La nueva legislación crea la Agencia Nacional de Ciberseguridad (ANCI), que tendrá como responsabilidad la regulación, supervisión y aplicación de sanciones a los organismos públicos y privados que proporcionen servicios esenciales, como salud, seguridad, suministro de energía, agua, combustibles, transporte, y los servicios bancarios y financieros, entre otros.
La adecuación de las organizaciones a estas normativas implica un conjunto de acciones estratégicas que deben llevarse a cabo para alinearse con los lineamientos de la Ley Marco de Ciberseguridad, la cual comenzará a ser obligatoria en marzo de 2025.
Con la implementación de la Política Nacional de Ciberseguridad, las empresas deben comenzar a tomar medidas inmediatas para cumplir con los requerimientos establecidos. Aquellas que no lo hagan podrían enfrentar sanciones económicas que varían entre 10.000 y 40.000 UTM.
“Dado el aumento de las amenazas cibernéticas, es esencial que las empresas protejan sus activos críticos: sistemas, datos, redes y hardware. Adaptarse a la normativa no solo es una obligación legal, sino también una medida crucial para fortalecer la resiliencia digital de las organizaciones”, señala Alejandra Acuña.
¿Qué accionar tomar?
1) Evaluar si la empresa es un servicio esencial: Determine si la empresa pertenece a un sector esencial, ya sea público o privado, que brinde servicios básicos para el funcionamiento normal del país, tales como banca y servicios financieros, telecomunicaciones, electricidad, agua potable, saneamiento y transporte, entre otros.
2) Análisis y plan de gestión de riesgos de ciberseguridad: es esencial para identificar, evaluar y mitigar los riesgos relacionados con los sistemas de información, los datos y la infraestructura tecnológica con el propósito del documento, como reducir la exposición a riesgos y garantizar la continuidad del negocio.
3) Planes ante incidentes: Desarrollar estrategias sólidas y actualizadas para responder a tiempo a situaciones de riesgo digital. Según la experta, la capacidad de reaccionar rápidamente es crucial para mitigar posibles daños y minimizar el impacto, protegiendo la información vital de la empresa y el servicio al cliente.
4) Educación y capacitación: Formar y capacitar a los empleados sobre el alcance de la Ley, así como ofrecer entrenamientos para abordar amenazas y ejecutar acciones preventivas.
5) Alineación de protocolos: Asegurar que los protocolos de seguridad informática estén alineados con los requisitos establecidos por la Ley.
6) Simulaciones de crisis: Implementar ejercicios de simulación de crisis al menos una vez por semestre para fortalecer la capacidad de respuesta ante ciberataques. Estos ejercicios deben incluir escenarios en los que los atacantes utilicen como vector de entrada los medios de comunicación dirigidos a los empleados de la organización.
7) Certificaciones: Obtener las certificaciones nacionales e internacionales, que den cuenta del cumplimiento de normativas y estándares en ciberseguridad.
8) Transparencia con los afectados: Informar de manera clara a los posibles afectados sobre cualquier incidente relacionado con ciberataques que pueda comprometer el acceso a redes, sistemas informáticos o datos personales.
9)Delegado de ciberseguridad: Nombrar a un encargado de ciberseguridad, responsable de comunicar a la autoridad competente sobre cualquier eventualidad en este ámbito.
La nueva Ley obliga a las empresas a reportar incidentes de ciberseguridad en un plazo máximo de tres horas desde su detección, además, habrá un régimen sancionatorio para las empresas que no cumplan con la normativa.
