivo no son de alcance de todo el Estado sino solo de las entidades
gubernamentales comprendidas en sus respectivos alcances, siendo entonces que
las definición incorporada así como el objeto de la Ley van mas alla de las normas
antes indicadas (DL 1412 y DS 050-2018-PCM), frente a una necesidad real social y
pública.

Es ciertamente cuestionable que el DL 1412 y el DS 050-2018-PCM hayan sido
dados despues de que se estableciera la Política 35 del Acuerdo Nacional, pero no
hayan sido alineadas con la misma, y mas aún que el DL 1412 tenga una alcance
mayor al establecido en su propio objeto al tambien incluir actividades fuera del
alcance de la SeGDI.

La SeGDI (antes oficina nacional de gobierno electrónico – ONGEI) se estableció
mediante el Decreto Supremo N° 022-2017-PCM3 (27 de febrero de 2017), Decreto
Supremo que aprueba el Reglamento de Organización y Funciones (ROF) de la
Presidencia del Consejo de Ministros (PCM).

Dicho instrumento normativo indica como funciones de la SeGDI:

“Artículo 47.- Secretaría de Gobierno Digital


3 DS 022-2017-PCM
https://cdn.www.gob.pe/uploads/document/file/362916/Reglamento_de_Organizacion_
y_Funciones_DS_022_2017_PCM_adecuado_al_DS_042_2018_PCM.pdf

La Secretaría de Gobierno Digital es el órgano de línea, con autoridad técnico

normativa a nivel nacional, responsable de formular y proponer políticas nacionales
y sectoriales, planes nacionales, normas, lineamientos y estrategias en materia de
Informática y de Gobierno Electrónico.

Asimismo, es el órgano rector del Sistema Nacional de Informática y brinda
asistencia técnica en la implementación de los procesos de innovación tecnológica
para la modernización del Estado en coordinación con la Secretaría de Gestión
Pública.

Artículo 48.- Funciones de la Secretaría de Gobierno Digital
Son funciones de la Secretaría de Gobierno Digital las siguientes:
(…)
k) Aprobar las normas y estándares para promover el desarrollo e
implementación de la seguridad de la información, infraestructura de datos
espaciales, datos abiertos, interoperabilidad, portales del Estado, entre otros,
de las entidades públicas del Estado” (resaltado es nuestro)

Es decir su ambito de acción, definido en su propio Reglamento de Operación y
Funciones de PCM lo acota al ambito de las entidades públicas.

Pero el DL 1412 tambien ahonda en las funciones de la SegDI y su alcance, en su
artículo 8 indica.

“Artículo 8.- Ente Rector en materia de Gobierno Digital

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno
Digital, es el ente rector en materia de gobierno digital que comprende
tecnologías digitales, identidad digital, interoperabilidad, servicio digital, datos,
seguridad digital y arquitectura digital. Dicta las normas y establece los
procedimientos en materia de gobierno digital y, es responsable de su operación
y correcto funcionamiento.”

Mal haría el Poder Ejecutivo en sostener su cuestionamiento a la autografa
aduciendo un alcance de su accionar en temas de Sociedad de la Información, tal
como deviene de la Política 35 del Acuerdo Nacional, a una entidad que desde el
ROF de PCM hasta la ley especializada en la materia (DL 1412) solo lo acota a
temas de gobierno digital y en alcance a entidades públicas. Cabe destacar que las
normas indicadas han sido desarrolladas por el Poder Ejecutivo, inclusive el DL
1412, que se realizó por delegación.

Cabe indicar que para la presente autografa de Ciberseguridad se tuvo hasta 14
mesas de trabajo, así como reuniones de trabajo informales, con funcionarios de
entidades públicas, privadas, academia, sociedad civil y comunidad técnica de
internet, destacandose la construcción colectiva de la norma, siguiendo los

principios y obligaciones que la Política 35 del Acuerdo Nacional establece para

desarrollos regulatorios en materias digitales.

Finalmente, se debe añadir que un Decreto Supremo no es una Ley, y si una
definición proviene de un decreto supremo específico para definición de seguridad
digital en el ambito público, al ser incorporada como artículado en una ley de
aplicación general, reconoce no solo el esfuerzo del Poder Ejecutivo en el
desarrollo de dicha definición, sino que aumenta su alcance y rango normativo,
siendo solo modificable por ende por una ley.

