Política Nacional y Ley sobre Ciberseguridad e Infraestructura crítica de la información de Chile
El pasado 26 de marzo el presidente Boric presentó la Política Nacional de Ciberseguridad y promulgó la Ley marco sobre el tema. Está última fue publicada en el Diario Oficial de Chile el 8 de abril de 2024.
Con estos documentos, nuestro vecino del sur afirma que es el primer país de la región en tener una Agencia Nacional de Ciberseguridad y un marco regulatorio en este campo. Cabe anotar que este se ubica en la posición 74 de índice mundial de ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones, mientras el Perú está en la 85. Se debe anotar que nuestro país también tiene una política sobre el tema y una Ley de Ciberdefensa, esta última de febrero de 2024, que probablemente entre pocos y nadie conocemos.
Diagnóstico
La Política Nacional de Ciberseguridad chilena se justifica por cinco razones:
1) La insuficiente resiliencia de las organizaciones e infraestructura. Al respecto, las brechas de seguridad confirman la necesidad de fortalecer la protección de infraestructura de redes y sistemas; además de mejorar el entrenamiento y formación de los funcionarios públicos y privados.
2) La falta de cultura de las organizaciones y de las personas sobre la importancia de la ciberseguridad. Esto lleva a que tanto las organizaciones como las personas no tomen medidas suficientes de protección en el ciberespacio.
3) La falta de especialistas en ciberseguridad. Se estima que en Chile faltan alrededor de 28,000 especialistas en ciberseguridad para satisfacer las necesidades tanto del sector público como privado.
4) La falta de sofisticación de la demanda por ciberseguridad. Se estima que la industria de ciberseguridad en Chile realiza ventas anuales por alrededor de $350 millones de dólares, lo que representa un 0.11% del PBI. 5) El aumento de delitos en el ciberespacio se ha incrementado progresivamente desde un 6.6% en 2017 a un 10.1% en 2021. Este tipo de delitos pone en riesgo la seguridad y la confianza de las personas en el ciberespacio y es un fenómeno que debe abordarse desde una perspectiva preventiva y sancionatoria (https://ciberseguridad.cl/pns-2023-2028/).
Objetivos política
La nueva Política Nacional de Ciberseguridad contiene cinco objetivos fundamentales. En primer lugar, establecer una Infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos. En segundo lugar, el Estado protegerá y promoverá la protección de los derechos de las personas en Internet, a través del fortalecimiento de la institucionalidad existente en materia de ciberseguridad; y de la generación, adopción, y promoción de los mecanismos y las herramientas tecnológicas necesarias para que cada persona pueda integrarse a la sociedad, desarrollarse y expresarse plenamente.
En tercer lugar, Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenas prácticas, responsabilidad en el manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas. En cuarto lugar, el Estado creará una gobernanza pública para coordinar las acciones necesarias en ciberseguridad. Los organismos públicos y privados crearán instancias de cooperación. Asimismo, se coordinará con países, organismos, instituciones y otros actores internacionales para enfrentar las actividades maliciosas e incidentes en el ciberespacio.
Por último, en quinto lugar, el país promoverá el desarrollo de una industria de la ciberseguridad, que proteja a las personas y las organizaciones y que sirva a sus objetivos estratégicos. Para ello, fomentará la focalización de la investigación científica aplicada en temas de ciberseguridad, acorde a las necesidades del país.
Propósito Ley
La Ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en la norma, los mecanismos de control, y de responsabilidades (https://www.bcn.cl/leychile/navegar?idNorma=1202434).
La Ley establece que la Administración del Estado estará constituida por los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
Ámbito de aplicación
También la Ley se aplicará a las instituciones que presten servicios calificados como esenciales referidos a aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; y los prestados bajo concesión de servicio público.
Se incluye a los proveídos por instituciones privadas: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación de salud, y la producción y/o investigación de productos farmacéuticos.
