La masificación del uso de las tecnologías digitales y la información contenida en ellas ha impactado evidentemente el desarrollo de los países, desde la forma en que se relacionan y comunican los diferentes actores en la sociedad hasta nuevas formas de producción e integración de los países a nivel global. Este fenómeno importa beneficios para el desarrollo sustentable de los países, pero también riesgos que pueden afectar los derechos de las personas, infraestructuras críticas de información e intereses vitales del país, a nivel nacional e internacional.
Estos riesgos, propios del desarrollo, donde los datos y la información en poder de los actores de la sociedad se convierten en un activo, tienen el potencial de impactar negativamente la seguridad pública, los derechos fundamentales, e inclusive comprometer la seguridad externa del país a través de actividades de espionaje y ciberataques llevados a cabo por otros países, grupos organizados, o por sujetos individuales.
En este contexto, los países han desarrollado políticas y estrategias que involucran a los Estados, ciudadanos y privados en acciones de prevención y mitigación de estos riesgos, destacan las experiencias de Estonia y Canadá. Por nuestra parte Chile creó el año 2017 el Comité Interministerial sobre Ciberseguridad (en adelante, CICS), de carácter permanente, que tiene por objeto inicial elaborar una política nacional de ciberseguridad, para luego asesorar y coordinar las acciones, planes y programas para su implementación a cargo de los distintos actores institucionales relacionados con estas materias.
Ahora bien, nuestro actual DS 83 de 2005 del MINSEGPRES es la normativa de Seguridad de la Información aplicable a los Órganos de la Administración del Estado, y ha establecido una base o piso mínimo de cumplimiento en varios niveles: organizacional, presupuestario, estratégico. Esta norma ha sido exitosa en su contexto histórico, el 2005 tanto Chile como el mundo tenía menor conectividad y comunicación, por lo que este instrumento jurídico puso a disposición de los servicios públicos un subconjunto de las mejores prácticas internacionales de la época para la Administración del Estado. Podemos decir entonces que, como norma ha tenido una aplicación práctica durante más de 15 años, y que ha sido bastante “exitosa” ya que ha homogeneizado la cultura y lenguaje de seguridad de la información en la al interior de la Administración del Estado. Por ejemplo a esta fecha de 2020 todos éstos cuentan con un “Encargado de Seguridad” y recientemente además con un “Encargado de Ciberseguridad”.
Más allá del evidente paso del tiempo y evolución tecnológica urge reemplazar este decreto por uno nuevo, ya que es una medida de la agenda corta de la PNCS 2: Adopción de Estándares renovados»: «Medida 2 Política Nacional de Ciberseguridad, Objetivo A: El país contará con una infraestructura de información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica de gestión de riesgos».
Es del caso señalar que la Política Nacional de Ciberseguridad tiene 5 objetivos o ejes esenciales, donde destaca como primer objetivo la necesidad de contar con una infraestructura de la información robusta y resiliente, capaz de resistir y recuperarse en caso de ataques e incidentes de ciberseguridad, bajo una óptica de gestión de riesgos. Una Infraestructura robusta es aquella que no se degrada fácilmente o no es afectada en su totalidad por puntos únicos de falla. Un sistema que se recupera rápidamente o se mantiene funcionando aún bajo circunstancias excepcionales. Por su parte, una Infraestructura resiliente es capaz de reducir la magnitud y/o duración de los eventos disruptivos, tanto esperados como inesperados. Capacidad de anticipar, absorber, adaptarse y recuperarse rápidamente de un evento potencialmente disruptivo.
Lo anterior, implica establecer un marco normativo y de obligaciones sobre las infraestructuras críticas de la información de Chile, incorporando adecuadamente la gestión de riesgos y estableciendo las medidas y protocolos necesarios para cada caso, que establezca estándares renovados y la generación de un modelo de control para su cumplimiento efectivo. A la vez actualizar los estándares de seguridad de las infraestructuras de la información que dependan o provean servicios a los órganos de la administración del Estado acordes con los principios de la PNCS, los estándares y acuerdos internacionales suscritos por el país, el marco legislativo vigente y en discusión en el congreso, las necesidades de los sectores productivos para su desarrollo, la infraestructura digital y los niveles de madurez tecnológica de los órganos de la administración del Estado.
Un especial desafío se presenta con la implementación práctica de la ley 21.180 conocida como de Transformación Digital, ya que durante 2020 exige un enfoque integrado y coordinado de gobierno en la gestión de los documentos y sus riesgos asociados, esfuerzos coordinados de implementación de medidas digitales, tanto para gestionar el riesgo como para promover la innovación y promover el trabajo colaborativo en materias de ciberseguridad, para todas las partes involucradas.
Dicho desafío pasa por cambiar la visión desde una perspectiva técnico-operacional hacia una perspectiva estratégica y táctica: “Cíclica, holística, sistémica e integrada”. (Santiago, 5 agosto 2020)
Fuentes:
https://www.ciberseguridad.gob.cl/media/2017/05/PNCS-CHILE-FEA.pdf
Digital Security Risk Management for Economic and Social Prosperity (OECD – 2015)
Jijena Leiva, Renato. Regulación jurídica de los sistemas de tratamiento de datos personales al interior de la Administración del Estado, y su armonización con la ley 20.285 sobre transparencia y acceso a la información de los servicios públicos. Disponible en https://www.portaltransparencia.cl/PortalPdT/documents/10179/62801/5.-Informe_RJijena_DatosPersonales+%28Dic+2009%29.pdf/09fd5ce0-a5eb-4df1-819d-4ebc6fdba402
Decreto Supremo 83 del año 2005 del Ministerio Secretaría General de la Presidencia, Decreto 14 de 2014, del Ministerio Secretaría General de la Presidencia
Decreto Supremo 93 del año 2006 del Ministerio Secretaría General de la Presidencia,
Ley 19.223 que tipifica figuras penales relativas a la informática,
Ley 19.799 sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma,
Ley 20.285 de acceso a la información pública,
Ley 19.628 de Protección de Datos Personales,
Ley 19.886 de Compras Públicas,
Ley 17.336 de Propiedad Intelectual,
Ley 19.039 de Propiedad Industrial,
Ley 19.880 Orgánica Constitucional de Bases Generales de la Administración del Estado
Ley 21.180 de Transformación Digital del Estado, y otras normas nacionales o internacionales tales como
Nch-ISO 27001:2013
Nch-ISO 27032:2015
Nch-ISO 27701:2020
Nch-ISO 31000:2012