La Ley Marco de Ciberseguridad en Chile, publicada en abril de 2024 marca un hito en la regulación y protección contra estos riesgos. ¿Qué significa esto realmente para las empresas? Desde pymes hasta grandes corporaciones, esta normativa tiene implicaciones directas y significativas en su operación diaria. En este artículo, explicaremos en detalle cómo esta ley afecta a las empresas chilenas, desde las obligaciones y responsabilidades que impone, hasta ejemplos concretos de su aplicación en diferentes tipos de organizaciones.

   

Impacto de la ciberseguridad en Chile

En los últimos años, Chile ha enfrentado varios ataques cibernéticos que han resaltado la urgente necesidad de contar con una legislación en este sentido, que no solo mitigue los riesgos actuales, sino que también establezca una base sólida para la protección futura contra ciberamenazas. La nueva ley busca precisamente abordar estas deficiencias, fortaleciendo las medidas de prevención, detección y respuesta a incidentes de seguridad cibernética​. 

Componentes principales de la Ley

Uno de los elementos clave de la nueva Ley Marco de Ciberseguridad en Chile es la creación de la Agencia Nacional de Ciberseguridad (ANCI). Esta entidad pública descentralizada tiene como principal objetivo asesorar al Presidente de la República en materias de ciberseguridad. Entre sus funciones se incluyen:

• Dictar protocolos y estándares de ciberseguridad: La ANCI es responsable de establecer las normativas que deben seguir tanto entidades públicas como privadas para garantizar la seguridad informática.
• Coordinar y supervisar al CSIRT Nacional: La ANCI coordina y supervisa las acciones del Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, así como otros equipos sectoriales.
• Administrar el Registro Nacional de Incidentes de Ciberseguridad: Este registro será crucial para monitorear y gestionar los incidentes de seguridad que ocurran en el país.

Prevención de riesgos y gestión de incidentes

La ley también  establece una serie de medidas obligatorias para la prevención de riesgos y la gestión de incidentes, asegurando así que las empresas estén mejor preparadas para enfrentar ciberataques. Estas medidas incluyen:

– Análisis de riesgos: Las empresas deben llevar a cabo análisis periódicos de riesgos para identificar y mitigar posibles amenazas. Esto implica evaluar las vulnerabilidades en los sistemas y procesos para implementar medidas preventivas adecuadas.

-Protocolos de respuesta y recuperación: Se deben establecer y mantener actualizados protocolos específicos para la respuesta rápida y la recuperación efectiva ante incidentes de ciberseguridad. Estos protocolos deben incluir planes de contingencia y procedimientos detallados para minimizar el impacto de los incidentes.

-Implementación de medidas de seguridad: Las organizaciones deben adoptar medidas de seguridad tecnológicas, organizacionales, físicas e informativas para prevenir, detectar y responder a incidentes de ciberseguridad. Estas medidas incluyen el uso de tecnologías avanzadas de protección, la capacitación continua del personal y la implementación de políticas y procedimientos de seguridad robustos.

-Formación y capacitación: La ley exige que las organizaciones proporcionen formación continua y capacitación en ciberseguridad a sus empleados. Esto incluye la realización de talleres, simulacros y ejercicios para preparar al personal ante posibles incidentes.

-Evaluaciones periódicas: Las organizaciones deben realizar evaluaciones periódicas de sus sistemas y procedimientos de ciberseguridad para asegurar su eficacia y adecuación a las amenazas emergentes.

Además, es crucial que las empresas desarrollen una cultura de ciberseguridad, promoviendo la conciencia sobre las amenazas y la importancia de la protección de datos en todos los niveles organizacionales. El eslabón más débil de la cadena de ciberseguridad en cualquier organización suele ser el factor humano, por lo que la integración de la cultura de la ciberseguridad en la rutina diaria de los colaboradores reduce significativamente el riesgo de ciberataques exitosos.

La ANCI jugará un papel fundamental en la supervisión y aseguramiento del cumplimiento de estas normativas, contribuyendo así a un entorno digital más seguro en todo el país. Con estas medidas, la ley no solo busca proteger las infraestructuras críticas, sino también promover una cultura de ciberseguridad robusta y proactiva en las organizaciones chilenas.

Para más detalles sobre la Ley Marco de Ciberseguridad, puede consultar el texto completo aquí. 

Impacto en el mercado

Uno de los grandes objetivos de esta nueva legislación es la protección de infraestructuras esenciales en Chile. Estas infraestructuras incluyen sectores críticos como energía, telecomunicaciones, salud, y finanzas. Las empresas que prestan servicios esenciales en Chile tendrán que implementar robustas medidas de ciberseguridad para prevenir, detectar y responder  los ciberataques, lo que de una o de otra manera afectará el presupuesto que cada empresa destina a este tipo de tecnología. Aunque, es mejor verlo como una inversión, que como un gasto necesario de realizar por una imposición normativa. 

