Entra en vigencia la nueva normativa que obliga a las Organizaciones Públicas a Reportar Incidentes de Ciberseguridad

Durante la mañana del viernes 2 de diciembre del presente año, se ha publicado en el diario oficial de la República de Chile, una nueva normativa del Ministerio del Interior y Seguridad Pública para establecer que los organismos públicos tengan la obligación de reportar incidentes de ciberseguridad en un plazo máximo de 3 horas, posterior a la detección del suceso.

La Normativa rastreada como CVE 2226218, viene a dar un nuevo avance de la aplicación de buenas prácticas ante siniestros tecnológicos que ha estado experimentando el país desde la llegada de este mismo en 1992 y poniendo a la palestra la importancia de la ciberseguridad, luego de los múltiples incidentes informáticos que ha estado pasando en el país, siendo uno de los más destacados el Banco de Chile [Lazarus Group – Grupo APT norcoreano], Banco Estado [REvil Ransomware], El Poder Judicial [LockBit 3.0 Ransomware], El Estado Mayor Conjunto [Guacamaya – Grupo Hacktivista Medio Ambiental], entre otros.

«ESTABLECE OBLIGACIÓN DE REPORTAR INCIDENTES DE CIBERSEGURIDAD»

Considerando, cito textual:

1. Que, la seguridad del país y la protección de la población son un deber del Estado, conforme a lo dispuesto en el artículo 1, inciso 5º, de la Constitución Política de la República, misma que, en su artículo 19 Nº 4, asegura a todas las personas el respeto y protección a la vida privada y a la honra de la persona y su familia, y, asimismo, la protección de sus datos personales. Por consiguiente, es deber del Estado velar por los derechos de las personas en el ciberespacio;
   
2. Que, el desarrollo y la masificación en el uso de las tecnologías de información y comunicaciones conlleva riesgos asociados, que eventualmente podrían afectar los derechos de las personas, las infraestructuras críticas de la información y los intereses del país, a nivel nacional e internacional. Estos riesgos pueden provenir de múltiples fuentes y resultar en fenómenos cuyas consecuencias pueden afectar de manera grave a la seguridad pública, los derechos fundamentales, e inclusive comprometer la seguridad nacional;
   
3. Que, el programa de Gobierno 2022-2026 contempla la protección de la información y ciberseguridad, tanto de la información privada como pública, para lo cual se establece la implementación robusta de la Política Nacional de Ciberseguridad (en adelante «Política»), que es el instrumento de planificación del Estado de Chile en materia de ciberseguridad, la cual tiene por objeto contar con un ciberespacio libre, abierto, seguro y resiliente;
   
4. Que, la Política recomienda definir capacidades de levantamiento, estandarización e integración de datos e información relacionados con el cibercrimen, aumentar la capacidad para investigar y generar evidencia respecto al mismo;
   
5. Que, en este contexto, se debe tener presente que el Estatuto Administrativo, en su artículo 61, literal k) establece como una obligación de los funcionarios públicos la de denunciar, con la debida prontitud, los crímenes o simples delitos y, a la autoridad competente, los hechos de carácter irregular de que tengan conocimiento en el ejercicio de sus funciones;
   
6. Que, por su parte, la ley Nº 21.459, sobre delitos informáticos, tipifica como delitos los ciberataques que afecten a la integridad de los sistemas y/o datos informáticos, así como el acceso ilícito;
   
7. Que, en este orden de ideas, la prevención, la disuasión, el control y la sanción de los ilícitos son indispensables para minimizar los riesgos y amenazas en el ciberespacio, de manera de contribuir a la generación de confianza en las actividades que en él se desarrollan;
   
8. Que, la necesidad de contar con información que permita la prevención y gestión de riesgos del ciberespacio, y de fortalecer la capacidad de Chile para responder ante incidentes de ciberseguridad que se presenten, hace urgente la implementación de estándares de ciberseguridad más fuertes en los organismos de la administración del Estado, con el objeto de proteger las redes, plataformas y sistemas informáticos del gobierno.
   
9. Que, adicionalmente, con la entrada en vigencia de la ley Nº 21.459, ya referida, se hace necesario fortalecer las disposiciones vigentes en la materia, estableciendo medidas transversales a la Administración, que tengan por objeto dar protección integral los sistemas informáticos del Estado y la información contenida en ellos;
   
10. Que, lo anterior resulta especialmente relevante, considerando la rapidez y mutabilidad de las amenazas en el ciberespacio, que obligan a revisar permanentemente las medidas establecidas para mejorar los estándares de ciberseguridad de nuestro país, y generar instancias de coordinación intersectorial que permitan a los órganos de la administración del Estado dar una respuesta oportuna a las nuevas amenazas que se generen.
    
