• Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional

Diario Constitucional Diario Constitucional

Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional
Viernes 19 de Abril de 2024

Contrapuntos

Ciberseguridad en Chile.

En el último tiempo ha estado en la palestra pública la deficiencia en ciberseguridad que tiene nuestro país, en especial, diversas instituciones y poderes del Estado, por mencionar entre algunas de ellas, el Poder Judicial, Servicio Nacional del Consumidor, Estado Mayor de la Defensa Nacional. Los distintos hackeos y vulneraciones a las bases de datos de las instituciones públicas y poderes del Estado ha significado una exposición a extorsiones, filtraciones de información importante para la seguridad nacional y/o demás acciones por parte de organizaciones y bandas delictuales. Respecto de la materia, el día 20 de junio de 2022 se publicó en el Diario Oficial la Ley Nº 21459, que se remite a establecer y tipificar distintas conductas y hechos como constitutivos de delitos informáticos. Conjunto con la norma mencionada, en el mes de marzo del presente año 2022, el gobierno del expresidente Sebastián Piñera ingresó un proyecto de ley (Boletín N° 14.847-06) que pretende establecer un marco sobre ciberseguridad e infraestructura crítica de la información. Al respecto, responden las siguientes preguntas el senador de la República, Kenneth Pugh y la presidenta de la Alianza Chilena de Ciberseguridad, Yerka Yukich.
Kenneth Pugh

Por Jaime Vergara Ramírez, Universidad Central de Chile.

1.- ¿Cómo considera que está el actual panorama de las instituciones públicas con la legislación vigente respecto a la ciberseguridad?

No solo las instituciones públicas sino que Chile entero está en un nivel de madurez según las mediciones efectuadas por la Organización de Estados Americanos (OEA) los años 2016 y 2020 usando el Modelo de Madurez de Capacidades de Ciberseguridad de Naciones (CMM) desarrollado por la Universidad de Oxford. En este estudio estamos entre el nivel 2 y 3 de los 5 niveles considerados, por lo que podemos decir que nos encontramos en un nivel de madurez en ciberseguridad “intermedio” que es mucho más bajo que la medición de digitalización del país por la gran y potente infraestructura digital que posee, a la que le urge se incorpore mayor seguridad digital.

El sector público al igual que el de las Pymes es el más atrasado, dado se han digitalizado pero no han sido capaces de mantener al día sistemas actualizados con sus sistemas operativos al día y últimas versiones instaladas, junto con los cursos y conocimientos requeridos en las personas que administran los sistemas.

2.- De los casos mencionados anteriormente y de los demás que se han conocido, ¿cuáles han sido las mayores deficiencias y/o negligencias en que han incurrido las distintas instituciones públicas en sus casos particulares?

En general el común denominador de los últimos ataque ha sido la falta de actualización de versiones de programas, de versiones de sistemas operativos o instalaciones de correcciones a vulnerabilidades encontradas.

Esto en gran medida se debe a que cuando se compran los computadores no se considera en el costo de ciclo de vida de estos equipos los costos asociados al mantenimiento de las licencias e incluso la renovación de equipos (Hardware y Software).

3.- Desde su experiencia y conocimiento, ¿cree que deba existir una legislación única que se haga cargo de toda la ciberseguridad de todos los servicios, instituciones y poderes del Estado o estos deben contar cada uno por sí mismo y separados del resto con su propia normativa u otras vías jurídicas (reglamentos, decretos, etc) que regulen sus sistema de ciberseguridad?

En mi experiencia y basado también en la fe que profeso, concuerdo con los que señalan que “la salvación es individual”. Tal como cada persona le responde a Dios de sus actos, en ciberseguridad cada persona debe responder de sus actos por ser la primera y la última fila de defensa de la organización. En sistemas de alerta estratégica y defensivos por otro lado, el peor error consiste en jerarquizar los sistemas y que estos dependan de una sola cabeza, porque esta puede ser capturada y se captura a toda la organización o  si se destruye, se afecta toda la organización.

En Ciberseguridad la mayor fortaleza la brindad un “sistema de sistemas” lo cual es un sistema complejo, con múltiples vinculamientos y relaciones de distintas naturalezas.

La ley de gobernanza que se está discutiendo en el Senado señala la necesidad de contar con una nueva Agencia Nacional de Ciberseguridad, con su propio CSIRT, vinculada con otros CSIRT como el de la Defensa y de los sectores críticos.

Esta Agencia sólo fija la norma para los terceros involucrados y dispone de mecanismos para verificar su cumplimiento, pero no es la responsable de la protección de los activos de información. Cada organización debe establecer su cultura de seguridad digital y de la información y proteger aquellos aspectos que su matriz de riesgo les indique.

4.- ¿Cuáles son los principios y demás elementos que considera debe contar toda norma que regule la ciberseguridad de instituciones públicas?

