Política Nacional y Ley sobre Ciberseguridad e Infraestructura crítica de la información de Chile

El pasado 26 de marzo el presidente Boric presentó la Política Nacional de Ciberseguridad y promulgó la Ley marco sobre el tema. Está última fue publicada en el Diario Oficial de Chile el 8 de abril de 2024.

Con estos documentos, nuestro vecino del sur afirma que es el primer país de la región en tener una Agencia Nacional de Ciberseguridad y un marco regulatorio en este campo. Cabe anotar que este se ubica en la posición 74 de índice mundial de ciberseguridad 2020 de la Unión Internacional de Telecomunicaciones, mientras el Perú está en la 85. Se debe anotar que nuestro país también tiene una política sobre el tema y una Ley de Ciberdefensa, esta última de febrero de 2024, que probablemente entre pocos y nadie conocemos.

Diagnóstico
La Política Nacional de Ciberseguridad chilena se justifica por cinco razones:
1) La insuficiente resiliencia de las organizaciones e infraestructura. Al respecto, las brechas de seguridad confirman la necesidad de fortalecer la protección de infraestructura de redes y sistemas; además de mejorar el entrenamiento y formación de los funcionarios públicos y privados.
2) La falta de cultura de las organizaciones y de las personas sobre la importancia de la ciberseguridad. Esto lleva a que tanto las organizaciones como las personas no tomen medidas suficientes de protección en el ciberespacio.
3) La falta de especialistas en ciberseguridad. Se estima que en Chile faltan alrededor de 28,000 especialistas en ciberseguridad para satisfacer las necesidades tanto del sector público como privado.
4) La falta de sofisticación de la demanda por ciberseguridad. Se estima que la industria de ciberseguridad en Chile realiza ventas anuales por alrededor de $350 millones de dólares, lo que representa un 0.11% del PBI. 5) El aumento de delitos en el ciberespacio se ha incrementado progresivamente desde un 6.6% en 2017 a un 10.1% en 2021. Este tipo de delitos pone en riesgo la seguridad y la confianza de las personas en el ciberespacio y es un fenómeno que debe abordarse desde una perspectiva preventiva y sancionatoria (https://ciberseguridad.cl/pns-2023-2028/).

Objetivos política
La nueva Política Nacional de Ciberseguridad contiene cinco objetivos fundamentales. En primer lugar, establecer una Infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos. En segundo lugar, el Estado protegerá y promoverá la protección de los derechos de las personas en Internet, a través del fortalecimiento de la institucionalidad existente en materia de ciberseguridad; y de la generación, adopción, y promoción de los mecanismos y las herramientas tecnológicas necesarias para que cada persona pueda integrarse a la sociedad, desarrollarse y expresarse plenamente.

En tercer lugar, Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenas prácticas, responsabilidad en el manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas. En cuarto lugar, el Estado creará una gobernanza pública para coordinar las acciones necesarias en ciberseguridad. Los organismos públicos y privados crearán instancias de cooperación. Asimismo, se coordinará con países, organismos, instituciones y otros actores internacionales para enfrentar las actividades maliciosas e incidentes en el ciberespacio.

Por último, en quinto lugar, el país promoverá el desarrollo de una industria de la ciberseguridad, que proteja a las personas y las organizaciones y que sirva a sus objetivos estratégicos. Para ello, fomentará la focalización de la investigación científica aplicada en temas de ciberseguridad, acorde a las necesidades del país.

Propósito Ley
La Ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en la norma, los mecanismos de control, y de responsabilidades (https://www.bcn.cl/leychile/navegar?idNorma=1202434).

La Ley establece que la Administración del Estado estará constituida por los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

Ámbito de aplicación
También la Ley se aplicará a las instituciones que presten servicios calificados como esenciales referidos a aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; y los prestados bajo concesión de servicio público.

Se incluye a los proveídos por instituciones privadas: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación de salud, y la producción y/o investigación de productos farmacéuticos.

Principios rectores
Para alcanzar los objetivos de la Ley se establecen ocho principios. 1) Principio de control de daños frente a un ciberataque o a un incidente de ciberseguridad donde siempre se deberá actuar coordinada y diligentemente, y adoptar las medidas para evitar su escalada y propagación. 2) Principio de cooperación con la autoridad y entre diversos sectores para resolver los incidentes de ciberseguridad. 3) Principio de coordinación entre diferentes autoridades para propender a la unidad de acción y evitar la duplicación o interferencia de funciones.

4) Principio de seguridad mediante el cual es deber del Estado resguardar la seguridad en el ciberespacio. Se anota que éste velará por que todas las personas puedan participar de un ciberespacio seguro, por lo que otorgará especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques. 5) Principio de respuesta responsable donde en ningún caso esta podrá significar la realización o el apoyo a operaciones ofensivas.

