Nuestra asociada senior az Tech, Antonia Nudman, conversó con LexLatin para abordar el Plan Nacional de Ciberseguridad 2023-2028 y su implementación con la Ley Marco en Chile.
En julio de este año, el Ministerio del Interior y Seguridad Pública de Chile dictó la Resolución Exenta N° 28, que implementa el Plan de Acción de la Política Nacional de Ciberseguridad 2023–2028 (PNC 2023-2028) y nace como respuesta estatal ante la creciente sofisticación y volumen de las ciberamenazas. Esta estrategia se fortalece en la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (Ley N° 21.663), que establece la nueva institucionalidad, los principios rectores y la normativa general esencial para estructurar, regular y coordinar las acciones de ciberseguridad tanto de los órganos de la administración del Estado así como de las entidades privadas.
La resolución que dio inicio al PNC 2023-2028 (un proceso complejo y multifacético) se basa en el acuerdo del Comité Interministerial sobre Ciberseguridad, que incluyó 15 medidas prioritarias seleccionadas bajo el criterio de viabilidad de su implementación y que pueden resumirse en cinco ejes:
- El robustecimiento de la infraestructura digital, para que sea segura y resiliente, bajo una perspectiva de gestión de riesgos, para resistir y recuperarse rápidamente de incidentes de ciberseguridad.
- La protección de los derechos fundamentales de la ciudadanía en el ciberespacio, para que las personas puedan navegar seguros de que existe una protección efectiva de sus datos personales y su privacidad.
- La creación de una cultura de ciberseguridad que promueva entre la ciudadanía la educación y la adopción de buenas prácticas en todos los niveles y fomente una responsabilidad compartida en el manejo de tecnologías digitales.
- Coordinar la colaboración entre instituciones nacionales y con las de otros países, tomando en cuenta que muchas de las amenazas en el ciberespacio son de carácter global.
- Fomentar la Investigación y el Desarrollo (I+D) y la industria, mediante el desarrollo de capacidades locales para incentivar la innovación en ciberseguridad.
I+D+i
Deteniéndonos un momento en este último punto, para fortalecer la colaboración en I+D+i en ciberseguridad, el Gobierno ha desplegado una agenda concreta que combina diagnóstico, formación e implementación, que destaca la priorización de la ciberseguridad en las becas entregadas por la Agencia Nacional de Investigación y Desarrollo (ANID), tanto en programas nacionales como en las Becas Chile para magíster y doctorado, que hoy privilegian temáticas como ciberseguridad, inteligencia artificial y seguridad pública, explicó Diego Córdova, asociado de Alessandri Abogados. Estas acciones buscan conectar el conocimiento con desafíos reales, generando una comunidad nacional de ciberseguridad con visión estratégica.
Esto busca impulsar proyectos de investigación aplicada y cerrar la brecha de capital humano especializado en un área crítica para el país. Además, se están ejecutando líneas de investigación prioritarias, ejercicios conjuntos de respuesta a incidentes, ferias estudiantiles, nuevas carreras técnicas y convenios de colaboración entre universidades, empresas y agencias públicas, dijo el abogado.
Es importante también destacar que se activan medidas que operan en toda la cadena de I+D+i, como la elaboración de guías e instructivos para organismos públicos, que estandarizan criterios y facilitan su adopción por universidades y empresas; actualización del diagnóstico nacional de I+D en ciberseguridad, para mapear capacidades y brechas y alinear proyectos, consorcios y financiamiento; el desarrollo de una metodología país de evaluación de riesgos basada en modelos internacionales y adaptada a la realidad nacional; la promoción de ejercicios de ciberseguridad en alianza público-privada y académica con materiales replicables; la publicación de un reporte anual de ciberseguridad, que entregue datos y tendencias para orientar investigación aplicada; ferias estudiantiles y una propuesta de carrera técnico de nivel medio en ciberseguridad; elaboración conjunta de un documento de líneas de investigación con el Estado y el sector privado, y tutorías de educación y autocuidado digital para personas que requieren mayor apoyo, añadió Antonia Nudman, asociada sénior az Tech de Albagli Zaliasnik.
En conjunto, estas acciones abordan transversalmente la estandarización técnica, la formación de capital humano, la coordinación interinstitucional, la generación de evidencia, la transferencia de conocimientos y la sensibilización ciudadana, creando un lenguaje común y rutas de colaboración efectivas entre academia, sector público y sector privado, explicó.
La nueva institucionalidad
La Ley N° 21.663, fundamental para la PNC 2023-2028, delinea la nueva institucionalidad, los principios rectores y la normativa general esencial para estructurar, regular y coordinar las acciones de ciberseguridad tanto de los órganos de la administración del Estado como de entidades privadas, mientras se centra, principalmente, en la protección de la infraestructura crítica de información del país.
Esto significa que es más que una declaración de intenciones, para convertirse en una transformación estructural cuya meta es garantizar un entorno digital confiable, seguro e inclusivo para Chile. Una de las cosas que más distingue a esta política es que se desplaza desde el modelo tradicional reactivo ante incidentes de ciberseguridad a uno de gobernanza integral, que concibe a la ciberseguridad como una responsabilidad transversal entre el Estado, el sector privado y la ciudadanía, con la vista puesta en la gestión de la privacidad, la cultura organizacional y la gobernanza corporativa, donde el sector privado debe tomar una posición más proactiva de la que ha tenido hasta ahora.
