Chile: Ley de Ciberseguridad e Infraestructura Critica

Y tenemos ANCI: Agencia Nacional de Ciberseguridad. Finalmente, después de un arduo trabajo y un gran equipo. Sin duda un significativo avance para Chile en materia de abordar los riesgos de ciberseguridad a nivel país. Si bien, el proyecto de ley aún no es promulgado, se trata solo de un trámite que debe suceder próximamente y luego, de promulgada la ley, un plazo de un año para que, vía decretos, se cree la ANCI. Tenemos entonces nuestra ley de ciberseguridad e infraestructura critica. Entremos en más detalles.

Junto a la ANCI, el proyecto de ley crea también el Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT NACIONAL), un CSIRT de la defensa nacional, el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado. Por su lado, la ANCI tendrá la función de regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en material de ciberseguridad.

¿Cuáles son los organismos que forman parte del ámbito? Aquellos organismos considerados como servicios esenciales (SE) para el normal funcionamiento del país y a los operadores de importancia vital (OIV) dentro de estos servicios esenciales. En concreto:

• Organismos de administración del Estado y el Coordinador Eléctrico Nacional (que tiene su propia norma de ciberseguridad)
• Los servicios prestados bajo concesión de servicio público (en nombre del estado)
• Aquellos privados que:
• Generen, transmitan o distribuyan electricidad
• Transporte, almacenamiento o distribución de combustible
• Suministro de agua potable o saneamiento
• Telecomunicaciones, infraestructura digital, servicios digitales y tecnologías de información gestionado por terceros.
• Transporte terrestre, aéreo, ferroviario o marino
• Banca, servicios financieros y medios de pago.
• Administración de prestaciones de seguridad social
• Servicios postales y de mensajería
• Prestación institucional de servicios de salud
• Producción y/o investigación de productos farmacéuticos.
  
  

La ANCI tendrá también la facultad de calificar nuevos organismos como SERVICIOS ESENCIALES cuando su afectación pueda causar un impacto negativo a la vida, abastecimiento o integridad física de la población. Interesante esta facultad que permite a la ANCI la mejora continua en función de las necesidades del país para con la protección de infraestructura critica y/o servicios esenciales. Mismo criterio para cuando exista una posible amenaza hacia sectores relevantes de la actividad económica, medioambiente, la sociedad, de la administración del estado, la defensa nacional o la seguridad y orden público. Interesante, también, que esta calificación, como SE, será sometida a consulta ciudadana incorporando a estos, y haciéndolos participe, de esta materia. Igualmente, la ANCI posee la facultad para calificar como OIV a privados que, aun no teniendo la calidad de servicio esencial, tenga y/o cumpla los requisitos y desempeñe un rol critico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos. En este mismo sentido, la ANCI puede priorizar a una OIV por el grado de exposición a riesgos y probabilidad de incidencia de ciberseguridad. Es decir, el potencial impacto negativo hacia el país frente a la materialización de un incidente de ciberseguridad. Esta revisión debe ser realizada al menos cada tres años. Finalmente, y como era de esperar y necesario, la ANCI tiene la facultad de establecer multas asociadas a la infracción de la normativa de ciberseguridad que van entre las 5000 UTM y hasta las 40000 UTM.

Objetivo: La ley tiene por objeto establecer la institucionalidad, los principios y la normativa general de ciberseguridad para el Estado y los particulares (OIV), así como los requisitos mínimos para prevenir y responder a incidentes de ciberseguridad que puedan afectar a los servicios esenciales. La ley define conceptos clave como activo informático, ciberataque, ciberseguridad, incidente de ciberseguridad, red y sistema informático, resiliencia, riesgo, vulnerabilidad, entre otros en su artículo N°2.

En su artículo N°3, la ley, define los principios rectores como el control de daños, la cooperación con la autoridad, la coordinación, el ciberespacio, respuesta responsable, el principio de seguridad informativa, principio de racionalidad y el principio de seguridad y privacidad por defecto desde el diseño.

Deberes:

Veamos que dice respecto de los deberes u obligaciones. Párrafo 2° de la ley: Primeramente, las institucionales están obligadas a aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad siendo necesario, para esta obligación, la implementación de protocolos y estándares establecidos por la ANCI como también el uso de estándares particulares de ciberseguridad dictados para un determinado sector (el marco de ciberseguridad del CEN por ejemplo). A contar del articulo N°8, la ley declara deberes específicos para OIV iniciando con la necesidad de implementar un sistema de gestión de seguridad de la información. Gran inicio, sin duda.

Consejo Multisectorial

La ley define en su párrafo N°3 que el consejo es de carácter consultivo y que tendrá por función asesorar y formular recomendaciones para la ANCI respecto de las materias de ciberseguridad para el país. Este consejo estará integrado por el Director o Directora de la ANCI junto a seis consejeros ad honorem designados por el Presidente de la Republica siendo el criterio de elección el ser personas destacadas en el ámbito y labor de la ciberseguridad o políticas públicas vinculadas a la materia estando compuesto por dos personas del sector industrial/comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil.

Equipo de Respuesta a Incidentes

Este equipo es parte de la ANCI y es denominado el CSIRT NACIONAL que tiene por misión responder ante ciberataques o incidentes de ciberseguridad “cuando estos sean de efecto significativo”. Además, tiene como función la coordinación entre los distintos CSIRT que pertenezcan a la administración del estado junto al CSIRT de la defensa Nacional y de tener impacto al sistema financiero, el CSIRT NACIONAL deberá coordinar con el Consejo de Estabilidad Financiera además de servir como enlace para la coordinación con equipos de respuesta extranjeros o equivalentes en el intercambio de información.

Equipo de Respuesta a Incidentes de la Defensa Nacional

Es el CSIRT de la Defensa Nacional dependiente del Ministerio de Defensa Nacional y es el responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa Nacional y de los servicios esenciales y operadores vitales para la defensa nacional. La ley señala como misión “Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.”

Comité Interministerial sobre Ciberseguridad

En su artículo 48°, la ley crea el Comité Interministerial sobre Ciberseguridad el cual tiene por objeto asesorar al presidente de la Republica en materias de ciberseguridad relevantes para el país.

¿Cómo impacto esto a mi vida?

Simple. El estado asume un rol activo para proteger los servicios esenciales frente a ciberataques. Esto implica que como ciudadano puedo y debo esperar un servicio integro, continuo y confiable. Es fundamental que interioricemos las amenazas de ciberseguridad y el impacto que estas tienen: Permítanme recomendar una muy mala película con una muy buena idea: Dejar el Mundo Atrás. Si, está en Netflix.

Respecto de esto último, lee el artículo que hizo mi socio Rodrigo: https://www.compunetgroup.net/blogs/post/apagon-global-desentranando-el-caos-despues-de-un-devastador-ciberataque-mundial 

Gracias por leernos.

César Millavil A

COMPUNETGROUP CEO

C|EH - ISO27001LA – ISO27032LM