Ad portas del Mes de la Ciberseguridad -que parte mañana-, el asesor presidencial en esta área, Mario Farren, usa una metáfora futbolística para explicar sus actuales prioridades para avanzar en la seguridad digital del país: “El partido de la ciberseguridad se juega en dos cosas: la definición de los activos de infraestructura crítica y la protección de datos personales”.
Y mientras la Ley de Protección de Datos Personales continúa en su discusión parlamentaria, la definición de los sectores económicos que serán considerados infraestructura crítica será uno de dos elementos -junto a la definición de la estructura orgánica de la futura Agencia Nacional de Ciberseguridad- constitutivos de la Ley Marco de Ciberseguridad, la cual, explica Farren, tiene como meta que se comience a tramitar antes de terminar este año, por encargo del Presidente.
-¿Cómo se define infraestructura crítica?
“Es cualquier proceso o institución que si deja de funcionar, falla o es atacada, se pueden producir pérdidas de vidas humanas, inestabilidad de la economía o de la seguridad nacional”.
“Cuando uno dice esto, se piensa en telecomunicaciones, electricidad, banca, salud y servicios básicos. Pero, por ejemplo, Homeland Security en Estados Unidos distingue 16 sectores. Y en Australia consideran la minería como infraestructura crítica”.
“Cada vez más, ciberseguridad y seguridad operacional son lo mismo, porque cada vez más procesos son digitales. Por ejemplo, si me preguntas, el Servicio Electoral es un activo de infraestructura crítica. También Impuestos Internos, la Tesorería, el Registro Civil o Codelco. Si nos queremos preocupar realmente de la probabilidad de que ocurra un incidente operacional que afecte a la economía, la seguridad nacional o vidas humanas, tenemos que pensar que hay muchas empresas e industrias que cumplen con esa definición”.
-¿Qué implicará para las empresas cuyo sector sea considerado infraestructura crítica?
“Deberán tener una mirada más profunda sobre la ciberseguridad, y, probablemente, cumplir estándares de certificación, organizacionales y tecnológicos más altos que el resto de las industrias. Por eso es importante definir un criterio que nos entregue seguridad, pero que no genere costos adicionales a estas industrias, que a su vez afecten el costo de los servicios que entregan a la población”.
“Debemos tener un criterio sólido y que se pueda aplicar de la manera menos discrecional posible”.
“Los decretos debemos firmarlos en octubre”
Otro elemento normativo que ocupa la agenda de Farren fue anunciado por el ministro del Interior, Andrés Chadwick, la semana pasada. Son cuatro decretos que definirán lineamientos en ciberseguridad, a la espera de la ley marco.
-¿De qué se tratan estos decretos?
“Uno va a definir la institucionalidad transitoria con que va a funcionar la ciberseguridad, que será a través de un comité interministerial donde vamos a poder definir políticas sectoriales. Los ministerios tienen al mismo tiempo asuntos propios del Estado y de los sectores a los cuales regulan. Por eso la importancia de que lo manejemos como si fuera un directorio”.
“Luego hay tres decretos que tienen más que ver con normas técnicas. Uno exige la implementación de controles que mejoran la seguridad operacional y la ciberseguridad; uno que trata sobre la arquitectura de los correos electrónicos, y otro sobre la de las páginas web”.
Disímil preparación según sector económico
-¿Qué nota le pone al estado de la ciberseguridad en Chile?
“Del uno al siete, le pongo un tres. Pero creo que hay sectores y sectores. La banca viene haciendo un esfuerzo importante, después de los incidentes del año pasado. El retail y el sector eléctrico también”.
“Yo creo que en el sector público tenemos que hacer un esfuerzo importante. Y que el sector salud está al debe. Público y privado. En salud están los factores de que se manejan datos confidenciales y de que la pérdida de estos podría significar que no se atienda a una persona”.
“Un tres. Y puedo estar siendo generoso. ¿Por qué un tres? Porque no tenemos marco legal. La Unión Europea acaba de pasar su Ley de Datos Personales, y se demoraron nueve años. Ojalá nosotros la podamos sacar antes de que termine el gobierno del Presidente Piñera”.
“No podemos seguir demorándonos en estas cosas. Tal vez necesitamos una comisión parlamentaria dedicada a la ciberseguridad. Y dedicarle más recursos. Porque esta es la economía del siglo XXI, la economía digital. Es la forma en que vamos a operar en el futuro”.
-¿En qué está la discusión de la nueva Ley de Delitos Informáticos?
“Está por concluir su primer trámite legislativo. El punto central en discusión es la definición de acceso ilícito. A nosotros nos parece una definición adecuada la que se usa en la mayoría de los países y en la norma de la Unión Europea: el acceso ilícito se produce cuando se ingresa a un sistema sin autorización y rompiendo barreras”.
“Cuando alguien entra de esa forma, atenta contra la seguridad de los sistemas y, más importante, contra la privacidad. Ese es el ilícito que queremos castigar”.
“Existe una industria del hacking bueno, dedicados a testear la vulnerabilidad de los sistemas. Pero operan invitados y autorizados por las instituciones. Y deben cumplir con ciertos protocolos. La ley, así diseñada, no atenta contra la actividad que desarrollan las personas o instituciones dedicadas a buscar vulnerabilidades en los sistemas”.
SIGA LEYENDO: https://digital.elmercurio.com/2019/09/30/B/GI3MCJEI#zoom=page-width