Por ende observación 1, del documento de observación del Ejecutivo, que
cuestiona los artículos 1 y 3 de la autografa de Ciberseguridad deviene en ser
incorrecta, al ser potestad del Poder Legislativo: dar leyes y modificar las
existentes, más en una materia de relevancia tal como indica la Política 35
del Acuerdo Nacional.

De igual manera la observación 2, del documento de observación del
Ejecutivo, que cuestiona el artículo 5 de la autografa de Ciberseguridad
deviene en ser incorrecta, en base a los argumentos exgrimidos que el
alcance de la entidad tomada como referencia es solo de gobierno digital, y el
tema de seguridad digital, tiene un alcance mayor que solo el de entidades
gubernamentales o funciones propias de gobierno digital, al afectar a toda la
sociedad.

La observación 3, del documento de observación del Ejecutivo, que cuestiona
el artículo 4.2 de la autografa de Ciberseguridad deviene en ser incorrecta,
en base a los argumentos exgrimidos que el alcance de la entidad tomada
como referencia es solo de gobierno digital, y el tema de seguridad digital,
tiene un alcance mayor que solo el de entidades gubernamentales o
funciones propias de gobierno digital, al afectar a toda la sociedad; de igual
manera se establece claramente un lineamiento de protección de personas e
instituciones ante vulneraciones de ciberseguridad que pudieren afectarles.

II. Sobre la legislación de ciberseguridad o seguridad digital

El Acuerdo Nacional es el instrumento creado por parte de los diferentes actores
sociales del Estado Peruano como base para el desarrollo de políticas y
regulaciones. El 24 de Agosto del 2017 estableció su política 35, denominada
Sociedad de la Información y Sociedad del Conocimiento4, tambien conocida como
política Peru Digital.

4 Acuerdo Nacional. Política 35: ver: http://acuerdonacional.pe/politicas-de-estado-del-

acuerdo-nacional/politicas-de-estado%E2%80%8B/politicas-de-estado-castellano/iv-
estado-eficiente-transparente-y-descentralizado/35-sociedad-de-la-informacion-y-
sociedad-del-conocimiento/

Dicha política indica:

“Nos comprometemos a impulsar una sociedad de la información hacia una sociedad
del conocimiento orientada al desarrollo humano integral y sostenible, en base al
ejercicio pleno de las libertades y derechos de las personas, y capaz de
identificar, producir, transformar, utilizar y difundir información en todas las
dimensiones humanas incluyendo la dimensión ambiental.

Promoveremos el acceso universal al conocimiento a través de las Tecnologías de la
Información y Comunicación (TIC), acompañado de la generación de contenidos,
servicios y bienes digitales así como del desarrollo de capacidades para que todos
los peruanos puedan desempeñarse plenamente y de manera segura en el
entorno digital, y de igual manera promoveremos mecanismos que fortalezcan el
acceso, conectividad y su uso en las regiones del país.

(…)

Con este objetivo el Estado: (a) generará una institucionalidad
multiestamentaria, con participación del gobierno, sociedad civil, academia y
sector privado, con la finalidad de garantizar principios como los de la Cumbre
Mundial de la Sociedad de la Información: acceso universal a la información, libertad
de expresión, diversidad cultural y lingüística, y educación para todos; (b)
fomentará el pleno ejercicio y respeto de los Derechos Humanos en todo
entorno digital; (c) promoverá, a través de la educación, la inclusión y
alfabetización digital para reducir las brechas existentes y generar igualdad de
oportunidades, de modo tal que ninguna persona en el Perú quede fuera de la
sociedad de la información y del conocimiento; (d) fomentará la ampliación y
modernización de la infraestructura como soporte de la reducción de los
aspectos digitales de la brecha social, e impulsará las ciudades inteligentes; (e)
fomentará la modernización del Estado, mediante el uso de las TIC, con un
enfoque descentraliza, planificador e integral; (f) promoverá las TIC como
factor de generación de empleo digno y no de exclusión, y establecerá
lineamientos para la reconversión laboral en casos que las TIC generen pérdidas de
empleo; (g) promoverá la productividad y competitividad del país mediante el
uso de las TIC en los sectores productivos, e impulsará una industria de las TIC;
(h) fomentará el uso transversal de las TIC en ámbitos tales como educación,
salud, conservación del ambiente, seguridad ciudadana, prevención de riesgo de
desastres, gobierno abierto, defensa nacional, innovación, investigación,
transferencia de conocimiento y sectores productivos y sociales; (i) diseñará las
políticas y la regulación en materia de sociedad de la información y del
conocimiento teniendo como base los principios de internet libre, abierto,

neutro y para todos, así como el adecuado resguardo de la seguridad de la

información (…)” (los subrrayados y resaltados son propios)

De dicha política se desprende que el tema de la seguridad digital, bajo una
perspectiva de respeto de derechos humanos, de desarrollo de capacidades, así
como de uso transversal en temas como seguridad ciudadana y defensa nacional,
así como la necesidad de construir políticas y regulación con principios de un
adecuado resguardo de la seguridad de la información son parte escencial de dicha
política.

