Nueva Ley Marco de Ciberseguridad en Chile: todo lo que debes saber

El Senado de Chile aprobó y publicó el pasado 8 de abril de 2024 la nueva Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información como parte de su agenda de seguridad pública. Esta ley tiene por objeto crear una nueva institucionalidad que permita robustecer la ciberseguridad en el país y formar una cultura pública de seguridad en el ciberespacio.

A continuación, te explicamos las implicaciones de esta nueva ley de ciberseguridad y cómo puedes preparar a tu empresa para cumplirla.

¿Qué implica la nueva ley marco de ciberseguridad de Chile?

La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información publicada en el Diario Oficial de Chile crea una nueva normativa general que regula la forma en que instituciones públicas y privadas abordan los desafíos de ciberseguridad, con la finalidad de optimizar la prevención y resolución de delitos informáticos e incidentes de ciberseguridad. 

Con esto, Chile se convierte en uno de los primeros países de Latinoamérica en presentar un proyecto de ley de esta magnitud en materia de ciberseguridad. La tendencia a establecer normas y leyes para salvaguardar la seguridad de la información ya se ha visto en México, con su Ley Federal de Ciberseguridad, y en la Unión Europea, con su Ley de Ciberresiliencia.

La ley toma como uno de sus aspectos centrales la notificación de estos incidentes a nuevas instituciones creadas con este fin; así como la resiliencia de redes y sistemas informáticos y el resguardo de la seguridad de las personas en el ciberespacio. 

Según información oficial del Senado de la República de Chile, esta nueva ley tiene sus fundamentos en un modelo de colaboración público-privada, con obligaciones de ciberseguridad y sanciones específicas, diferenciadas de acuerdo a los riesgos y el tamaño de las instituciones involucradas.

A continuación te damos un resumen de sus implicaciones más resaltantes:

Nueva institucionalidad

Una de las primeras necesidades que cubre esta ley es la creación de nuevas instituciones que regulen y aseguren su correcta aplicación. Entre estas instituciones destacan las siguientes:

• La Agencia Nacional de Ciberseguridad (ANCI): esta institución de carácter técnico se especializa en la protección de los intereses chilenos en el ciberespacio, para lo cual tiene facultades reguladoras, sancionadoras y fiscalizadoras.
• El Consejo Multisectorial sobre Ciberseguridad: cumplirá con la función de asesorar a la ANCI en el análisis periódico de la situación de ciberseguridad y la formulación de medidas para mejorar la misma.
• Equipo de Respuesta a Incidentes de Seguridad Informática (el CSIRT Nacional): la ley los define como centros multidisciplinarios encargados de prevenir, identificar y responder a ciberataques de forma rápida y efectiva, permitiendo la mitigación de sus efectos. Las instituciones sujetas a la ley deberán notificar al CSIRT cualquier evento que comprometa la seguridad de infraestructura crítica y de datos personales.
• El CSIRT de la Defensa Nacional: aunque su nombre es similar al anterior, este organismo se encargaría de la protección de los sistemas informáticos de los servicios de defensa de la nación, como las Fuerzas Armadas. Sus funciones incluyen la colaboración con el CSIRT Nacional en caso de ataques cibernéticos que afecten la seguridad pública nacional.
• La Red de Conectividad Segura del Estado: esta red informática ha sido diseñada para proveer una conexión segura a Internet y entre dispositivos de los organismos de la Administración del Estado, y su correcto funcionamiento será supervisado por la ANCI.

A su vez, esta ley implica la modificación de otros cuerpos legales preexistentes para mantener la armonía y evitar vacíos legales.

Obligaciones de ciberseguridad y deberes específicos en Chile

Esta ley determina que quienes estén sujetos a ella deben establecer y aplicar protocolos para prevenir, reportar y resolver incidentes de ciberseguridad. Esto incluye:

• Implementar un sistema de gestión de seguridad de la información (SGSI) continuo, capaz de determinar la probabilidad y el impacto de un incidente de ciberseguridad.
• Mantener un registro de las acciones que componen al SGSI.
• Crear e implementar planes de continuidad operacional que deben actualizarse, como mínimo, cada 2 años.
• Realizar operaciones de revisión de forma continua, incluyendo pruebas de penetración o pentesting, para la detección temprana de situaciones que comprometan la seguridad.
• Tomar de forma oportuna acciones que reduzcan el impacto y la propagación de un incidente de ciberseguridad.
• Contar con las certificaciones nacionales e internacionales en materia de ciberseguridad.
• Informar a los potenciales afectados sobre la incidencia de ciberataques que podrían afectar su acceso a redes y sistemas informáticos, así como aquellos que involucren sus datos personales.
• Contar con programas de capacitación para sus trabajadores y colaboradores de forma continua.
• Designar un delegado de ciberseguridad interno o subcontratado, encargado de informar a la autoridad competente (según sea el caso) sobre eventualidades en materia de ciberseguridad.
• Todas las instituciones públicas y privadas alcanzadas por esta ley deben de reportar al Equipo Nacional de Respuesta los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos sobre el funcionamiento del país y sus instituciones.

Sanciones 

La ley también establece distintos tipos de infracciones que podrían ser cometidas y las consecuencias del incumplimiento de las obligaciones. Esto incluye multas que van desde 5.000 hasta 40.000 unidades tributarias mensuales (UTM), según la gravedad de la infracción cometida.

¿A quiénes alcanza esta nueva ley de ciberseguridad?

La Ley Marco es aplicable a instituciones del sector público y privado que califiquen como «prestadores de servicios esenciales», así como aquellas que adicionalmente sean calificadas como «operadores de importancia vital» (OIV) por la ANCI.

