1. El uso masivo de las Tecnologías de la Información y las Telecomunicaciones (esencialmente las redes y servidores de cualquier naturaleza) ha proporcionado a las corporaciones ventajas insospechables en cuanto a la comunicación entre ellos. Sin embargo, este progreso presenta a su vez amenazas sobre la seguridad y riesgos para los sistemas de información, que pueden traer consigo consecuencias importantes tales como pérdidas, vulnerabilidades, violación de confidencialidad o accesos indebidos, brechas de seguridad, etc. Se afirma, desde el inicio, que las acciones que persiguen el objetivo de implementar “Seguridad de la Información” y más modernamente “Ciberserguridad” deben ser continuas y dinámicas, porque los cambios y evoluciones de las tecnologías y los ataques cibernéticos aumentan día a día.
También es evidente que la masificación del uso de las tecnologías digitales y la información contenida en ellas ha impactado el desarrollo de los países, desde la forma en que se relacionan y comunican los diferentes actores en la sociedad hasta nuevas formas de producción e integración de los países a nivel global, lo que junto a los beneficios para el desarrollo sustentable de los países, genera o entraña posibles “riesgos de incidentes”, que pueden afectar –genéricamente hablando- (i) los derechos de las personas, (ii) las infraestructuras críticas de información y (iii) los intereses vitales del país, a nivel nacional e internacional. Son riesgos donde los datos y la información se convierten en un activo importante.
2. La existencia de amenazas, de posibles riesgos y de que existan brechas de seguridad en los sistemas de información gestionados vía redes, es un contexto conocido y abordable. Y debe hacerse siempre preventivamente para ser diligentes, donde las mejores prácticas y los catálogos de medidas de seguridad que pueden adoptarse, para minimizar lo más posible los riesgos, también son conocidos[i]. Se trata en general de respaldar los activos de información en una corporación, al menos en el contexto antes de 14 dominios de seguridad y ahora de 4[ii] previamente establecidos, y en base a controles (organizacionales, físicos y tecnológicos) también objetivos y determinados por el estándar[iii].
De acá la importancia de capacitarse y certificarse -por ejemplo y al menos- en los estándares ISO 27001 y ss, o en los controles de la ISO 27002 (un código de buenas prácticas para la gestión de la seguridad de la información); y, hoy en concreto, se volvió de la mayor importancia la ISO 27771, referida al sistema de gestión de privacidad (léase “de confidencialidad”) de la información. Por apoyarse el cumplimiento del RGPD Europeo del 2016 –y su exigencia basal de implementarse medidas técnicas y administrativas de seguridad- y ser una extensión de la ISO 27001, jugará un rol preponderante en Chile con la nueva ley de protección de datos personales, o con las modificaciones aprobadas para la actual Ley N°19.628 que aprobadas este año 2024 entrarán en vigencia el año 2026.
Desde otra perspectiva, si estas son normas que objetivamente determinan los estándares de diligencia que le es exigible a cualquier entidad en general y, por ejemplo, a las bancarias en particular, ajustarse a sus disposiciones es un parámetro esencial. La consecuencia jurídica es que si se determina -o mejor aún si se certifica formalmente- que una organización cumple con los dominios de seguridad de la norma ISO o de los controles de la NCh-ISO 27002, se puede presumir que ha sido diligente en materia de seguridad de sistemas, y quedará liberada de la obligación de acreditarlo, por ejemplo judicialmente.
3. Si en materia de seguridad, integridad, disponibilidad y confidencialidad de sistemas informáticos y telemáticos toda corporación o empresa tiene la obligación esencial de ser diligente en su implementación, especialmente cuando procesa no sólo documentos sino información nominativa y patrimonial de sus clientes, los estándares ISO en General y las Normas 27000 y ss. en particular -declaradas Norma Oficial chilena por el INN periódicamente[iv]– establecen parámetros básicos para lograr el objetivo.
No obstante la diversidad de «dominios de seguridad» contemplados y referidos por entidades certificadoras especializadas[v], son esenciales de abordarse: (i) seguridad personal o de los recursos humanos; (ii) seguridad física y del entorno o ambiental; (iii) externalización de servicios, cloud computing y contratos con terceras partes; (iv) privacidad de la información; (v) derechos de propiedad intelectual; (vi) acciones legales por negligencia en materia de seguridad de sistemas e incumplimiento de contrato; (vii) auditoría de sistemas; (viii) utilización de mecanismos y controles criptográficos o firma digital de documentos electrónicos; (ix) recolección de pruebas o evidencias ante delitos informáticos; (x) exportación de datos a otros países; (xi) infraestructura de los sistemas, seguridad organizacional u organización de la seguridad de la información; (xii) monitoreo de la información y derechos de los usuarios; y otros[vi].
En lo que ahora interesa, jurídicamente todos los dominios de seguridad de la información mencionados deben, para ser completos en su implementación, considerar relevar la normativa legal general y especial, reglamentaria, administrativa, contractual y jurisprudencial que sea aplicable. La implementación que se haga de ellos debe ser ajustada a derecho o desarrollada en conformidad al ordenamiento jurídico chileno, porque en caso contrario, sería inadecuada e ilegal.
4. Estos estándares de las mejores prácticas que son consensuados internacionalmente, carecen del mérito y el peso de una norma legal general. En concreto, no son leyes sino recomendaciones auto-establecidas por la industria informática, y que no son rígidas o permanentes sino que están en constante evolución, en la medida que van cambiando y modernizándose las tecnologías de seguridad[vii]. Cualquier opción en materia de GSI de la banca o las entidades financieras, siempre debe tener en consideración el cumplimiento de estos estándares mínimos, y los más esenciales están recogidos (por ejemplo para la banca) en el Capítulo 20-10 de las normas de la CMF. El concepto base de trabajo de estas normas auto-reguladas se denomina «SGSI» o «Sistema de Gestión de la Seguridad de la Información«, es decir, en esencia, un conjunto de diversos componentes para la prosecución de un fin específico, que proyectado a diversos ámbitos (bancario, de salud, previsional, tributario, etc.) siempre mantendrá las mismas características esenciales[viii].
