Chile: Líder en ciberseguridad en América Latina

Menos intentos de ciberataque, pero más dirigidos

El ecosistema digital ha crecido exponencialmente en los últimos años. El uso de tecnologías innovadoras, nuevos servicios y la transformación de productos tradicionales hacen del mundo digital un lugar atractivo para que los delincuentes cometan ciberdelitos. De acuerdo a FortinetEl número de intentos de ciberataques en ALC superó los 360 mil millones en 2022, pero la misma fuente sugiere que disminuirá a 200 mil millones en 2023. Los países latinoamericanos con más ciberataques en 2023 son México, Brasil y Colombia. .

Si bien se reconoce que los ciberataques han disminuido en comparación con el año anterior, el ransomware está experimentando una actividad significativa y los ataques se están volviendo más específicos y dirigidos, con tácticas, técnicas y procedimientos de los atacantes y una creciente disposición a realizar ataques más específicos y dirigidos, según el informe. ROI (Retorno de la Inversión) por ataque.

Como resultado, los ataques son menos numerosos, pero debido a que están diseñados para objetivos específicos, son más sofisticados y tienen más probabilidades de tener éxito si las organizaciones no cuentan con defensas de ciberseguridad integradas, automatizadas y actualizadas.

Las organizaciones públicas y privadas deben mitigar el riesgo protegiendo la información que gestionan. Todo lo relacionado con la ciberseguridad debe considerarse una inversión, no un gasto; El gran desafío es garantizar que la seguridad de la información y la prevención de incidentes no sea un asunto silencioso, sino un éxito dentro de las organizaciones.

Lograr un entorno digital seguro requiere un enfoque holístico, entender que el mayor éxito radica en implementar marcos regulatorios o políticas internacionales y políticas públicas exitosas, basadas en lecciones aprendidas, y fomentar la colaboración entre los sectores público y privado.

Chile está a la vanguardia en enfoques de políticas de seguridad cibernética

A nivel internacional, los enfoques regulatorios sobre las cuestiones de ciberseguridad varían. El Unión EuropeaPor ejemplo, tener un marco de seguridad sólido.

Centrándonos en la región latinoamericana, existen diversas iniciativas legales encaminadas a frenar el problema, pero cabe señalar que existen programas que pueden afectar derechos fundamentales, utilizando la ciberseguridad como pantalla. Administrador.

La aprobación de la Ley de Seguridad Cibernética e Infraestructura de Información Crítica en Chile es un avance positivo en la región. Agencia Nacional de Ciberseguridad (ANCI) con competencias específicas y capacidades claras.

Ley Chilena 21.663 Promulgada por el presidente Gabriel Boric el 26 de marzo de 2024 y publicada en el Boletín Oficial el 8 de abril, fue la primera norma regulatoria que abordó la cuestión de los ciberataques. además, el Política Nacional de Ciberseguridad 2023-2028 Aprobado. Ambas herramientas son herramientas fundamentales para lograr una estrategia integral de seguridad, prometiendo lograr de manera efectiva la protección de los derechos digitales y la lucha contra las ciberamenazas.

¿Qué logra la ley?

Con la implementación de estas medidas, Chile se convierte en pionero en la región en avanzar hacia un marco integral de ciberseguridad.

Crea efectivamente la Agencia Nacional de Seguridad Cibernética (ANCI) y el Equipo de Respuesta a Incidentes de Seguridad Informática Nacional y de Defensa (CSIRT) con funciones específicas de seguridad cibernética y recursos de financiación.

Ambos órganos están encabezados por un director designado de conformidad con las normas del órgano superior de dirección general establecido. Ley N° 19.882Aunque mantienen una estrecha cooperación con las fuerzas de seguridad pública, los comandantes civiles.

La ANCI tiene una función reguladora, supervisora ​​y de concesión de licencias para todas las organizaciones, públicas y privadas, que prestan servicios esenciales. Estas organizaciones deben tomar medidas sólidas para prevenir, informar y resolver incidentes de seguridad cibernética, incluida la obligación de informar cualquier ataque cibernético al CSIRT nacional, para garantizar una respuesta rápida y eficaz a los incidentes.