La Constitución indica:

“Artículo 44°.- Son deberes primordiales del Estado: defender la soberanía
nacional; garantizar la plena vigencia de los derechos humanos; proteger a la
población de las amenazas contra su seguridad; y promover el bienestar general
que se fundamenta en la justicia y en el desarrollo integral y equilibrado de la
Nación.

(…)

Artículo 58°.- La iniciativa privada es libre. Se ejerce en una economía social de
mercado. Bajo este régimen, el Estado orienta el desarrollo del país, y actúa
principalmente en las áreas de promoción de empleo, salud, educación,
seguridad, servicios públicos e infraestructura.

(…)

Artículo 163°.- El Estado garantiza la seguridad de la Nación mediante el
Sistema de Defensa Nacional.

La Defensa Nacional es integral y permanente. Se desarrolla en los ámbitos
interno y externo. Toda persona, natural o jurídica, está obligada a participar
en la Defensa Nacional, de conformidad con la ley”

De igual manera el DL 11295, Decreto Legislativo que regula el Sistema de Defensa
Nacional, indica como ambitó de aplicación:

“Artículo 2º.- Ámbito de Aplicación
El Sistema de Defensa Nacional tiene como ámbito de aplicación a todo el
territorio de la República. Comprende entre sus componentes, a los
organismos públicos, personas naturales y jurídicas de nacionalidad peruana,

5 DL 1129: https://busquedas.elperuano.pe/normaslegales/decreto-legislativo-que-

regula-el-sistema-de-defensa-naciona-decreto-legislativo-n-1129-875566-3/

los cuales están obligados a participar en la Defensa Nacional. Las personas

naturales y jurídicas extranjeras domiciliadas en el país están obligadas a participar
en la Defensa Nacional.” (resaltado es nuestro)

Y como naturaleza y finalidad indica:

“Artículo 3º.- Naturaleza y Finalidad
El Sistema de Defensa Nacional es el conjunto interrelacionado de principios,
normas, procedimientos, técnicas, instrumentos y elementos del Estado, cuya
finalidad es garantizar la Seguridad Nacional mediante la concepción,
planeamiento, dirección, preparación, ejecución y supervisión de acciones en todos
los campos de la Defensa Nacional” (resaltado es nuestro).

El DS 037-2013-PCM6 que Reglamento del Decreto Legislativo 1129, que Regula el
Sistema de Defensa Nacional indica:

“Artículo 3°.- Principios de la Seguridad y Defensa Nacional.
Son principios privativos que rigen la Seguridad y Defensa Nacional:
(…)
b. Principio de Integralidad.- La Seguridad y la Defensa Nacional, por su naturaleza
multidimensional, compromete la participación de todos los organismos públicos, el
sector privado, los componentes del Sistema, otros Sistemas Administrativos y
Funcionales del Estado, la sociedad civil y la población en general.
c. Principio de Sinergia.- Las acciones de la Seguridad y Defensa Nacional demandan
la articulación de todas las fuerzas humanas, materiales y jurídicas involucradas, de
manera de lograr el máximo de efectividad.
(…)”

Es decir mientras que la entidad que aparece como encargada del Sistema de
Defensa Nacional, de ambito de aplicación a todas las entidades del Estado
públicas y privadas, incluyendo personas naturales, y siendo que su finalidad es
precisamente garantizar la Seguridad nacional en todos los campos, y que tiene un
principio de integralidad y de sinergia en su reglamentación; resulta contradictora
la observación de la PCM a la autografa de la ley, de indicar que el responsable de
una norma de ciberseguridad de alcance nacional debería ser la SegDI. Se debe
entonces partir de la premisa que los temas de ciberseguridad o seguridad digital
en realidad son temas de seguridad en entornos digitales, siendo entonces más
clara la misión del Sistema de Defensa Nacional.