Los servicios esenciales son todos aquellos servicios públicos realizados por organismos de la Administración del Estado o por instituciones privadas que son básicos para el normal funcionamiento del país, incluyendo todas aquellas empresas que se encarguen de:

• Generación y distribución de electricidad
• Banca y servicios financieros
• Telecomunicaciones
• Infraestructura digital y servicios digitales
• Servicios de tecnología de la información gestionados por terceros
• Suministro de agua potable y saneamiento
• Transporte terrestre, ferroviario, aéreo o marítimo
• Transporte, almacenamiento o distribución de combustibles
• Servicios postales y de mensajería
• Atención en salud, como hospitales y centros encargados de la producción de fármacos
• Administración de prestaciones de seguridad social

La ANCI tiene la capacidad de calificar otros servicios como esenciales, si su afectación causa daños graves a la población, las actividades económicas, el medio ambiente, la defensa nacional y el orden público.

Por su parte, los operadores de importancia vital (OIV) son definidos como todos aquellos prestadores de servicios esenciales que cumplan con alguna de estas tres características:

1. El servicio que ofrecen depende de redes y sistemas informáticos,
2. La interrupción del servicio que prestan tiene un impacto significativo en el orden público, la seguridad nacional o el cumplimiento de las funciones del Estado, y
3. El servicio que ofrecen debe ser garantizado por el Estado.

La ANCI puede calificar como operadores de importancia vital a instituciones del sector privado que cumplan con estas características, aunque no sean consideradas prestadores de servicios esenciales.

Prepara a tu empresa para cumplir con nueva ley de ciberseguridad en Chile

Ante esta nueva política nacional de ciberseguridad, las empresas deben adaptarse para dar cumplimiento a las nuevas normativas. En este proceso de adaptación hay ciertas acciones importantes que las instituciones implicadas deben tomar:

• Definir si califican como prestadores de servicios esenciales o como operadores de importancia vital.
• Comprender los aspectos que abarca la ley y sus implicaciones en cuanto a procesos y objetivos empresariales.
• Analizar su estatus de cumplimiento actual y determinar las acciones a tomar para optimizarlo.
• Alinear sus protocolos y políticas de seguridad informática con los requerimientos de la ley.
• Educar a los trabajadores de la empresa para que comprendan el ámbito de aplicación de la ley.

Estos sencillos lineamientos pueden funcionar como una base sobre la cual tu empresa puede construir una estrategia que le permita dar cumplimiento a la ley, protegiendo sus sistemas y redes informáticas, y evitando sanciones.

En Delta Protect contamos con un equipo de expertos en materia de ciberseguridad que puede adaptarse a las necesidades particulares de tu empresa para ayudarte a cumplir con las obligaciones de esta nueva ley. Podemos ayudarte con los siguientes aspectos:

Creación e implementación de un SGSI

Nuestro Software as a Service, Apolo, cuenta con un módulo de cumplimiento diseñado para crear y gestionar un SGSI 10 veces más rápido que con una consultoría tradicional, lo cual permite darle cumplimiento a esta nueva ley y obtener la certificación ISO 27001. Este te permite una visión completa de tu avance y asesoramiento continuo para lograr tus objetivos de ciberseguridad.

Consultorías para la creación de BCP, DRP y BIA

Contamos con consultorías de la mano de expertos para la creación de: 

• Business Continuity Plan (BCP): la implementación de un plan de continuidad del negocio le proporcionará a tu empresa un enfoque estructurado de identificación y evaluación de riesgos que le permita adaptarse de manera ágil a posibles ataques y, con ello, proteger sus activos.
• Disaster Recovery Plan (DRP): tener un plan de recuperación de desastres es esencial para mantener la continuidad de las operaciones de tu empresa después de una interrupción significativa, garantizando la protección de datos y activos críticos y, con ello, la confianza de clientes y socios.
• Business Impact Analysis (BIA): el análisis de impacto empresarial permite una evaluación integral y exhaustiva de los riesgos cibernéticos, permitiendo un cumplimiento normativo sólido y otorgando a tu empresa una capacidad de respuesta óptima ante ciberataques.

Análisis de vulnerabilidades y pentesting

Apolo cuenta con un módulo de análisis de vulnerabilidades que te permite identificar software desactualizado, contraseñas débiles, falta de cifrado, entre otras brechas de seguridad en tiempo real, y hasta 20 veces más rápido que con otros servicios.

Adicionalmente, contamos con la solución de pentesting que le otorga a tu empresa un equipo de hackers éticos capacitados para realizar pruebas de penetración que te permitan identificar y eliminar brechas de seguridad de forma efectiva.

Cursos de concientización para los miembros de la empresa

El proceso de entrenamiento y evaluación de todos los miembros de una empresa puede ser tedioso y extenso. Para ello, Apolo también funciona como una herramienta que automatiza y facilita este proceso, agilizando su preparación y disminuyendo el riesgo humano asociado a los ataques cibernéticos.

Trabajo de la mano de expertos en ciberseguridad

La nueva ley marco requiere que se tenga a una persona o equipo responsable de la ciberseguridad de la empresa (ya sea interno o subcontratado). Si utilizas el módulo de cumplimiento de Apolo para empresas en Chile, se le asignará un Account Manager (o gestor de cuenta) a tu empresa. 

Se trata de un experto en materia de seguridad cibernética y cumplimiento normativo que se adapta a las necesidades particulares de tu empresa y ofrece apoyo individualizado para minimizar la carga operativa relacionada con la ciberseguridad.

El cumplimiento de esta ley no solo evitará sanciones y multas a tu empresa, sino que también le permitirá optimizar su sistema de seguridad cibernética y sus sistemas informáticos. Por ello, es imprescindible conocer la ley, determinar si tu empresa aplica como sujeto de la misma, y comenzar a trabajar para cumplir con sus requerimientos de la mano de expertos en seguridad cibernética.

‍