En la actualidad, el vertiginoso avance de la tecnología plantea un desafío considerable para mantenerse al día con estos cambios. En este escenario, la lentitud en los procesos de creación y aprobación de leyes y regulaciones impide lograr los niveles de cumplimiento esperados.
A pesar de este reto, en los últimos años se ha observado un mayor enfoque en este aspecto a nivel nacional. Han surgido normativas y proyectos de ley más específicos y rigurosos con respecto a este tema.
Dentro de los avances asociados a esta temática destacamos 3 normativas relevantes:
La Ley de Delitos Informáticos (Ley N° 21.459) reemplaza la legislación anterior de 1993, adaptándose a las realidades actuales. La normativa, denominada oficialmente "Convenio de Budapest", actualiza los tipos de delitos informáticos y facilita la persecución internacional de estos delitos.
La ley define y contempla diversos delitos informáticos, incluyendo acceso ilícito, interceptación ilícita, ataques a datos informáticos, falsificación y fraude informático, entre otros. Considera agravantes la posición de confianza en el sistema informático y el afectar servicios públicos o procesos electorales. Proporciona herramientas para perseguir estos delitos a nivel nacional y transnacional, incorporando estándares de evidencia electrónica y abarcando la responsabilidad penal de personas jurídicas.
El proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información busca definir normativas e institucionalidad para coordinar la ciberseguridad en el gobierno y la relación público-privada.
Su enfoque incluye fomentar la cultura de seguridad digital y proteger a las personas en el ciberespacio. Además, establece requisitos mínimos para la prevención y respuesta ante incidentes de seguridad informática. Define qué es la infraestructura crítica de la información y sus obligaciones para los órganos a cargo, y otorga competencias de fiscalización a entidades reguladoras.
Esta norma busca fortalecer la ciberseguridad, promover la prevención, la formación en seguridad digital y la respuesta a contingencias en el sector público y privado. Define términos clave como:
Esta iniciativa, pese a tener un marco general, ejerce una influencia destacada en el ámbito de la ciberseguridad. Las entidades certificadoras registradas en la CMF (Comisión para el Mercado Financiero), adoptarán el rol de evaluadoras independientes de programas de cumplimiento. Se enfatiza que el punto de partida para que la función de cumplimiento pernee de manera efectiva todas las áreas organizativas radica en el ámbito de la gobernanza corporativa.
La normativa exige que el modelo de cumplimiento se extienda a aquellos que gestionan operaciones en su nombre, lo que implica que los terceros también deben ser considerados en términos de riesgos cibernéticos y medidas preventivas.
El propósito de la ley es garantizar que, si una empresa delega funciones en otras entidades, no quede eximida de las posibles transgresiones. Esto conlleva la gestión de los riesgos asociados con terceros, de manera que la empresa asuma responsabilidad por todas las acciones realizadas en su nombre.
Aunque la ampliación de responsabilidad puede parecer un desafío, se destaca que una empresa que ya cuente con un modelo de prevención efectivo, realice una diligencia adecuada en relación con sus proveedores, supervise de manera continua y ofrezca capacitación adecuada, no debería enfrentar responsabilidades cibernéticas significativas, según los expertos de PwC.
En el contexto actual, en el que la dependencia de las tecnologías digitales es cada vez mayor, las leyes y normativas de ciberseguridad son más importantes que nunca. Estas leyes y normativas ayudan a crear un entorno cibernético más seguro y protegido para todos, y son importantes por varios motivos, entre los que destacan:
Adaptarse a las nuevas normativas requiere de un análisis detallado de las relaciones, transacciones y operaciones con terceros vinculados a la empresa en cuestión, e incorporar cláusulas de cumplimiento en los contratos correspondientes.
Por ejemplo, con la entrada en vigor de la ley asociada a delitos económicos de terceros, las infracciones cometidas en filiales podrían tener implicaciones directas para la entidad matriz, generando la necesidad de implementar programas de cumplimiento relacionados con la ciberseguridad en todos los niveles de la organización.
Además, las leyes y normativas de ciberseguridad pueden ayudar a:
Las empresas deben cumplir con diversas obligaciones según estas normas, incluyendo la implementación de un sistema de gestión continua de información, la creación y aplicación de planes de continuidad operativa, la realización de revisiones, ejercicios, simulacros y análisis de redes.
Además, deben adoptar medidas para mitigar el impacto y la propagación de incidentes, informar a la comunidad sobre incidentes o ciberataques, y desarrollar programas de capacitación y campañas de ciber higiene. También están obligadas a informar al CSIRT sobre ciberataques e incidentes de ciberseguridad, cumpliendo con plazos establecidos para tales reportes.
Es fundamental que las organizaciones estén al tanto de las políticas y los parámetros de cumplimiento establecidos para garantizar su seguridad y cumplir con las leyes. Ante esta necesidad, cobra vital importancia la investigación y desarrollo continuo de soluciones de ciberseguridad que sean resilientes y adaptables.
En la actualidad, numerosas empresas líderes en ciberseguridad están canalizando inversiones hacia tecnologías de vanguardia para resguardarse ante amenazas emergentes y de alto nivel de sofisticación.
Por otro lado, dada la persistente carencia de educación cibernética en el país, se torna esencial mantener una estrecha colaboración con expertos. Estos profesionales pueden brindar asesoramiento y orientación a las organizaciones, facilitando la toma de decisiones informadas y la consecución de los estándares de cumplimiento necesarios.
Como es bien sabido, la pérdida de la continuidad operacional y la filtración de datos, junto con el daño a la reputación, pueden tener consecuencias devastadoras para las organizaciones. La puesta en marcha de normativas más duras en este tema tiene como objetivo prevenir estas situaciones, para proteger tanto a las organizaciones como a las personas.
El endurecimiento de las medidas asociadas trae consigo un gran desafío para las organizaciones, las que tendrán que tener mayor precaución y generar mayores inversiones en su estrategia de ciberdefensa para poder estar a la altura de lo que la ley exige.
Ante esta realidad, es esencial desarrollar una estrategia de ciberdefensa integral, centrada en generar resiliencia en la mentalidad, cultura y enfoque de la organización. Alinear la ciberseguridad con la estrategia de negocio permite proteger mejor a la organización y fortalecer continuamente su resiliencia cibernética, defendiendo exhaustivamente los activos críticos para la continuidad del negocio.
Sin importar si se trata de una pequeña organización que está empezando o una gran corporación que esté avanzada en materia de seguridad, en Widefense acompañamos a las organizaciones en su recorrido hacia una ciberdefensa integral.
https://portal.nexnews.cl/showN?valor=op57v
https://alessandri.legal/nueva-ley-de-delitos-economicos-responsabilidad-penal-por-el-hecho-ajeno/
https://www.cmfchile.cl/portal/prensa/615/w3-article-29314.html
https://www.senado.cl/ley-marco-de-ciberseguridad-avanza-a-su-debate-en-particular
https://rchdt.uchile.cl/index.php/RCHDT/article/view/56660/61952
https://www.carey.cl/avanza-proyecto-de-ley-marco-sobre-ciberseguridad/
https://www.atcom.cl/ley-ciberseguridad-objetivos
https://neuronet.cl/nueva-ley-21459-sobre-delitos-informaticos-en-chile/
https://www.csirt.gob.cl/noticias/ley-marco-senado/
https://csirt.gob.cl/noticias/nueva-ley-de-delitos-informaticos-entro-en-vigor/