Por Martín Mois, socio de Aninat Abogados.
El viernes 2 de diciembre, en Chile, se publicó en el Diario Oficial el Decreto N° 273 del Ministerio del Interior, por el cual se dispone la obligación para jefes de servicio de Ministerios y demás organismos de la Administración centralizada y descentralizada del Estado de comunicar los incidentes de ciberseguridad que les afecten al Centro de Respuesta ante Incidentes de Seguridad del Ministerio del Interior.
Suscríbete a nuestro newsletter
Así, paso a paso, se va construyendo la institucionalidad normativa de ciberseguridad del país, considerando no solo la actualización de la Ley N° 19.223 de delitos informáticos -derogada este año por la Ley N° 21.459-, sino también los proyectos de ley más relevantes sobre el tema, y cuya tramitación avanza en el Congreso; quizás no con la velocidad que quisiéramos, pero sí con las señales que han venido de los tres poderes del Estado respecto de la relevancia de la ciberseguridad. Ello no debiera sorprender a nadie, considerando que algunos de los incidentes de ciberseguridad más graves que han ocurrido este año fueron sufridos por instituciones públicas como el Poder Judicial, el Servicio Nacional del Consumidor y las Fuerzas Armadas.
Para las empresas privadas, lo relevante del Decreto N° 273 es la instrucción dada a los jefes de servicio de exigirle a los proveedores de servicios de tecnologías de la información a quienes contraten, que compartan la información sobre amenazas y vulnerabilidades que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos de la administración del Estado, las medidas de mitigación aplicadas y las políticas y prácticas de seguridad de la información incorporadas a los servicios prestados. Esta obligación indirecta se suma a las ya obligaciones directas sobre ciberseguridad que se han dictado, por ejemplo, respecto de ciertas entidades sujetas a la supervisión de la Comisión para el Mercado Financiero, como bancos comerciales.
Pero para aquellas empresas privadas no sujetas aún a exigencias sectoriales específicas no es el momento de relajarse. En 2023, deberíamos tener no solo una ley nueva de protección de datos personales, sino también aprobada la Ley Marco de ciberseguridad e infraestructura crítica de la información. Incluso, hasta podríamos contar con un nuevo Ministerio de Seguridad Pública que, entre sus funciones, tendría la de diseñar y evaluar las políticas de ciberseguridad en coordinación con los Ministerios de Defensa, Relaciones Exteriores y de Ciencia.
Considerando lo que viene, y la capacidad que tiene la empresa privada a adelantarse a los cambios normativos, la sugerencia, entonces, es prepararse y asumir que, en Chile, el próximo año la ciberseguridad podría tener su cancha completamente rayada y ello demandará proactividad y transparencia, especialmente considerando que esconder incidentes de ciberseguridad, cuando se es proveedor del Estado, será prácticamente imposible.