Para responder a estas preguntas, conversamos con Felipe Fernández, socio adjunto de Servicios Legales (Law), y Facundo Jamardo, socio líder de Ciberseguridad, ambos de EY.
¿Qué “novedades” destacaría de la nueva Ley Marco de Ciberseguridad?
F. Fernández: La creación de una institucionalidad en ciberseguridad probablemente sea uno de los aspectos más relevantes de la Ley Marco de Ciberseguridad. En este contexto, la nueva normativa no solo crea una Agencia Nacional de Ciberseguridad a cargo de la ciberseguridad nacional, sino que además un Consejo Multisectorial sobre Ciberseguridad, un Comité Interministerial sobre Ciberseguridad y equipos de respuesta a incidentes de seguridad informática, tanto a nivel nacional como sectorial. Este nuevo ecosistema institucional permitirá no solo tener una autoridad guía en materia de ciberseguridad, sino que permitirá coordinar tanto al sector público como privado en aspectos tan críticos como lo es el debido resguardo de la información. Obviamente, la imposición de una serie de deberes a nivel técnico, formativo y regulatorio también destacan respecto de aquellas entidades que en definitiva presten servicios esenciales en los términos indicados en la ley o que en el futuro la Agencia Nacional de Ciberseguridad pueda calificar como tales.
A su juicio, ¿qué significa esta nueva ley?
F. Jamardo: Esta ley marco hace mención explícita a las empresas que brindan servicios de telecomunicaciones, servicios e infraestructura digital y servicios gestionados de TI. Esta mención viene de la mano con la obligación de incorporar capacidades que aseguren la continuidad en la provisión de sus servicios junto con medidas sólidas de seguridad que minimicen el impacto que pueden causar los ciberataques, algo que últimamente hemos visto que puede ser devastador.
Implementar estas medidas obligarán a la industria a incrementar su nivel de madurez en cada aspecto de la gestión de ciberseguridad y, en especial, en la gestión de incidentes y resiliencia de los servicios.
¿Cómo cambia esta ley la perspectiva de las empresas sobre la ciberseguridad?
F. Jamardo: Todas las organizaciones que presten servicios esenciales y más aún aquellas que presten servicios de importancia vital, deberán actualizar sus estrategias de ciberseguridad para contar con reales capacidades que permitan gestionar la ciberseguridad de forma adecuada, incluyendo el establecimiento de un sistema de gestión de ciberseguridad (SGSI, o “Information Security Management System”, en inglés). Este debe ser implementado de forma tal que deje un registro claro de la ejecución de las actividades que define, implementar planes de continuidad de operación que sean efectivos y estén probados de forma periódica, implementar medidas de ciberseguridad que aseguren la protección de los activos y la información que gestionan, establecer programas sólidos de gestión de incidentes que estén fuertemente coordinados con los centros de respuesta a incidentes nacionales y sectoriales, capacitar a sus empleados y certificar las medidas de seguridad implementadas a través de mecanismos que establecerá oportunamente la Agencia Nacional de Ciberseguridad.
En ciberseguridad, ¿qué falta en términos de normativas y legislación en Chile?
F. Fernández: Si nos centramos en la propia Ley Marco de Ciberseguridad existen una serie de definiciones o especificaciones que quedan relegadas a un reglamento que deberá dictarse que, en definitiva, complementará desde el punto de vista normativo una serie de principios o deberes generales establecidos en la propia ley. Asimismo, será necesario esperar las directrices que dé la Agencia Nacional de Ciberseguridad que permitan ir cerrando ciertos vacíos o dudas que puedan ir surgiendo tanto del sector público como privado en materia de seguridad de la información.
Por otra parte, y ya fuera de la Ley Marco de Ciberseguridad, el ecosistema de la protección de información sigue estando de cierta forma “cojo”, mientras no se publique la nueva regulación en materia de datos personales que, si bien se encuentra en la recta final de su discusión parlamentaria, lleva varios años en el Congreso. Aún dictada dicha ley, aún deberán resolverse situaciones prácticas como lo es la competencia de las autoridades que, ante un incidente de seguridad, serán quienes conocerán y resolverán una determinada situación. Es el caso, por ejemplo, de la industria financiera, la que ante un incidente de seguridad que afecte datos personales deberá definir si la instancia competente será la Agencia Nacional de Ciberseguridad, la Agencia Nacional de Datos Personales o la Comisión para el Mercado Financiero.