6 DS 037-2013-PCM
http://www2.congreso.gob.pe/sicr/cendocbib/con4_uibd.nsf/A28BC0838FC142DB0525
7BDE0066399A/$FILE/2013-04-04_SCWLQTMGOUPAORLBGGIN.pdf

De igual manera la observación que no se puede crear un comité de naturaleza

temporal o permanente (esto lo deberá establecer el ejecutivo en la normativa de
creación), tiene que ser replanteada, para tener una instancia de participación
multiple como se requiere de acuerdo a la Política 35 del Acuerdo Nacional, más en
un tema donde la carga operacional esta precisamente fuera de las entidades del
sector público que son las que normalmente conforman dichos comités. Es claro
ademas que será el Consejo del Sistema de Defensa Nacional quien deberá aprobar
la Política de Ciberseguridad, tal como se desprende de sus funciones específicas, y
de las que se indican en el DS 037-2013-PCM

“Artículo 8°.- Funciones del Consejo
Corresponde al Consejo:
a. Aprobar los Objetivos y la Política de Seguridad y Defensa Nacional;
b. Aprobar las normas y lineamientos técnicos para la implementación y evaluación
de la Política de Seguridad y Defensa Nacional;
c. Aprobar las Directivas de Seguridad y Defensa Nacional;
d. Aprobar las normas y disposiciones relacionadas a la Movilización Nacional;
e. Aprobar las medidas para el perfeccionamiento del Sistema;
f. Aprobar el Plan de Inteligencia Nacional (PIN);
g. Determinar la clasificación de la información o documentación que se genere en el
ámbito del Consejo;
h. Los demás aspectos relacionados con la Seguridad y Defensa Nacional.”

La observación 4, del documento de observación del Ejecutivo, que cuestiona
los artículos 5 de la autografa de Ciberseguridad deviene en ser incorrecta, a
la luz de las funciones establecidas por DL 1129 y DS 037-2013-PCM de
aplicación a todo el estado (incluyendo personas públicas y privadas, así
como naturales y jurídicas, nacionales y extranjeras en el territorrio
nacional); pero ademas que su función es el ambito de la Seguridad Nacional,
y los temas de seguridad digital en realidad son temas de Seguridad
Nacional, por mas que se intente focalizar en lo “digital” para buscar que no
sea la entidad responsable del tema. Siendo además tal como se ha indicado
previamente que tampoco la SegDI tendría las competencias para hacerlo de
acuerdo al DL 1412 y su propio ROF.

Cabe destacar que las observaciones tambien indican que existe el DS 118-2018-
PCM7, donde declaran de interés nacional el desarrollo del Gobierno Digital, la
innovación y la economía digital con enfoque territorial, el mismo indica:

“Artículo 2.- Creación del Comité de Alto Nivel por un Perú Digital, Innovador y
Competitivo

7 DS 118-2018-PCM https://busquedas.elperuano.pe/normaslegales/declaran-de-interes-

nacional-el-desarrollo-del-gobierno-digi-decreto-supremo-n-118-2018-pcm-1718338-2/

Créase el Comité de Alto Nivel por un Perú Digital, Innovador y Competitivo, órgano
de carácter estratégico dependiente de la Presidencia del Consejo de Ministros, que
tiene por objeto la coordinación multisectorial, articulación y promoción de las
acciones relacionadas al desarrollo y consolidación del gobierno digital, la
innovación y la economía digital, haciendo uso estratégico de las tecnologías
digitales, a fin de fortalecer la competitividad y el bienestar económico y social
en todas las regiones del Perú.

(…)

Artículo 3.- Integrantes del Comité de Alto Nivel
(…)
3.4 El Comité promoverá políticas, iniciativas y programas para el desarrollo
de la innovación, la competitividad, la transformación digital de procesos y
servicios públicos, las competencias digitales, la inclusión digital y el
desarrollo de aplicaciones para la economía digital.”

Este comité de alto nivel, no diferente del planteado por la autografa, pero solo
conformado por entidades públicas con posibilidad de “invitar” a entidades de otra
naturaleza, no tiene entre sus alcances el tema de seguridad digital. Aunque si bien
lo mencionan en los antecedentes, no se encuentra referencia a lo mismo en la
parte resolutiva, y fundamentalmente porque los temas de seguridad ya tienen
espacios creados para ello, tal como se ha indicado y demostrado en líneas
precedentes.


