Explorando la Nueva Ley de Ciberseguridad en Chile: Un Viaje a la Protección Digital

¿Quiénes se verán afectados por las nuevas obligaciones?

La nueva ley impactará a una amplia gama de organizaciones, y la naturaleza de estas obligaciones dependerá de la industria y los servicios que ofrecen. Desde organismos del Estado hasta proveedores de servicios esenciales, la ley busca garantizar que todas las entidades relevantes cumplan con estándares específicos para salvaguardar actividades, integridad o salud de las personas, economía, funciones del Estado o defensa nacional en caso de un incidente.

Las organizaciones afectadas por esta ley tendrán una serie de nuevas responsabilidades. Éstas incluyen:

1- Medidas Preventivas y Resolutivas: Las organizaciones deben mantener medidas para prevenir, resolver y reportar incidentes de ciberseguridad, que pueden ser de carácter tecnológico, organizacional, físico o informativo.

2- Estándares de la ANCI: Deberán cumplir con los estándares establecidos por la ANCI, los cuales coexistirán con las normativas sectoriales existentes.

3- Sistema de Gestión de Seguridad de Información (SGSI): La implementación de un SGSI se convertirá en una herramienta esencial para crear procesos que aseguren el mantenimiento de medidas efectivas y demuestren el cumplimiento.

4- Planes de Continuidad Operacional y Ciberseguridad: Las organizaciones deberán desarrollar planes formales que incluyan roles, responsabilidades, actividades de preparación, pruebas y lecciones aprendidas.

5- Revisiones y Simulacros: Se requerirá la formalización de programas para fortalecer las capacidades de detección, incluyendo auditorías, escaneos, ejercicios red/blue team, threat hunting, entre otros.

6- Obligación de Informar: Las organizaciones deberán informar sobre incidentes según los protocolos establecidos por la ANCI y el CSIRT Nacional, con plazos específicos para notificación.

7- Capacitación y Educación: Se exigirá la implementación de programas formales de capacitación, formación y educación, con actualizaciones periódicas de materias y segmentación de contenidos por tipos de usuarios.

8- Reporte de Vulnerabilidades: Proveedores de servicios TI del Estado tendrán la obligación de informar vulnerabilidades e incidentes que puedan afectar a los organismos del Estado.

El incumplimiento de estas obligaciones conlleva sanciones importantes para las organizaciones privadas, con montos que van desde 1 hasta 40.000 Unidades Tributarias Mensuales (UTM), dependiendo de la gravedad de la infracción. La ANCI tendrá la autoridad para aceptar o impugnar los cargos por incumplimiento, incluso ofreciendo procedimientos abreviados para pago y descuentos.

Los sectores más afectados por el cibercrimen en Chile son el gobierno, la agricultura, la industria, la salud, la educación, los servicios financieros, el transporte y la prensa.

Consejos para navegar por la nueva realidad de Ciberseguridad

Para las organizaciones que ya están reguladas por normativas sectoriales, gran parte del camino ya está recorrido, aunque deben esperar el desarrollo de las directrices y protocolos por parte de la ANCI. Aquéllas que no están sujetas a regulaciones específicas enfrentarán desafíos significativos, y aquí hay algunas recomendaciones iniciales:

La aprobación de las enmiendas de la Cámara de Diputados al proyecto de Ley sobre Ciberseguridad e Infraestructura Crítica de la Información ha allanado el camino para establecer un marco normativo integral en Chile. Este marco no solo pretende abordar las amenazas cibernéticas actuales, sino también anticiparse a futuros desafíos en el siempre cambiante mundo digital.

Uno de los cambios más destacados es la creación de diversas entidades destinadas a regular y supervisar la ciberseguridad a nivel nacional. La Agencia Nacional de Ciberseguridad (ANCI), establecida como un servicio público descentralizado, jugará un papel crucial al regular, fiscalizar y sancionar el incumplimiento de las obligaciones establecidas por la ley. La ANCI no estará sola; se unirá el CSIRT de Defensa, un equipo de respuesta a ciberataques bajo la jurisdicción del Ministerio de Defensa. Además, el Consejo Multisectorial y el Comité Interministerial trabajarán en conjunto para asesorar y recomendar medidas destinadas a fortalecer la seguridad cibernética a nivel nacional.

La nueva Ley Marco sobre Ciberseguridad e Infraestructura Crítica establece un marco robusto para proteger el tejido digital de Chile. Aunque las organizaciones con regulaciones sectoriales establecidas ya cuentan con una base sólida, aquéllas que no tienen protocolos predefinidos enfrentarán un gran desafío. En un mundo interconectado, la ciberseguridad se vuelve esencial, y esta ley refuerza la capacidad del país para enfrentar riesgos cibernéticos, estableciendo estándares, responsabilidades y promoviendo la seguridad digital a nivel nacional. ¡Prepárense para un futuro cibernético más seguro y protegido en Chile!