En una reciente publicación de la Biblioteca del Congreso Nacional se da a conocer información sobre la ciberseguridad de los organismos del Estado e infraestructura crítica de la información.

¿Cuál es el objetivo de la ley?

La ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, así como entre esos organismos y los particulares. También establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; además de fijar las atribuciones y obligaciones de los organismos del Estado. Define también los deberes de las instituciones que están obligadas a cumplir con lo que dispone la ley.

¿Cómo define la ley el concepto de ciberseguridad?

Ciberseguridad es la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

La resiliencia en ciberseguridad es la capacidad de una entidad para prevenir y resistir los incidentes de seguridad informática y para recuperarse de ellos.

¿Qué es un ciberataque?

Es un intento de destruir, exponer, alterar, deshabilitar, o exfiltrar (robar datos) u obtener acceso o hacer uso no autorizado de un activo informático (recursos tecnológicos de la información y comunicación).

¿Qué es la Agencia Nacional de Ciberseguridad (ANCI)?

La Agencia Nacional de Ciberseguridad se crea como un servicio público descentralizado, con personalidad jurídica y patrimonio propio, de carácter técnico y especializado. Su objetivo será asesorar al Presidente o Presidenta de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar la actuación de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública. Tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.

La Agencia tendrá un director o directora nacional y un subdirector. Ambos nombramientos se harán con el Sistema de Alta Dirección Pública.

¿Qué se entiende en esta ley por Administración del Estado?

Para la aplicación de esta ley, se entiende por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. También las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que el Estado tenga participación accionaria superior al 50 por ciento o mayoría en el directorio.

¿En qué ámbito se aplicará la ley?

Se aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital. Esas entidades serán las obligadas a las disposiciones que establece la ley.

¿Cuáles son los servicios esenciales?

Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional y los prestados bajo concesión de servicio público.

También son servicios esenciales los que prestan instituciones privadas que realizan las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; bancos, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada.

¿Qué son los operadores de importancia vital?

La Agencia podrá calificar como operadores de importancia vital a entidades que presten un servicio que dependa de las redes y sistemas informáticos.

La Agencia deberá, al menos cada tres años, revisar y actualizar la calificación de operadores de importancia vital, mediante una resolución dictada por el director o la directora nacional.

¿Qué es el CSIRT?

Es el Equipo de Respuesta ante Incidentes de Seguridad Informática. La sigla CSIRT se debe a que en inglés es Computer Security Incident Response Team.

A través de los CSIRT se busca prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva.

¿Qué funciones tiene el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática?

Es una entidad que se crea dentro de la Agencia Nacional de Ciberseguridad. Sus funciones son:

1. Responder ante ciberataques o incidentes de ciberseguridad, cuando sean de efecto significativo.
2. Coordinar a los CSIRT que pertenezcan a organismos de la Administración del Estado, frente a ciberataques o incidentes de ciberseguridad de efecto significativo.
3. Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.
4. Prestar colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado, en la implementación de políticas y acciones relativas a ciberseguridad.
5. Supervisar incidentes a escala nacional.
6. Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.
7. Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.
8. Requerir a las instituciones afectadas o a los CSIRT correspondientes, información de incidentes de ciberseguridad y vulnerabilidades encontradas, junto a los planes de acción respectivos para mitigarlos.
9. Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.
10. Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

¿Cómo opera el deber de reportar para las instituciones públicas y privadas obligadas?

Todas las instituciones públicas y privadas consideradas tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, dentro de ciertos plazos que están determinados por la ley.

Los plazos para reportar serán los siguientes:

1. Dentro del plazo máximo de tres horas, contado desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que pueda tener impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento.
2. Dentro del plazo máximo de 72 horas debe enviarse una actualización de la información, que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles.
   Sin embargo, en caso de que la institución afectada fuera un operador de importancia vital y viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT Nacional en el plazo máximo de 24 horas, contado desde que haya tenido conocimiento del incidente.
3. Dentro del plazo máximo de 15 días corridos, contado desde el envío de la alerta temprana, debe enviarse un informe final sobre el incidente y las medidas adoptadas.
4. En el caso de que el incidente siga en curso con posterioridad a la presentación del informe, deberá entregarse un informe sobre la situación en ese momento. El informe final deberá ser presentado en el plazo de 15 días corridos.

¿Deberán los organismos autónomos constitucionales cumplir los procedimientos?

El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes, y considerar las recomendaciones que efectúe la Agencia. Pero esas instituciones no estarán sujetas en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia, sin perjuicio de que deberán tener mecanismos de reporte de incidentes de ciberseguridad, y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.

¿Qué es el Consejo Multisectorial sobre Ciberseguridad?

La ley crea el Consejo Multisectorial sobre Ciberseguridad, entidad consultiva que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

Integrarán el consejo, el director o directora nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem (sin salario) designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia. Dos deberán provenir del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil.

¿Qué deberes tienen las instituciones obligadas?

Las instituciones obligadas deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad.

¿Qué es la Red de Conectividad Segura del Estado?

Es una red que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado.

¿Qué es el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional?

Es una entidad que se crea como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa, y de los servicios esenciales y operadores vitales para la defensa nacional.

¿La ley establece sanciones?

Las infracciones a las obligaciones que establece la ley a los sujetos obligados por ella se califican en leves, graves y gravísimas.

Se considerarán infracciones graves las siguientes:

1. No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad.
2. No haber implementado los estándares particulares de ciberseguridad.
3. Entregar fuera de plazo la información que se le requiera, cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad.
4. Entregar a la Agencia información manifiestamente falsa o errónea.
5. Incumplir la obligación de reportar.
6. Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial.
7. La reincidencia en una misma infracción leve dentro de un año.

Las infracciones gravísimas son:

1. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad.
2. Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo.
3. No entregar la información que se le requiera, cuando ella fuere necesaria para la gestión de un incidente de impacto significativo.
4. La reincidencia en una infracción grave dentro de un año.

¿Cuáles son los montos de las multas?

1. Las infracciones leves serán sancionadas con multa de hasta 5 mil unidades tributarias mensuales, o de hasta 10 mil unidades tributarias mensuales, si se trata de un operador de importancia vital.
2. Las infracciones graves serán sancionadas con multa de hasta 10 mil unidades tributarias mensuales, o de hasta 20 mil unidades tributarias mensuales, si se trata de un operador de importancia vital.
3. Las infracciones gravísimas serán sancionadas con multa de hasta 20 mil unidades tributarias mensuales, o de hasta 40 mil unidades tributarias mensuales, si se trata de un operador de importancia vital.