III. Sobre los principios de seguridad digital

El artículo 4 de la autografa de ciberseguridad, se plantean en dos parrafos, uno de
respeto a los Derechos Humanos, tal como se indica en la Política 35 del Acuerdo
Nacional (ya citada), y sobre todo siguiendo los lineamientos de la Resolución de
Naciones Unidas 68/167 el derecho a la privacidad en la era digital. Resolución
aprobada por la Asamblea General el 18 de diciembre de 2013. Siendo que el mal
uso de la tecnología puede devenir en usos abusivos es necesario que se proteja
tambien en entornos digitales a la población y sus derechos.

La segunda parte del artículo 4to deviene en un principio de cooperación mínimo,
que deberá ser desarrollada de una manera multiestamentaria (con la sociedad
civil, el sector privado, la academia, la comunidad técnica de internet) en su
reglamentación. Este principio además busca proteger a las personas y entidades
que han visto vulnerada su seguridad digital, en mano de terceros, de la manera
idónea que establezca la autoridad competente (Autoridad de Transparencia,
Acceso a la Información Pública y Protección de Datos Personales).

De esta manera la observación 2, del documento de observación del

Ejecutivo, que cuestiona el artículo 4 de la autografa de Ciberseguridad
deviene en ser incorrecta, al ser necesarios por la Política 35 del Acuerdo
Nacional, en lo que respecta a reconocimiento de respeto de Derechos
Humanos, siguiendo los lineamientos de la Resolución 68/167 de Naciones
Unidas; de igual manera se establece claramente un lineamiento de
protección de personas e instituciones ante vulneraciones de ciberseguridad
que pudieren afectarles.

IV. Sobre el CSIRT-PE

La autografa de Ley de Ciberseguridad presenta la necesidad de crear un centro de
respuesta temprana ante incidentes. Se debe tener en cuenta que el término CERT
tiene propiedad intelectual y el término CSIRT es de uso mas amplio, refiriendose
esencialmente a entidades de similar naturaleza.

Si bien existe desd la RM 360-2009-PCM8 Resolución que crea el Grupo de Trabajo
denominado Coordinadora de Respuestas a Emergencias en Redes
Teleinformáticas de las Administración Pública del Perú (Pe-CERT), desde el título
es clara que su función fue diseñada para el sector público, es tambien cierto que la
falta de financiamiento para este grupo de trabajo no ha existido. (tal como además
lo indica la misma RM 360-2009-PCM en su artículo 7:

“7. Del Presupuesto
El gasto que demande la implementación de la Coordinadora de Respuestas de
Emergencias en Redes Telemáticas de las Administración Pública del Perú (Pe-CERT),
no implicará mayor prespuepesto al asignado a la Oficina Nacional de Gobierno
Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros”)

Un detalle mas que indica el RM 360-2009-PCM es que la jefatura de la ONGEI
(actual SegDI) y tres funcionarios (en el mejor de los casos uno que actua de
secretario y dos mas) son quienes conforman el PeCERT (artículo 2 del RM 360-
2009-PCM). Un detalle importante es que tan solo en los Panamericanos fueron
casi 4.5 MM de incidencias, para un hecho puntual, ¿cuánta gente se necesita para
cubrir las necesidades diarias del Perú en materia de incidentes de seguridad
digital?

Cabe destacar que inclusive el dominio pecert.gob.pe (bajo administración de la
PCM) se encuentra inactivo.


8 RM 360-2009-PCM
http://www2.pcm.gob.pe/Transparencia/Resol_ministeriales/2009/RM-360-2009-
PCM.pdf

Pero lo que ademas nos parece importante señalar es que de acuerdo al ROF de
PCM (Decreto Supremo N° 022-2017-PCM), se tiene que la estructura de SegDI es
la siguiente:

“Artículo 49.- Unidades Orgánicas de la Secretaría de Gobierno Digital
La Secretaría de Gobierno Digital para el cumplimiento de sus funciones, cuenta con
la siguiente estructura:
a) Subsecretaría de Tecnologías Digitales
b) Subsecretaría de Transformación Digital

Artículo 50.- Funciones de la Subsecretaría de Tecnologías Digitales
La Subsecretaría de Tecnologías Digitales tiene las siguientes funciones:
a) Realizar acciones para la interoperabilidad de los sistemas informáticos del
Estado y promover el desarrollo de sistemas y aplicaciones de uso común en las
entidades de la administración pública.
b) Efectuar acciones para el desarrollo de los portales web de las entidades de la
administración pública en base a estándares y buenas prácticas, para facilitar la
interrelación entre sí y de éstas con el ciudadano.
c) Administrar el Portal del Estado Peruano y otros de competencia de la Secretaría.
d) Brindar asistencia técnica a las entidades de la administración pública para la
implementación de proyectos de tecnologías de la información.
e) Diseñar, implementar y monitorear los indicadores para medir la digitalización
del Estado y el gobierno digital.
f) Otras que le asigne el/la Secretaria/o de Gobierno Digital.