6) Principio de seguridad informática donde toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. 7) Principio de racionalidad donde las medidas para la gestión de incidentes, las obligaciones y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y económico. Por último, 8) Principio de seguridad y privacidad mediante el cual los sistemas, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales.

Contenido
La Ley define en primer lugar qué se debe entender por activo informático, auditorias de seguridad, ciberataque, ciberseguridad, e incidente de ciberseguridad, entre otras. Del mismo modo, establece principios rectores claves para su objeto. (https://ciberseguridad.gob.cl/noticias/presidente-boric-promulga-nueva-ley-marco-de-ciberseguridad/).

Para el logro de sus objetivos crea la Agencia Nacional de Ciberseguridad (ANC), un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo principal objeto será asesorar al presidente de la Republica. Asimismo, goza de diversas atribuciones, tales como: dictar protocolos y estándares, aplicar e interpretar administrativamente las disposiciones, supervisar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

Por otro lado, se señala que la Ley también aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en su articulado. Dentro de aquellos servicios se comprende a los provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y los provistos por instituciones privadas que realicen las actividades señaladas en la norma.

Nuevos sectores esenciales
La Ley permite que la Agencia califique otros servicios como esenciales cuando su afectación pueda causar daños importantes a la integridad de las personas, al normal funcionamiento de la sociedad y/o de la Administración del Estado, al medioambiente, a la defensa nacional, o a la seguridad y el orden público, entre otras.

Del mismo modo, establece que lo dispuesto también será aplicable a aquellas instituciones calificadas como operadores de importancia vital, según lo establezca la Dirección Nacional de la Agencia. Para aquello, se regula el procedimiento pertinente para tal calificación; siendo necesario que la provisión de sus servicios dependa de las redes y sistemas informáticos, y que la perturbación de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión de servicios esenciales, y el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer.

Otras obligaciones
En línea con lo anterior, se fijan deberes específicos para los operadores de importancia vital, dentro de los que se encuentran, el implementar un sistema de gestión de la información continuo, elaborar e implementar planes de continuidad operacional y ciberseguridad, y realizar continuamente operaciones de revisión, adoptar medidas oportunas y expeditas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad.

Por otra parte, se prescriben deberes generales para las instituciones obligadas por la Ley, obligando de manera general a aplicar permanentemente medidas para prevenir, reportar y resolver incidentes de ciberseguridad.

Comité y sanciones
Además, se crea el Comité Interministerial sobre Ciberseguridad que tiene por objeto asesorar al presidente de la Republica en materias de ciberseguridad relevantes para el funcionamiento del país y la Red de Conectividad Segura del Estado encargada de proveer servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados por la ley.

Finalmente, se establece que los antecedentes, datos e información en poder de la Agencia y los CSIRT, ya sea de nivel Nacional o de Defensa, así como los de otros organismos estatales o su personal, se considerarán secretos y de circulación restringida. Estatus que también se aplicará a la información que el personal de estos organismos adquiera en el ejercicio de sus funciones. Las infracciones a estas obligaciones serán sancionadas según las normas respectivas del Código Penal. Al respecto, la autoridad sectorial será la competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones según la normativa sobre ciberseguridad que hubiere dictado.

COMENTARIOS

No hay comentarios.

DEJE SU COMENTARIO

La finalidad de este servicio es sumar valor a las noticias y establecer un contacto más fluido con nuestros lectores. Los comentarios deben acotarse al tema de discusión. Se apreciará la brevedad y claridad.


No se lee? Cambie el texto.


TODOS los blogs


Invirtiendo a futuro

Gino Bettocchi

La era inteligente

Rafael Lemor Ferrand

Doña cata

Rosa Bonilla

Blindspot

Alfonso de los Heros

Construyendo Xperiencias

Rodrigo Fernández de Paredes A.

Diversidad en acción

Pamela Navarro

Sin data no hay paraíso

Carlo Rodriguez

Conexión ESAN

Conexión ESAN

Conexión universitaria

Conexion-universitaria

Café financiero

 Sergio Urday

La pepa de Wall Street

Vania Diez Canseco Rizo Patrón

Comunicación en movimiento

Benjamín Edwards

Zona de disconfort

Alana Visconti

Universo físico y digital

Patricia Goicochea

Desde Columbia

Maria Paz Oliva

Inversión alternativa

James Loveday

Con sentido de propósito

Susy Caballero Jara

Shot de integridad

Carolina Sáenz Llanos

Detrás del branding

Daniela Nicholson

Persona in Centro

Cecilia Flores

Mindset en acción

Víctor Lozano

Marketing de miércoles

Jorge Lazo Arias

Derecho y cultura política

Adrián Simons Pino

VITAMINA ESG

Sheila La Serna

ID: Inteligencia Digital

por Eduardo Solis

Coaching para liderar

Mariana Isasi

El buen lobby

Felipe Gutiérrez

TENGO UNA QUEJA

Debora Delgado

De Pyme a Grande

Hugo Sánchez

Sostenibilidad integrada

Adriana Quirós C.

