Este 16 de septiembre de este año la ANCI (Agencia Nacional de Ciberseguridad) publicó la Nómina Preliminar de Operadores de Importancia Vital (OIV), conforme a lo dispuesto en la Ley N° 21.663, Marco de Ciberseguridad, y el Decreto N° 285 – Aprueba Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital de la Ley n° 21.663. 

¿Ya revisaste si tu organización califica como OIV? Hazlo por aquí https://portal.anci.gob.cl/iniciar-sesion/?next=/ 

En este artículo te explicaremos qué significa estar en la lista y cómo responder. En síntesis, debes aplicar esfuerzos en la gestión de la ciberseguridad y seguridad de la información de tu empresa, como ya veremos.

¿En la nómina aparecen empresas que serán sancionadas o debes esperar algún castigo? No, es una notificación que requiere una acción de gobernanza inmediata y no solo una respuesta técnica, pues tu organización cuenta con la calificación de operador de importancia vital (OIV) y eso la hace parte de la estrategia chilena de protección digital. La continuidad operativa es crucial y el artículo 5 de la ley 21.663  expone que existen 2 criterios de elegibilidad:

“La Agencia podrá calificar como operadores de importancia vital a quienes reúnan los siguientes requisitos:

1. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y 
2. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.

Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.”

Los rubros considerados OIV en esta nómina preliminar son:

• Electricidad y combustibles.
• Agua potable y saneamiento.
• Salud.
• Transporte
• Servicios financieros y bancarios.
• Telecomunicaciones.
• Infraestructura y servicios digitales críticos.

¿Confirmaste que apareces? Ten en cuenta que el Estado considera que, si tu organización interrumpe sus servicios, se puede causar un daño grave a la seguridad, el orden público o la economía del país.

Si consideras que tu empresa no es OIV o tienes reservas, de acuerdo con el artículo 14 del Decreto 285, cualquier persona natural o jurídica podrá realizar observaciones al listado preliminar. Y si te parece razonable continuar – o tus argumentos fueron desestimados -, te proponemos llevar a cabo estos pasos:

1. Comunica a la gerencia general y a los directivos lo que está pasando, así podrán tomar decisiones estratégicas y asignar recursos clave para responder. Recuerda que hay sanciones por incumplimiento, y esto conlleva riesgos administrativos, financieros y reputacionales.

2. Designa responsabilidades y autoridades para atender las tareas derivadas del cumplimiento de la ley, a través de la asignación o revisión de cargos. Una de estas personas debería ser quien se encargue de ser el enlace oficial entre la organización y el CSIRT.

3. Contrata asesores, si no tienes cómo atender esta responsabilidad: requerirán expertos en temas legales, en ciberseguridad y en continuidad del negocio. 

4. Evalúa la criticidad: Haz un inventario de los activos (información, tecnología, procesos y personal) que soportan el servicio esencial que convierte a la empresa en un OIV. Analiza e inclusive mide su criticidad frente a la seguridad, la operación y la continuidad del servicio.

5. Implementa un sistema de gestión de seguridad de la información. Así garantizamos la confidencialidad, integridad y disponibilidad de los activos analizados. 

6. Elabora un plan de continuidad y recuperación: Tus BCP y DRP requieren un enfoque directo en incidentes cibernéticos. Pruébalos y mejorarlos cada cierto tiempo. Guarda evidencia de las gestiones, pues la organización será supervisada.

7. Monitorea continuamente:  Implementa herramientas y procesos internos para monitorear incidentes e interrupciones 24/7. Si algún evento afecta el servicio esencial que prestas, el CSIRT (Equipo Nacional de Respuesta a Incidentes de Seguridad Informática) debe saberlo y existen plazos cortos y concretos para que lo reportes.   

8. Refuerza la cadena de suministro: Define requisitos y controles sobre tus proveedores y terceros que afecten la seguridad y continuidad del servicio esencial, pues los riesgos de terceros recaen sobre el OIV.

¿Siempre serás un OIV? Según el artículo 6 del Decreto 285, cada 3 años se revisará la calificación de los OIV. Y en nóminas posteriores se incluirán otros rubros, como agua potable y saneamiento, transporte e infraestructura asociada, concesionarios de servicios públicos, seguridad social, servicios postales y de mensajería, producción e investigación farmacéutica, entre otros. 

El impacto de ser declarado OIV puede ser enorme y muy beneficioso. Habrá costos financieros significativos, inversiones en tecnología, talento humano altamente calificado, mayor trazabilidad en los procesos, alta carga de reportes e impacto reputacional. Pero también hay oportunidades enormes. A las empresas privadas le reconocerán su valor en el mercado y si cumplen con sus obligaciones de OIV serán percibidas como organizaciones con una capacidad de operación que cuenta con estándares de seguridad competitivos. Además, demostrarán liderazgo y compromiso con la continuidad. Serán, en resumen, empresas en las que sí se puede confiar. Recuerda que no estás solo en esta nueva etapa de las operaciones, cuentas con el respaldo, experiencia y especialistas de GACS. Consulta por nuestros servicios de asesoría.