Chile es un país que da la apariencia de resolver sus problemas, sean triviales o profundos, gracias a las leyes. Sin embargo, eso no siempre resulta, sobre todo en temas tecnológicos, cuando al poco andar nos damos cuenta de la falsedad de esa imagen. Hay problemas que no se “solucionan” cuando una autoridad anuncia ante los medios que presentará un proyecto de ley para proteger los datos personales. Tampoco es garantía cuando las leyes demoran décadas en dictarse o actualizarse, como ocurre con toda nuestra legislación informática que tiene más de 20 años sin corregirse.
Y no olvidemos que hay leyes que se negocian en el Congreso con los grupos económicos de presión al extremo de arrojar resultados muy distintos a los esperados, como en propiedad intelectual o en firma electrónica.
Frente a ello, es importante preguntarnos si, desde el punto de vista de la ciberseguridad, contar con una ley que la regule es la mejor salida. ¿Qué deberíamos esperar de una ley de este tipo? ¿Qué mensajes erróneos se están dando?
¿Capacidad de reacción?
La Política Nacional de Ciberseguridad aprobada para el período 2017-2022, efectivamente considera la dictación de una ley sobre el tema. Sin embargo, el nombre de esta puede ser más ambicioso que su propio alcance. Esa ley tendría que apuntar solo a la institucionalidad y al modelo de gobernanza, entregando facultades y competencias legales específicas para algunos Ministerios. No más -ni menos- que eso.
No trataría, por tanto, sobre la gestión misma de la ciberseguridad, sobre las medidas que deben implementarse ni las responsabilidades asociadas frente a incidentes. No obstante, igualmente sería útil para efectos de coordinación público-privada y para facilitar respuestas eficaces frente a incidentes, especialmente en infraestructuras crí- ticas de información. Sin embargo, no entregaría soluciones ante las amenazas en ciberseguridad ni tampoco sería “la” normativa sobre el tema.
De hecho, regular la ciberseguridad a través de leyes puede no ser la mejor vía. Si vamos a la definición de ciberseguridad que se considera, la Política Nacional se trata de “una condición caracterizada por un mínimo de riesgos y amenazas a las infraestructuras tecnológicas, los componentes lógicos de la información y las interacciones que se verifican en el ciberespacio, como el conjunto de políticas y técnicas destinadas a lograr dicha condición”.
Es, por tanto, una mirada más específica dentro de la seguridad de la información, ligada a aspectos más técnicos y cambiantes, ocurridos en el ciberespacio. Por ello, la regulación a través de una ley se podría transformar en un cuerpo pesado, incapaz de reaccionar con rapidez y que estaría miope frente a la realidad particular de cada organización.
Por otra parte, la técnica legislativa para regular temas tecnológicos debe respetar el principio de neutralidad, es decir, debe apuntar hacia los efectos esperados de una tecnología o a las limitaciones que se quiera imponer a esta, más que referirse a sus detalles particulares. Por ejemplo, una ley no debería sancionar como delito la técnica específica del “phishing”, porque si ese fraude cambia de metodología, la norma quedaría obsoleta. Más bien, la ley debe describir la conducta general que se quiere evitar, esto es, prohibir la captura de datos indebidamente, mediante engaños u otras defraudaciones. Así, si el phishing se reemplaza por otra técnica, la ley puede seguir aplicándose.
Un conjunto de normas y leyes
A partir de lo anterior, podemos adelantar que la normativa de ciberseguridad no puede estar compuesta exclusivamente de leyes, porque sería una regulación sin la flexibilidad y capacidad de adaptación requerida frente al cambio tecnológico y porque difícilmente podría respetar la neutralidad. Por el contrario, ni siquiera debemos esperar a que se dicten leyes de ciberseguridad para tomar medidas de protección. Hacerlo es prácticamente un deber dentro de la gestión de las instituciones.
En este punto resulta clave utilizar formas de regulación según su eficacia. Primero, están los contratos que se pacten. A través de ellos se pueden lograr objetivos de ciberseguridad concretos en las organizaciones. Por ello destacan las cláusulas que comprometen SLAs para respuestas ante incidentes, licenciamiento de aplicativos de seguridad y contratación de controles de evaluación de vulnerabilidades, como un ethical hacking, por ejemplo. En fin, las propias organizaciones pueden contemplar dentro de sus acciones de ciberseguridad, el contar con contratos tecnológicos que aborden escenarios de riesgo propios del ciberespacio.
Otra fuente normativa para el ciberespacio la encontramos en reglamentos, decretos, resoluciones y circulares de órganos administrativos, principalmente fiscalizadores de sectores regulados, en donde suelen determinarse los resguardos mínimos que hay que seguir. Por ejemplo, establecer modelos de prevención de incidentes y cumplir medidas de “due diligence” con eventuales proveedores.
En tercer lugar, también es parte de la normativa de ciberseguridad un extenso abanico de estándares técnicos internacionales que sirven para aterrizar el tratamiento de riesgos del ciberespacio en la gestión de los procesos de las organizaciones. Es tal la importancia actual de las normas o estándares técnicos con los que se autorregula una industria, que, por ejemplo, algunas normas ISO u otras se transcriben bajo la forma de decretos o reglamentos para exigirse obligatoriamente.
Por último, la ciberseguridad también se regula mediante la propia tecnología, desde el diseño de esta y los controles lógicos que se puedan implementar. Por ejemplo, basta pensar en el gran aporte de la privacidad desde el diseño de aplicativos y su protección por defecto. Sería un enorme avance en ciberseguridad el que las propias infraestructuras tecnológicas y los componentes lógicos de información vinieran ya configurados desde un inicio para hacer frente a ciberamenazas.
Por lo tanto, ¿necesitamos una ley de ciberseguridad? Si la vemos como una única gran ley marco, creo que no, que sería un error de técnica legislativa. En cambio, si la vemos como un conjunto de normas, entre las cuales existan leyes para temas puntuales que inciden en la ciberseguridad, claramente encontramos valor a la ley.
En efecto, esas leyes temáticas, en materia de protección de datos personales, identificación digital y ciberdelincuencia, son esenciales para el reconocimiento de derechos de las personas frente a abusos, ciberataques, ciberdelitos y como garantía ante los excesos que se puedan cometer en nombre de la ciberseguridad, tanto por particulares como por el propio Estado.
