Y tenemos norma técnica de seguridad de la información y ciberseguridad, ahora mismo, para los organismos del estado promulgada ayer, 17 de agosto de 2023, en el diario oficial de la nación en el contexto de la implementación de la ley 21.180 sobre transformación digital del estado de Chile. Interesante es que esta norma técnica aborda e incorpora, alineando, el decreto supremo N°83 y el instructivo presidencial de ciberseguridad.

Para liberar esta norma técnica, pasaron muchas etapas desde la conformación de una mesa técnica, consulta ciudadana (expertos y la comunidad) y la fuerza ejercida por la ley 21.180 a nivel transversal… Finalmente, la Norma Técnica de Seguridad de la Información y Ciberseguridad de las Plataformas Electrónicas ha sido liberada para establecer y definir “los estándares y establecer las directrices técnicas sobre seguridad de la información y ciberseguridad que deberán cumplir los órganos de la administración del estado” todo esto, por supuesto, “para resguardar la confidencialidad, integridad, disponibilidad de la información y la infraestructura informática, de las plataformas electrónicas que sustentas sus procedimientos administrativos”.

La norma se encarga de definir conceptos como activos, ciberseguridad, confidencialidad y varios más dentro del articulo N°2. Posteriormente, en los artículos N°3 y 4, la norma señala la necesidad de ejecutar un diagnóstico diferencial (análisis GAP) estructurando el trabajo para abordar el diferencial producto y/o resultado de la ejecución de este análisis de diagnóstico empleando como marco lo señalado en al artículo N°12 de la misma norma… si ya vamos ahí. Este diagnóstico, debe ser almacenado como registro. 

¿Qué indica el articulo N°12?

Desde la División del Gobierno Digital, del Ministerio de Secretaría General de la Presidencia, se dispondrá de la o las guías técnicas necesarias que permitan implementar seguridad de la información y ciberseguridad (ISO, CIS, NIST otra ¿?)

Si, nos faltaron los artículos N°5, 6, 7, 8, 9, 10 y 11.

N°5: Señala la necesidad de que cada órgano del estado cuente con una “Política de Seguridad de la Información y Ciberseguridad”

N°6: Define la necesidad de determinar las funciones y categorías que la política debe contener las cuales serán detalladas en la o las guías técnicas conforme señala el artículo N°12.

N°7: Riesgo, riesgo y más riesgo. Señala la necesidad de implementar una gestión basada en riesgos a través de debida administración de estos asociados a cada uno de “los procesos, personas y plataformas electrónicas que sustentan sus procedimientos administrativos”.

N°8: Protección. Es todo respecto de garantizar las medidas de seguridad y ciberseguridad que permita a los servicios operar debidamente. Aborda también la necesidad de concientizar y educar los funcionarios respecto de los riesgos de seguridad de la información y ciberseguridad.

N°9: Detección. Indica la necesidad de implementar procesos y procedimientos para la respuesta frente a incidentes de seguridad señalando la necesidad de incluir el análisis de eventos, anomalías, fallas, etc.

N°10: Respuesta. Indica la necesidad de implementar procesos y procedimientos la detección de incidentes de seguridad señalando la necesidad de incluir las instancias de planificación, comunicación, liderazgo, análisis, mitigación y mejora continua (análisis causa-raíz).

N°11: Recuperación. Indica la necesidad de implementar procesos y procedimientos para proveer de la recuperación frente a incidentes de seguridad.

Todos los artículos anteriores, serán detalladas en la o las guías técnicas conforme señala el artículo N°12.

Finalmente, la norma señala la gradualidad en la implementación y la mejora continua de la misma a través de la revisión y actualización, al menos cada dos años.

Sin duda alguna, se trata de un avance. ¿tarde?, mejor tarde que nunca. Acá tienes el link de la norma: https://www.diariooficial.interior.gob.cl/publicaciones/2023/08/17/43629/01/2361371.pdf

Y estamos ya ansiosos en conocer la o las normas técnicas que el Ministerio de Secretaría General de la Presidencia debe proporcionar. ¿Cuándo? No se conoce aún.

César Millavil A

COMPUNETGROUP CEO

C|EH - ISO27001LA – ISO27032LM