Recientemente entró en vigencia en nuestro país la Ley Marco de Ciberseguridad, la cual no solo regula servicios públicos y privados en esta área, sino que también establece nuevas normativas para las empresas esenciales.
Para Narciso Basic, Business Information Security Officer de Equifax e integrante del Comité Ejecutivo de la Alianza Chilena de Ciberseguridad, la legislación llega en un momento crucial, pues los ciberataques ya no se limitan a la vulneración de datos, sino que también pueden afectar a infraestructuras críticas.
“Hoy los ciberataques no solo afectan las Tecnologías de la Información, sino que también ponen en riesgo las Tecnologías de la Operación. Anteriormente un ciberdelincuente secuestraba datos, pedía un rescate y el incidente no tenía mayores consecuencias. Sin embargo, en la actualidad, pueden intervenir con una planta de generación eléctrica, o un sistema de acceso a la salud, y son capaces de parar toda la actividad económica de un país, de ahí la importancia de la nueva ley”, recalca Basic.
“Durante 2023 vimos vulneraciones a servicios básicos, como una paralización en la página de Fonasa, sistema en el que, recordemos, está casi el 80% de los habitantes del país, y también intermitencias en la plataforma Mercado Público, clave para avanzar en las licitaciones estatales”, agrega el experto.
Servicios esenciales
La nueva normativa crea una legislación marco de ciberseguridad con la instauración de la Agencia Nacional de Ciberseguridad (ANCI), que será el organismo rector de la ciberseguridad, fijará la normativa técnica, fiscalizará y podrá aplicar multas de hasta 40 mil UTM ($2.600 millones), y además se encargará de dictar protocolos y estándares para prevenir, reportar y resolver incidentes de ciberseguridad o ciberataques.
Estas normas regularán el funcionamiento en los Servicios Esenciales (SE) y los Operadores de Importancia Vital (OIV), estos últimos, prestadores de dichos servicios esenciales.
Asimismo, la ANCI regulará, fiscalizará y sancionará las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad. Contará, además, con un mecanismo de autorización judicial en caso de que la Agencia requiera acceder a una red o sistema informático.
Los servicios esenciales contemplados en la legislación y que serán protegidos por ley incluyen a todos los organismos de administración del Estado y el Coordinador Eléctrico Nacional; y los servicios prestados bajo concesión de servicio público. También a aquellos prestados por instituciones privadas bajo concesión de servicio público en los siguientes sectores: Generación, transmisión o distribución eléctrica; Transporte, almacenamiento o distribución de combustibles; Suministro de agua potable o saneamiento; Telecomunicaciones; infraestructura digital; Servicios digitales y tecnología de la información gestionados por terceros; Transporte terrestre, aéreo, ferroviario o marítimo; Banca, servicios financieros y medios de pago; Administración de prestaciones de seguridad social; Servicios postales y de mensajería; Prestación institucional de servicios de salud; Producción y/o investigación de productos farmacéuticos.