Por Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity.
El lunes 8 de abril fue publicada la nueva Ley N°21.663 o “Ley Marco de Ciberseguridad”, que tiene por objetivo establecer formalmente la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de empresas que presten servicios esenciales para el funcionamiento del país.
La Ley establece los deberes de instituciones que sean calificadas como Operadores de Importancia Vital (OIV) que requieren habilitar un Sistema de Gestión de Seguridad de la Información y el cómo recuperarse de una contingencia operacional, en tal sentido se encargarán de lo preventivo, contención, resolución y respuesta a incidentes de ciberseguridad.
En parte dicha Ley ha aportado para mejorar la evaluación de Chile en el ranking mundial de ciberseguridad 2024, según Índice Nacional de Seguridad Cibernética desarrollado por Estonia; mejorando 30 puestos para quedar Nro. 25 a nivel mundial y 2do en América latina.
¿Qué crea la Ley 21.663? En el ámbito de la gobernanza e institucionalidad nacional de la Ciberseguridad, la Ley 21.663, crea la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial, la Red de Conectividad Segura del Estado y la estructura de CSIRT Nacional y el CSIRT de Defensa. Asimismo, crea el Registro Nacional de Incidentes de Ciberseguridad y el Registro Nacional de Entidades Certificadoras.
¿A qué tipo de empresas u organizaciones aplican los requerimientos de esta Ley? En primera instancia, debiese verificar si su empresa o institución ha sido ya considerada en el listado inicial de aquellas que prestan servicios esenciales, como los organismos de la Administración del Estado, los de concesión de servicio público, el Coordinador Eléctrico Nacional; y las instituciones privadas que realicen las siguientes actividades asociadas a servicios esenciales:
Generación, transmisión o distribución eléctrica
Transporte, almacenamiento o distribución de combustibles
Suministro de agua potable o saneamiento
Telecomunicaciones
Infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros
Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva
Banca, servicios financieros y medios de pago
Administración de prestaciones de seguridad social
Servicios postales y de mensajería
Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y
Producción y/o investigación de productos farmacéuticos.
Usando esta base, más otros criterios de necesidad nacional, la ANCI, deberá formalizar los denominados Operadores de Importancia Vital (OIVs), los que deben cumplir los requerimientos a continuación.
Requerimientos para todo OIV:
Implementar y certificar, por organismo acreditado por ANCI, un Sistema de Gestión de Seguridad de la Información (SGSI/ISMS) de gestión de mejora continua.
Mantener registros operacionales del SGSI que evidencien su operación.
Elaborar, implementar y certificar un Plan de Gestión de Ciberseguridad y un Plan de Continuidad Operacional, actualizado al menos cada dos años.
Mantener un Programa de revisión de la Ciberseguridad: considerando acciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad
Gestionar los Incidentes de Ciberseguridad, reportando al CSIRT Nacional en plazo de 3 horas (Siendo, por ejemplo, que el estándar NERC-CIP SEN del sector eléctrico exige 1 hora de reporte al CEN), actualización completa en 72 hrs o 24, si se afectó Servicio Esencial, más un Informe final en 15 días.
Notificar a potenciales afectados de los Incidentes de ciberseguridad
Establecer un Programa de Capacitación en Ciberseguridad para trabajadores y colaboradores.
Notificar a potenciales afectados de Incidentes de ciberseguridad
Establecer Programa de Capacitación en Ciberseguridad
Designar un delegado de Ciberseguridad, contraparte de la Institución para la ANCI.
¿Se puede participar en algún aspecto de la implementación de esta Ley?
Por supuesto que sí, existen instancias de participación que permiten levantar puntos particulares de vista, entregando opiniones, sugerencias y propuestas de mejora o corrección sobre los aspectos de implementación operativa de la regulación propuesta.
Un primer ejemplo en tal sentido ha sido la instancia de participación de particulares y empresas u organizaciones en el proceso de Consulta Pública sobre Reglamentos de la Ley Marco de Ciberseguridad, el que estuvo accesible en el portal de Coordinación Nacional de Ciberseguridad (https://ciberseguridad.gob.cl/) desde el 31 de julio al 12 de agosto, en esta ocasión se pudo opinar sobre cada párrafo de los borradores propuestos para el “Reglamento de reporte de incidentes de ciberseguridad” y el “Reglamento del procedimiento de calificación de los operadores de importancia vital de la ley N° 21.663”. Los textos propuestos aún se pueden revisar en https://ciberseguridad.gob.cl/consulta-publica/ (ya no se puede comentar; ¡pero, nunca es tarde para sumarse a revisar!).
Asimismo, existen otras instancias de opinión y colaboración, veamos cuatro aspectos de ello:
Primero, el Foro Nacional de Ciberseguridad (con su slogan; “en ciberseguridad se colabora, no se compite”; en https://www.forociber.cl), tal como señala su portal “… es una iniciativa de innovación en generación de políticas públicas al alero del Senado y con la participación de expert@s …” Su trabajo está distribuido en las 5 Dimensiones establecidas por el Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford y corresponden a:
Dimensión 1: Política y Estrategia de Ciberseguridad;
Dimensión 2: Cultura Cibernética y Sociedad;
Dimensión 3: Educación, Capacitación y Habilidades en Ciberseguridad;
Dimensión 4: Marcos Legales y Regulatorios;
Dimensión 5: Estándares, Organizaciones y Tecnologías.
Ya hubo una segunda sesión presencial en el Salón de Honor del ex Congreso Nacional en donde se expusieron parte de los avances logrados en dichos dominios. (Ver sección noticias del portal web para revisar presentaciones y contenidos de las ponencias).
Segundo, la Alianza Chilena de Ciberseguridad (ACC), como iniciativa pionera que convoca el ámbito público, privado y la academia para potenciar, promover y desarrollar la ciberseguridad en el país y la región. Está abierta a la comunidad para integrar socios desde los distintos ámbitos del quehacer nacional, contando ya con 26 empresa y organizaciones asociadas. Ha realizado recientemente una reunión-desayuno para presentar los avances a la fecha en cada mesa temática de trabajo.
Tercero, un ejemplo latinoamericano, que integra muchos participantes chilenos, el Grupo OT Security LATAM, del que me permito copiar sus motivaciones “Sigamos compartiendo conocimientos, fomentando la innovación y trabajando unidos para construir un futuro más seguro. ¡Juntos, somos más fuertes!”. En donde se comparten no sólo temas técnicos; sino también de comparativa en cuanto a legislaciones y mejores prácticas.
Cuarto, realizar actividades o eventos en que se puedan presentar, difundir y analizar propuestas de implementación de mejores prácticas y estrategias de cumplimiento de regulaciones, como la Ley 21.663.
Como podemos ver, hay instancias de difusión, colaboración y participación, es ahora un opción personal e institucional el integrarse a algunas de estas iniciativas y trabajar colaborativamente por un entorno más seguro y confiable, o… dejar pasar la oportunidad aportando así a la “procrastinación en ciberseguridad”.
Artículo publicado originalmente en:
Comments