El 26 de mayo, el gobierno presentó la propuesta de la nueva Política Nacional de Ciberseguridad del Gobierno de Chile o PNCS (ver recuadro), cuyo objetivo es establecer un sistema de responsabilidad compartida entre los actores públicos, privados y sociales que permita reducir los incidentes y posibles delitos, a través de la coordinación y atención de los riesgos. En paralelo, se trabaja en diversos proyectos de ley que van en la hoja de ruta trazada, como, por ejemplo, la Ley Marco de Ciberseguridad, Ley de Infraestructura Crítica para la Ciberseguridad o Ley de protección de Datos. La Nueva Ley de Delitos Informáticos ya está promulgada.

Como contexto, América Latina y el Caribe sufrieron más de 360 mil millones de intentos de ciberataques en 2022, según el informe semestral del panorama global de amenazas de FordGuards Labs, de los cuales Chile recibió 14 mil millones de intentos, un crecimiento del 50% frente a 2021 y -según indica la Encuesta de ciberseguridad realizada por el Centro de Estudios Tecnológicos de la Información de la Universidad Católica- los incidentes de este tipo se incrementaron en promedio un 31,6% durante el año pasado.

¿Cómo se están preparando las empresas para cumplir las nuevas normativas y enfrentar las amenazas? Para María Francisca Yáñez, national technology officer de Microsoft, las empresas están atentas a lo que pueda decir la nueva normativa. “Nosotros vemos el cambio en la responsabilidad de lo que son estos temas. Antes estas temáticas estaban enfocadas a profesiones de tecnologías de información, en equipos TI, y ahora es un tema estratégico en las organizaciones, tanto públicas, privadas como académicas, y eso ha hecho el gran cambio que hemos visto en Chile, pero también en el mundo, que ahora es un tema que se lidera a nivel de los directorios. Hoy en día, más que un tema, es una estrategia de ciberseguridad, que tiene una dimensión muy importante en las personas. Se habla de cultura de ciberseguridad”, dice Yáñez.

A juicio de la experta, a nivel internacional existe un enfoque de confianza cero (zero trust) que cambió. En términos sencillos, Yáñez señala que antes “las empresas se protegían como nosotros protegemos una casa, poniendo reja, un perímetro alrededor, con los típicos firewalls o antivirus. Entonces, las empresas protegían su red interna. Durante la pandemia y con toda la transformación digital, lo que ha sucedido es que la superficie de ataque ya no está solamente dentro de la organización. Proveedores y clientes están cada vez más hiperconectados y por lo tanto el enfoque que había ya no sirve. Ese perímetro ya está totalmente roto y ahora el enfoque confianza cero se basa mucho más en la identidad digital. Entonces, hay un cambio de paradigma”.

De acuerdo al informe “Iniciativa de Riesgos Globales dentro del Centro para la Nueva Economía y Sociedad”, del World Economic Forum, que encuesta a los principales encargados de “riesgo” del sector público y privado del mundo, casi la mitad está de acuerdo con pausar el desarrollo de tecnologías de inteligencia artificial (IA) hasta que se comprendan mejor los riesgos asociados y, más de un 90% opina que se debe acelerar la introducción de normas y medidas para el desarrollo de estas tecnologías.

Según los especialistas en ciberseguridad, las pymes están más expuestas a los ciberataques y de acuerdo a la Unidad de Delitos Digitales de Microsoft, se ha observado un aumento del 38% en los delitos cibernéticos a través de los correos electrónicos empresariales entre 2019 y 2022. Por otra parte, Yáñez agrega que “un tercio de los ciberataques está dirigido a las pymes y un 60% de ellas no sobrevive y no logra volver a operar. El desafío es que los temas de ciberseguridad e IA sean a todo nivel. Entonces, la transformación no es sólo a nivel de organizaciones, sino que es cultural”.

En ese sentido, la nueva Ley Marco de Ciberseguridad va a impactar de manera positiva este resguardo, según señala Marcelo Díaz, socio de Deloitte Cyber: “Las leyes de protección de datos tienen un impacto significativo en las estrategias de ciberseguridad de las empresas, porque requiere que éstas tomen medidas para proteger los datos personales de sus clientes y colaboradores. Como, por ejemplo, la implementación de controles de accesos muy robustos, software de ciberseguridad enfocado en la identificación de datos, clasificación y protección, y fortalecer los procesos de awarness dentro de la organización, entre otras”, indica Díaz.

