Chile está a la vanguardia en Latinoamérica en materia de ciberseguridad. ¿Cuáles son los principales objetivos y pilares de la política de ciberseguridad del Gobierno del país y cómo se están implementando?
La segunda versión de la Política Nacional de Ciberseguridad, que comprende el período 2023-2028, tiene cinco objetivos centrales: contar con una infraestructura resiliente que permita resistir y recuperarse de un incidente de ciberseguridad; proteger los derechos de las personas fortaleciendo la institucionalidad y generando y adoptando mecanismos y herramientas tecnológicas; fomentar una cultura de ciberseguridad a través de la educación y buenas prácticas; establecer instancias de cooperación y coordinación nacional e internacional; y promover el desarrollo de la industria de ciberseguridad.
Además, incluye cuatro dimensiones transversales que tienen como fin proteger y promover la protección de los derechos de las personas y sus familias en Internet: paridad de género, protección de la infancia, protección al adulto mayor y protección del medio ambiente.
En cuanto a su implementación, algunos de los compromisos adquiridos ya se están ejecutando. Por ejemplo, recientemente hemos presentado los resultados del Informe I+D en Ciberseguridad, elaborado por el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, que se dio a conocer el 5 de junio de este año como parte de los compromisos adquiridos en la Política y que corresponde al eje “fomento de la industria de ciberseguridad”.
¿Qué medidas concretas llevará a cabo el país para conseguir una sociedad y un entorno empresarial ciberseguro?
La primera Política Nacional de Ciberseguridad se lanzó en 2017, en el Gobierno de la presidenta Michelle Bachelet, con el objetivo de definir lineamientos en materia de ciberseguridad que involucraran a las distintas instituciones del Estado. Para ello, se establecieron cinco objetivos: infraestructura robusta y resiliente, derechos de las personas en el ciberespacio, cultura de ciberseguridad, cooperación nacional e internacional y desarrollo de la industria.
La Política Nacional de Ciberseguridad 2023-2028 se basa en estos mismos objetivos centrales, ya que son la base para cumplir con el objetivo central. Sin embargo, en esta segunda versión incorporamos objetivos o dimensiones transversales, como ya hemos comentado, las cuales deberán estar en cada una de las medidas propuestas para así proteger y promover los derechos de las personas.
Algunas propuestas que buscan contribuir a una sociedad y entorno empresarial más seguros son fortalecer el marco normativo, medida que se ya cumple gracias a que hoy contamos con la Ley 21.663 Marco de Ciberseguridad; y parte del segundo objetivo (derechos de las personas), lo que permitirá generar instancias de capacitación y colaboración y fortalecer la resiliencia de nuestros servicios esenciales frente a un incidente de ciberseguridad.
Chile promulgó, el 26 de marzo, la Ley Marco sobre Ciberseguridad. ¿Cómo impactará esta nueva regulación en la seguridad cibernética tanto de la ciudadanía como de las organizaciones y cuáles son sus novedades más importantes?
La Ley 21.663 Marco de Ciberseguridad establece un marco regulatorio de la ciberseguridad e implementa un modelo de gobernanza que considera la creación de la Agencia Nacional de Ciberseguridad (ANCI) como el organismo técnico y especializado con facultades regulatorias, fiscalizadoras y sancionatorias, tanto para los organismos públicos como privados.
Con esta regulación, las organizaciones públicas y privadas consideradas como servicios esenciales deberán adoptar medidas permanentes para prevenir y reportar incidentes o ciberataques. Además, la ANCI podrá dictar protocolos de ciberseguridad obligatorios, lo que permitirá que las organizaciones cuenten con estándares más seguros para proteger la información y los datos de sus instituciones y de las personas.
Por otra parte, la Agencia podrá diseñar e implementar planes de formación ciudadana para mejorar la educación digital de todos los chilenos.
¿Cómo mejorará esta normativa, en concreto, la protección y seguridad de los servicios esenciales chilenos?
