Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información
¿Por dónde partir?

Con la reciente promulgación y publicación de la entrada en vigencia de la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, el terreno de la ciberseguridad será parte de las acciones laborales de las áreas de tecnología o de la seguridad de la información de la organización.

Con esta norma veremos cómo las organizaciones consideradas como servicios esenciales deberán tomar acciones y probablemente asignarán el control y monitoreo de la ciberseguridad en los departamentos de compliance o lo mantendrán en el área de tecnología. Muchas instituciones lo están viendo de esta manera para gestionar y controlar los procedimientos que se han definido para que sus sistemas estén protegidos y cumplan con medidas de resguardo ante los eventuales incidentes cibernéticos.

Sin duda, las empresas deberán gestionar y medir cada día más los riesgos de ciberseguridad, porque la norma y el nuevo regulador se lo va a exigir, de forma directa o indirecta, y, esto impactará en el análisis de riesgos de la sociedad, la regulación, exigirá en las grandes empresas una monitorización a tiempo real de las ciberamenazas, y se deberán abordar la gestión del riesgo con mecanismos tecnológicos, muchas empresas, ya están trabajando sobre la implementación de estas herramientas, estableciendo previamente medidas preventivas y reactivas frente a las amenazas.

Entonces ante la llegada de esta nueva norma, ¿Por dónde hay que partir?

Es importante señalar que esta nueva Ley fija una institucionalidad, que crea una Agencia Nacional de Ciberseguridad (regulador) y fija los servicios esenciales. La ley señala en el artículo 4 inciso 2, que “Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.”

Además, la Agencia puede calificar servicios adicionales como esenciales si su afectación puede causar grave daño a la población, actividades económicas, medio ambiente,funcionamiento de la sociedad, Administración del Estado, defensa nacional, seguridad u orden público.

Los primeros pasos que debe hacer su organización son:

  1. Identificar si soy un servicio esencial a la luz de la nueva ley marco de Ciberseguridad e Infraestructura Crítica de la Información.
  2. Si no existe alguien a cargo, se debe designar a una persona con un rol responsable en la organización con la capacidad para implementar las normas técnicas (estándares y protocolos) que exigirá la agencia. Tener claridad con las medidas legales (contratos críticos, reglamentos y políticas de la empresa) y,
  3. Planificar la implementación de medidas organizativas que van consistir en capacitaciones, concientización y cultura en la organización.

Este es el comienzo, luego habrá que generar diversas acciones, partiendo por elaborar un plan director de ciberseguridad para agrupar las diversas actividades indicadas anteriormente, dicho plan debe contar con un presupuesto y el apoyo de la alta gerencia de la organización para su puesta en marcha.


Andrés Pumarino M.
Abogado
Socio Contraloría Privada