Uno de los fenómenos de la pandemia ha sido su fenómeno de acelerador de la transformación digital, uso más intensivo de las tecnologías y ha generado mayores desafíos para mantener estándares de ciberseguridad altos en diversos sectores económicos.
Es por ello que estamos viendo diversos cambios regulatorios sectoriales, en las que se están realizando cambios en la regulación, aplicación de estándares y fijando mayores responsabilidades en materia de ciberseguridad.
- Ciberseguridad en Mercado Eléctrico
Así, a principio de julio se mencionó la nueva normativa en ciberseguridad y seguridad de la Información para bancos e instituciones financieras y ahora es el turno de nueva regulación en sector eléctrico y en mercado de telecomunicaciones.
En ámbito eléctrico, hace unas semanas, el Coordinador Eléctrico presentó Estándar de Ciberseguridad para el Sector Eléctrico Nacional, documento que da a conocer algunas especificaciones en la materia que deberán seguir las empresas coordinadas, y cuyo cumplimiento será vigilado por la Superintendencia de Electricidad y Combustibles (SEC).
Según informa en su sitio web, se indica que el fundamento radica en «la creciente interconectividad y la dependencia de las plataformas y servicios basados en Internet han aumentado considerablemente la exposición al riesgo de los gobiernos, las empresas y las personas, a una gran variedad de actos relacionados con la delincuencia, el espionaje y la ciberseguridad. Los gobiernos y las empresas reconocen la necesidad de tener políticas y estrategias nacionales de ciberseguridad, cultura en ciberseguridad, educación, formación y competencias en seguridad, marcos jurídicos, reglamentos, normativas y estándares, así como contar con la cooperación e intercambio de información».
Algunos elementos importantes a considerar es la incorporación de la denominada «infraestructura crítica» y la designación de encargados de CIP (Critical Infrastructure Protection). Es por ello que el Coordinador ha definido adoptar la Normativa CIP (Critical Infrastructure Protection) de NERC (North American Electric Reliability Corporation), en adelante NERC-CIP, como estándar de ciberseguridad a ser adoptado por los agentes participantes en el sector eléctrico nacional, debido a que esta norma contiene aspectos fundamentales para la seguridad de la información e infraestructuras tecnológica y de operación críticas de sistemas eléctricos”.
El plan de implementación de este estándar establece los criterios de impacto de cada una de las empresas coordinadas: “Alto” (Centros de Despacho y Control), “Medio” (instalaciones necesarias para evitar un impacto adverso en la seguridad y confiabilidad del Sistema Eléctrico Nacional, como centrales de generación de alta capacidad y sistemas de transmisión, además de otros tipos de instalaciones de importancia para el SEN), y “Bajo” (instalaciones de generación, transmisión, distribución y otras de menor capacidad).
En cuanto a su implementación, el Coordinador estableció una serie de plazos para el cumplimiento de su marcha blanca, los que comenzarán a regir una vez que la SEC apruebe el estándar.
- Ciberseguridad en Mercado de Telecomunicaciones
Este viernes, por otro lado, se publicó en el Diario Oficial la llamada norma técnica sobre fundamentos generales de ciberseguridad para el diseño, instalación y operación de redes y sistemas utilizados para la prestación de servicios de telecomunicaciones, por parte de la Subsecretaría de Telecomunicaciones.
Esta normativa, que previamente había pasado por un proceso de consulta pública, tiene como fundamento según se indica en la norma técnica, considerando como «los servicios de telecomunicaciones constituyan uno de los principales ámbitos de interacción social» y por tanto, «toda afectación o interrupción importante de los servicios de telecomunicaciones, causará graves perjuicios al bienestar, salud y seguridad de la población; a la integridad de las instituciones públicas e, inclusive, a la seguridad nacional».
El objeto de la normativa es establecer un marco regulatorio de ciberseguridad en base a los cuales deben ser diseñadas, instalada y operadas de manera segura las redes y sistemas utilizados para la prestación de servicios de telecomunicaciones regulados por la ley Nº18.168, Ley General de Telecomunicaciones. Lo anterior, habida consideración al resguardo y a la resiliencia de las redes, sistemas y su continuidad operacional, confidencialidad, integridad y disponibilidad de la información.
En forma muy similar a la normativa de ciberseguridad eléctrica, se hace referencia a infraestructura crítica de telecomunicaciones existente (aunque se proyecta cambios sustanciales a dicha normativa para incorporar infraestructura de fibra óptica), y además, la norma fija procedimientos para efectuar reportes sobre ciberincidencias que los concesionarios y permisionarios de servicios de telecomunicaciones deben enviar a la Subsecretaría o a través del órgano que ésta indique, clasificando las amenazas con niveles de peligrosidad: Crítico, Muy Alto, Alto, Medio y Bajo y fijando también obligaciones de contar con unidades y responsables de ciberseguridad en las empresas de telecomunicaciones.
La norma técnica además distingue «Los operadores relevantes» de telecomunicaciones quienes deberán cumplir con medidas permanentes de ciberseguridad sobre todo en sus redes, instalaciones e infraestructura, con el deber de mantener permanentemente actualizados los planes de gestión de riesgos de las redes y sistemas de telecomunicaciones que utilizan para la prestación de los servicios autorizados y finalmente la obligación de resolución de ciberincidencias.
Es importante mencionar que estos avances en diversos sectores económicos, y su respectiva actualización de normativa tiene como fundamento la Política Nacional de Ciberseguridad actualmente vigente, y a pesar de la ausencia del nombramiento de un nuevo funcionario en el cargo de delegado presidencial en Ciberseguridad, luego de la renuncia de Mario Farren en marzo de este año, es importante destacar el impulso y coordinación por parte del equipo de respuestas ante incidentes de Seguridad Informática CSIRT y la División de Redes y Seguridad Informática en Ministerio del Interior y Seguridad Pública, encabezado por Carlos Landeros.