Artículo 51.- Funciones de la Subsecretaría de Transformación Digital
La Subsecretaría de Transformación Digital tiene las siguientes funciones:
a) Elaborar políticas públicas, estrategias y planes nacionales en el marco de las
competencias de la Secretaría de Gobierno Digital.
b) Elaborar y proponer normas, directivas, lineamientos y demás disposiciones, en
materias de informática y gobierno digital; así como supervisar su cumplimiento.
c) Desarrollar acciones orientadas a la consolidación y desarrollo del Sistema
Nacional de Informática y supervisar el cumplimiento de la normativa
correspondiente.
d) Elaborar propuestas para impulsar el proceso de desarrollo e innovación
tecnológica para la mejora de la gestión pública y modernización del Estado
promoviendo la integración tecnológica.
e) Formular y proponer normas y estándares para el desarrollo e implementación de
la seguridad de la información, infraestructura de datos espaciales, datos abiertos,
interoperabilidad, portales del Estado, entre otros, de las entidades públicas del
Estado.
f) Elaborar informes de opinión técnica en las materias de competencia de la
Secretaría de Gobierno Digital.
g) Otras que le asigne el/la Secretaria/o de Gobierno Digital.”

Siendo entonces que el Pe-CERT se encuentra como alguna de las funciones del
acapite f del articulo 50, o g del artículo 51 del DS 022-2017-PCM, no aparece entre
las funciones de la SegDI la del mantenimiento o gestión de dicho grupo de trabajo
(Pe-CERT), siendo que su relevancia ha sido tal que la observación que indica la
PCM a la autografá de la Ley de Ciberseguridad es que se estarían “duplicando
funciones” entre lo propuesto de creación del CSIRT y el PeCERT que no aparece
entre las funciones de SegDI, en su ROF, que es de fecha 2017, cuando el PeCERT,
como grupo de trabajo se creo en 2009, es decir debería haberse o incorporado la
función como parte de las funciones que se indican en materia de seguridad digital
o el PeCERT en realidad no tendría existencia funcional. Cabe destacar que la
propuesta del CSIRT es de alcance mayor y con participación de Sociedad Civil,
Academia, Comunidad Técnica de Internet, Sector Privado y otras entidades
gubernamentales que sean necesarias.

De esta manera la observación 5, del documento de observación del
Ejecutivo, que cuestiona el artículo 7 de la autografa de Ciberseguridad
deviene en ser incorrecta, al no existir duplicación de funciones con el Pe-
CERT, sino se plantea la creación del CSIRT bajo los lineamientos de lo ya
establecido en el RM 360-2009-PCM.

De esta manera la observación 6, del documento de observación del
Ejecutivo, que cuestiona el artículo 8 de la autografa de Ciberseguridad
deviene en ser incorrecta, por lo expresado en lineas previas que no hay
duplicación de funciones ni con la entidad a plantearse ni con la necesidad
de crear lineamientos para todas las entidades del Estado Peruano, al
entenderse el tema de seguridad digital, desde la seguridad. Siendo ademas
importante señalar que reconociendo la valía en temas de gobierno digital,
es decir de entidades públicas, la participación de SegDI se ha indicado como
relevante para el Comité de Seguridad Digital como una Secretaría Técnica
especializada. Ciertamente que los docuemntos que haya avanzado SegDI
servirán para la labor a desplegarse.

V. Sobre Reconocimiento de Entidades que gestionen recursos técnicos de
internet

1. Sobre el reconocimiento de entidades que gestionen recursos técnicos de
internet, cabe destacar que la la autografa de ciberseguridad se realizó en conjunto
con la ley de ciberdefensa ya promulgada, que a solicitud de funcionarios públicos
se separaron, siendo entonces que el parrafo indicado que era general para ambos
temas resulta siendo independiente al separar las normas, siendo que en el caso de
la ley de ciberdefensa su ambito es solo en materia de ciberdefensa con una
naturaleza específica sobre accionar, y en el caso de ciberseguridad deberá
tambien reconocerse dicha naturaleza a las entidades que gestionen recursos
técnicos de interent.

