- Por Jorge Olivares Olmos, Gerente de Consultoría y Formación de Business Continuity.
El lunes 8 de abril fue publicada la nueva Ley N°21.663 o “Ley Marco de Ciberseguridad”, que tiene por objetivo establecer formalmente la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de empresas que presten servicios esenciales para el funcionamiento del país.
La Ley establece los deberes de instituciones que sean calificadas como Operadores de Importancia Vital (OIV) que requieren habilitar un Sistema de Gestión de Seguridad de la Información y el cómo recuperarse de una contingencia operacional, en tal sentido se encargarán de lo preventivo, contención, resolución y respuesta a incidentes de ciberseguridad;
En parte dicha Ley ha aportado para mejorar la evaluación de Chile en el ranking mundial de ciberseguridad 2024, según Índice Nacional de Seguridad Cibernética desarrollado por Estonia; mejorando 30 puestos para quedar Nro. 25 a nivel mundial y 2do en América latina.
¿Qué crea la Ley 21.663? En el ámbito de la gobernanza e institucionalidad nacional de la Ciberseguridad, la Ley 21.663, crea la Agencia Nacional de Ciberseguridad (ANCI), el Consejo Multisectorial, la Red de Conectividad Segura del Estado y la estructura de CSIRT Nacional y el CSIRT de Defensa. Asimismo, crea el Registro Nacional de Incidentes de Ciberseguridad y el Registro Nacional de Entidades Certificadoras
¿A qué tipo de empresas u organizaciones aplican los requerimientos de esta Ley? En primera instancia, debieses verificar si tu empresa o institución ha sido ya considerada en el listado inicial de aquellas que prestan servicios esenciales, como los organismos de la Administración del Estado, los de concesión de servicio público, el Coordinador Eléctrico Nacional; y las instituciones privadas que realicen las siguientes actividades asociadas a servicios esenciales:
- Generación, transmisión o distribución eléctrica
- Transporte, almacenamiento o distribución de combustibles
- Suministro de agua potable o saneamiento
- Telecomunicaciones
- Infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros
- Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva
- Banca, servicios financieros y medios de pago
- Administración de prestaciones de seguridad social
- Servicios postales y de mensajería
- Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y
- Producción y/o investigación de productos farmacéuticos.
Usando esta base, más otros criterios de necesidad nacional, la ANCI, deberá formalizar los denominados Operadores de Importancia Vital (OIVs), los que deben cumplir los requerimientos a continuación.
Requerimientos para todo OIV:
- Implementar y certificar, por organismo acreditado por ANCI, un Sistema de Gestión de Seguridad de la Información (SGSI/ISMS) de gestión de mejora continua.
- Mantener registros operacionales del SGSI que evidencien su operación.
- Elaborar, implementar y certificar un Plan de Gestión de Ciberseguridad y un Plan de Continuidad Operacional, actualizado al menos cada dos años.
- Mantener un Programa de revisión de la Ciberseguridad: considerando acciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad
- Gestionar los Incidentes de Ciberseguridad, reportando al CSIRT Nacional en plazo de 3 horas (Siendo, por ejemplo, que el estándar NERC-CIP SEN del sector eléctrico exige 1 hora de reporte al CEN), actualización completa en 72 hrs o 24, si se afectó Servicio Esencial, más un Informe final en 15 días.
- Notificar a potenciales afectados de los Incidentes de ciberseguridad
- Establecer un Programa de Capacitación en Ciberseguridad para trabajadores y colaboradores.
- Notificar a potenciales afectados de Incidentes de ciberseguridad
- Establecer Programa de Capacitación en Ciberseguridad
- Designar un delegado de Ciberseguridad, contraparte de la Institución para la ANCI.
¿Se puede participar en algún aspecto de la implementación de esta Ley? Por supuesto que sí, existen instancias de participación que permiten levantar puntos particulares de vista, entregando opiniones, sugerencias y propuestas de mejora o corrección sobre los aspectos de implementación operativa de la regulación propuesta.
