Hace ya un año (08 de abril de 2024) fue publicada la nueva ley Marco de Ciberseguridad (Ley N° 21.663) la cual tiene como objeto establecer la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las distintas acciones de ciberseguridad en los organismos del estado, entre estos y los particulares estableciendo requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad. Por supuesto, también tiene como objeto establecer atribuciones y obligaciones de los organismos del estado, los deberes de las instituciones propias de la ley y los distintos mecanismos de control, supervisión y responsabilidad ante infracciones.
Puedes leer el detalle acá
Como breve resumen, los Puntos clave de la Ley:
• Protección de infraestructura crítica: Establece medidas obligatorias para sectores esenciales como salud, energía y finanzas.
• Creación de la Agencia Nacional de Ciberseguridad (ANCI): Supervisará la implementación de la ley, coordinará respuestas a incidentes y promoverá la cooperación público-privada.
• Responsabilidades claras: Define obligaciones específicas para organismos públicos y privados en la prevención, contención y respuesta a incidentes.
• Control de daños: Introduce protocolos para minimizar el impacto de ciberataques.
• Educación y concienciación: Promueve la formación en ciberseguridad para la población y las organizaciones.
• Ampliación de ciberdelitos: Incluye nuevas categorías como sabotaje informático y falsificación de datos.
• Obligaciones técnicas: Las entidades deben adoptar estándares internacionales (ISO/IEC, NIST) y protocolos de seguridad.
En su artículo 23, la ley, establece la creación de la Red de Conectividad Segura del Estado (RCSE). Esta red tiene por objeto proveer servicios de interconexión y conectividad a internet de los organismos de la administración del estado (Ministerios, Delegaciones Presidenciales Regionales y Provinciales, Gobiernos Regionales, Municipalidades, Fuerzas Armadas, Fuerzas de Orden y Seguridad Publica, Empresas Públicas creadas por ley y órganos y servicios públicos creados para el cumplimiento de la función administrativa del estado). Es decir, se trata de extender el alcance y objeto de la ya existente “Red de Conectividad del Estado (RCE)” la cual es, hasta hoy, usada a criterio y sin “mayor obligación” por los distintos organismos del estado.
Hoy se ha publicado en el diario oficial de la República de Chile la aprobación del reglamento de funcionamiento de la red de conectividad segura del estado (CVE 2631206) a través del decreto de ley N°293 lo cual le da contexto alineado al marco de la ley de ciberseguridad e infraestructura critica otorga lineamientos y obligaciones como también facultades a distintos organismos. De paso, deroga algunas definiciones anteriores para con la operación de la red de conectividad del estado. El reglamento tiene por objeto regular el funcionamiento de la RCSE y establecer las obligaciones que tendrán los organismos que se conecten a esta.
En su artículo 3°, el reglamento señala que le corresponderá a la ANCI la administración de la RCSE incluyendo, al menos, los siguientes aspectos:
• Gestión de los enlaces de conectividad a internet.
• Operación, mantención, y actualización de los dispositivos de conectividad y de seguridad perimetral que conforman la Red.
• Monitoreo del tráfico de red entre los integrantes de la RCSE, y entre éstas e internet.
• Configuración de las conexiones entre las instalaciones de las organizaciones integrantes y la RCSE.
• Administración de los contratos de servicios de telecomunicaciones, de infraestructura digital, de servicios digitales y de servicios de tecnologías de la información gestionados por terceros necesarios para el normal funcionamiento de la RCSE, incluyendo convenios de interconexión con instituciones públicas o privadas.
A diferencia de lo que, hasta hoy, sucede con la RCE; La nueva RCSE tendrá que recibir a las distintas instituciones del estado por mandato haciendo que la adopción e incorporación de la RCSE sea una obligación y no una opción. Aunque brinda la posibilidad que el Director o Directora de la ANCI, vía resolución fundada, pueda eximir de esta obligación a instituciones por alguna y otra razón técnica. Finalmente, el reglamento define el protocolo de conexión a la RCSE señalando que será la ANCI la que dicte las condiciones y requisitos técnicos para la conexión alineado al artículo 1, literal b) de la Ley.
Por otro lado, las instituciones integrantes de la RCSE tendrán obligaciones (Articulo 6°) como el deber de informar los contratos vigentes con servicios de telecomunicaciones, transmisión de datos o de acceso a internet, infraestructura digital, servicios digitales y servicios de tecnología de la información y almacenamiento de datos al a ANCI. Así tambien, el trafico de red será monitoreado inhibiendo cualquier medida que impida lo anterior (articulo 7°). Finalmente, como obligación de los integrantes, se indica el deber de emplear los dominios de gobierno .gob.cl siendo necesario su registro de uso con la ANCI y la NIC de gobierno.
En el título IV del instructivo, tenemos la definición de la Administración y Seguridad de la Red en donde se define la necesidad de proveer resiliencia permitiendo el intercambio de información de forma confidencial e integra implementando un mínimo de disponibilidad garantizada y con servicios de seguridad continuos (artículo 9°). La necesidad de proveer capacitación continua a los encargados de ciberseguridad integrantes de la RCSE, al menos dos veces por año y respecto del funcionamiento de la RCSE (artículo 10°). También, se define que la ANCI podrá bloquear tráfico malicioso o inseguro para proteger frente a ciberataques o incidentes de ciberseguridad alineada a los informes y alertas provistos por el CSIRT Nacional u otro organismo internacional de ciberseguridad (Articulo 11°).
El ultimo Titulo, IV, del instructivo señala las caracteristicas tecnicas y de seguridad que la RCSE debe implementar alineando esta a los estandares internacionales y nacionales definiendo el uso de IPv4 e Ipv6 como estandares de protocolos de iinternet como la incroporación de las recomendaciones y estandares emitidos por ISO/IEC, IEEE, NIST y los estandares que la propia ANCI emita en conformidad a lo dispuesto en el artículo 11° literal b) de la Ley de Ciberseguridad.
Finalmente, el reglamento es oficial y regente desde la fecha de publicación del mismo. Es decir, hoy 11 de abril de 2025. Te dejo el enlace a la publicación del Diario Oficial de la República aquí.
Como resumen, las claves de la ley y el decreto son:
• Protección de Infraestructura Crítica: Garantiza medidas obligatorias para sectores esenciales como salud, energía y finanzas.
• Creación de la Agencia Nacional de Ciberseguridad (ANCI): Coordina acciones ante incidentes y fomenta la cooperación público-privada.
• Adopción Obligatoria de la RCSE: Instituciones del Estado deben integrarse bajo supervisión de la ANCI, salvo excepciones técnicas.
• Capacitación Continua: Obliga a sesiones de formación en ciberseguridad al menos dos veces al año.
• Monitoreo de Red: Introduce vigilancia constante del tráfico para prevenir ciberamenazas.
• Obligaciones Institucionales: Uso de dominios .gob.cl y alineación con estándares técnicos.
Se trata de un llamado a la acción para integrar la ciberseguridad como un pilar fundamental del funcionamiento gubernamental. Con protocolos claros y una supervisión rigurosa, la RCSE redefine el estándar de conectividad y resiliencia.
¿Qué significa para las instituciones públicas? La obligatoriedad de la RCSE implica un cambio significativo en la cultura organizacional y operativa, posicionando a la ciberseguridad como una prioridad estratégica.
7345 W Sand Lake RD