Chile tiene una Política Nacional de Ciberseguridad: Conócela para que tú también puedas aportar para un ciberespacio más seguro

Cuando se publicó la Política Nacional de Ciberseguridad de Chile (PNC), el 27 de abril de 2017, nuestro país pasó a ser parte de un exclusivo 38% de países que ya tenían su política nacional de ciberseguridad. En ese momento, un 12% de los países trabajaban preparando una política propia (esto según datos de la […]

Cuando se publicó la Política Nacional de Ciberseguridad de Chile (PNC), el 27 de abril de 2017, nuestro país pasó a ser parte de un exclusivo 38% de países que ya tenían su política nacional de ciberseguridad.

En ese momento, un 12% de los países trabajaban preparando una política propia (esto según datos de la International Telecommunications Union (ITU), la agencia especializada de la ONU). Es más. A fines de 2017, sólo seis países latinoamericanos contaban con Estrategias o Políticas Nacionales de Ciberseguridad. Según expertos, que este número sea tan bajo, obedece a la falta de recursos dedicados al tema, a la carencia de experiencia práctica y conocimientos especializados para diseñar e implementar este tipo de medidas, y a que la gestión del ciberespacio es una responsabilidad compartida entre actores tanto públicos como privados, y por ende se requiere de un trabajo en conjunto.

Pero al elaborar y publicar nuestra PNC, Chile se adscribió explícitamente al grupo de países que trabajan para crear un ciberespacio más seguro.

Y es que la ciberseguridad requiere de la creación de estrategias, normas e instituciones que hagan del ciberespacio un lugar mas estable y seguro, de modo de poder unir el desarrollo a una maximización de los beneficios de las tecnologías de la información.

Contar con una Política Nacional de Ciberseguridad ya publicada es el gran paso inicial hacia alcanzar los objetivos que ésta busca. Nos otorga un mapa de acción, una guía de trabajo, y constituye un serio compromiso del Estado y la Nación en torno a acercarse más hacia la Ciberseguridad. La nuestra se basa en  una visión que apunta al año 2022, para alcanzar el objetivo de contar con un ciberespacio libre, abierto, seguro y resiliente.

Una PNC es, además, necesaria, dado que se debe resguardar la seguridad de las personas en el ciberespacio, se debe proteger la seguridad del país, se debe promover la colaboración y coordinación entre instituciones y se deben gestionar los riesgos del ciberespacio. En Chile la institucionalidad vigente en materias de ciberseguridad se encuentra distribuida en diversos organismos, entidades y normativas. Es indispensable, en el escenario actual, coordinar estratégicamente los distintos elementos que inciden en estas materias, de modo que estos converjan hacia el objetivo común.

En modo muy resumido, nuestra PNC plantea 5 grandes objetivos generales a alcanzar el año 2022, determinando una serie de 41 medidas específicas para ejecutar durante los años 2017 y 2018 (cuyo avance se debe evaluar y, probablemente se deba continuar trabajando en ellas en años posteriores), que nombra a los responsables de que estas medidas se ejecuten y a qué objetivo general obedecen cada una de estas medidas y menciona algunas Políticas Integradas Complementarias en Materia Digital.

Los cinco objetivos generales de la PNC son:

1. El país contará con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica de gestión de riesgos.
2. El Estado velará por los derechos de las personas en el ciberespacio.
3. Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenas prácticas y responsabilidad en el manejo de tecnologías digitales.
4. El país establecerá relaciones de cooperación en ciberseguridad con otros actores y participará activamente en foros y discusiones internacionales.
5. El país promoverá el desarrollo de una industria de la ciberseguridad, que sirva a sus objetivos estratégicos.

Estos objetivos fueron formulados de acuerdo a los ejes de la PNC, que a su vez fueron identificados previamente, en concordancia con los estándares internacionales para creaciones de PNCs y tomando en consideración el contexto nacional. Estos ejes son:

1. Infraestructura de la información.
2. Prevención y sanción.
3. Sensibilización, formación y difusión.
4. Cooperación y relaciones internacionales.
5. Institucionalidad de la ciberseguridad.

Para contextualizarnos en el escenario internacional, por ejemplo, los cinco pilares de la Global Cybersecurity Agenda de la ITU (por consiguiente, de Naciones Unidas), guardan relación con lo legal, técnico, organizacional, construcción de capacidad y cooperación internacional. Y es que el esfuerzo por alcanzar un ciberespacio seguro no puede ser un esfuerzo aislado de las personas, instituciones, industrias o naciones. Éste debe ser un esfuerzo conjunto, puesto que el ciberespacio no conoce de fronteras. Así mismo, y en la coyuntura que nos encontramos hoy en Chile, resulta importantísimo que conozcamos nuestra PNC.

Todos podemos aportar para alcanzar los objetivos que ésta plantea, desde nuestras posiciones como individuos, como miembros de instituciones y organizaciones o como las instituciones u organizaciones mismas. Desde Nivel4 les invitamos con mucho entusiasmo a, primero que todo, conocer la PNC, y luego a evaluar, desde el rol social de cada uno, cómo podemos aportar hacia los objetivos que ésta busca alcanzar.

Puedes leer la PNC aquí: Política Nacional de Ciberseguridad de Chile

¿Cómo se compara nuestra PNC con la de otros países latinoamericanos?

