Ley Marco de ciberseguridad: ¿Cómo nos estamos preparando? 

La tecnología avanza exponencialmente y sin descanso. En el 2006 -hace no mucho- Nokia lanzó su primer teléfono celular con GPS integrado, al año siguiente Apple estrenó el primer iPhone, y hoy ya contamos con celulares que tienen asistentes de voz virtuales integrados basados en inteligencia artificial como Siri o el asistente de Google.

Estar hiperconectados es inevitable, el uso de la tecnología en nuestro día a día es cada vez más común por lo que la ciberseguridad se ha convertido en un tema de máxima relevancia en todo el mundo.

Chile no es la excepción, y la protección de nuestros sistemas, infraestructura y datos se ha vuelto crucial para preservar no solo el bienestar de los ciudadanos sino que también la seguridad nacional. En este sentido, el gobierno de Chile tiene un papel fundamental que desempeñar en la implementación de políticas y regulaciones sólidas en materia de seguridad digital y protección de datos. Hoy existen dos pilares fundamentales en esta tarea: La Política Nacional de Ciberseguridad y el proyecto de Ley Marco de Ciberseguridad, aunque aún sólo son un punto de partida.

La Política Nacional de Ciberseguridad, promulgada inicialmente en 2017, establece una visión integral para abordar los desafíos en esta materia para Chile. Esta nueva versión de la política, gira en torno a cinco ejes: contar con una infraestructura resiliente preparada para resistir y recuperarse en caso de un incidente ciberseguridad, proteger los derechos de las personas en internet, la importancia de la educación y concientización de la sociedad en general, la necesidad de una acción coordinada entre los sectores público y privado, como también a nivel internacional; fomentar la industria de la ciberseguridad y la investigación en esta materia.

Esta política es un documento bastante robusto, del que orgullosamente participamos en su creación y en la cual se fijaron una serie de objetivos en su versión inicial para el 2022. En su mayoría, estos propósitos se han cumplido: existe más conciencia de Ciberseguridad en las empresas privadas, públicas y, en general, en la sociedad; también se han impulsado una serie de acuerdos firmados entre entidades públicas y entidades privadas de diferentes rubros respecto a la materia y el CSIRT (Centro de Respuesta Ante Incidentes) elaboró un conjunto de documentos, procesos y playbooks que ayudan a manejar, por ejemplo, un incidente de ciberseguridad o saber cómo identificar un phishing.

Pero en la práctica día a día seguimos viendo cómo distintas organizaciones de gobierno, ciudadanos, empresas privadas y organizaciones militares en Chile son víctimas de ataques como Phishing, secuestro de información (Ransomware) y ataques a sitios web.

Nuestro país es un blanco fácil para hacktivistas, cibercriminales y grupos de hackers patrocinados por otros gobiernos. Aunque hemos avanzando y seguimos siendo un referente en Latinoamérica en materia de ciberseguridad, es urgente que se trabaje más en estos mismos ejes que propone la política, porque hoy hablamos de Phishing y Ransomware donde los principales afectados en términos de números son el gobierno y las entidades financieras, pero mañana estaremos hablando de ataques a Infraestructura crítica como plantas de gas o de energía eléctrica que puede afectar directamente la vida de las personas.

Por otro lado, el proyecto de Ley Marco de Ciberseguridad, aprobado recientemente en el Senado, proporcionará un marco legal mucho más sólido para abordar los desafíos de la ciberseguridad en el país. La legislación establecerá las bases para la protección de la infraestructura crítica, la gestión de incidentes cibernéticos, la promoción de buenas prácticas en seguridad digital y dentro de sus ejes más importantes está la creación de la Agencia Nacional de Ciberseguridad que tiene como objetivo asesorar al Presidente en este tema y coordinar las distintas instituciones a cargo de la ciberseguridad del país.

Esta ley, a pesar de contener muchos temas similares a los planteados por la política, logra abordarlos de mejor manera al destinar un presupuesto para su implementación y, al ser una ley, sanciona y genera consecuencias en caso de incumplirse. Así, no queda solo en una declaración de buenas intenciones y lineamientos generales como lo es hoy la política.

Si bien es muy favorable que exista un presupuesto asignado para que se cumpla la Ley Marco de Ciberseguridad no basta solo con eso. Para que cualquiera de las iniciativas, lineamientos y leyes, actuales y futuras, sean efectivas en la práctica, debe existir una fiscalización real amparada por sanciones estrictas para quienes no cumplan y que no se transforme en una figura similar a la del SERNAC, que tiene pocas herramientas para perseguir a los infractores cuando no es un caso mediático o tiene pocos afectados. 

También es necesario considerar la escasez de profesionales de ciberseguridad que existe hoy en Chile, los que en la mayoría de los casos no están realmente entrenados, careciendo muchas veces de conocimientos fundamentales de informática y poca práctica real. Va a ser fundamental implementar un plan de capacitación y entrenamiento profesional que los prepare para apoyar el cumplimiento de estas políticas y leyes.

Por último, debemos entender que este compromiso del Gobierno con la ciberseguridad tendrá un fuerte impacto en el sector privado. En ese sentido, también cabe preguntarse cómo abordarán las empresas la transformación normativa que está por delante, entendiendo que esto se traducirá en la creación o consolidación de un entorno más robusto, que se enfoque en la protección de los activos informáticos de las organizaciones, pero también para que sean más resilientes cuando se enfrente a un incidente.

Lo más razonable es que el sector privado sea proactivo y evalúe, lo antes posible, los cambios que va a generar esta la Ley en su cultura organizacional y en la distribución de sus presupuestos, porque una vez que sea aprobada, ya no habrá mucho más tiempo para reflexionar sobre la importancia de la ciberseguridad, sino solo para cumplir lo que allí se establece.