Así tenemos que, en el corto plazo, tanto la PNC 2023–2028, como la Ley N° 21.663 (que creó la Agencia Nacional de Ciberseguridad –Anci– y fijó el marco de reporte y coordinación), además de la Resolución Exenta N° 28 (que instruye la elaboración de un Manual de Protocolos de Comunicación ante Incidentes de Ciberseguridad), “se consolida un tránsito hacia un modelo estatal de gestión de incidentes más coherente, obligatorio y trazable para los organismos públicos”, apuntó Antonia Nudman.
La abogada también indicó que, aunque el Plan de Acción es robusto en materia de gobernanza estatal, aún no define mecanismos específicos para abordar la protección de gobiernos locales y municipalidades, que siguen siendo las entidades con menor madurez y mayor exposición a ransomware. Tampoco hay una hoja de ruta clara para proteger infraestructuras medianas o privadas que no califican como esenciales o vitales, pero que pueden generar disrupciones relevantes en cascada.
Adicionalmente, existe un vacío regulatorio respecto de servicios digitales y plataformas tecnológicas que operan en Chile, sin pertenecer a un sector regulado tradicional. Esto significa que las plataformas de comunicación, almacenamiento en la nube, soluciones SaaS de gestión interna, marketplaces o proveedores de identidad digital no están cubiertos por normas técnicas específicas ni por obligaciones claras de reporte o resiliencia, “pese a que concentran volúmenes masivos de datos y dependencias operativas.”
Entidades sujetas a regulación
Ahora, con la entrada en vigencia de la Ley N° 21.663 y de la Resolución Exenta Nº 28, el único sector con encargo explícito de norma técnica específica es el eléctrico, así que cabe preguntarse si y cuándo los otros sectores considerados críticos (como el financiero, salud, agua) serán los siguientes en recibir una norma técnica de ciberseguridad específica. Para estos, y por ahora, la Anci aún no ha dictado una resolución que señale cuál es el siguiente en la fila, recordó la especialista de az.
Dicho eso, la Resolución Exenta Nº 50, que abrió la consulta pública de la nómina preliminar de Operadores de Importancia Vital, muestra qué sectores concentran operadores calificados, por lo que es razonable anticipar que la priorización de futuras normas técnicas siga esa misma huella sectorial, donde figuran, además de los órganos de la administración del Estado, los sectores de telecomunicaciones, servicios de infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros, banca, servicios financieros y medios de pago y servicios institucionales de salud, precisó.
Mientras tanto, estas nuevas exigencias de ciberseguridad en los concursos públicos del espectro radioeléctrico representa, a criterio de Diego Córdova, un avance estratégico para asegurar que las futuras redes 5G se desplieguen con altos estándares de resiliencia frente a amenazas críticas, como ataques o accesos no autorizados.
Para él, esta orientación regulatoria fortalece la confianza institucional y ciudadana en la infraestructura digital, al tiempo que genera un entorno propicio para la innovación, en el que los actores que desarrollen soluciones avanzadas de seguridad tendrán una ventaja competitiva tangible.
Además, al considerar criterios de ciberseguridad en la evaluación técnica de las propuestas –más allá del precio–, se promueve una competencia basada en calidad, cumplimiento y sostenibilidad tecnológica. El desafío va a estar en aplicar estas exigencias con proporcionalidad y claridad, para que estimulen la inversión sin convertirse en barreras innecesarias para nuevos entrantes o proveedores internacionales, indicó.
La política de ciberseguridad define dos categorías de entidades obligadas a gestionar riesgos cibernéticos y a reportar incidentes: los Prestadores de Servicios Esenciales (PSE), como entes de la Administración del Estado, el Coordinador Eléctrico Nacional, entidades que prestan servicios bajo concesión de derecho público e instituciones privadas que realizan ciertas actividades. Estos entes están obligados, por la Ley 21.663 a implementar sistemas para la gestión de riesgos cibernéticos; notificar incidentes de ciberseguridad a la Anci en los plazos y formatos que ésta determine; designar un delegado de ciberseguridad que actuará como puente con la Agencia, y mantener un inventario actualizado de activos críticos así como realizar auditorías periódicas.
La segunda categoría son los Operadores de Importancia Vital (OIV), entidades expuestas a una mayor presión regulatoria y obligadas a identificar y focalizar sus esfuerzos en aquellos componentes dentro de sus redes y sistemas que son esenciales y vitales para la entrega de servicios al país, cuya interrupción, modificación o destrucción (de sus servicios o infraestructura) tendría un impacto grave en la seguridad nacional, la salud pública y el funcionamiento de los servicios básicos esenciales.
La creación de estas categorías, y el establecimiento de un régimen de sanciones para protegerlas, genera un incentivo económico y regulatorio directo para la inversión en ciberseguridad, que es uno de los ejes del PNC 2023-2028. Por esta razón, la ley asegura que la implementación de la PNC no dependa de la voluntad sectorial, sino que sea un mandato legalmente exigible.
Tanto para las OIV como para las PSE el Estado recomienda adoptar una estrategia de cumplimiento proactiva y estructurada, que debe verse a la luz del establecimiento de la cultura de ciberseguridad y la transformación en esta materia que persigue el Gobierno chileno, y para la que la Anci concentrará esfuerzos en programas educativos que lleven a la adopción de buenas prácticas por parte de la ciudadanía y las empresas públicas y privadas.