De esta manera la observación 7, del documento de observación del

Ejecutivo, que cuestiona la tercera disposición complementaria de la
autografa de Ciberseguridad deviene en ser incorrecta, al ser independiente,
pero con interdependencias, la ciberdefensa y la ciberseguridad, y siendo el
objeto de la presente autografa la Ciberseguridad, tambien se deberá
incorporar dicha norma transitoria ya presente en la ley de Ciberseguridad.

VII. Sobre la creación de contenidos especializados en materia de seguridad
digital

La creación de profesionales en ciberseguridad resulta imprescindible para cubrir
la demanda no solo local sino internacional en la materia. La propuesta de la
autografa no es la obligar a que se establezca una curricula especializada en
entidades universitarias, sino en lograr de la manera más armónica posible y
conjundando la labor con las entidades de la sociedad civil, sector privado,
academia y comunidad técnica de internet para buscar colaborativamente y bajo la
premisa de propuesta y imposición, el desarrollo de contenidos especializados en
materia de ciberseguridad.

De esta manera la observación 8, del documento de observación del
Ejecutivo, que cuestiona la cuarta disposición complementaria de la
autografa de Ciberseguridad deviene en ser incorrecta, al no estar pensado
en forzarse a las instituciones a desarrollar una curricula, sino a la
pertinencia de contenidos especializados que puedan darse a nivel
universitario y técnico para contar con la capacidad operativa humana
necesaria para enfrentar los retos de la ciberseguridad.

Se debe modificar la entidad que aparece como ente rector, que
erradamente se indica como Ministerio de Interior, sino que debería ser la
Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo
de Seguridad y Defensa Nacional, tal como se indica el artículo 17 del DL
1129

“Artículo 17º.- Educación en Seguridad y DefensaNacional
La educación en materia de Seguridad y Defensa Nacional es obligatoria en todos los
niveles y modalidadesdel Sistema Educativo Nacional. El Ministerio de Educación
implementará su cumplimiento, en el ámbito de su competencia.”

Debiendo quedar el parrafo de la siguiente manera:

“CUARTA. Desarrollo del currículo de educación superior en materiad de
ciberseguridad.

Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo de
Seguridad y Defensa Nacional, coordina con el Ministerio de Educación, la

pertinencia del desarrollo de contenidos especializados en materia de

seguridad digital, que incluye la ciberseguridad, en las instituciones de
educación superior universitaria y tecnólogica, a nivel de pre y postgrado.
Para ello, establece instrumentos de cooperación interinstitucional con
entidades del sector privado, la academia, la sociedad civil y la comunidad
técnica”.

VII. Sobre Perú en OCDE

La última observación planteada por el Ejecutivo esta enfocada en el Estudio de
Gobernanda Pública de OCDE9, del 2016. Su foco es la función pública y la labor de
dos entidades claves: PCM y MEF.

Es claro que todo el documento atravieza la función pública y desde este ambito el
accionar de la estructura gubernamental. Así lo expresa en su resumen ejecutivo
cuando indica: “Este Estudio recomienda al gobierno formas de enfrentar estos retos
y ha identificado áreas prioritarias de acción para fortalecer la calidad y la eficiencia
de las instituciones públicas con el fin de mejorar sus resultados.” (OCDE)

En materia de gobierno electrónico dio una serie de recomendaciones que eran
precisamente en esa linea de la función pública de SegDI, en concreto quisieramos
presentar las siguientes:

“Recuadro 0.5. Recomendaciones sobre gobierno digital
(…)
Lograr la digitalización usando un enfoque coherente e integrado a nivel de todo el
país
• Dejar de lado proyectos y desarrollos aislados y crear una masa crítica de buenas
prácticas para compartir, promover y apoyar la expansión de iniciativas exitosas –
especialmente aquellas con una perspectiva de usuarios fuertes, tales como las
aplicaciones móviles y el ejemplo de datos abiertos de la Municipalidad de Miraflores.
• En línea con los principales hallazgos del Capítulo de Gobierno Abierto (ver
Capítulo 7), aprovechar la TI para fortalecer la participación con el público y su
interacción. Esto puede tener como fin alentar la participación del público en la
elaboración de políticas, el diseño y entrega de servicios, por ejemplo, mediante la
participación de los ciudadanos, del sector privado y actores no gubernamentales.
Esto podría llevar a compartir, probar y evaluar los prototipos en una etapa
temprana con la participación de los usuarios esperados.

