Tecnología 

Directrices, desafíos y cumplimiento: observando en detalle la Ley Marco de Ciberseguridad de Chile

oenred 0 Comments

En Chile, los ciberataques dejaron de ser incidentes aislados para convertirse en una amenaza sistémica. Pero, ya las empresas no tendrán que enfrentar estas situaciones solas. En el país se promulgó la Ley Marco de Ciberseguridad, que también impulsó la creación de la Agencia Nacional de Ciberseguridad (ANCI). A través de ellas el Estado busca establecer normativas para proteger la seguridad digital del país, crear un ecosistema seguro, fomentar una cultura de ciberseguridad y regular a organismos públicos y privados en la materia.

Sin embargo, ante este escenario, es fundamental indagar en torno a la preparación de las empresas chilenas y si el sector está realmente a la altura del desafío. Esta preocupación surge a raíz de situaciones recientes, como la categorización de una importante universidad nacional como “Operador de Importancia Vital” (OIV), categoría de riesgo, lo que implica que cualquier vulnerabilidad en dicha entidad tendría un impacto directo en la seguridad nacional, cuya implementación de medidas antihackeo bordería los $3.700 millones de pesos al año.

Ante esto, es relevante preguntarse, ¿Cuántas organizaciones chilenas han dimensionado el costo y requisitos de blindar la seguridad nacional desde sus propios servidores? Actualmente  hay 1.712 organizaciones OIV, que se encuentran principalmente en los sectores de energía eléctrica, telecomunicaciones, infraestructura digital y servicios TI gestionados por terceros, servicios financieros y medios de pago, prestadores de salud (hospitales, clínicas, centros médicos), empresas públicas creadas por ley, y organismos de la administración del Estado.

“Si bien la creación de la ANCI a nivel regional es un avance significativo en ciberseguridad, resulta esencial no solo comprender los requisitos y procesos necesarios para su aplicación en las entidades, sino también evaluar su impacto real. Esto implica analizar a fondo las necesidades internas de cada empresa, como el presupuesto, la infraestructura y otros factores clave, más allá de una simple ejecución de las medidas”, asegura David González, Investigador de Seguridad Informática de ESET Latinoamérica.

ANCI: Nueve directrices que deben cumplirse

En su rol fiscalizador, la entidad compartió una guía básica de ciberseguridad que las organizaciones deben cumplir para asegurar la información. Estos lineamientos se enfocan en la implementación de medidas de carácter tecnológico.

  1. Actualización de Sistemas Operativos para mantener los sistemas operativos e inventario al día.
  2. Capacitación periódica para enseñar a los empleados a identificar casos de phishing y manejar de manera segura la información.
  3. Minimizar los privilegios de los colaboradores, solo deben contar con los mínimos privilegios necesarios para realizar su trabajo. Asimismo, es necesario realizar una validación de usuarios; y para perfiles de administrador contar con autenticación multifactor (MFA).
  4. Cada trabajador debe disponer de un plan de respaldo periódico de información; cada trabajador debe disponer de un plan y los datos deben estar segmentados, restringiendo el acceso, modificación o eliminación de la información más sensible a aquellos usuarios que realmente lo necesiten. Además, la organización debe tener planes de respuesta a incidentes y planes de recuperación, los que deben ser regularmente actualizados y comunicados.
  5. Las redes deben segmentarse para separar dispositivos por división y responsabilidad, limitando el acceso solo a los equipos internos necesarios para las funciones de cada trabajador.
  6. Los dispositivos laborales deben tener contraseñas robustas y sistemas de protección de información, como cifrado de disco.
  7. Implementar un sistema de monitoreo en tiempo real que asegure la vigilancia y el seguimiento constante y en tiempo real de todos los eventos de ciberseguridad.
  8. Implementación de MFA, mecanismo de autenticación para ingresar a dispositivos y cuentas que debe considerar al menos dos categorías: “algo que sabes” (contraseña, PIN), “algo que tienes” (smartphone, tarjeta, token) y “algo que eres” (biometría).
  9. Debe usarse un gestor de contraseñas para almacenar todas las credenciales necesarias para el desempeño de las labores.

Desafíos de ejecución que enfrentan las empresas chilenas

¿Es tan sencillo la implementación de estas medidas? Como cualquier cambio significativo, requiere que las empresas realicen un análisis exhaustivo de todo lo que implica. Un aspecto crucial es la gestión presupuestaria, ya que los costos no solo cubren la adquisición de equipos o tecnologías, sino también la incorporación de nuevos perfiles profesionales en el área de tecnología y la capacitación del personal existente, lo que representa una porción considerable del presupuesto.

“La ciberseguridad va más allá de lo tecnológico y no es una responsabilidad exclusiva del área de TI, sino que involucra a toda la organización, por lo que no debe considerarse un tema aislado. Debe estar desde la base de la estrategia y planificación corporativa. En este contexto, la consultoría se vuelve fundamental para orientar a las empresas, no solo en la selección de las soluciones más adecuadas para la entidad, sino también en la identificación de vulnerabilidades y en el refuerzo de la cultura de prevención interna”, concluye González de ESET.

La puesta en marcha de medidas de ciberseguridad, necesarias para el cumplimiento de la nueva normativa, exige una gestión estratégica por parte de las empresas. Aunque la fiscalización y el control ejercido por la ANCI representan un desafío, también se traduce en una oportunidad para robustecer la seguridad de las organizaciones en Chile, abordándose de manera gradual.

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *