Proyecto se encuentra ad portas de convertirse en ley: La nueva hoja de ruta de la ciberseguridad en Chile

Con el objetivo de fortalecer la protección de los datos y salvaguardar los sistemas digitales de las amenazas cibernéticas, Chile se encuentra a un paso de la promulgación de la esperada Ley de Ciberseguridad. Una legislación que trae consigo oportunidades, pero también desafíos para la industria de seguros, quienes tendrán la responsabilidad de resguardar la confidencialidad y la integridad de la información financiera de sus clientes. Les contamos los principales pilares y cambios que traerá consigo la iniciativa parlamentaria.

Es sabido que Chile cuenta con un importante potencial para convertirse en un hub de innovación financiera a nivel latinoamericano. Sin embargo, uno de los principales desafíos que tiene es el fortalecimiento de la ciberseguridad y la regulación de los nuevos actores que surgen en la industria, donde el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que hoy se encuentra en su último trámite constitucional, juega un rol estratégico para la industria.

Una normativa fundamental, si consideramos que América Latina y el Caribe es una de las regiones con mayor incidencia de ciberataques en el mundo con más de 1.600 ciberataques por segundo, de acuerdo a información del último estudio LATAM Cisco de “Perspectivas de Ciberseguridad de los Líderes de la Industria”.

Sin embargo, datos de la industria también revelan que Chile posee uno de los sectores financieros más organizados en materia de ciberseguridad en la región, donde el impulso de políticas públicas y la nueva visión de cambios regulatorios en esta materia posicionaría a Chile en un importante escenario ante LATAM.

En específico, el proyecto de ley consta de un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares en esta materia para los diversos actores, tanto público como privados. Una característica central de la normativa, de acuerdo a la visión de expertos, es la incorporación de estándares de seguridad más estrictos, lo que obliga a la industria financiera, y otros actores, a adoptar medidas más robustas y cumplir con estándares internacionales en ciberseguridad, para lo cual se debe invertir en capital humano, tecnología avanzada y profesionales especializados para prevenir y mitigar posibles riesgos cibernéticos.

En entrevista con Diario Financiero, el abogado y subdirector del programa de Derecho, Ciencia y Tecnología de la Universidad Católica, Matías Aránguiz, explicó que esta iniciativa es “clave” y “urgente” para el país, donde existen planteamientos fundamentales, tales como la creación de un Consejo Multisectorial sobre Ciberseguridad y también un Equipo de Respuesta a Incidentes de Seguridad Informática, conocidos por su sigla CSIRT, la cual será de carácter técnico y tendrá facultades normativas, fiscalizadoras y sancionatorias, por ende, será el regulador.

En visión de expertos, estas nuevas organizaciones darán un importante espaldarazo a la institucionalidad y es relevante la existencia una agencia que fiscalice, aunque destacan que es importante entregar un marco regulatorio y de actuar claro.

Desde la firma de AZ, Albagli – Zaliasnik, el objeto principal de la Agencia sería asesorar al Presidente de la República en estas materias, como también la colaboración activa en el resguardo de los intereses nacionales en el ciberespacio. Entre los principales actores de esta normativa, se encontraría: instituciones de administración pública y órganos del Estado, tales como municipalidades, entidades fiscales, empresas del Estado, entre otros.

También serán sujeto de la ley, organismos privados que posean Infraestructura Crítica de la Información, siendo el sector financiero uno de los actores clave.

Con la aprobación de la ley se obligarán a las organizaciones a subir los estándares que manejan en ciberseguridad. Esto, a visión de Aránguiz y otros especialistas, supone una relevante oportunidad para actualizar procesos, ampliar sus servicios y operaciones a mercados internacionales.

Para su correcto cumplimiento, la ley requiere de una gestión proactiva de riesgos, contexto que contrae una serie de obligaciones a los actores, a fin de prevenir, reportar y resolver incidentes de ciberseguridad con la gestión de riesgos, mitigación de impacto y creación de planes. A su vez, el documento legislativo precisa la obligación de reportar incidentes en un plazo inferior a tres horas, desde que se tuvo conocimiento del hecho, lo que busca un actuar rápido y oportuno de cara a la seguridad informática de clientes y organizaciones.

Aránguiz en entrevista con Diario Financiero explica que se prohíbe a los organismos e instituciones realizar pagos por rescate ante ataques de secuestro digital (ransomware). En este sentido, el profesional puntualiza que el deber de reportar representa un desafío para las organizaciones, dado que éstas deberán contar personal vigilando el sistema y disponible todo el tiempo.

La medida contempla múltiples sanciones que irán en diversas escalas desde leves, graves y gravísimas, las cuales asciendes hasta las 20 mil UTM. En el caso de las infracciones gravísimas se consideran negar injustificadamente información a las autoridades o entregar información falsa a los organismos.

También, la normativa considera la existencia de operadores considerados de “importancia vital”, tanto desde el mundo público y privado, quienes estarán obligados a adquirir sistemas de gestión, así como planes de continuidad operacional, entre otros. Pese a esto, aún no se definen quienes serán estos actores, aunque se precisa que serán aquellos que por su quehacer tienen un alto riesgo para la seguridad nacional.

Finalmente, a implementación de la nueva Ley de Ciberseguridad no estará exenta de desafíos para la industria financiera y de los corredores de banca seguros. La inversión en infraestructura tecnológica y en capacitación del personal requerirá recursos significativos, especialmente para las empresas más pequeñas del sector.

En definitiva, a visión de organismos y especialistas, la normativa representa un paso importante para garantizar un entorno digital seguro y protegido en la industria de corredores de bancaseguros y en el ámbito empresarial en general.