9 OCDE. Informe de Gobernanza Pública (2016) https://read.oecd-
ilibrary.org/governance/estudios-de-la-ocde-sobre-gobernanza-publica-
peru_9789264265226-es#page42
paginas 42 y ss

• Abordar el cambio a servicios de transacción a través de una gestión proactiva de

canales haciendo que la información sobre servicios (por ejemplo la visibilización de
costos y tiempos) sean más amigables con el usuario y más transparentes.
• Identificar áreas prioritarias transversales clave para todo el sector público
en donde se deba colocar los esfuerzos y la inversión, tales como los servicios de
alto impacto (SAI), “eventos en vivo”, habilidades digitales, seguridad de las TIC,
estandarización e inclusión digital. (…)”

Siendo esta ley elaborada como hermana de la Ley de Ciberdefensa, que no ha sido
observada por el ejecutivo y que tiene los mismos principios operacionales, la
misma construcción colectiva, el desarrollo en base a la Política 35 del Acuerdo
Nacional, y más aun refiriendose la misma, pero tambien hemos de añadir que
hace una referencia equivocada la SegDI al artículo 13 de la Ley de Ciberseguridad
que dice:

“Artículo 13. De los protocolos de escalamiento, coordinación, intercambio y
activación
La Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo de
Seguridad y Defensa Nacional, establece los protocolos de escalamiento,
coordinación, intercambio y activación para lo indicado en la presente ley.
Esta función se ejerce a través de la Secretaría de Gobierno Digital en su calidad de
ente rector del Sistema Nacional de Informática y de la seguridad digital en el país,
quien emite los lineamientos y las directivas correspondientes.”

El artículo precedente, que fue modificado a sugerencia de la SegDI, se debe
entender en el contexto de la ley de Ciberdefensa y no de manera aislada como se
entiende de las observaciones, dado que se refiere a protocolos de escalamiento,
coordinación, intercambio y activación, siendo que es PCM quien establece dichos
lineamientos, y se continua con lo ya manifestado en el DL 1412 sobre la
responsabilidad en materia de seguridad digital para ambitos públicos, dado que
dicha ley no ha sido modificada por otra en dicha materia, ni tampoco el DL 1129
sobre el Sistema de Defensa Nacional o el DS 022-2017-PCM que da las funciones a
la SeGDI. Es pues claro la posición desde el equipo que asistió a la redacción de la
presente norma y desde las discusiones en las mesas de trabajo, que la ley de
ciberdefensa solo se circunscribió al tema de ciberdefensa y dificilmente puede
aducir PCM que es una norma general, siendo que la autografa de Ciberseguridad
era la norma general, pero que aun teniendo la posibilidad de establecer
comentarios que ayudaran a la redacción , al acompañar a la presidencia de la
comisión de defensa en la cabecera de varias de las mesas de trabajo, antes de
estas observaciones que no reflejan el espíritu colaborativo.

Sin embargo lo dicho por los comentarios del Ejecutivo si requieren un
perfeccionamiento de la redacción y claridad en lo indicado en la cuarta
disposición transitoria.

De esta manera la observación 10, del documento de observación del

Ejecutivo, que cuestiona la cuaerta disposición complementaria de la
autografa de Ciberseguridad deviene en ser idonea para clarificar que la
cuarta disposicion transitoria no se refiere al Ministerio del Interior sino a
Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo
de Seguridad y Defensa Nacional, debiendo quedar el parrafo de la siguiente
manera:

“CUARTA. Desarrollo del currículo de educación superior en materiad de
ciberseguridad.

Presidencia del Consejo de Ministros, en su calidad de miembro del Consejo de
Seguridad y Defensa Nacional, coordina con el Ministerio de Educación, la
pertinencia del desarrollo de contenidos especializados en materia de
seguridad digital, que incluye la ciberseguridad, en las instituciones de
educación superior universitaria y tecnólogica, a nivel de pre y postgrado.
Para ello, establece instrumentos de cooperación interinstitucional con
entidades del sector privado, la academia, la sociedad civil y la comunidad
técnica”.