Gestión de la Gobernanza

Marco Antonio Zaldivar

Marca Personal 360º

Silvia Moreno Gálvez

Creatividad al natural

Andrés Briceño

Mindset de CEO

Carla Olivieri

Clic Digital

IAB Perú

Market-IN

Jose Oropeza

Cuadrando Cuentas

Julia y Luis

Liderazgo con ciencia

Mauricio Bock

Pluma Laboral

Alonso J. Camila

Economía e Integridad

Carlos Bustamante B.

Aprendiendo - nivel CEO

Francisco Pinedo

Portafolio Global

BlackRock

Menos face más book

Rafael Zavala Batlle

Visiones para el desarrollo

CAF –Banco de Desarrollo de América Latina y el Caribe–

Te lo cuento fácil

Alumnos de la Universidad del Pacífico

Fuera de la caja

María Camino

Orquestación Estratégica

Dr. Diego Noreña

Más allá del efectivo

Felipe Rincón

Mujer, ejecutiva y trasgresora

Zendy Manzaneda Cipriani

Disrupcion en la nube

Disrupción en la Nube

Revolución digital

Pablo Bermudez

Economía desde el campus

Grupo Económica

Síntesis legislativa

José Ignacio Beteta Bazán

La parábola del mudo

Javier Dávila Quevedo

Arturo Goga

Arturo Goga

Sumando Valores

Superintendencia del Mercado de Valores

@infraestructura

Rosselló Abogados

Minería 2021

Instituto de Ingenieros de Minas del Perú (IIMP)

Conciencia Corporativa

Verónica Roca Rey

Agenda Legal

Estudio Echecopar

Perspectiva Forestal

Comité Forestal SNI y Comité de Madera e Industria de la Madera ADEX

Pensando laboralmente

César Puntriano

Auditoria del Siglo 21

Karla Barreto

Economía conductual

Bertrand Regader

Cultura financiera

Walter Eyzaguirre

Triple enfoque

Cecilia Rizo Patrón

Gestiona tus Finanzas

Giovanna Prialé Reyes

Segunda opinión

Eduardo Herrera Velarde

Parte de Guerra

Pablo O'Brien

El cine es un espejo

Raúl Ortiz Mory

Ruarte's - Washington Capital

R. Washington Lopez

Atalaya Económica

Manuel Romero Caro

Terapia de Pareja

Luciana Olivares

Próspero Perú

Gladys Triveño

Herejías Económicas

Germán Alarco

Inversión e Infraestructura

Profesor de ESAN Graduate School of Business Sergio Bravo Orellana

Blog Universitario

Blog Universitario

Juegomaniáticos

Juan Pablo Robles

Gestión del Talento

Ricardo Alania Vera

Personas Power

Ana Romero

Millennials

Pamela Romero Wilson

Reglas de Juego

Pierino Stucchi

Humor S.A.

Jaime Herrera

Bitácora bursátil.

Equipo de Análisis de Intéligo SAB

Vivir Seguro

Asociación Peruana de Empresas de Seguros

El deporte de hacer negocios

Luis Carrillo Pinto

Zona de Intercambio

Julio Guadalupe

Innovar o ser cambiado

Andy Garcia Peña

Economía aplicada

Juan Mendoza

El Vino de la Semana

José Bracamonte

Carpeta Gerencial

IE Business School

Desafíos para el progreso

Banco Interamericano de Desarrollo

Diálogo a fondo

Fondo Monetario Internacional

Predio legal

Martín Mejorada

e-strategia

José Kusunoki Gutiérrez

Vinos, piscos y mucho más

Sommelier Giovanni Bisso

Palabra de Gestión

Julio Lira Segura

Impacto ambiental

Lorenzo de la Puente

Inversiones Globales

Carlos Palomino Selem

Moda Inc.

Daniel Trelles

Divina Ejecutiva

Fiorella

Menú Legal

Oscar Sumar

Analizando tus inversiones

Diego Alonso Ruiz

Reformas incompletas

Instituto Peruano de Economía

Empresa&Familia

Pablo Domínguez

Hoy sí atiendo provincias

Félix Villanueva - Aurum Consultoría y Mercado

Smart money

Luis Ramírez

Consumer Psyco

Cristina

Gestión de servicios

Otto Regalado Pezúa

Marketing 20/20

Michael Penny

Mercados&Retail

Percy Vigil Vidal

CAFÉ TAIPÁ

Milton Vela

Anuncias, luego existes

Alexander Chiu Werner

Marcas & Mentes

Lizardo Vargas Bianchi

Riesgos Financieros

Gregorio Belaunde

Economía para todos

Carlos Parodi

De regreso a lo básico

Paúl Lira Briceño