La vida, el trabajo, las relaciones, las compras, las batallas y el crimen tienen un campo cuasi infinito fuera de los límites físicos, se trata del ciberespacio. ¿Quién regula ese espacio virtual? Hay un nuevo sheriff, al igual que en las películas del lejano Oeste, que pretende traer el orden. Y es que la ciberseguridad es un asunto de Estado, una idea que se concretó en la Ley n° 21.663 durante abril de 2024 y creó la Agencia Nacional de Ciberseguridad en Chile (ANCI) para asegurar el cumplimiento de esa legislación. La ANCI comenzó sus operaciones el 2 de enero de este año, con el abogado Daniel Álvarez Valenzuela a la cabeza.

De acuerdo con el portal web anci.gob.cl, las funciones de la agencia son:

⚖️ Asesorar al presidente en la elaboración y aprobación de la Política Nacional de Ciberseguridad;

⚖️ Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad;

⚖️ Coordinar y supervisar al CSIRT Nacional;

⚖️Establecer una coordinación con el CSIRT de la Defensa Nacional en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, y respecto a las materias que serán objeto de intercambio de información;

⚖️ Calificar a los servicios esenciales y operadores de importancia vital;

⚖️ Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad;

⚖️ Cooperar con organismos públicos e instituciones privadas, en materias propias de su competencia;

⚖️ Otorgar y revocar las acreditaciones correspondientes a los centros de certificación;

⚖️ Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local;

⚖️ Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado;

⚖️ Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que serán utilizados por los organismos del Estado;

⚖️ Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de ciberseguridad de dispositivos digitales disponibles a consumidores finales;

⚖️ Administrar la Red de Conectividad Segura del Estado.

Todas las funciones mencionadas tienen como fin asegurar una atención oportuna de incidentes y que, ante un incidente, las organizaciones actúen de forma coordinada, siguiendo protocolos. De modo que, por ejemplo, si ocurre un ciberataque a algún Operador de Importancia Vital (OIV), organizaciones como las pertenecientes a la banca, salud, energía o telecomunicaciones, puedan seguir funcionando, y el bienestar y seguridad de los habitantes de Chile no se vean comprometidos.

Proteger el activo más valioso

Algunos países edifican muros para protegerse, Chile creó un escudo que busca proteger el activo más valioso de las organizaciones: la información. La clave única; el pago de pasajes, bienes y servicios con QR; las aplicaciones que usamos a diario; el dedo índice en el lector de las clínicas y hospitales, todo da cuenta de un progreso e hiperconectividad que vienen con letra pequeña: los riesgos que afectan la confidencialidad, disponibilidad e integridad de la información.

Antes de la Ley 21.663 la legislación chilena en materia de ciberseguridad era insuficiente y poco concreta. La tecnología avanzó más rápido que la legislación y no podían gestionarse algunos de los problemas derivados. Con la ANCI surge una autoridad única y especializada que hace evolucionar la ciberseguridad de un modelo reactivo y difuso a uno proactivo y coordinado que impacta en las organizaciones porque las obliga a:

🟢 Gestionar los riesgos de ciberseguridad, por lo que ya no es una opción sino una obligación legal, que incluye consecuencias concretas por incumplimiento.

🟢 Fortalecer y alinear el gobierno corporativo con la ciberseguridad.

🟢 Invertir en tecnología y talento experto que dé respuesta a las exigencias legales, tecnológicas, operativas y administrativas.

🟢 Implementar un sistema de gestión de seguridad de la información.

🟢 Documentar y auditar sus procesos para generar evidencias y contribuir con la rigurosidad.

CSIRT y ANCI, ¿son lo mismo?

Estos organismos están estrechamente relacionados, pero difieren entre sí porque la ANCI define qué debe hacerse, quién debe cumplir y qué pasa si no se cumple. Establece el marco regulatorio y la estrategia nacional. Mientras que el CSIRT se encarga de cómo se responde a un incidente en tiempo real. Ejecuta la respuesta, centraliza la información operativa y coordina la acción técnica bajo las directrices de la ANCI.

La Agencia Nacional de Ciberseguridad se muestra activa en las redes sociales, brinda formación y, de continuar con el ritmo actual, puede convertirse en una de las organizaciones más influyentes de la región, en cuanto a seguridad de la información.

Latinoamérica carece de instituciones que se centren en la coordinación, regulación, fiscalización y sanción de todas las entidades, tanto públicas como privadas, que manejan servicios esenciales para la nación. El desafío para la ANCI será mantenerse vigente y honrar sus compromisos, a pesar de los cambios políticos que se avecinan, pues el amparo de la ley no garantiza que el enfoque de la agencia sea adecuado ni que cuente con los recursos necesarios para financiar su operación a cabalidad.