Gracias a los protocolos y estándares que dictaminará la Ley, los servicios esenciales deberán seguir los lineamientos básicos e implementar permanentemente medidas de protección y prevención de ciberseguridad, para así mejorar su nivel de madurez y garantizar que las instituciones puedan enfrentar los ataques más frecuentes o de mayor impacto.
Como ha comentado, una de las principales novedades de la Ley Marco de Ciberseguridad es la creación de la Agencia Nacional de Ciberseguridad. ¿Qué atribuciones tendrá este órgano?
Algunas de las atribuciones de la ANCI serán asesorar al presidente de la República, dictar protocolos y estándares de carácter obligatorio, coordinar y supervisar al CSIRT Nacional, fiscalizar el cumplimiento de las disposiciones de la ley y sus reglamentos y establecer estándares de ciberseguridad y deberes, entre otras.
Chile inauguró, en abril, el Foro Nacional de Ciberseguridad. ¿Qué funciones tendrá este nuevo organismo y qué instituciones y personalidades formarán parte de él?
El Foro Nacional de Ciberseguridad es una iniciativa del Senado que tiene como objetivo fomentar la colaboración en materia de ciberseguridad, proponer iniciativas a los poderes ejecutivos y legislativos y promover la industria, entre otros fines.
Para ello se busca trabajar colaborativamente con el sector público-privado, expertos y comunidad en general.
¿Cuáles son las ciberamenazas que más le preocupa y las que más sufre su país?
Todas las ciberamenazas son importantes y no debemos descuidar ninguna. Sin perjuicio de esto, el tipo de ataque que más nos preocupa, debido su nivel de impacto y alcance, y que hemos visto el último año en nuestro país, es el que intenta afectar a la cadena de suministro con el uso de programas maliciosos como el ransomware.
¿Qué rol juegan actualmente la tecnología y la innovación chilena en ciberseguridad y cómo augura su futuro?
En Chile existe hoy una creciente industria de la ciberseguridad, la que se ha visto impulsada por la mayor comprensión de la necesidad de proteger adecuadamente nuestras organizaciones. Además, esperamos que las mayores exigencias de la recientemente aprobada Ley Marco de Ciberseguridad generen una creciente demanda de servicios de seguridad, implementados en su mayoría por empresas locales.
Finalmente, el impulso dado a la conectividad de nuestro país con obras como el cable submarino Humboldt permite la exportación de nuestros servicios digitales al mundo.
«Hemos avanzado, pero aún nos falta mucho en educación y concientización»
La necesidad de talento en ciberseguridad es uno de los problemas a los que se enfrenta el sector. ¿Qué estrategias se están implementando desde su Gobierno para formar y retener este talento?
Para fomentar el desarrollo del talento en ciberseguridad, el CSIRT de Gobierno ha organizado distintas actividades de capacitación para jóvenes, como el OEA Cyber Challenge y SheSecures; ambas desarrolladas en conjunto con la OEA [Organización de los Estados Americanos] y que buscan desarrollar habilidades técnicas y de trabajo en equipo mediante ejercicios de ciberseguridad.
Por otra parte, para 2024, el CSIRT de Gobierno elaboró un plan de capacitación dirigido a los encargados y equipos de ciberseguridad del Estado, el cual contempla diversas charlas y ejercicios de simulación. El objetivo es poder entregar las herramientas necesarias para que los equipos puedan enfrentar de forma eficiente y oportuna un incidente de ciberseguridad, además de que aprendan a generar planes de prevención y concientización, y así tener equipos más preparados y capacitados.
A grandes rasgos, ¿cómo definiría el estado de concientización en ciberseguridad de la ciudadanía chilena?
Hemos avanzado, pero aún nos falta mucho en educación y concientización.
Nuestro foco y preocupación es proteger a las personas, y por eso la Política Nacional de Ciberseguridad 2023-2028 está orientada hacia la protección de los derechos fundamentales de las personas, con un enfoque de género en donde buscamos que se consideren a niños, niñas, adolescentes y adultos mayores en los programas de concientización y educación para así desarrollar una cultura de ciberseguridad más robusta.