11. Que, conforme a lo establecido en los artículos 3 y 5 de la Ley Nº 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado, las autoridades y funcionarios deberán velar por la eficiente e idónea administración de los medios públicos, debiendo además los órganos del Estado cumplir sus cometidos de manera coordinada propendiendo a la unidad de acción.

Decreto:

Artículo 1º. Notificación de incidentes de ciberseguridad. Los jefes de servicio de los Ministerios y demás organismos de la Administración centralizada y descentralizada del Estado deberán comunicar los incidentes de ciberseguridad que les afecten, al Ministerio del Interior y Seguridad Pública, mediante su notificación al Centro de Respuesta ante Incidentes de Seguridad Informática («CSIRT«), en el sitio web: https://csirt.gob.cl.

Artículo 2º. Plazo para la notificación. La comunicación anterior deberá realizarse tan pronto se constate su ocurrencia, no pudiendo ser este plazo superior a 3 horas desde que se tome conocimiento.

Artículo 3º. Información sobre amenazas a los órganos de la administración del Estado. Los jefes de servicio establecidos en el artículo 1, dentro del ámbito de sus facultades, y respecto de los contratos que se celebren con posterioridad a la entrada en vigencia del presente decreto, deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre las amenazas y vulnerabilidades que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos de la administración del Estado, al igual que las medidas de mitigación aplicadas a éstas, así como las políticas y prácticas de seguridad de la información incorporadas en los servicios prestados.

Artículo 4º. Búsqueda preventiva de vulnerabilidades. Para mejorar la seguridad de las redes y sistemas informáticos de su respectiva institución, los jefes de servicio indicados en el artículo 1º, pueden solicitar a los equipos técnicos del CSIRT su revisión y análisis, incluyendo la búsqueda preventiva de vulnerabilidades informáticas, otorgando las facilidades que sean necesarias para ello.

Resumen del Documento

1. Será obligatorio que toda entidad gubernamental deba de reportar incidentes de Ciberseguridad que afecte a la integridad, confidencialidad y disponibilidad de los activos digitales y físicos tecnológicos al Centro de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno.
   
2. El plazo de reporte no debe ser superior a 3 horas desde que se tome conocimiento.
   
3. Se deberá de dar información sobre las amenazas a los órganos de la administración del Estado, como también vulnerabilidades y medidas para mitigar el riesgo de seguridad, dando como paso el cumplimiento de las políticas de seguridad y las buenas prácticas en los servicios prestados.
   
4. Se deberá de realizar búsquedas preventivas de vulnerabilidades de todos los activos tecnológicos existentes que emplee el área, siendo su principal colaborador el equipo técnico del CSIRT de Gobierno, otorgando facilidades que sean necesarias para ello.

Un gran avance, pero aún falta por avanzar

Para el mundo de la ciberseguridad nacional, esta nueva normativa general ha sido muy bien recibida por todos aquellos que trabajamos en el sector. Ya que se podrá tener más visibilidad y otorgar un panorama más claro de lo que en verdad está ocurriendo dentro de los estamentos públicos en temas de incidentes informáticos. Pero, aún falta mucho camino por contruir.

Como se dictamina en la normativa, esta noticia está dirigida para los organismos públicos centralizados y descentralizados del estado de la República de Chile, pero no para el sector privado. Lo que deja sin visión de superficie de lo que está ocurriendo a nivel nacional en el sector no gubernamental. Y conociendo el campo, se sabe que muchas empresas, sin importar el tamaño de la misma, son más de silenciar un incidente crítico, en beneficio de no perder la reputación y la confianza con sus stakeholders y el público en general.

En lo personal, sería muy positivo que dicha normativa también abarcará al sector privado, con la finalidad de poder tener más información a la mano de lo que está ocurriendo a nivel nacional en temas de incidentes informáticos y gestionar iniciativas de ATRc para la anticipación de situaciones de Riesgo, algo que CronUp llevamos trabajando años en este modelo de Ciberseguridad no tradicional, y que ha demostrado ser muy efectiva al paso de los años.

Camilo Mix

Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.