Principios rectores
Para alcanzar los objetivos de la Ley se establecen ocho principios. 1) Principio de control de daños frente a un ciberataque o a un incidente de ciberseguridad donde siempre se deberá actuar coordinada y diligentemente, y adoptar las medidas para evitar su escalada y propagación. 2) Principio de cooperación con la autoridad y entre diversos sectores para resolver los incidentes de ciberseguridad. 3) Principio de coordinación entre diferentes autoridades para propender a la unidad de acción y evitar la duplicación o interferencia de funciones.
4) Principio de seguridad mediante el cual es deber del Estado resguardar la seguridad en el ciberespacio. Se anota que éste velará por que todas las personas puedan participar de un ciberespacio seguro, por lo que otorgará especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques. 5) Principio de respuesta responsable donde en ningún caso esta podrá significar la realización o el apoyo a operaciones ofensivas.
6) Principio de seguridad informática donde toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. 7) Principio de racionalidad donde las medidas para la gestión de incidentes, las obligaciones y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y económico. Por último, 8) Principio de seguridad y privacidad mediante el cual los sistemas, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales.
Contenido
La Ley define en primer lugar qué se debe entender por activo informático, auditorias de seguridad, ciberataque, ciberseguridad, e incidente de ciberseguridad, entre otras. Del mismo modo, establece principios rectores claves para su objeto. (https://ciberseguridad.gob.cl/noticias/presidente-boric-promulga-nueva-ley-marco-de-ciberseguridad/).
Para el logro de sus objetivos crea la Agencia Nacional de Ciberseguridad (ANC), un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo principal objeto será asesorar al presidente de la Republica. Asimismo, goza de diversas atribuciones, tales como: dictar protocolos y estándares, aplicar e interpretar administrativamente las disposiciones, supervisar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.
Por otro lado, se señala que la Ley también aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en su articulado. Dentro de aquellos servicios se comprende a los provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y los provistos por instituciones privadas que realicen las actividades señaladas en la norma.
Nuevos sectores esenciales
La Ley permite que la Agencia califique otros servicios como esenciales cuando su afectación pueda causar daños importantes a la integridad de las personas, al normal funcionamiento de la sociedad y/o de la Administración del Estado, al medioambiente, a la defensa nacional, o a la seguridad y el orden público, entre otras.
Del mismo modo, establece que lo dispuesto también será aplicable a aquellas instituciones calificadas como operadores de importancia vital, según lo establezca la Dirección Nacional de la Agencia. Para aquello, se regula el procedimiento pertinente para tal calificación; siendo necesario que la provisión de sus servicios dependa de las redes y sistemas informáticos, y que la perturbación de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión de servicios esenciales, y el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer.
Otras obligaciones
En línea con lo anterior, se fijan deberes específicos para los operadores de importancia vital, dentro de los que se encuentran, el implementar un sistema de gestión de la información continuo, elaborar e implementar planes de continuidad operacional y ciberseguridad, y realizar continuamente operaciones de revisión, adoptar medidas oportunas y expeditas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad.
Por otra parte, se prescriben deberes generales para las instituciones obligadas por la Ley, obligando de manera general a aplicar permanentemente medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
Comité y sanciones
Además, se crea el Comité Interministerial sobre Ciberseguridad que tiene por objeto asesorar al presidente de la Republica en materias de ciberseguridad relevantes para el funcionamiento del país y la Red de Conectividad Segura del Estado encargada de proveer servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados por la ley.
Finalmente, se establece que los antecedentes, datos e información en poder de la Agencia y los CSIRT, ya sea de nivel Nacional o de Defensa, así como los de otros organismos estatales o su personal, se considerarán secretos y de circulación restringida. Estatus que también se aplicará a la información que el personal de estos organismos adquiera en el ejercicio de sus funciones. Las infracciones a estas obligaciones serán sancionadas según las normas respectivas del Código Penal. Al respecto, la autoridad sectorial será la competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones según la normativa sobre ciberseguridad que hubiere dictado.