Diario Oficial publica nueva Ley Marco de Ciberseguridad: expertos analizan sus desafíos

El lunes 8 de abril se publicó en el Diario Oficial la Ley Marco de Ciberseguridad, un trabajo de seis años y dos gobiernos que, tras ser aprobada unánimemente y alcanzando un consenso político legislativo, la normativa comienza a operar para enfrentar los flancos que tiene el país en temas de delincuencia informática, prevención y gestión de incidentes y ciberdefensa. Su aparición es de gran importancia dado el nivel de digitalización con que cuenta el país, sobre todo considerando el más reciente informe de Fortinet, que dio cuenta de que más de 4 mil millones de intentos de ciberataques ocurrieron sólo en el primer semestre del 2023 en el territorio, ubicándonos en el quinto lugar a nivel regional.

“Esta nueva Ley Marco de Ciberseguridad tiene un impacto importante, porque hoy comienzan a correr los plazos para su implementación”, señaló Daniel Álvarez, coordinador nacional de Ciberseguridad, en el conversatorio “Los desafíos de la ciberseguridad hoy”, transmitido el lunes 8 de abril por La Tercera, en alianza con la Universidad San Sebastián (USS).

En el evento, conducido por Bárbara Pezoa, participaron Hernán Orellana, director de empresas y asesor en transformación digital; y Cristián de la Maza, ex subsecretario de Defensa e investigador de dicha casa de estudios.

En la ocasión, Álvarez señaló: “Si uno mira los distintos rankings internacionales de ciberseguridad, Chile ha logrado desarrollar capacidades técnicas de gestión de incidentes, pero le faltaba profundizar el desarrollo y capacidades políticas para tener un ecosistema de ciberseguridad”, agregando que se ha trabajado en fortalecer a las instituciones públicas, pues “la integración público privada es total en el día a día”.

“Como país, nuestro nivel de madurez medio nos deja desafíos institucionales en prevención de incidentes. Tenemos que realizarlos a partir de ahora con la nueva Ley que hoy entró en vigencia”, planteó ante un cambio paulatino que ayudará a “estandarizar y a precisar, porque los esfuerzos que hacen las organizaciones, ya sean públicas o privadas, dependen de sus propios diagnósticos y de las soluciones que encuentran para resolver sus problemas. Ahora vamos a tener certeza respecto de qué le toca hacer a cada organización según su nivel de riesgo, que es algo que hasta hoy no teníamos”, sostuvo el especialista y doctor en Derecho, respecto de la normativa que entrará en régimen en un año y medio más, y que crea la Agencia Nacional de Ciberseguridad (ANCI).

Hernán Orellana coincidió con Álvarez en que Chile se encuentra en un nivel medio de desarrollo en Ciberseguridad: “Al igual que el país, el nivel de avance de las empresas es de término medio a nivel mundial”. El experto valoró el desarrollo de sectores como la banca, quienes a través de la Comisión para el Mercado Financiero “tienen una regulación que los obliga a tomar medidas. La norma 20-10 Recopilación Actualizada de Normas (RAN) para bancos es muy completa, obliga a los directorios a definir políticas, asignar recursos, a tener un sistema de gestión, a preocuparse de la cultura y hacer seguimiento”, ejemplifica.

En cuanto a la nueva Ley 21.663, el experto del sector privado aclara que “sin una regulación como esta ley marco, y sin tener una agencia que efectivamente se dedicara a la promoción y a la regulación de todos los sectores, hemos avanzado mucho sin tener nada, por así decirlo, pero ahora vamos a dar un salto”, en relación a las proyecciones que existen de la normativa. De igual manera, Orellana abogó por la implementación de una campaña robusta de educación ciudadana en materia de ciberseguridad.

Desde el ámbito académico y de la defensa, Cristián de la Maza analizó el avance del uso hostil del ciberespacio, tanto en cibercrimen como en conflictos a nivel global: “El ciberespacio no es nacional, y muchas veces nos vemos afectados por lo que pasa en el resto del mundo. La transformación digital está acelerándose, incluyendo los nuevos desafíos que trae la inteligencia artificial y a futuro la computación cuántica”, entregó como antecedentes, siendo claro en que nuestro país “no tiene el mismo nivel de exposición que las potencias mundiales, pero estamos insertos en un mundo global, somos una economía abierta al mundo, y nuestra infraestructura y personas están expuestas”.

Así, la exautoridad del segundo gobierno de Sebastián Piñera -que participó en el desarrollo de la nueva ley marco-, mencionó que “cuando estuvimos en el diseño de la ANCI procuramos que fuera el punto focal de Chile en alianza con todos los puntos focales de los países para que en forma inmediata se informen los problemas, independiente de su origen. Hay que trabajar colaborativamente. Se necesitaba una autoridad reconocida dentro del país”, recalcando que un problema que afecta a una nación probablemente recaerá en otras, como ocurrió con el ransomware WannaCry en 2017, que partió en Ucrania para luego llegar a otros continentes.

Con respecto a las características y atribuciones de la nueva Agencia Nacional de Ciberseguridad (ANCI), el coordinador nacional de Ciberseguridad, Daniel Álvarez, detalló que la creación de la ANCI “es un hito relevante, dado que tendremos una autoridad nacional de alcance territorial completa, que va a ser un par para otras organizaciones regulatorias, pero que en materia de ciberseguridad dictará la pauta para los diferentes sectores, como el financiero, comercial, transporte y telecomunicaciones”.

La ANCI tiene cuatro grandes atribuciones: dictar normas técnicas, instrucciones generales y particulares; gestionar incidentes que ocurran en el país y prevenirlos, lo que ayudará a responder a posibles eventos significativos en la sociedad; fiscalizar; y eventualmente sancionar.

“El foco está puesto en la prevención y en la gestión de incidentes. Una de las primeras medidas asumidas durante el gobierno del presidente Boric fue que los servicios públicos estén obligados a notificar. Entonces, tenemos más datos, pero no así con el sector privado, sobre lo que está ocurriendo con los incidentes”, mencionó Álvarez, indicando que los servicios esenciales tendrán que notificar sus incidentes. De no ser así, la ANCI estará facultada para aplicar multas de hasta 40.000 UTM; es decir, cerca de $2.600 millones.

A ello, se suma la creación del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, ante lo cual el exsubsecretario De la Maza dijo que “las Fuerzas Armadas fueron pioneras en ciberseguridad de forma autónoma. De cada incidente, se toman las medidas para saber qué pasó y por qué, para crear nuevas capacidades a futuro. La nueva Ley Marco de Ciberseguridad formaliza algo que ya se hacía, voluntades que pasan a ser ley, con presupuesto y obligaciones, lo que es muy positivo para la seguridad del país”, agregando que la normativa “ayuda bastante para trabajar colaborativamente con la industria privada, dado que la ciberseguridad es un tema de defensa e infraestructura clave”.