Ciberseguridad: Gobierno establecerá nueva figura responsable de coordinar con los sectores público y privado el cumplimiento de las normas

Ciberseguridad: Gobierno establecerá nueva figura responsable de coordinar con los sectores público y privado el cumplimiento de las normas

Desde hace exactamente 107 días que el asesor presidencial para la ciberseguridad, Jorge Atton, y el subsecretario del Interior, Rodrigo Ubilla, trabajan codo a codo en La Moneda para impulsar el proceso de modernización que el Presidente Sebastián Piñera mandató en esta área de manera prioritaria, a raíz de distintos sucesos que afectaron los datos bancarios de miles de chilenos. La transformación será profunda y se expresará a través de pequeños detalles, como una anécdota que Atton comenta de hace solo unos días: ‘Estaba en una reunión de generales y todos venían con su pendrive. Me tinca que va a ser la última vez, porque se va a prohibir que a La Moneda se entre con un pendrive. Van a tener que bajar la información de la ‘nube’’. A lo que Ubilla agrega: ‘Los próximos computadores que se compren no tendrán puerto USB’. Ese particular hecho refleja parte de los cambios que introducirá el Gobierno en el proyecto de ley que enviará al Congreso en los primeros días de octubre, ya que ‘claramente las normas están muy atrasadas’, comenta Atton. Y es secundado por Ubilla, quien complementa que ‘hay una brecha que ha sido aprovechada por la ciberdelincuencia’, y que los delitos informáticos son dinámicos, porque ‘las amenazas de hoy no son las mismas de mañana’.

Segpres definirá los estándares
—¿Cuáles son los proyectos de ley que impulsarán esta transformación?
Atton: Hemos identificado materias de ley que debemos impulsar, como la Ley General de Bancos y la Ley de Protección de Datos Personales. Y por supuesto los proyectos encadenados con el trabajo de ciberseguridad que estamos desarrollando ahora, como la tipificación de los delitos en relación a lo ratificado en el Convenio de Budapest (ver recuadro), el registro de celulares de prepago —para resolver los problemas de fraude en la portabilidad y minimizar los usos maliciosos de chips en estafas sin ningún tipo de registro— y uno de los más complejos que es la Ley Marco de Ciberseguridad. Esta va a definir una serie de estándares y obligaciones que deberán cumplir los sectores público y privado, y establece un marco de gobernanza definitivo que tendrá la ciberseguridad dentro del Estado. Y en el próximo año vendrá el proyecto de la Ley de Infraestructura Crítica para Sistemas de Información.

Ubilla: Vamos a establecer una etapa intermedia, que se llama ‘gobernanza provisoria’, para evaluar el funcionamiento de la estructura antes de impulsar el proyecto de Infraestructura Crítica. Habrá un coordinador del Sistema Nacional de Ciberseguridad, que dependerá del Ministerio del Interior, y que articulará toda la red dividida en tres grandes áreas: el Centro de Incidencias de Defensa, que corresponde al Ministerio de Defensa; el Centro Nacional de Incidencias Informáticas, que corresponde al Ministerio del Interior, y el Centro de Incidencias Industriales de Sectores Estratégicos, que dependerá del Ministerio de Economía. Tres áreas articuladas desde arriba para que puedan conversar e interactuar. La Segpres, en tanto, está a cargo de Gobierno Digital y tiene la misión de asesorar al Presidente en materias interinstitucionales, por lo que en toda la definición de estándares será muy importante. Entonces, Economía se preocupará de que la empresa privada cumpla con los estándares de seguridad definidos; Interior con el sector público, y Defensa con las Fuerzas Armadas.

—¿Se aplicarán exigencias particulares para cada área?
U: Claro. En economía va a existir un equipo que tendrá que conversar con todos los rubros —telecomunicaciones, el mundo financiero, energía, etcétera— y le va a decir: ‘Señor, ¿usted quiere funcionar en Chile? Bueno, estos son los estándares’.

—¿Cómo quedará el escenario con la nueva tipificación de delitos informáticos?
A: Eso está claramente recogido en el proyecto de ley. Se viene una serie de tipificaciones donde puedes ingresar, hackear, por ejemplo, un proceso transaccional en donde tienes daño económico o productivo…

U: O el bloqueo de la electricidad del Metro.

A: O que entres a una clínica y saques información clave del paciente y la comercialices o lo extorsionas, etcétera. Todo está tipificado, con distintos tipos de penas y gravedades en función del daño.

—¿Y cuáles serán los rangos de las penas?
U: Eso está preparándolo el Ministerio del Interior, y una vez que esté consensuado se le va a llevar al Presidente. Pero yo creo que hay un alto consenso con los congresistas de que las sanciones por este tipo de delitos deben ser altas.

A: Es un tema de discusión importante, porque está entre el derecho y las obligaciones, pero si seguimos la lógica del Convenio de Budapest, hay un estándar internacional establecido.

