Desde ahora Chile cuenta con un Asesor Presidencial en Ciberseguridad

El pasado viernes 3 de agosto fue designado como Asesor Presidencial en Ciberseguridad, Jorge Atton Palma, quien posee una vasta carrera en la industria de las telecomunicaciones, tanto en el sector público como privado. De acuerdo al comunicado de prensa “desde el Ministerio del Interior y Seguridad Pública, Jorge Atton tendrá la tarea de coordinar con los sectores público y privado las acciones y políticas públicas destinadas a abordar las materias vinculadas a la Ciberseguridad”.

Este nombramiento llega en medio de la batahola causada por incidentes de ciber-inseguridad, que han sido lo suficientemente mediáticos como para instalar el tema de la ciberseguridad en la agenda pública de nuestro país, en las preocupaciones de los empresarios y en la incertidumbre de los usuarios.

Y es que nuestro país se encuentra en un estado inicial respecto el desarrollo en torno a un ambiente de ciberseguridad, y muchas cosas nos resultan nuevas y desconocidas en este ámbito. Afortunadamente, podemos observar el camino recorrido ya de otros países que nos llevan más ventaja, y aprender de aquellos. Es así como se publica en 2017 nuestra primera Política Nacional de Ciberseguridad, que se elabora en acuerdo con estándares internacionales. Es así también como algunos legisladores llevan un tiempo trabajando sobre el tema, preparando proyectos de ley, intentando informar al respecto, y levantando una discusión seria para que nuestro país se encamine hacia un entorno más seguro, y así como desde el Ministerio del Interior vienen trabajando en crear una nueva institucionalidad encargada de la ciberseguridad del país. De hecho, en declaraciones recientes del Senador Felipe Harboe, solicita al Presidente que designe a un delegado presidencial de ciberseguridad:

“Sería bueno que de una vez por todas el presidente Sebastián Piñera designe a un delegado presidencial de ciberseguridad, que se dedique las 24 horas del día a hacer un diagnóstico de la vulnerabilidad de nuestra infraestructura crítica, porque hoy son los bancos, pero mañana puede ser el retail, la industria minera, algún servicio público crítico, los aeropuertos, la defensa nacional, el registro civil, etc”.

“Se necesita una institucionalidad permanente en esta materia y hacer las modificaciones normativas legales y administrativas para revisar las inversiones necesarias, hacer las actualizaciones necesarias para avanzar hacia la digitalización del país, a la bancarización y al sistema informático, se requiere que se haga con la seguridad adecuada que hoy Chile no tiene”

“Hay tantas preocupaciones de la subsecretaría del Interior, migración, emergencias, orden público, gobernaciones, que la verdad es muy difícil que el subsecretario del Interior se dedique 24 horas a esto. Liberemos al subsecretario del Interior para que se dedique a los temas permanentes, y se debe nombrar a un delegado presidencial específico en esto, la situación en Chile hoy es de gravedad (…). Se necesita urgente una institucionalidad especializada en esta materia.”

Estas declaraciones no obedecen a un capricho político. La necesidad del cargo de Atton se hace evidente en el escenario actual y no responde ciegamente a las declaraciones del Senador, sino a los estándares internacionales. Por ejemplo, en The ITU National Cybersecurity Strategy Guide (La Guía del ITU sobre Estrategia Nacional en Ciberseguridad), del ITU (International Telecommunications Union, la unidad especializada de la ONU), los dos primeros elementos de un programa nacional de ciberseguridad son:

1. considerar que los altos líderes de un gobierno son responsables de planear una estrategia nacional de ciberseguridad y lograr la cooperación local, nacional y global en todos los sectores. 

2. Tener un Coordinador Nacional de Cibserseguridad que coordine las actividades a nivel nacional.

En el mismo documento explican que “los líderes de gobierno suelen delegar los deberes en torno a la ciberseguridad a un coordinador nacional de ciberseguridad, quien dirige todas las actividades relacionadas en el gobierno y que el individuo a cargo de esta labor debe entender los asuntos relacionados a la ciber seguridad, ser capaz de dirigir y coordinar los esfuerzos de las instituciones de gobierno y colaborar efectivamente con la industria”, además explican que los programas de ciber seguridad nacional contemplan frecuentemente la creación de una entidad multiagencia que sirve de punto focal para los asuntos relacionados con la ciberseguridad, y nos ofrecen un modelo que consideramos pertinente, pues en este caso, Jorge Atton vendría cumpliendo la función del Punto Focal de Ciberseguridad:

Desde el CCDCOE (Centro de Ciberdefensa Cooperativa de Excelencia) de la OTAN en Estonia  en el National Cyber Security Framework Manual reconocen que dentro del mismo gobierno, no es inusual encontrar múltiples departamentos y agencias que deban encargarse de responsabilidades asociadas a la ciberseguridad en diferentes ámbitos (militar, policial, legal, judicial, comercial, de infraestructura, interior, de inteligencia, telecomunicaciones, etc), lo cual constituye una dificultad para establecer acciones coherentes. Entonces, un gran desafío es mejorar la coordinación entre todos estos actores, y lograr sinergia entre estas instituciones de Gobierno y Estado es una de las metas que mayor esfuerzo requiere, y se puede alcanzar designando a una entidad gubernamental que se encargue de esto.

En este documento explican que se debe alcanzar, por una parte, la coordinación de todo el gobierno, con consideraciones que ya mencionamos, que luego se debe alcanzar la coordinación de toda la nación, incluyendo a los actores individuales, civiles, sector privado, y posteriormente, la coordinación de todo el sistema, lo cual incluiría a gobiernos, naciones, privados y particulares en plural. Para lograr este fin último con estas tres dimensiones, gobierno, nación y sistema, es imprescindible contar con una agencia especializada en el gobierno.

Desde la ENISA (European Network and Information Security Agency), en el National Cyber Security Strategies, Practical Guide on Development and Execution, explican que en el proceso de desarrollar una estrategia nacional de ciberseguridad se debe desarrollar una estructura de gobernanza clara, y que sólo de esta forma, una estrategia nacional de ciberseguridad será exitosa.

Incluso, los dos grandes índices que miden el estado de la ciberseguridad de los países, el Global Cybersecurity Index (GCI) de la ITU (y por ende, de la ONU) y el National CyberSecurity Index (NCSI) de la e-Governance Academy, contemplan como ponderador en sus puntajes, entre otras cosas, la existencia de agencias gubernamentales encargadas de la ciberseguridad. En el caso del GCI, en este respecto, se contemplan la existencia de una “Agencia Responsable”, además de la existencia de CIRTs nacionales, gubernamentales y sectoriales, y en el caso del NCSI, pondera las “unidades establecidas” por el gobierno, como organizaciones, departamentos, etc.

Pues bien, en Chile ya se desarrolló la Política Nacional de Cibserseguridad, y respecto de la institucionalidad necesaria para que ésta se pueda desarrollar, nos dice que “resulta imprescindible para Chile contar con un modelo de gobernanza de la ciberseguridad que se haga cargo de, al menos, desempeñar las funciones que se identifican como esenciales (gestión de relaciones interinstitucionales, gestión de incidentes, funcionamiento como punto de contacto nacional e internacional en este ámbito, función comunicacional, función normativa técnica y asesora en normativa general, función de seguimiento y evaluación de medidas), y que no están siendo abordadas o se ejecutan de manera descoordinada en el país, por lo cual se propone la creación de una institucionalidad que asuma dichas funciones.”

Indica que “El modelo de gobernanza y la estructura organizacional moderna, acorde a las necesidades del ciberespacio y el desarrollo digital del país, será materia de ley a ser preparada y presentada por los actores institucionales responsables de esta materia. Asimismo, se evaluará la creación de un consejo consultivo asesor, de integración multisectorial.”.

La tarea de Jorge Atton, entonces, implicará un gran esfuerzo de coordinación de gobierno y estado, un llamado a la cooperación de todos los sectores del país, y deberá buscar la colaboración de expertos a nivel multisectorial. No será una tarea sencilla, sino más bien compleja, pero sí, llena de oportunidades. En estos momentos Chile se encuentra como una tábula rasa respecto del desarrollo hacia la ciberseguridad, contamos con la experiencia de exitosa de bastantes países de las cuales hay mucho que aprender y hay mucho que podemos utilizar para adaptar a nuestra realidad. Existe un ambiente de mucha voluntad política desde los sectores legislativos, de a poco las empresas van aprendiendo y aceptando la importancia de incluir en sus prácticas a la seguridad informática, y en el país contamos con expertos de renombre y vasta trayectoria en todos los ámbitos de la ciberseguridad. Si bien no será una tarea fácil, y el ambiente en cuanto a las ciber amenazas nunca es el propicio, los stakeholders o interesados en la ciberseguridad están más dispuestos que nunca a cooperar. Celebramos el nombramiento, nos ponemos a disposición y tenemos, como siempre, los dedos en la obra.