Sobre la ley de protección de datos, Felipe Palma, experto en ciberseguridad de ITQ Latam, plantea que con la entrada en vigencia de la ley, “las empresas tendrán que definir una estrategia a través de un gobierno de datos. Este deberá ser un ciclo que establezca los principios y definiciones en la materia, elaborando políticas, procesos y procedimientos para la gestión de los datos. En este contexto, las tecnologías de ciberseguridad existentes en el mercado para la protección y manejo de datos serán fundamentales. Para ello es muy importante tener claras las principales definiciones y derechos en estas problemáticas”. Agrega que las regulaciones como el Reglamento General de Protección de Datos en Europa, han sido adoptadas por varias instituciones públicas y privadas en el país, lo que permitirá adoptar más rápidamente la nueva normativa.

Sobre acciones concretas, los profesionales hablan además de capacitación a todo nivel, periódicas y permanentes, y Díaz añade que las empresas “deberán optar por incluir un nuevo rol que es el DPO (Data Protection Officer). Se podrán establecer programas de cumplimiento de privacidad, así como la mantención de estas políticas. Las empresas también deberán considerar que cualquier violación de seguridad deberá ser notificada de forma oportuna, entregando información detallada”.

Palma complementa que “hoy existen servicios y tecnologías de ciberseguridad que apoyan el establecimiento de un gobierno de datos en las empresas, el que será un acelerador para lograr el objetivo de la protección de datos personales en Chile”.

El proyecto de Ley Marco de Ciberseguridad e Infraestructuras Críticas de la Información cuenta con un apoyo transversal a nivel político y durante estas semanas está siendo discutido en la Comisión de Seguridad de la Cámara de Diputados. El objetivo es poder crear un modelo de gobernanza para la gestión de riesgos e implementación de estándares de seguridad, donde se crea la Agencia Nacional de Ciberseguridad que tiene por objetivo supervisar, recabar incidentes, con plazos determinados se aplica la obligación de informar a los organismos de la administración del Estado, así como a los operadores de servicios esenciales y operadores de vital importancia, además de las instituciones privadas que determine la agencia.

Para el abogado Alex Pessó, académico del diplomado de Datos Personales de la Universidad Católica, se está dando el debate sobre los alcances que tendrá la ley, avances necesarios, pero que se deben hacer de manera paulatina y gradual. “Chile está siendo atacado cibernéticamente, a nivel público y privado. Eso demuestra que se necesita una legislación más moderna que permita, sobre todo, la coordinación entre el sector público y privado para hacer frente. En ese sentido, el proyecto de ley es necesario, el tema es cómo se estructura toda esta institucionalidad para evitar imponer un gravamen complicado de cumplir. Por una parte, asegurar que no se violen otros derechos y principios; por otra, las facultades un poco desmedidas que se le está dando a la agencia y sobre todo porque, en general, en muchas legislaciones queda a nivel de ley cuáles van a ser los servicios esenciales y cuáles van a ser por lo tanto los operadores. Aunque existe una apertura a escuchar e ir adecuando el proyecto”.

Agrega que la Ley es un paso que hay que dar necesariamente, teniendo los plazos necesarios para poder dar curso a la implementación, “porque hay empresas grandes que pueden cumplir la Ley tal como está, pero otras van a necesitar inversión en todo sentido y capital humano, sobre todo las que se consideren el día de mañana operadores de importancia vital. Ellas van a tener que tener un sistema de reporte, un sistema de prevención. Pero la inversión en este tipo de cosas de ciberseguridad se comienza a pagar muy rápido. El costo de la pérdida de información como consecuencia es alto, pero el costo reputacional de tener un ciberataque, la pérdida de clientes que huyen porque tu sistema fue atacado, es mucho mayor que el costo de inversión en mecanismos de prevención y tecnología”, señala el abogado.

Fue elaborada por el Comité Interministerial de Ciberseguridad compuesto por el coordinador nacional de Ciberseguridad, Daniel Álvarez; la Agencia Nacional de Inteligencia (ANI) y las subsecretarías General de la Presidencia, del Interior, de Defensa, Economía, Energía, Hacienda, Minería, Relaciones Exteriores y Telecomunicaciones. La actualización de esta política gestada en el gobierno de Michelle Bachelet, continuada como Estrategia Nacional de Ciberseguridad durante la gestión de Sebastián Piñera, y ahora actualizada por el actual mandato, ha demostrado la necesidad de contar con un lineamiento para salvaguardar los derechos de las personas en el ciberespacio. Se basa en cinco objetivos estratégicos:

⊕ Infraestructura resiliente.

⊕ Derechos de las personas.

⊕ Cultura de ciberseguridad en torno a la educación, buenas prácticas, responsabilidad en manejo de tecnologías digitales, y promoción y garantía de los derechos de las personas.

⊕ Coordinación nacional e internacional, gobernanza tanto del sector público como privado para coordinar las acciones necesarias en ciberseguridad.

⊕ Fomento a la industria y la investigación científica.