Ciberseguridad: ‘No es una industria en sí misma’
—¿Cuáles serán las exigencias que la ley les hará cumplir, por ejemplo, a las instituciones financieras que se han visto afectadas por este tipo de ataques en el último tiempo? ¿Tendrán que invertir en esta materia?
A: Hay que tener cuidado; la ciberseguridad no es una industria en sí misma, pero efectivamente hay que tener sistemas de seguridad que aseguren el resguardo de toda esta información.

—¿La ley va a exigirles a estas empresas privadas que se resguarde esta información?
A: Uno son los datos personales, que están resguardados. Lo segundo son las transacciones personales. La ley de datos personales, lo que hará son una serie de exigencias, por eso es muy importante. Independientemente de eso, cada sector debe tener una normativa muy específica. Hay una que se está actualizando y vamos a incorporar en la normativa cuál es la información que debe ser resguardada por los clientes. Lo mismo para energía y otros.

—¿Cómo se van a financiar todos estos cambios?
U: Hay recursos que se están reasignando, pero son mínimos. Se están pidiendo para el próximo año. Los recursos tienen que ver, en una primera fase, con recursos humanos especializados. De hecho, van a viajar personas al extranjero y vamos a capacitar en Chile, pero con un cambio de paradigma.

A: Hay otra cosa bien novedosa. Por ejemplo, en el sector eléctrico, el coordinador eléctrico es el que administra la red completa y supervisa cuándo las generadoras entran a la central, cuándo entra una o la otra, los postes, etcétera. Lo que estamos viendo es que ese coordinador financiado por las propias compañías tanto distribuidoras, transmisoras, generadoras, tengan también los elementos de ciberseguridad y los informe hacia arriba y lo mismo en todos los sectores.

U: Una figura coordinadora por sector

A: Financiado por la misma compañía, que además es un tema que les ayuda a ellos, ¿qué nos interesa a nosotros, como Estado? Es que se recoja la información a nivel del ente regulador, y si alguien no la quiere compartir, eso va a ser materia de ley.

—Se han producido al menos seis hechos de este tipo en los últimos meses. ¿Qué medidas se han tomado en esta materia?
A: Yo separaría los dos casos, uno es el tema del Banco de Chile, que es una situación especial que se conoce, y otra cosa es la filtración de datos de tarjetas de crédito. Claramente, y quedó demostrado, que es una empresa que no está en Chile, podrías tener unas tremendas normas de seguridad, pero eso habría quedado sin sanción porque esa filtración fue producto de una empresa que está en Estados Unidos, en Miami. La superintendencia tomó dos medidas súper importantes: la clave dinámica a la brevedad, la confección de un instructivo y compartir la información. Y eso están haciendo. También hemos transmitido urbi et orbi: ‘oiga, señor, los datos son suyos, son personales, preocúpese’.

—¿Qué tipo de datos buscará proteger la ley?
A: El primer mensaje es que esta ley no significa que la persona entregue los datos en cualquier parte y el Estado los va a proteger, porque esa es un decisión personal. La lógica de la ley de datos es que cuando yo entregue la información porque la pidieron, porque es una condición, es evidente que esa entidad o el Estado está obligado a protegerla.

—Pero ahí también hay una responsabilidad del ciudadano…
A: Absolutamente

—Por eso se requeriría un cambio cultural, ¿cómo se logra?
A: En la medida en que se vayan poniendo planes de educación y planes de implementación. Por ejemplo, en los próximos seis meses usted va a tener acceso de esta forma, pero después de eso ya no lo va a poder hacer de esa forma y lo tendrá que hacer de tal manera. Esa es la lógica.

‘Exigencias a proveedores del Estado’
—¿Cuál va a ser el parámetro que se va a utilizar para definir la infraestructura crítica del país y cómo se va a velar por protegerla?
A: La primera mirada en esta gobernanza transitoria es que ya se aplicaron las mejores prácticas, adoptadas en otros países con éxito. ¿Cuál es esa infraestructura crítica? Toda aquella que tenga un impacto masivo sobre la sociedad, como el sector energético, financiero, transportes. Esa debería ser la primera mirada y desde ahí seguir trabajando. Por ejemplo, claramente el Ministerio de Transportes va a jugar un rol clave como centro para implementar esta normativa en los sistemas de transportes, en el sistema de pago de Transantiago, ferrocarriles, Metro, la Unidad Operativa de Control de Tránsito, etcétera.

Atton profundiza en este punto: ‘La otra lógica es respecto de la protección de los datos personales, que está enganchado con ese proyecto de ley, como el sector Salud que maneja mucha data, por ejemplo. Por eso esta gobernanza provisoria, porque permite tomar las mejores experiencias para hacer una primera aproximación, en función de cómo vayamos desarrollando este trabajo y desde ahí saldrá la ley’.

—¿Cómo se dará la colaboración público-privada en este proceso de modernización?
A: A través del intercambio de información, de la adopción de normativas y de modificaciones de decretos, como el decreto 60, que tiene un impacto en las telecomunicaciones, porque esa es la base de la ciberseguridad. Desde el punto de vista del Estado, vamos a tener toda una normativa y exigencias a proveedores del Estado, y con eso automáticamente planteas un estándar que le exiges a un buen sector de los privados. (El Mercurio)