Además de Chile, México, Colombia, Panamá, Paraguay y Costa Rica cuentan con una PNC o una Estrategia Nacional de Ciberseguridad (esto desde fines de 2017).

No todas las estrategias de estos países incorporan acciones específicas y concretas para alcanzar los objetivos que se plantean, ni detalles presupuestarios ni organismos responsables. En este sentido, las Estrategias de Colombia, Paraguay y Chile son las que presentan un mayor grado de detalle. La de Chile se destaca, pues establece una fecha límite -el año 2022- para alcanzar sus objetivos. La de Colombia incluye un cronograma de implementación para sus medidas. Es importante destacar que Colombia ya tiene experiencia en estos ejercicios. Ese se encuentra en la vigencia del segundo documento de este tipo. El primero fue preparado en 2011 y el segundo y vigente actualmente, en 2016.

De todas las estrategias latinoamericanas, la panameña es la que observa el menor grado de detalle. Fue publicada en 2013, y pareciera ser más bien una especie de compromiso que una Estrategia construida bajo los estándares internacionales. Sin embargo, en el país centroamericano existe una amplia normativa en torno a la ciberseguridad.

A grandes rasgos, la PNC de Chile presenta un grado de detalle y definición pertinentes, objetivos claros y ajustados a los estándares internacionales, sus medidas específicas identifican responsables de su ejecución, y se ve como un documento contingente a los tiempos presentes. Una vez que finalice su período de vigencia, se debe evaluar y trabajar en la elaboración de una nueva política que se adecúe a los años que sigan. Habiendo trabajado en esta PNC, la experiencia nos otorgará herramientas para elaborar incluso una mejor política. Ya estaremos en curso y sabremos, a nivel nación, qué es trabajar es pos de un entorno más seguro.

¿Y respecto otros países desarrollados en este ámbito?

De acuerdo a la experiencia internacional, sabemos que la primera y fundamental mejor práctica en términos de ciberseguridad es desarrollar una estrategia nacional, puesto que ellas nos brindan un marco normativo bajo el cual los países pueden organizar sus iniciativas de ciberseguridad. También permiten desarrollar mecanismos que permitan una amplia coordinación gubernamental transversal e integración de sectores públicos, privados y academia.

En general, en el caso de los países con un grado de desarrollo avanzado en ciberseguridad, sus estrategias abordan las medidas necesarias para hacer del ciberespacio una plataforma estable y segura para la actividad económica y reducir los riesgos en cuanto a la seguridad pública y nacional. Un objetivo inmediato e implícito de una estrategia es elevar desde el nivel técnico al político el debate y la toma de decisiones y el proceso de elaboración de una estrategia nacional constituye un gran aporte a ese fin. 

La segunda mejor práctica es la creación de una estructura organizativa explícita que asigne responsabilidades entre los ministerios y las oficinas para los diversos aspectos de la ciberseguridad. Los países que cuentan con programas de ciberseguridad más avanzados han creado nuevas organizaciones para asumir esa responsabilidad. En este respecto, es casi inevitable que existan grados de redundancia y superposición de responsabilidades, pero esto es, sin duda, preferible a carecer de la institucionalidad adecuada. Es por esto que resulta fundamental la creación de algún tipo de autoridad central de coordinación. Los países que se destacan por sus logros crearon nuevas entidades de alto nivel en materia gubernamental para supervisar la ciberseguridad. Además, estos países avanzaron significativamente en términos legislativos, creando leyes de delitos informáticos, de infraestructura crítica y de protección de datos. La PNC contempla estos ítems, y ya hay parlamentarios trabajando en el desarrollo de estas leyes para nuestro país.

Un elemento central de las políticas de países con un grado alto de avance en ciberseguridad han sido los respectivos esfuerzos nacionales para aumentar la concientización tanto en los sectores financieros como empresariales y públicos. La PNC de Chile contempla esto y lo incorpora como uno de sus objetivos principales.

Incluso los países mas avanzados reconocen la escasez de expertos en ciberseguridad, pero países como por ejemplo Israel han atacado el problema incorporando la capacitación desde el servicio militar (que en ese país es obligatorio), y desde ahí han capacitado a muchísimas personas que posteriormente han desarrollado enormemente la industria de la ciberseguridad, convirtiendo a este país en uno de los líderes indiscutidos a nivel mundial. En el caso de otros países, como por ejemplo, EEUU, han hecho esfuerzos deliberados en inversión e incentivos hacia esa industria, lo que ha dado como resultado el desarrollo de la misma. Chile contempla esto en su PNC.

Chile, incorporando también la cooperación internacional en su PNC reconoce la importancia de esto para el desarrollo del país y para el alcance de los objetivos de la PNC. El ejemplo de Estonia es destacable, puesto que luego de su gran crisis, se convirtió en el país más activo a nivel internacional.

En general, hay que reconocer que la ciberseguridad plantea un escenario que está en constante cambio, y por ende, sus políticas y prácticas deben estar en constante evolución. A medida que los países se enfrentan a nuevos contextos, experimentarán diferentes políticas, leyes y estructuras organizativas para abordar la ciberseguridad y estas diferentes medidas estarán guiadas por la experiencia de estos países. Esta experiencia proporcionará una guía para otros países que no se hayan enfrentado a estos retos, para que puedan elaborar sus propias políticas. Con su PNC, Chile ya se une a los países que registrará su experiencia en estos ámbitos y nosotros, como chilenos, seremos parte de esta historia.