Son varios los principios ya considerados en el proyecto de ley que se debate en el senado: Responsabilidad, Protección Integral, Confidencialidad de los Sistemas de Información, Integridad de los Sistemas Informáticos y de la Información, Disponibilidad de los sistemas de Información, Control de Daños.

A estos les agregaría algunos más. Por ejemplo al de la “integridad de la información” le agregaría el de la “trazabilidad” y así se podría considerar el principio de la “interoperabilidad” que garantice la “certeza jurídica” de los actos digitales que ocurran.

También consideraría la “Robustez” como un principio basado no solo en las capacidades de los elementos técnicos sino de los conocimientos de las personas y la “Resiliencia” tan necesaria en caso el sistema se caiga, volver a operar normalmente en un plazo mínimo de tiempo.

Por último agregaría el principio de “no obsolescencia tecnológica” para asegurar mantener equipos y programas al día, contado con financiamiento para sus compras de forma recurrente.

5.- Con respecto a la pregunta anterior, ¿considera que el proyecto de ley que se está tramitando (Boletín N° 14.847-06), cumple con sus expectativas en ciberseguridad para las instituciones, servicios o poderes del Estado?

Creo que es un muy buen inicio, que debe perfeccionarse en el proceso de discusión en particular de las indicaciones que lo haremos en sesión de una comisión unida de Defensa y Seguridad. Se deben simplificar algunos aspectos, se deben agregar otros que dicen relación con la ley que regula el sistema de Inteligencia del Estado para considerar la ciberinteligencia. Se debe abordar la protección de toda la infraestructura crítica que garantice los servicios esenciales que requieran los

Ciudadanos y se debe agregar la formación de nuestro instituto nacional de ciberseguridad, de forma descentralizada y se ha propuesto a Valparaíso.

6.- Respecto al derecho comparado, ¿qué legislación extranjera o sistema de ciberseguridad extranjero se acerca más a lo que usted considera óptimo y por qué?

En el mundo existen diversos sistema y sistemas jurídicos, pero evaluándolos en su contexto general de forma sistemática, el que considero mejor es el español, porque tiene todo un ecosistema asociado. Posee un centro de respuesta a incidentes que hace además ciberinteligencia el CCN-CERT, que ha desarrollado una serie de productos digitales y sondas que reportan de forma automáticas (todos ellos con nombre de mujer como Carmen, Reyes, Lucia, Pilar, etc). Se conecta con otros centros como el de la Ciberdefensa que se encarga del sector militar. Cuentan con una Agencia de Protección de Datos personales hace más de 30 años y un Instituto Nacional de Ciberseguridad (Incibe) en León a 348 km al norte de Madrid (descentralizado) que además de generar conocimiento, se hace cargo de la protección de Infraestructura Crítica junto con el Centro Nacional de Protección de Infraestructura Crítica (CNPIC).

España es uno de los mejores países del mundo en Ciberseguridad. Ocupa el lugar número 5 de acuerdo al índice de ciberseguridad de naciones unidas (ITU) y es reconocido por EEUU como el país más avanzado en colaboración público privada siendo un ejemplo el nuevo centro de Operaciones de Ciberseguridad (COC) que el actual gobierno de misma sensibilidad que el nuestro decidió adjudicar a las empresas Indra y Telefónica externalizando la gestión de personas, el área más crítica de todo el sistema. Me gusta mucho este ecosistema porque se acerca a nuestra cultura y es en castellano.

 

 

 

 

 

 

Yerka Yukich

1.- ¿Cómo considera que está el actual panorama de las instituciones públicas con la legislación vigente respecto a la ciberseguridad?

Para organizaciones gubernamentales, donde una inversión debe ser debidamente justificada, o en una institución privada que posea infraestructura crítica, es decir, empresas que son esenciales para el funcionamiento de una sociedad (transporte público, generación, distribución y transmisión eléctrica, agua, entre muchas otras), esta ley, junto con la creación de una agencia nacional de ciberseguridad, acelerará el perfeccionamiento de la gobernanza en ciberseguridad, transformándola en un pilar fundamental, como es la seguridad física tradicional. Esperamos entonces que termine transformándose en una política de Estado a largo plazo.

2.- De los casos mencionados anteriormente y de los demás que se han conocido, ¿cuáles han sido las mayores deficiencias y/o negligencias en que han incurrido las distintas instituciones públicas en sus casos particulares?

En ambos casos los ataques fueron a tecnología on premis, quiere decir tecnología local que no tiene la protección ni los estándares de la nube pública.

Es esta misma línea es muy interesante destacar que el gobierno ucraniano comenzó un plan de migración acelerado a la nube, un año antes que entrara el primer tanque/militar a territorio ucraniano, lo que les permitió defender digitalmente su infraestructura crítica. Haber tenido toda la tecnología de forma local, on premis, los habría puesto más vulnerables y de blanco fácil. Es clave que Chile aprenda de los casos nacionales e internacionales porque para la ciberseguridad no hay distancias ni escalas. Ya no estamos seguros por ser un país pequeño al sur del mundo.