Un primer ejemplo en tal sentido ha sido la instancia de participación de particulares y empresas u organizaciones en el proceso de Consulta Pública sobre Reglamentos de la Ley Marco de Ciberseguridad, el que estuvo accesible en el portal de Coordinación Nacional de Ciberseguridad (https://ciberseguridad.gob.cl/) desde el 31 de julio al 12 de agosto, en esta ocasión se pudo opinar sobre cada párrafo de los borradores propuestos para el “Reglamento de reporte de incidentes de ciberseguridad” y el “Reglamento del procedimiento de calificación de los operadores de importancia vital de la ley N° 21.663”. Los textos propuestos aún se pueden revisar en https://ciberseguridad.gob.cl/consulta-publica/ (ya no se puede comentar; ¡pero, nunca es tarde para sumarse a revisar!).
Asimismo, existen otras instancias de opinión y colaboración, veamos cuatro aspectos de ello:
Primero, el Foro Nacional de Ciberseguridad (con su slogan; “en ciberseguridad se colabora, no se compite”; en https://www.forociber.cl), tal como señala su portal “… es una iniciativa de innovación en generación de políticas públicas al alero del Senado y con la participación de expert@s …” Su trabajo está distribuido en las 5 Dimensiones establecidas por el Centro Global de Capacidad en Seguridad Cibernética de la Universidad de Oxford y corresponden a:
- Dimensión 1: Política y Estrategia de Ciberseguridad
- Dimensión 2: Cultura Cibernética y Sociedad
- Dimensión 3: Educación, Capacitación y Habilidades en Ciberseguridad
- Dimensión 4: Marcos Legales y Regulatorios
- Dimensión 5: Estándares, Organizaciones y Tecnologías.
Ya hubo una segunda sesión presencial en el Salón de Honor del ex Congreso Nacional en donde se expusieron parte de los avances logrados en dichos dominios. (Ver sección noticias del portal web para revisar presentaciones y contenidos de las ponencias).
Segundo, la Alianza Chilena de Ciberseguridad (ACC), como iniciativa pionera que convoca el ámbito público, privado y la academia para potenciar, promover y desarrollar la ciberseguridad en el país y la región. Está abierta a la comunidad para integrar socios desde los distintos ámbitos del quehacer nacional, contando ya con 26 empresa y organizaciones asociadas. Ha realizado recientemente una reunión-desayuno para presentar los avances a la fecha en cada mesa temática de trabajo.
Tercero, un ejemplo latinoamericano, que integra muchos participantes chilenos, el Grupo OT Security LATAM, del que me permito copiar sus motivaciones “Sigamos compartiendo conocimientos, fomentando la innovación y trabajando unidos para construir un futuro más seguro. ¡Juntos, somos más fuertes!”. En donde se comparten no sólo temas técnicos; sino también de comparativa en cuanto a legislaciones y mejores prácticas.
Cuarto, realizar actividades o eventos en que se puedan presentar, difundir y analizar propuestas de implementación de mejores prácticas y estrategias de cumplimiento de regulaciones, como la Ley 21.663.
Como podemos ver, hay instancias de difusión, colaboración y participación, es ahora un opción personal e institucional el integrarse a algunas de estas iniciativas y trabajar colaborativamente por un entorno más seguro y confiable, o… dejar pasar la oportunidad aportando así a la “procrastinación en ciberseguridad”.
SEMINARIO LEY MARCO Y OTRAS REGULACIONES
Si cree que se aplicará la nueva Ley Marco de Ciberseguridad u otras regulaciones del entorno industrial chileno, usted debe estar en este Seminario Virtual a realizarse el jueves 29 de Agosto, de 9:00 a 11:30 horas (hora chilena, GMT -4), organizado por Business Continuity con la colaboración del Senador Kenneth Pugh, el Comisario Danic Maldonado, de la PDI; y Gonzalo Rojas Giglio, especialista en CiberSeguridad OT LATAM de Fortinet.
Con un enfoque de TIPs prácticos, como su nombre lo indica, se entregarán recomendaciones en lo regulatorio, legal, policial, consultivo y técnico para respaldar sus procesos de cumplimiento de la nueva Ley Marco 21663 y regulaciones de Ciberseguridad relacionadas para el sector industrial, potenciales Operadores de Importancia Vital (OIVs).
¡Regístrese ya!, en plataforma virtual DEMIO: https://my.demio.com/ref/fzzktqSfLxIFJceq
Video asociado: LinkedIn: https://www.linkedin.com/posts/business-continuity_ya-te-puedes-inscribir-en-nuesto-pr%C3%B3ximo-activity-7230350660242722817-MpOE?utm_source=share&utm_medium=member_desktop
https://www.linkedin.com/events/tipsparaabordarleymarcoyregulac7230355777922691072/about/