En la cúspide de la pirámide de la gobernanza de ciberseguridad en Chile se encuentra la Agencia Nacional de Ciberseguridad (ANCI). ¿Cómo describiría, a nivel general, esta gobernanza de la seguridad cibernética en su país?
El modelo de gobernanza en Chile es un modelo de múltiples organizaciones, encabezadas por la Agencia Nacional de Ciberseguridad como el organismo técnico y autónomo a cargo de regular, gestionar incidentes, fiscalizar y sancionar la normativa de ciberseguridad. Además, como órgano rector, tenemos obligaciones de coordinación legislativa con el resto de reguladores sectoriales en telecomunicaciones, servicios financieros, prestaciones de seguridad social y salud, entre otros.
Asimismo, hay principios que nos obligan a que el sistema nacional de ciberseguridad sea lo más coherente posible. Y eso implica, por ejemplo, que la dictación de normas técnicas tiene que ser previa consulta con los reguladores sectoriales o previa consulta con nosotros.
Eventualmente, también tenemos la posibilidad de dictar normas conjuntas, las cuales buscan la equivalencia normativa de una actividad en particular entre distintos sectores.
¿Cuáles son los principales proyectos en los que está trabajando y en los que trabajará la ANCI?
La Agencia se instaló el 1 de enero de 2025. Desde entonces, nos fijamos tres objetivos para este año. Primero, instalar un servicio público nuevo, pues la ANCI no existía. Ciertas capacidades de respuesta a incidentes de ciberseguridad existían en el Ministerio del Interior y Seguridad Pública y se traspasaron a la nueva Agencia. Por tanto, instalar un servicio público nuevo tiene desafíos propios, desde conseguir oficinas hasta contratar personal y staff de apoyo en áreas como la jurídica o las finanzas, y en todo lo relacionado con una organización de la Administración del Estado.
Segundo, montar el sistema de reporte de incidentes. La obligación de reportar incidentes entró en vigencia el 1 de marzo. Históricamente, los únicos que estaban obligados en Chile eran los organismos de la Administración del Estado, que estaban acostumbrados a hacerlo. Pero, a partir de dicha fecha, todo el sector privado de los 15 sectores regulados por la Agencia Nacional de Ciberseguridad está obligado a reportar incidentes.
Esto nos obligó a montar una plataforma de reporte seguro. De hecho, utilizamos mecanismos de autenticación robusta que no se usaban tradicionalmente en la Administración del Estado en Chile y generamos una plataforma que garantizara confidencialidad, integridad y seguridad en el proceso de notificación. Y ha funcionado bastante bien.
Adicionalmente, hicimos una taxonomía de incidentes de ciberseguridad que está inspirada en dos grandes fuentes normativas, NIST de Estados Unidos y la norma técnica de ENISA [Agencia de la Unión Europea para la Ciberseguridad]; pero generamos una taxonomía propia por múltiples razones.
Y el tercer proceso que hicimos tiene que ver con la identificación de quiénes son los operadores de importancia vital, que en el régimen europeo serían como las entidades esenciales. Estos operadores son las organizaciones dentro de un sector regulado que son más críticas para el normal funcionamiento del país.
Chile también está tomando el liderazgo de la normativa en materia de ciberseguridad en Latinoamérica. ¿Qué expectativas hay con ella, sobre todo con la Ley Marco de Ciberseguridad?
Lo que nosotros esperamos es que, en un horizonte de tiempo determinado, entre dos o tres años, todos los que presten un servicio esencial vayan incrementando su nivel de madurez progresivamente. De ahí, por ejemplo, que la obligación de notificar incidentes sea clave, porque para hacerlo tengo que conocer mi activo y mis capacidades. Una organización inmadura no conoce su activo y sus vulnerabilidades; por lo tanto, es poco lo que puede notificar. De hecho, muchas veces lo vamos a notificar nosotros primero.
La notificación de incidentes obliga a las organizaciones públicas o privadas a desarrollar un músculo que usualmente no tenían: inventario de activos, gestión de vulnerabilidades, gestión de parches, etcétera.
En definitiva, esperamos que, en un horizonte de tiempo de dos o tres años, los prestadores más importantes en cada servicio esencial tengan un nivel de madurez medio-alto. En algunos sectores eso ya existe; por ejemplo, en la banca. El bancario es un sector maduro en Chile; pero si uno se mueve dentro de ese mismo sector, a la fintech, vemos que es un ámbito incipiente; está recién partiendo con las medidas.
¿Cuál diría que es el estado de situación de la ciberseguridad tanto en Latinoamérica como en Chile?
El desafío más importante que tenemos en América Latina hoy día es el desarrollo de marcos regulatorios. Nosotros estamos trabajando con 12 países de América Latina y el Caribe para apoyarlos en el proceso de desarrollo de su propio marco regulatorio. No estamos vendiendo el modelo chileno ni queremos que copien la ley chilena, sino que aprendan de la experiencia y la forma en que adopta cada uno de esos países su modelo de gobernanza. Su ámbito de aplicación u otras cuestiones es algo que deben definir ellos.
Lo que nosotros estamos haciendo, con el apoyo de la Unión Europea, es entregar conocimiento, herramientas y prácticas de manera tal que ese proceso de decisión, que soberanamente tienen que llevar a cabo los países, lo puedan hacer con la mayor cantidad de información posible.
notiveraz