La nueva política nacional de ciberseguridad

El Contexto

Mientras mayor es la dependencia de los Estados, de las empresas y de las personas a las tecnologías de la información y comunicaciones, mayores son los riesgos y daños que las actividades de ciberataques, sabotaje y fraude pueden causar.

Chile no está ajeno a esta realidad, y en ese contexto, el 27 de abril el Gobierno de Chile dio dos pasos relevantes.

Por un lado, suscribió el decreto que promulga la Convención sobre Ciberdelitos del Consejo de Europa, o Convenio de Budapest; el primer tratado internacional sobre delitos cometidos a través de Internet. Este Convenio fue abierto para suscripción el 2001 y entró en vigor el 2004. Chile será el primer miembro en Sudamérica.

Por otro, presentó la primera Política Nacional de Ciberseguridad (la “Política”). La Política tiene su antecedente en abril de 2015, con la creación del Comité Interministerial de Ciberseguridad por el Ministerio del Interior en abril de 2015.

La Política pretende hacerse cargo de los desafíos de la dependencia digital para la seguridad del país y sus ciudadanos, y busca establecer los lineamientos del Estado de Chile en esta materia, para contar con un ciberespacio libre, abierto, seguro y resiliente hacia el año 2022.

La Política se justifica en cuatro necesidades fundamentales.

  • Seguridad de las personas: Se busca alcanzar un nivel de seguridad que permita ejercer derechos fundamentales en la web, como la libertad de expresión, la protección a la vida privada y la propiedad.
  • Seguridad del país: Se intenta resguardar los sistemas informáticos que permiten la continuidad operacional de los servicios básicos.
  • Colaboración y coordinación de instituciones: Se entiende que la colaboración nacional e internacional permite, dar una mejor respuesta a los riesgos del ciberespacio.
  • Gestionar los riesgos del ciberespacio: Se busca desarrollar procesos de análisis de riesgos que permitan identificar vulnerabilidades y amenazas en el uso de información, generando capacidades para la prevención y recuperación ante incidentes.

Para hacerse cargo de estas cuatro necesidades, la Política plantea dos mecanismos: (i) una política de Estado a largo plazo con objetivos orientados al 2022; y, (ii) una agenda de medidas específicas a implementar entre 2017 y 2018.

Objetivos de Política para el año 2022

  1. Contar con una mejor infraestructura de la información, preparada para resistir y recuperarse de incidentes de ciberseguridad. En razón de este objetivo:
    1. Se crearán modelos de prevención y gestión de riesgos del ciberespacio, o riesgos físicos que le afecten.
    2. Se protegerán las infraestructuras críticas de la información (las “ICI”), cuya afectación puede tener efectos graves en la seguridad, salud y bienestar de los ciudadanos y del efectivo funcionamiento del Estado. Para ello, se identificarán y se establecerá jerarquía para las ICI. Mientras se adopta la política, se considerarán ICI: energía, telecomunicaciones, agua, salud, servicios financieros, seguridad pública, transporte, administración pública, protección civil y defensa.
    3. Se contará con equipos de respuesta a incidentes de ciberseguridad, tanto públicos como privados.
    4. Se implementarán mecanismos estandarizados de reporte, gestión y recuperación de incidentes. Estos serán obligatorios para el gobierno central y ciertos sectores regulatorios. Además, se promoverá el reporte de filtraciones de datos por parte de los usuarios, a través, por ejemplo, de marcos de entrega responsable de información o modelos de recompensas por la detección de problemas de ciberseguridad y otros que incentiven la revelación responsable.
    5. Se establecerá la exigencia de estándares diferenciados de seguridad dependiendo de la información a proteger y la infraestructura.
  2. Proteger los derechos fundamentales de las personas en el ciberespacio. Para ello, la Política plantea:
    1. La prevención, disuasión, control y sanción de los ciberdelitos y la generación de confianza en el ciberespacio.
    2. Promover la coordinación en la prevención multisectorial de ciberataques y ciberdelitos.
    3. Promover el respeto y promoción de los derechos fundamentales en el ciberespacio, considerando, entre otras, la característica de bien público global que tiene internet.
  3. Alcanzar una cultura de la ciberseguridad en torno a la educación, buenas prácticas y responsabilidad en el manejo de las tecnologías digitales.
  4. Alcanzar relaciones de cooperación en ciberseguridad, buscando establecer un trabajo diplomático que permita disminuir riesgos de conflictos en el ciberespacio y promover las diversas modalidades de asistencia internacional.
  5. Desarrollar la industria de la ciberseguridad, adoptando medidas que ayuden a crear y fortalecer la industria nacional de servicios, tecnologías y gestión de la ciberseguridad.

Agenda de medidas específicas de política pública 2017-2018

Se entregan más de cuarenta medidas específicas a implementar entre 2017 y 2018, destinadas a responsables y colaboradores concretos.

Entre las medidas, destacan el envío por parte del Ministerio del Interior de un proyecto de ley sobre ciberseguridad que consolide la institucionalidad y manejo de incidentes de seguridad informática del país; la generación de guías de buenas prácticas por el Comité Interministerial de Ciberseguridad; la actualización de normas relacionadas sobre delitos informáticos, sobre seguridad de la información del Estado, sobre los requisitos de acceso a la red y sobre datos personales, entre otras; y la realización por parte del Ministerio de Educación de campañas de educación y difusión.

Institucionalidad

La Política propone la creación de un organismo público que asuma la gobernanza de la ciberseguridad en Chile, el que deberá asumir funciones esenciales como la gestión de relaciones interinstitucionales, la gestión de incidentes, ser contacto nacional e internacional en la materia, la función comunicacional, la función normativa técnica y asesora en normativa general, además de la función de seguimiento y evaluación de medidas. Como esta institucionalidad es materia de ley, mientras tanto, la Política propone prorrogar la existencia y ampliar el mandato del Comité Interministerial de Ciberseguridad para cumplir la función comunicacional, de coordinación y seguimiento de las medidas presentadas en la Política, mientras que las demás funciones deberán ser ejercidas por las instituciones que forman parte de la estructura actual de Gobierno.

Comentario

Chile necesita establecer lineamientos claros para enfrentar los desafíos de la era digital y, particularmente, los de ciberseguridad. Un marco normativo apropiado y una institucionalidad acorde son fundamentales para proteger los intereses y derechos de los ciudadanos y la industria que utilizan el ciberespacio para desarrollar sus actividades económicas cotidianas.

La Política impulsada por el Gobierno y la adhesión al Convenio de Budapest dan una buena señal de que Chile tiene claridad de que los ciberdelitos son tanto o más relevantes que los delitos cometidos en el ámbito físico. Los objetivos de la Política son ambiciosos, pero esperamos con optimismo que exista la voluntad política que permita concretar estos lineamientos de la mejor manera para un equilibrado desarrollo del país.