3.- Desde su experiencia y conocimiento, ¿cree que deba existir una legislación única que se haga cargo de toda la ciberseguridad de todos los servicios, instituciones y poderes del Estado o estos deben contar cada uno por sí mismo y separados del resto con su propia normativa u otras vías jurídicas (reglamentos, decretos, etc) que regulen sus sistema de ciberseguridad?

A nivel mundial, y de acuerdo al Cyber 2021 Conference el riesgo inmediato lo presentan los ataques del tipo Ransomware, y Chile no es la excepción. Expertos aconsejan a las empresas y sus directorios para “hacer más” y protegerse mejor. Es interesante el rol que deben tomar hoy los CISOs (chief information security officer), ya que deben velar e implementar la estrategia de seguridad de la información definida, y por otro lado, interactuar con ejecutivos no técnicos y directorios, en un idioma simple, no técnico, y 100% enfocado en el negocio.

En esa dirección hemos presenciado como prácticas de trabajo se han adoptado en forma creciente para gestionar el riesgo de la ciberseguridad a través de un lenguaje común. Un ejemplo que creemos relevante es el Marco de Ciberseguridad del NIST: NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de USA. El framework de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Hoy la adopción en este framework es voluntario, y si bien su foco inicial se vinculó a instituciones de gobierno para que las áreas no técnicas cuenten con un framework en un lenguaje común, su adopción se expandió al uso por empresas y hoy miles de ellas en USA gestionan la ciberseguridad con este framework. No sólo entrega al negocio de las mejores prácticas, sino asegura que todas las áreas involucradas, sean técnicas o de negocios, colaboren con la ciberseguridad a través de un lenguaje común.

4.- ¿Cuáles son los principios y demás elementos que considera debe contar toda norma que regule la ciberseguridad de instituciones públicas?

Las empresas hoy, en mayor o menor grado son digitales. La única forma de defenderse de las amenazas emergentes es darle prioridad a un mejoramiento continuo, colaborativo y proactiva en búsqueda de elevar los estándares y resilencia tecnológica.

Se ha demostrado que la ciberseguridad es un desafío colaborativo, por lo cual queremos promover un ambiente de colaboración y redes, con más personas/ empresas comprendiendo y aplicando cuidados "básicos" para generar entornos seguros y finalmente entre toda una cultura de ciberseguridad.

5.- Con respecto a la pregunta anterior, ¿considera que el proyecto de ley que se está tramitando (Boletín N° 14.847-06), cumple con sus expectativas en ciberseguridad para las instituciones, servicios o poderes del Estado?

Hay muchos desafíos a resolver, desde la forma en que se logrará monitorear en forma efectiva todos los sistemas, hasta la forma que daremos a la comunicación, en cuanto tiempo y con que información, de un incidente. Un ecosistema comunicado es mucho más seguro y resiliente que cuando cada uno se rasca sus pulgas.

Creo que tenemos que aunar las miradas, pensar en el largo plazo, pero con urgencia en poder promulgar la ley, crear la agencia nacional de ciberseguridad para seguir construyendo en el camino. Así como tenemos que defender nuestra soberanía en el aire, mar y tierra, el nuevo desafío es proteger esta nueva dimensión que presenta el ciberespacio.

6.- Respecto al derecho comparado, ¿qué legislación extranjera o sistema de ciberseguridad extranjero se acerca más a lo que usted considera óptimo y por qué?

El marco jurídico de ciberseguridad se compone por una Ley de Delitos Informáticos y la Ley de Gobernanza de Interoperabilidad, además de los marcos normativos en materia de “La Protección de Datos Personales” y la “Protección de la Infraestructura Crítica de la Información” (el ámbito de alcance de la Ciberseguridad). Esto reside en una gobernanza de ciberseguridad a través de una Agencia Nacional que permita coordinar los diferentes equipos de respuesta ante incidentes de seguridad en tecnologías de la información sectoriales (Computer Security Incident Response Team, CSIRT) y tenga toda la información necesaria para determinar la “atribución” de un ciberataque al país, y a la vez apoyar la recuperación de la operatividad, resiliencia y mitigación de los efectos adversos de los ataques, generando elementos de prueba para su persecución. Este marco jurídico permite dar forma a las distintas organizaciones necesarias para poder gestionar el “Sistema Nacional de Ciberseguridad”

Abordar las diversas leyes y regulaciones, junto a las disposiciones relativas a la ciberseguridad, incluidas las disposiciones legales y requisitos reglamentarios y procedurales, incluida la legislación sobre delitos informáticos (“Ciberdelitos” y “Cibercrimen”) y evaluación del impacto en los derechos humanos. También considera los marcos legislativos relacionados con ciberseguridad, incluida la protección de datos, la protección infantil, la protección al consumidor y propiedad intelectual, así como las responsabilidades asociadas a quienes manejan, recopilan y almacenan ese tipo de información.

 

 

 

 

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *