Protocolo de ciberseguridad plantea plazo de 30 minutos para que empresas informen sobre incidentes informáticos

Protocolo de ciberseguridad plantea plazo de 30 minutos para que empresas informen sobre incidentes informáticos

Todas las superintendencias deberán revisar este convenio y, si los tuviesen, hacer reparos o aportes. Deberá ser firmado la próxima semana para entrar en vigencia.
El delegado presidencial para la Ciberseguridad, Mario Farren, inició hace ocho días sus funciones en el cargo. Y ya comienzan a verse las primeras medidas de su gestión. Temprano por la mañana de ayer recibió en el Edificio Bicentenario, donde está su oficina, a los jefes de gabinete de todas las superintendencias, para hacerles entrega de un documento que contiene un convenio de colaboración y adhesión entre el Ministerio del Interior, el Ministerio de Hacienda y todas las superintendencias sectoriales: de Seguridad Social; de Electricidad y Combustibles; de Servicios Sanitarios; de Salud; de Casinos de Juego; de Pensiones; del Medio Ambiente; de Educación Escolar; de Educación Superior; de Insolvencia y Reemprendimiento; y la Comisión para el Mercado Financiero, que desde junio se fusionó con la Superintendencia de Bancos e Instituciones Financieras (ex-SBIF). En definitiva, un protocolo de acción ante eventuales incidentes cibernéticos.

Principales medidas

Entre las medidas que destacan se cuenta que ante un incidente operacional que afecte los datos, la información o los recursos de las empresas o sus clientes, ya sea en el sector público o privado, y que detonen planes de contingencia, la compañía afectada deberá enviar al ente técnico (la superintendencia respectiva), en un plazo máximo de 30 minutos, un Reporte de Incidentes Operacionales (RIO). Luego, el ente fiscalizador debe remitir el documento al Ministerio del Interior.

Este informe deberá contener, al menos, la identificación del servicio o sector perjudicado, la descripción del incidente, la fecha y hora del inicio de este y las causas posibles. Luego de enviado el informe RIO, se activa un plazo de 24 horas para complementar esa información con el tipo y número de clientes afectados; los servicios involucrados y su continuidad, si procede; las medidas adoptadas; un plan de mitigación; las dependencias o activos afectados; además de otros antecedentes.

El documento, al que tuvo acceso ‘El Mercurio’, plantea que ‘la mayoría de los sectores de la sociedad precisan del uso de sistemas informáticos’. Sin embargo —se agrega— ‘ese incremento de dependencia a la tecnología también ha significado un mayor riesgo de amenazas en el ciberespacio’. En ese contexto, se plantea que es necesario mejorar las instancias de comunicación, coordinación y colaboración entre distintas instituciones del sector público y privado.
Para cumplir este objetivo, señala Farren, se suscribirá este convenio, que tiene como objetivo el intercambio voluntario de información técnica relativa a alertas, amenazas o incidentes de seguridad informática, además de informes o indicadores que podrían contribuir a prevenirlos.

Compromiso: adquirir las mejores prácticas internacionales

Un tercer apartado del documento explicita los compromisos que adquieren quienes lo firman, los que deberán generar reportes de incidentes informáticos. Por su parte, las superintendencias se comprometen a ‘adoptar las mejores prácticas internacionales para el manejo de incidentes operacionales y de ciberseguridad’, integrando mecanismos de registro y comunicación de incidentes y a la generación de normas.

En concreto, las superintendencias deberán generar una constante retroalimentación de información entre las empresas o servicios de su sector; y se les exigirá ‘la comunicación veraz y oportuna con los usuarios o clientes afectados; y la comunicación en tiempos limitados de incidentes a la superintendencia respectiva a través del mencionado Reporte de Incidentes Operacionales’, explica Farren.

Finalmente, el documento destaca que se reportarán todos aquellos incidentes informáticos que afecten las operaciones o pongan en riesgo la continuidad del negocio, los derechos de los usuarios, la calidad de los servicios o la imagen del sector privado regulado.

Y en esa línea, el delegado presidencial explica que este mismo protocolo él lo implementó mientras lideraba la SBIF, antes de asumir este cargo, y que ahora se expande a toda la administración del Estado. ‘Lo que queremos es ordenar el flujo de información relativa a incidentes operacionales, con mayor capacidad de coordinación, de información y de reacción, para poder dar respuestas veraces y oportunas a la opinión pública’.

En la práctica, indica, ‘si ocurre un incidente, y como ministerio (del Interior) nos comunicamos con la superintendencia del área, queremos que nos pueda decir con claridad de qué se trata, si podemos descartar o no que se trata de un problema de ciberseguridad’. Además, el convenio también indica que las empresas de un mismo sector deberán generar sinergia y compartir información sobre incidentes que les afecten. Pero tan importante como eso, concluye Farren, es la comunicación con los usuarios: ‘En los primeros minutos de ocurrido un incidente, la ciudadanía lo que más pide es información, porque se genera mucha incertidumbre. Deben haber protocolos para que las empresas se comuniquen de manera oportuna con los usuarios de su sector’.

Recuadro»En los primeros minutos de ocurrido un incidente, la ciudadanía lo que más pide es información, porque se genera mucha incertidumbre. Deben haber protocolos para que las empresas se comuniquen de manera oportuna con los usuarios de su sector’. (El Mercurio)