La promulgación de la nueva Ley Marco de Ciberseguridad en Chile es un salto significativo cuando hablamos de proteger los activos digitales, los cuales nos permiten además resguardar de mejor forma los otros activos no siempre considerados, tales como la reputación de la empresa o, en el caso de las personas, sus datos personales.
Para poder cumplir con la nueva reglamentación debemos conocer sus puntos más importantes. A modo de resumen, destacamos algunos de sus aspectos centrales:
1. La ley crea una institucionalidad ANCI, Agencia Nacional de Ciberseguridad, que estará encargada de los principios y la normativa que regirán las acciones de ciberseguridad de los órganos de la Administración del Estado y la relación entre éstos y los particulares.
2. La ley entrega a la ANCI la capacidad de gestionar las incidencias, establecer los requisitos mínimos para la prevención, contención, resolución y respuesta frente a los incidentes de ciberseguridad que se generen.
3. La ley entrega a la ANCI, la facultad de establecer DEBERES y SANCIONES. Establecer las atribuciones y obligaciones tanto de los órganos del Estado como de las instituciones privadas que posean infraestructura crítica de la información, estableciendo mecanismos de control y un sistema de infracciones y sanciones.
4. La Ley establece quienes estarán sujetos a la misma, se organizan en 2 grupos: los Sujetos Obligados y los Operadores de importancia vital. Es muy largo de explicar en detalle cada definición, lo cual espero poder ahondar en otra columna.
5. La ley establece multas que van desde las 5.000 UTM hasta las 40.000 UTM dependiendo de la gravedad y otros factores, entre los cuales destaca una de los mas importantes, la obligación de informar cualquier ataque o incidente de ciberseguridad, en un plazo máximo de 3 horas de ocurrido el incidente (o al menos de la toma de conocimiento del mismo), el no informar algún evento, desencadenará las multas.
Lo utilidad de informar es generar una alerta al resto de los involucrados, de manera que en tiempo y forma tomen precauciones de los que está sucediendo y trabajando unidos nos defendemos de mejor forma.
Para comprender la necesidad de una ley como esta, es primordial entender el escenario que hemos vivido en Chile cuando hablamos de ataques de ciberseguridad y el impacto en el último tiempo.
Primero, se debe considerar el impacto que ha tenido la creciente digitalización de los distintos servicios, la rapidez con que ha ocurrido y la extensión de su implementación en los negocios de todas las industrias. Esto ha ampliado la superficie expuesta en forma exponencial, lo cual le entrega mayor campo de acción a los Ciber-delincuentes.
Chile se encuentra en el 4° lugar de países en Latinoamérica más afectados por ciberataques durante el 2023 con 21 incidencias de Ransomware, superado sólo por Brasil, México y Argentina. (fuente Entel Digital). Los ataques más representativos incluyen ingeniería Social, Phishing, Malware y Ramsomware.
El año 2023 Chile sufrió más de 700 mil Ciberataques, según un estudio de Cyber Threat Activity, Trellix; otros análisis hablan de más 2 millones de ataques, dependiendo de cómo se analicen y cuáles son las fuentes. Sin embargo, concentrándonos en lo importante, el sector Financiero/Bancario representa casi el 50% de dichos ataques, el 20% ocurre en el sector público y los 30% restantes ocurren en el resto de las industrias.
Es necesario precisar que un ataque NO SIEMPRE ni necesariamente tiene como finalidad obtener recompensas monetarias, aun siendo los más frecuentes, hay que tener claro que los ataques también tienen intencionalidad de distinta naturaleza, como puede ser afectar reputación de una empresa, detener un servicio, provocar una caída de sistemas o simplemente vanagloriarse de tener la capacidad de ejecutar un ataque más simbólico que dañino.
Otro punto importante de tener en cuenta, que no siempre se visibiliza, es considerar que las “ganancias” se estiman en varias decenas de trillones de dólares anuales, tranquilamente podríamos pensar que estamos frente a toda una industria del Ciber-crimen.
Teniendo en cuenta la situación y factores descritos anteriormente, es que se hace necesario tener un marco regulatorio que permita adoptar una clara estrategia de defensa, en la cual nos protegemos todos y actuemos de forma unida e informada con el fin de minimizar al máximo posible los desastrosos riesgos.
Así como los pingüinos individualmente se valen de su plumaje, grasa corporal y un sistema circulatorio único, en el momento que se agrupan tienen naturalmente un comportamiento de apiñamiento, que les permite mitigar los efectos del frio.
Podríamos atribuirle la misma intención a la Ley Marco de Ciberseguridad N° 21.663: trabajar en nuestra seguridad y cooperando en equipo para mitigar los efectos de los ataques de ciberseguridad. Todos ayudamos a protegernos. Se hace necesario explicar en detalle el cómo se va a actuar unidos, pero eso será tema de otra columna.
Hay que destacar que en la región, Chile se posiciona en el top de la lista en establecer este tipo de hitos, sin dejar de lado que en este tema y comparándonos con otras regiones del norte del globo, aún estamos rezagados, pero vamos con paso firme, adoptando las medidas y tecnologías que nos permitirán adoptar las acciones necesarias.
Desde el punto de vista de la capacidad que tenemos en Chile respecto de la implementación de soluciones y de expertos en Ciberseguridad, aun faltándonos mucho, podemos decir, sin dudar, que hemos adoptado rápidamente las últimas tendencias de las tecnologías disponibles y seguimos elevando la calidad y cantidad de nuestros ingenieros.
Sin dejar de lado que la nueva ley es un gran avance, también es preciso recalcar que su implementación requerirá de tiempo y mucho esfuerzo, sorteando las dificultades propias que irán apareciendo en el camino de la aplicación de esta normativa.
Un último punto es la tarea que a todos nos convoca: ayudar a promover conscientemente la ley e impulsar su adaptación en todo los tipos de empresas, indistintamente del tamaño y del alcance de las mismas. Solo unidos podremos de mejor forma prevenir, así como los pingüinos en la Antártida.
Por Sleman Alcantar J, Gerente Comercial Observer.