Servicios esenciales según la Ley

Los servicios considerados como esenciales bajo la nueva Ley incluyen: 

• Generación, transmisión o distribución de energía eléctrica
• Transporte, almacenamiento o distribución de combustibles
• Suministro de agua potable o saneamiento
• Telecomunicaciones e infraestructura digital
• Servicios digitales y tecnologías de la información
• Transporte terrestre, aéreo, ferroviario o marítimo
• Banca, servicios financieros y medios de pago
• Administración de prestaciones de seguridad social
• Servicios postales y de mensajería
• Prestación institucional de salud
• Producción e investigación de productos farmacéuticos.

Que estas empresas sean consideradas como esenciales, asegura la continuidad de estos servicios y minimiza el riesgo de interrupciones que podrían traer consecuencias graves para la economía y la seguridad nacional, en caso de ciberataques de cualquier tamaño y duración. 

Infracciones y sanciones de acuerdo con la Ley de Ciberseguridad

La Ley también contempla nuevas infracciones para aquellas entidades que no cumplan con la normativa en ciberseguridad. Las infracciones leves incluyen retrasos en la entrega de información y el incumplimiento de instrucciones no críticas. Las graves abarcan la falta de implementación de protocolos y la entrega de información falsa. Las gravísimas se refieren a la no implementación de medidas críticas durante incidentes significativos y la reincidencia en infracciones graves. Las sanciones van desde multas de hasta 5.000 UTM para infracciones leves, hasta 40.000 UTM para las más graves, especialmente para operadores de importancia vital (estos últimos todavía están pendientes de ser definidos por la propia ANCI), es decir que las multas más graves equivalen aproximadamente a 2.600 millones de pesos. 

Para evitar cometer alguna de las infracciones que marca la Ley, las empresas deben seguir varios pasos esenciales:

1. Realizar un Análisis de Riesgos: Evaluar las vulnerabilidades y amenazas potenciales en sus sistemas y procesos, implementando medidas preventivas adecuadas.
2. Implementar Protocolos de Seguridad: Establecer y mantener actualizados protocolos de seguridad que incluyan planes de contingencia y procedimientos detallados para la respuesta y recuperación ante incidentes.
3. Capacitación y Concienciación: Proporcionar formación continua y capacitación en ciberseguridad a todos los empleados, incluyendo simulacros y ejercicios prácticos.
4. Reportar Incidentes: Informar al CSIRT Nacional sobre cualquier incidente significativo, proporcionando detalles sobre la naturaleza del ataque y las medidas adoptadas para mitigarlo.
5. Realizar Evaluaciones Periódicas: Revisar regularmente los sistemas y procedimientos de ciberseguridad para asegurar su eficacia y adecuación a las amenazas emergentes.

La implementación de estas medidas no solo ayuda a las empresas a cumplir con la ley, sino que también fortalece su resiliencia ante ciberataques, mejorando su reputación y confianza en el mercado. 

El futuro de la ciberseguridad en Chile

La implementación de la nueva ley de ciberseguridad representa un avance significativo en la protección de infraestructuras críticas y la continuidad de servicios esenciales para proteger a todas las personas que dependen de estos servicios. Sin embargo, el camino hacia una ciberseguridad robusta y efectiva no está exento de desafíos. Las empresas deben adaptarse a un entorno regulatorio más estricto, invirtiendo en tecnología y capacitación para cumplir con las nuevas exigencias. Además, la evolución constante de las amenazas cibernéticas requiere una revisión y actualización continua de las medidas de seguridad.

Un reto clave será la capacidad de la Agencia Nacional de Ciberseguridad (ANCI) para supervisar y coordinar eficazmente los esfuerzos de ciberseguridad a nivel nacional, asegurando el cumplimiento de las normativas y la protección adecuada contra ciberataques. La colaboración entre el sector público y privado será esencial para crear un entorno digital seguro y resiliente.Enfrentar estos desafíos con éxito fortalecerá la resiliencia del país ante las ciberamenazas, mejorando la confianza en los servicios digitales y asegurando la protección de la información crítica para la economía y la seguridad nacional. La ciberseguridad en Chile está en una etapa crucial de desarrollo, y los esfuerzos realizados hoy definirán el nivel de protección y seguridad en los próximos años. Si quieres saber mas, te recomendamos la Guía Completa de Ciberseguridad para empresas y activos digitales, de Entel.