La existencia de amenazas, de posibles riesgos y brechas de seguridad en los sistemas de información gestionados vía redes, es un contexto conocido y abordable. Y debe hacerse siempre preventivamente para ser diligentes, donde las mejores prácticas y los catálogos de medidas de seguridad que pueden adoptarse, para minimizar lo más posible los riesgos, también son conocidos. De acá la importancia de capacitarse y certificarse, por ejemplo, en los estándares ISO 27001 y similares. Hoy en concreto se volvió de la mayor importancia la ISO 27771, referida al sistema de gestión de privacidad de la información y que, por apoyar el cumplimiento del RGPD europeo y ser una extensión de la ISO 27001, jugará un rol potente en Chile con la nueva Ley de Protección de Datos Personales.
Si se opera en el sector privado -y lo hemos visto en empresas de apoyo al giro bancario, en bancos y en grandes compañías de seguros-, no es lo mismo que en el ámbito de los servicios públicos, donde hoy corresponde colaborar. En ambos debe asegurarse una adecuada gestión del riesgo, pueden visualizarse los mismos incidentes de interrupción, de interceptación o de modificación y pueden trabajarse, conceptualmente, las dimensiones de confidencialidad, integridad y disponibilidad.
Una primera diferencia es que en los servicios públicos el cómo hacerse debe regularse y establecerse expresamente en leyes, reglamentos, normas técnicas complementarias e instrucciones específicas “de Derecho Público”, donde solo se hace aquello que está expresamente establecido y permitido. Una segunda diferencia es que los órganos del Estado siempre serán legalmente responsables, sin importar que los perjuicios de una brecha de seguridad sean de mayor o menor cuantía. Una tercera es que los servicios públicos siempre deberán denunciarlas, a pesar del daño reputacional que ello signifique; y la cuarta, es que las responsabilidades administrativas (o funcionarias) que determine el gran fiscalizador -la Contraloría General de la República-, las civiles -si un ciudadano demanda perjuicios- o incluso las penales -si dolosamente un funcionario comete una conducta constitutiva de un delito informático-, concurren copulativamente.
En concreto, lo anterior explica lo que ha ocurrido con el hackeo de la base de datos de Clave Única, con el acceso y sabotaje a los sistemas del BancoEstado, con la brecha de seguridad de los servidores del Minsal o del Servel y, hace poco, con los sistemas del Sernac. Resulta más preocupante si, en el sector privado, que -por ejemplo- Latam haya almacenado y gestionado fuera de Chile la información nominativa y comercial de los afiliados (hubo ahí una cesión internacional de un Derecho Fundamental), que la información haya sido hackeada en los servidores de la red SITA, que gestiona la información y las reservas de los pasajeros y que -para aminorar el impacto reputacional- Latam informara que se trató de una brecha externa a sus sistemas y que no le era imputable.
¿Cuál es el deber?
Para el sector público entonces, el deber de preventivamente adoptar medidas de seguridad, sean técnicas o administrativas como determinan normas europeas y una futura ley chilena, considerando el estado actual de la tecnología idónea y los costos de aplicación, es un ineludible que debe, proporcionalmente, incluirse en los presupuestos, en vista a asegurar preventivamente confidencialidad, disponibilidad, integridad e inclusive autenticidad, trazabilidad y resiliencia de sus sistemas.
Y el trabajo que debe hacerse es levantar -rigurosamente, para cada servicio público en específico y con bajadas muy concretas- cuáles son, todas, las normas jurídicas generales y especiales vigentes que determinan cómo hacerlo, porque no todos tienen la misma envergadura institucional ni gestionan la misma información, y solo algunos cargan el peso de robustas exigencias de confidencialidad. Ayuda a lo primero la página del csirt.gob.cl, pero ideal, si además se proyecta y anticipa el escenario futuro con las normas que están en curso de aprobarse (léase Norma Técnica de Ciberseguridad asociada a la Ley 19.880, exigencias de la futura Ley 19.628, la Ley Marco sobre Ciberseguridad e Infraestructuras Críticas, etc.).
Ya se ha dicho que inquieta leer de especialistas y empresas consultoras en ciberseguridad y protección de datos personales, que la legislación actual es un impedimento para dar cumplimiento a la protección del Derecho Fundamental de tutelar los datos personales o -en general- a las obligaciones relativas a la ciberseguridad. Es otro error haber depositado la importancia del tema en la nueva Ley de Delitos Informáticos (21.4549), porque que existan establecidas conductas más depuradas a sancionarse con privación de libertad nunca ha sido una limitante o un freno para quien comete un delito, en un ámbito donde la zona oscura es norma. Y es una negligencia mayor que los servicios públicos no hayan implementado un Decreto Supremo N°83 del año 2007 plenamente vigente, pero claro, no existe un órgano que sistemática y periódicamente fiscalice su cumplimiento.
El dato concreto es que a esta fecha en Chile están establecidas -claramente- múltiples responsabilidades y obligaciones, para eventuales “data breach” que signifiquen el acceso indebido a información personal de los chilenos. Ellas se pueden optimizar y especificar, se trabaja en eso, se busca por ejemplo como robustecer técnica (y normativamente) los sistemas de PKI de firmagob.cl para respaldar la integridad, la autenticación y el no repudio de la firma de documentos públicos, pero el andamiaje de Derecho Público vigente y relacionado con la seguridad y la ciberseguridad de servidores y redes tiene múltiples herramientas jurídicas para hacerse cargo de vulnerabilidades y, en especial, sancionar negligencias.
¿Otro ejemplo?
A propósito de la confidencialidad, entre otras varias normas jurídicas, la LGBAE establece la responsabilidad objetiva o por riesgo; el DS 83 obliga al resguardo de la información crítica basado en un enfoque de gestión de riesgos; la Ley 19.799 permite la encriptación y la aplicación de diversas medidas técnicas para asegurar los efectos propios de una firma electrónica avanzada y encriptar un documento; las leyes orgánicas propias de cada servicio u órgano del Estado establecen obligaciones de secreto, tales como el secreto estadístico y el secreto tributario, entre otros; la NCh oficial del INN publicó la ISO 27001-2013; y la Ley 19.628 establece responsabilidades por el tratamiento confidencial de datos personales en el sector público.
No es menos cierto, que cuando órganos públicos sin competencias específicas para luego fiscalizarlas dictan normas administrativas y que distorsionan exigencias, deberes, responsabilidades y objetivos, el camino se hace pedregoso. Es el caso del Consejo de Transparencia, cuando invoca por ejemplo “necesidades derivadas de la pandemia” y realiza su customización propia de las Normas ISO 27001 y 27002.
Pero a la espera de la Agencia Nacional de Ciberseguridad, lo cuestionado sirve para dimensionar la importancia de contar a la brevedad con una autoridad de control especializada, que tenga los conocimientos técnicos necesarios para velar por la protección de la data de los SGSI de los servicios públicos.