Principios rectores del derecho

Un aspecto positivo de la promulgación fue que durante el debate parlamentario, se invitó a la industria, la academia y las asociaciones profesionales en el campo a dar sus opiniones. Como se mencionó anteriormente, la cooperación con una visión holística es la piedra angular de una ley exitosa en este ámbito.

Características clave introducidas:

• Está alineado con los estándares globales de ciberseguridad, introduciendo un enfoque basado en riesgos basado en recomendaciones. Unión Internacional de Telecomunicaciones (UIT) Y esto Instituto Nacional de Estándares y Tecnología (NIST). Este enfoque basado en el riesgo asigna los pasivos según la clasificación de la entidad. Por lo tanto, las obligaciones que enfrenta el sector público son exigibles (según clasificación) por el sector privado, evitando el cumplimiento excesivo por parte de las entidades privadas.
• Define la ciberseguridad en términos de seguridad limitada de la información. Organización Internacional de Normalización (ISO) estándares.
• La Agencia Nacional de Seguridad Cibernética tiene mandatos y facultades definidos y claros para realizar campañas de concientización ciudadana. Además, debe regirse por el principio de racionalidad en las medidas que adopte para ejercer sus competencias, ya que deben ser necesarias y proporcionadas al grado de exposición a riesgos y posibles impactos sociales y económicos.
• El principio de seguridad y privacidad es por defecto y diseño. Los sistemas informáticos, las aplicaciones y las tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y privacidad de los datos personales que procesan.
• La Ley de Seguridad Cibernética establece que las violaciones a la misma están sujetas al procedimiento y sanciones establecidos en la Ley Departamental. También dice que la autoridad departamental podrá emitir normas en materia de seguridad cibernética en coordinación con la Agencia de Seguridad Cibernética.
• Las prohibiciones, infracciones y restricciones son responsabilidad del organismo, evitando duplicaciones con la normativa departamental en el sector TIC.

Con este marco regulatorio, Chile ha logrado que la ciberseguridad no sea sólo un tema de expertos. Su impacto transversal en la vida diaria significa que garantizar un entorno digital seguro y confiable es fundamental para proteger los derechos constitucionales y fomentar un entorno económico sólido. De esta manera, busca abordar la creciente sofisticación de los ciberataques que amenazan la seguridad personal, corporativa y nacional del país.

Esquema de los principios de la Ley de Ciberseguridad de Chile:

• La ANCI es una agencia independiente, un CSIRT nacional, un equipo de respuesta a incidentes civiles y un CSIRT de defensa, respetando el principio de competencias y racionalidad definidas y claras.
• Cooperación con las autoridades para resolver incidentes cibernéticos
• Control de daños con acciones para minimizar vulnerabilidades y respuestas a incidentes.
• Seguridad y privacidad por defecto y diseño
• Seguridad de información

¿Qué deberían hacer los gobiernos?

La mejora de la ciberseguridad es una cuestión que debería estar en la agenda de todos los gobiernos. La seguridad digital se ha convertido en un pilar fundamental de la estabilidad y el desarrollo de un país. Chile aprobó una importante ley que crea un nuevo marco legal, un paso significativo en la lucha contra los ataques cibernéticos y el fortalecimiento de la resiliencia nacional ante las amenazas digitales.

Por lo tanto, los Estados deberían implementar estrategias nacionales de seguridad cibernética en línea con las mejores prácticas internacionales, formar especialistas con conocimientos específicos, crear agencias especializadas con competencias y recursos claros y definidos y promover la cooperación entre países y entre instituciones públicas y privadas.

Pero un Estado por sí solo no puede garantizar una ciberseguridad efectiva, por lo que la ciberseguridad es responsabilidad de todos los actores en el ciberespacio, desde las empresas hasta los individuos.