El cumplimiento de los controles del estándar de seguridad ISO 27002 por ejemplo, el que a pesar de ser abierto o genérico –o no cerrado ni propietario-, se ha usado porque permite a las empresas, servicios públicos y bancos contar con un punto de referencia único o una base metodológica de «las buenas o las mejores prácticas» para su gestión corporativa, la que no descansa -agregamos- en la adopción de tales cuales productos o soluciones tecnológicas específicas al definir parámetros de controles y de seguridad de información, precisamente por su carácter no cerrado y no propietario.
5. Pero la Ley N° 21.663 habla de ciberseguridad. La norma la define, en el artículo 2° N°6, como la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos[ix], con el objetivo de proteger a las personas, la sociedad, las organizaciones de “incidentes de ciberseguridad”. Estos a su vez serán –también legalmente- los eventos que perjudiquen o comprometan la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos. Y claro, el mismo cuerpo legal define a los ciberataques como los intentos de destruir, exponer, alterar, deshabilitar, exfiltrar u obtener acceso o hacer un uso no autorizado de un activo informático[x].
Una Norma Técnica del año 2023[xi], había definido antes lo que debe entenderse en Chile por “Ciberseguridad y Seguridad de la Información” -a la letra- como (i) un conjunto de acciones, políticas, medidas preventivas y reactivas, (ii) destinadas a la prevención, mitigación, manejo, respuesta y estudio de las amenazas y riesgos de incidentes de seguridad, a la reducción de sus efectos y el daño causado antes, durante y después de su ocurrencia respecto de los activos y activos de información y la continuidad de servicios, (iii) con el fin de proteger, preservar y restablecer la confidencialidad, integridad y disponibilidad de aquellos y de las plataformas electrónicas (de los órganos de la Administración del Estado), aumentando su resiliencia en el tiempo?.
Incluso más, antes, el año 2015 y mediante un Decreto Supremo N°533, que creó formalmente un Comité Asesor Interministerial de Ciberseguridad, y cuya base jurídica arrancó de considerar que las actividades de espionaje y los ciberataques que podían cometerse eran un posible riesgo para los derechos de los ciudadanos, para las infraestructuras críticas y los intereses vitales del país el desarrollo y la masificación en el uso de las TICs, se había definido a la ciberseguridad como aquella condición caracterizada por un mínimo de riesgos y amenazas a las infraestructuras tecnológicas, los componentes lógicos de la información y las interacciones que se verifican en el ciberespacio, como también el conjunto de políticas y técnicas destinadas a lograr dicha condición. (Santiago, 4 de agosto de 2024)
[i] Así por ejemplo y aplicado al sector público, un OAE debe mantener un proceso de autorizaciones que identifique y autentique los diferentes roles y responsabilidades, y para acciones claves tales como el uso de instalaciones, la entrada de equipos y aplicaciones en producción, las interconexiones y enlaces de comunicaciones, el uso de medios de comunicación y de soportes de información; y para todo, considerándose diversas responsabilidades, según los accesos al sistema sean remotos y desde un dispositivo portátil, o no.
[ii] Gobernanza y ecosistema, Protección, Defensa y Resiliencia.
[iii] En la Norma ISO, por ejemplo, estos controles se distribuyen bajo 4 capítulos y el número ha pasado de 113 en su versión 2013 a 93 en su versión 2022, reducción que no supondría una merma en la seguridad sino sólo su reestructuración, con controles nuevos, fusionados o integrados con otros controles y modificados.
[iv] La más reciente es la NCh-ISO 27002.
[v] V.gr http://www.welivesecurity.com/la-es/2012/10/22/10-pilares-basicos-norma-iso27001/
[vi] Cabe agregarse adicionalmente la gestión o plan de continuidad del negocio (BCP), los controles de accesos: autenticación de identidades mediante passwords asociadas a RUT, la autenticación de identidades mediante sistemas biométricos, la revisión del cumplimiento técnico de las políticas de seguridad, la salvaguardia o protección de los registros documentales, etc.
[vii] Frente a la pregunta de si ha existido una evolución en cuanto a los estándares de diligencia exigidos a los bancos en relación al phishing, al pharming o a otras defraudaciones, fraudes o estafas informáticas, electrónicas o computacionales, la respuesta es afirmativa. Están directamente relacionados con la evolución que han experimentado las normas ISO y con las exigencias a la banca en materia de GSI, que son las medidas tendientes a evitar la comisión de los ilícitos referidos.
[viii] Véase la URL http://www.iso27000.es/download/doc_sgsi_all.pdf.
[ix] En esencia, el término resiliencia se predica respecto de un sistema que se recupera rápidamente o se mantiene funcionando aún bajo circunstancias excepcionales, capaz de reducir la magnitud y/o duración de los eventos disruptivos, tanto esperados como inesperados, con capacidad de anticipar, absorber, adaptarse y recuperarse rápidamente de un evento potencialmente disruptivo.
[x] Existen en Chile otras conductas tipificadas como delitos informáticos, las que, por su naturaleza y configuración, no califican propiamente como ciberataques.
[xi] Nos referimos al Decreto Supremo N°___, de , complementario del Reglamento (D.S. N°4) de la Ley N°19.880.