El pasado 26 de marzo, el Presidente Boric promulgó la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, una norma con varios aportes esenciales, entre ellos, la creación de la Agencia Nacional de Ciberseguridad (ANCI), que será el organismo creador de las reglas con las que se jugará desde que sea publicada en el Diario Oficial. Estará encargada de dictar protocolos y estándares para prevenir, reportar y resolver incidentes de ciberseguridad; y de regular, fiscalizar y sancionar a todos los organismos públicos y privados que presten servicios esenciales. Estará facultada para aplicar multas de hasta 40.000 UTM.
Consultamos sobre sobre su alcance a Juan Pablo Arias, gerente de ingeniería de Fortinet Chile, empresa líder en soluciones y servicios de protección de infraestructura de nube.
Tras la aprobación de la ley, ¿cómo queda Chile en el contexto latinoamericano y a nivel mundial?
-Antes de la nueva ley marco de ciberseguridad, no teníamos casi nada. Hasta su existencia, se habían nombrado ciertos roles, pero no tenían herramientas ni atribuciones para impulsar mejoras importantes, por tanto, pasamos de estar inmaduros a tener hoy una regulación avanzada que es en muchos casos superior a la de otros países latinoamericanos y comparable a la que hoy tienen países desarrollados de todas las latitudes. Uno de los principales aportes de la ley es que crea una nueva institucionalidad que se hace cargo de proteger los activos digitales que durante los últimos años han tomado una relevancia crítica en todo el mundo. Para eso, se crea esta Agencia Nacional de Ciberseguridad (ANCI), los Centros de Respuesta a Incidentes (CSIRT), el Consejo Multisectorial sobre Ciberseguridad y el Comité Interministerial sobre Ciberseguridad.
Pero es importante destacar que la ley marco en sí misma no aborda todos los aspectos de la ciberseguridad. Existen otras normas complementarias como la Ley de Protección de Datos Personales o la Ley de Delitos Informáticos, entre otras, que se han actualizado en los últimos años y que nos posicionan mejor en materia de ciberseguridad tanto a nivel latinoamericano como global.
Entonces, ¿cuáles seguirían siendo los principales desafíos que enfrenta el país en este ámbito?
-Un desafío es el panorama de amenazas evolutivo. Según un estudio de FortiGuard Labs, el centro de inteligencia contra amenazas de Fortinet, Chile recibió 6.000 millones de intentos de ciberataques en 2023. Se observa además una menor cantidad de ataques masivos y un mayor volumen de explotaciones únicas y variantes nuevas de software malicioso mucho más dirigidos y altamente sofisticados. Las organizaciones que no cuentan con defensas apropiadas de ciberseguridad estarán en grave riesgo tener pérdidas financieras irrecuperables e impacto reputacional. Otros desafíos incluyen la falta de personal calificado, brecha de género en tecnología, falta de conciencia en ciberseguridad en el más alto nivel de las organizaciones y la evolución tecnológica acelerada. Este último punto es muy interesante, porque la legislación debe ser lo suficientemente flexible y adaptable a los cambios en las tecnologías digitales como vemos que viene ocurriendo con la inteligencia artificial o la computación cuántica.
Otro desafío importante es que debemos asumir que trabajamos sobre organizaciones atacadas. El punto no es evitar que seamos atacados, sino que es mantener la operación y funcionamiento ante un incidente de ciberseguridad, lo que se conoce como ciber-resiliencia.
¿Cuáles serán las principales funciones y responsabilidades de la Agencia Nacional de Ciberseguridad?
-Las funciones más relevantes de la ANCI incluyen dictar la política nacional de ciberseguridad y actualizarla periódicamente para que puedan adaptarse a los cambios tecnológicos, dictar protocolos y disposiciones requeridas para aplicar la ley, calificar servicios esenciales (SE) y los operadores de importancia vital (OIV), coordinar el CSIRT nacional, crear y administrar el registro de todos los incidentes, colaborar con organismos de inteligencia para investigación de amenazas, y fiscalizar el cumplimiento de la ley y aplicar las sanciones. Por otra parte, la ANCI debe coordinar las acreditaciones de las entidades certificadoras, realizar ejercicios nacionales de ciberseguridad y administrar la red de conectividad segura del estado. Por último, debe fomentar la innovación en ciberseguridad y colaborar con organismos internacionales.
En relación con la infraestructura resiliente, ¿qué medidas específicas se pueden implementar para garantizar la resistencia y la recuperación de los sistemas críticos frente a incidentes cibernéticos?
-Acá hay tres aspectos que se deben abordar. El primero es disponer de herramientas tecnológicas que entreguen visibilidad y capacidad de análisis y recuperación. Es importante que tales herramientas cubran toda la superficie de ataque. Lo segundo, eliminar complejidades en tecnología y procesos porque la complejidad implica bajo nivel de seguridad. Por último, es importante que los empleados de las organizaciones, incluyendo el nivel gerencial, sepan cómo actuar bajo una crisis.
¿Cuál es el rol del sector privado en la implementación efectiva de la ley y qué incentivos podrían motivar a las empresas a fortalecer sus medidas de ciberseguridad?
-El rol del sector privado es muy importante, sobre todo aquellos catalogados como Operadores de Importancia Vital (OIV), donde se encuentran las compañías del sector eléctrico, transporte, utilities, servicios financieros y telecomunicaciones, entre otros. La regulación obliga a estas organizaciones a implementar sistemas de gestión de seguridad de la información, elaborar e implementar planes de ciberseguridad, realizar ejercicios de simulación, adoptar medidas para reducir el impacto de un ciberataque y capacitar de forma continua a los empleados. Todos los organismos deben tener a una persona responsable de la ciberseguridad. Hoy en el mundo privado vemos que las compañías nombran CISOs (Chief Information Security Officer), donde ley le da fuerza al rol y es importante que la empresa le pueda otorgar las herramientas para que sea exitosos en su labor.
Algunos de los incentivos que tiene una organización para mejorar su ciberseguridad incluyen reducir el riesgo operacional, proteger la propiedad intelectual y la imagen corporativa. Por otro lado, es importante tener en cuenta las sanciones, donde las multas pueden incluso llegar a las 40.000 UTM dependiendo del tipo de falta.P