Es raro escuchar sobre tornados en Chile. En el colegio nos decían que la cordillera nos protege frente a ellos, que cualquier desastre relacionado con el viento no puede pasar aquí gracias a nuestra geografía que actúa como un escudo natural. Pero pasó. Se armó un tornado en Puerto Varas y toda la ciudad tuvo que responder a ese incidente.
A veces ocurre lo mismo en ciberseguridad. Hay empresas que juran de guata que no las van a atacar porque compraron la herramienta más cara para protegerse, porque tienen al CISO (Chief Information Security Officer) más capo, porque todos los trabajadores hicieron un curso de phishing, o simplemente porque el rubro de la empresa es cero tecnológico, entonces quién los va a hackear. Es la misma lógica de "aquí no hay tornados"... hasta que los hay.
El tornado fue el domingo y llegué el miércoles a Puerto Varas. Aún quedaban casas y edificios sin techo, paredes y árboles caídos, vidrios rotos y señales de tránsito inexistentes en algunas esquinas, evidencia del lamentable acontecimiento climatológico, pero también se veían trabajadores de Saesa en todos lados, fuerzas armadas y seguridad municipal cuidando casas, y todos los habitantes aportando a que la ciudad siguiera funcionando. El incidente estaba contenido, pero no resuelto.
Los dos días siguientes, ahí mismo en Puerto Varas, asistí al evento Patagonia Ciber. Organizado por la Agencia Nacional de Ciberseguridad (ANCI), tuvo charlas sobre seguridad y privacidad desde muchos puntos de vista, con paneles dedicados al sector financiero, tecnológico, salud y energía, y con participantes nacionales e internacionales del sector público y privado. El tornado agregó una cuota de incertidumbre al evento (vi a varios preocupados de que se cancelara), pero al final sí se hizo, y muchos celebraron la realización –por primera vez– de un evento de ciberseguridad en un lugar tan lejos de Santiago.
El broche de oro fue la presentación de un nuevo hito de la Ley Marco de Ciberseguridad durante el evento: el director de la ANCI detalló cómo es el proceso de calificación de Operadores de Importancia Vital, una categoría que obliga a tu empresa a ser diligente, porque el país depende de ella. En otras palabras, los motivos por los que tu empresa podría ser de importancia vital para Chile.
"Los datos no son tuyos, te los prestan"
En la bienvenida del primer día el diputado Leonardo Soto lanzó esta frase que resume perfectamente el cambio de paradigma que viene con la nueva Ley de Protección de Datos Personales. Hoy nos rige la ley 19.628, creada en una época en la que aún no nos preocupaban las redes sociales y cuando la inteligencia artificial era muy de nicho y poco útil, muy lejos de poder escribir tu tesis o un post del Fintualist. Y por fin se actualiza gracias a la ley 21.719.
¿Qué cambios trae? Si manejas datos personales (spoiler: prácticamente todas las empresas lo hacen), deberás, entre muchas otras cosas:
- Poder demostrar el origen legítimo de cada dato personal que tengas.
- Responder en tiempo y forma a los dueños de los datos que quieran ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), y también a los derechos de Portabilidad y Bloqueo.
- Realizar evaluaciones de impacto en la protección de datos personales.
Harto queda por definir y la ley recién entrará en vigencia en diciembre del próximo año, pero así como ocurrió con la Ley Marco de Ciberseguridad que creó a la Agencia Nacional de Ciberseguridad, esta ley creará la Agencia de Protección de Datos Personales. Si no está en tu radar, estás a tiempo.
"En ciberseguridad no se compite"
Esta frase la he escuchado varias veces y fue la más potente del panel financiero, pero aplica en todos lados. Cristián Vega, de la Asociación de Bancos e Instituciones Financieras (ABIF), contó que los presidentes de los bancos se la dicen a sus equipos: cuando se trata de seguridad, todos cooperan.
Por el lado energético, cuando España sufrió un blackout masivo como el que ocurrió en Chile poco tiempo atrás, el primer pensamiento de todos fue "ciberataque". Resulta que no lo fue, pero la paranoia se justifica porque sin luz no hay internet, sin internet no hay bancos, sin bancos no hay comercio, sin comercio... ya captaste. Es un efecto dominó en empresas que, al final de cuentas, afectan al país y sus ciudadanos, por eso es un blanco demasiado atractivo para atacantes.
