1.- ¿Cómo considera que está el actual panorama de las instituciones públicas con la legislación vigente respecto a la ciberseguridad?
Para organizaciones gubernamentales, donde una inversión debe ser debidamente justificada, o en una institución privada que posea infraestructura crítica, es decir, empresas que son esenciales para el funcionamiento de una sociedad (transporte público, generación, distribución y transmisión eléctrica, agua, entre muchas otras), esta ley, junto con la creación de una agencia nacional de ciberseguridad, acelerará el perfeccionamiento de la gobernanza en ciberseguridad, transformándola en un pilar fundamental, como es la seguridad física tradicional. Esperamos entonces que termine transformándose en una política de Estado a largo plazo.
2.- De los casos mencionados anteriormente y de los demás que se han conocido, ¿cuáles han sido las mayores deficiencias y/o negligencias en que han incurrido las distintas instituciones públicas en sus casos particulares?
En ambos casos los ataques fueron a tecnología on premis, quiere decir tecnología local que no tiene la protección ni los estándares de la nube pública.
Es esta misma línea es muy interesante destacar que el gobierno ucraniano comenzó un plan de migración acelerado a la nube, un año antes que entrara el primer tanque/militar a territorio ucraniano, lo que les permitió defender digitalmente su infraestructura crítica. Haber tenido toda la tecnología de forma local, on premis, los habría puesto más vulnerables y de blanco fácil. Es clave que Chile aprenda de los casos nacionales e internacionales porque para la ciberseguridad no hay distancias ni escalas. Ya no estamos seguros por ser un país pequeño al sur del mundo.
3.- Desde su experiencia y conocimiento, ¿cree que deba existir una legislación única que se haga cargo de toda la ciberseguridad de todos los servicios, instituciones y poderes del Estado o estos deben contar cada uno por sí mismo y separados del resto con su propia normativa u otras vías jurídicas (reglamentos, decretos, etc) que regulen sus sistema de ciberseguridad?
A nivel mundial, y de acuerdo al Cyber 2021 Conference el riesgo inmediato lo presentan los ataques del tipo Ransomware, y Chile no es la excepción. Expertos aconsejan a las empresas y sus directorios para “hacer más” y protegerse mejor. Es interesante el rol que deben tomar hoy los CISOs (chief information security officer), ya que deben velar e implementar la estrategia de seguridad de la información definida, y por otro lado, interactuar con ejecutivos no técnicos y directorios, en un idioma simple, no técnico, y 100% enfocado en el negocio.
En esa dirección hemos presenciado como prácticas de trabajo se han adoptado en forma creciente para gestionar el riesgo de la ciberseguridad a través de un lenguaje común. Un ejemplo que creemos relevante es el Marco de Ciberseguridad del NIST: NIST es el acrónimo de Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, en inglés) dependiente del Departamento de Comercio de USA. El framework de Ciberseguridad del NIST ayuda a los negocios de todo tamaño a comprender mejor sus riesgos de ciberseguridad, administrar y reducir sus riesgos, y proteger sus redes y datos. Hoy la adopción en este framework es voluntario, y si bien su foco inicial se vinculó a instituciones de gobierno para que las áreas no técnicas cuenten con un framework en un lenguaje común, su adopción se expandió al uso por empresas y hoy miles de ellas en USA gestionan la ciberseguridad con este framework. No sólo entrega al negocio de las mejores prácticas, sino asegura que todas las áreas involucradas, sean técnicas o de negocios, colaboren con la ciberseguridad a través de un lenguaje común.
4.- ¿Cuáles son los principios y demás elementos que considera debe contar toda norma que regule la ciberseguridad de instituciones públicas?
Las empresas hoy, en mayor o menor grado son digitales. La única forma de defenderse de las amenazas emergentes es darle prioridad a un mejoramiento continuo, colaborativo y proactiva en búsqueda de elevar los estándares y resilencia tecnológica.
Se ha demostrado que la ciberseguridad es un desafío colaborativo, por lo cual queremos promover un ambiente de colaboración y redes, con más personas/ empresas comprendiendo y aplicando cuidados «básicos» para generar entornos seguros y finalmente entre toda una cultura de ciberseguridad.
5.- Con respecto a la pregunta anterior, ¿considera que el proyecto de ley que se está tramitando (Boletín N° 14.847-06), cumple con sus expectativas en ciberseguridad para las instituciones, servicios o poderes del Estado?
Hay muchos desafíos a resolver, desde la forma en que se logrará monitorear en forma efectiva todos los sistemas, hasta la forma que daremos a la comunicación, en cuanto tiempo y con que información, de un incidente. Un ecosistema comunicado es mucho más seguro y resiliente que cuando cada uno se rasca sus pulgas.
Creo que tenemos que aunar las miradas, pensar en el largo plazo, pero con urgencia en poder promulgar la ley, crear la agencia nacional de ciberseguridad para seguir construyendo en el camino. Así como tenemos que defender nuestra soberanía en el aire, mar y tierra, el nuevo desafío es proteger esta nueva dimensión que presenta el ciberespacio.
6.- Respecto al derecho comparado, ¿qué legislación extranjera o sistema de ciberseguridad extranjero se acerca más a lo que usted considera óptimo y por qué?
El marco jurídico de ciberseguridad se compone por una Ley de Delitos Informáticos y la Ley de Gobernanza de Interoperabilidad, además de los marcos normativos en materia de “La Protección de Datos Personales” y la “Protección de la Infraestructura Crítica de la Información” (el ámbito de alcance de la Ciberseguridad). Esto reside en una gobernanza de ciberseguridad a través de una Agencia Nacional que permita coordinar los diferentes equipos de respuesta ante incidentes de seguridad en tecnologías de la información sectoriales (Computer Security Incident Response Team, CSIRT) y tenga toda la información necesaria para determinar la “atribución” de un ciberataque al país, y a la vez apoyar la recuperación de la operatividad, resiliencia y mitigación de los efectos adversos de los ataques, generando elementos de prueba para su persecución. Este marco jurídico permite dar forma a las distintas organizaciones necesarias para poder gestionar el “Sistema Nacional de Ciberseguridad”
Abordar las diversas leyes y regulaciones, junto a las disposiciones relativas a la ciberseguridad, incluidas las disposiciones legales y requisitos reglamentarios y procedurales, incluida la legislación sobre delitos informáticos (“Ciberdelitos” y “Cibercrimen”) y evaluación del impacto en los derechos humanos. También considera los marcos legislativos relacionados con ciberseguridad, incluida la protección de datos, la protección infantil, la protección al consumidor y propiedad intelectual, así como las responsabilidades asociadas a quienes manejan, recopilan y almacenan ese tipo de información.