Ahora, ¿qué pasaría si el blackout sí fuera originado por un ciberataque? ¿Qué pasaría si el apoyo interbancario no da abasto para un ataque a gran escala? ¿Qué deben tener estas empresas, que seguro van a calificar sí o sí como operadores de importancia vital, y que otras empresas más pequeñas también tendrán que implementar? Quizás comenzaste a leer esto porque te preocupa quedar como OIV (Operador de Importancia Vital) y enfrentarte a las nuevas exigencias que propone este cambio de paradigma en Chile, así que vamos al grano.
Proceso de calificación de Operadores de Importancia Vital
Si tu empresa entrega un servicio esencial según la Ley Marco de Ciberseguridad, en los próximos meses es posible que sea considerada Operadora de Importancia Vital y debas cumplir con lo que esa ley exige.
El director de la ANCI presentó el proceso para seleccionar a estos OIV, y ya comenzaron con estos sectores (hay más y están en la ley, pero por eficiencia se enfocaron en estos):
- Energía
- Telecomunicaciones
- Tecnología
- Banca, servicios financieros y medios de pago
- Salud
El proceso tiene varias etapas y lo ejemplificaron con las Telecomunicaciones:
- El 30 de mayo, ANCI entregó de forma digital al Subsecretario de Telecomunicaciones, un listado de empresas de las cuales deberá seleccionar las que son Operadores de Importancia Vital.
- Para ello, deberá evaluarlo en base a la ley y a una metodología de selección desarrollada por la Universidad de Chile.
- 30 días después, el subsecretario responde “de las mil de empresas que son reguladas por la Subtel, estas cien son de importancia vital”.
- 30 días después, ANCI publica una nómina preliminar abierta a consulta pública.
- En la nómina estarán individualizadas las empresas con su razón social y RUT.
- Los individualizados podrán decir si están o no de acuerdo con ser OIV, y podrán presentar observaciones.
- 30 días después queda cerrada la consulta pública y ANCI comienza a trabajar en evaluar los comentarios recibidos.
- A los 30 días, la ANCI definirá, en un documento público, qué procede y qué no.
- Finalmente, en octubre, 30 días después, ANCI dictará varias resoluciones publicando la nómina final de Operadores de Importancia Vital para los sectores con los que comenzaron.
En el caso de los otros sectores es prácticamente lo mismo, pero cambia la persona a la que le entregan el listado de empresas. Mencionaron, por ejemplo, que para el sector financiero será el Ministro de Hacienda, Mario Marcel, quien las defina.
¿Y qué implica ser elegido como OIV? Básicamente, el Estado te dice "oye, si te hackean, el país deja de funcionar como corresponde, así que ponte las pilas". Y ponerse las pilas significa tener cosas como:
- Un sistema de gestión de seguridad de la información, con un registro de las acciones que lo componen.
- Un plan de continuidad de negocio (si te suenan las siglas BCP y DRP, vamos bien).
- Un plan de gestión de incidentes.
- Un delegado de ciberseguridad.
Cuando publiquen la lista definitiva, esas obligaciones aplicarán inmediatamente. Sin periodo de gracia, sin tiempo de improvisar. A muchos les da miedo que existan estas exigencias pero no es nada de otro mundo. De hecho, tu empresa ya estaría cumpliendo con lo que se exige a los OIV si tiene la certificación ISO 27001. En Fintual lo tenemos claro porque nos certificamos bajo ese estándar de seguridad.
Más allá de ser Operador de Importancia Vital o no, si tu empresa presta un servicio esencial estás obligado a reportar incidentes de ciberseguridad en el portal de la ANCI desde marzo pasado, dentro de tres horas de haberlo detectado. Además, desde el 11 de junio será obligación estar en el portal de la ANCI aunque aún no hayas tenido la necesidad de reportar un incidente.
Las cifras que compartió la ANCI al respecto fueron interesantes: ahora que entró en vigencia la obligación de reportar, entre el 1 de marzo y 29 de mayo hubo 97 incidentes reportados, de los cuales 33 fueron ciberataques (un tercio del total). Comparando, ya superaron el total de reportes del año pasado: 70 en todo 2024.
Un indicador que no está en la ley
Entre tanto detalle sobre la norma y regulación, hubo una reflexión que vale oro. Francisco Guzmán de la Asociación Chilena de Empresas de TI lo puso simple: "El indicador más importante en ciberseguridad es cuánto te demoras en recuperar la confianza después de ser vulnerado". Al final del día, puedes tener todos los certificados del mundo y cumplir con todo lo que te pide el regulador, pero si tus clientes no confían en ti después de un incidente, game over.
