José Lagos Director académico UEjecutivos Facultad de Economía y Negocios Universidad de Chile
La nueva ley establece aspectos de gobernabilidad por medio de la creación de la Agencia Nacional de Ciberseguridad (ANCI). Se agrega a ella, un consejo multisectorial sobre ciberseguridad, un comité interministerial y un centro de respuesta de incidentes, más conocido como CSIRT por sus siglas en inglés.
La Agencia Nacional de Ciberseguridad regulará, fiscalizará y sancionará a las empresas públicas y privadas que presten servicios esenciales o que sean clasificadas como “operadores de importancia vital”. Inicialmente, el proyecto establece como empresas de servicios esenciales aquellas organizaciones que proveen servicios provistos por los órganos de la administración del Estado y por la empresa privada, como la generación, transmisión o distribución de energía, telecomunicaciones, infraestructura digital, banca, servicios financieros y clínicas entre otros. La ANCI también deberá clasificar aquellas empresas de servicios esenciales y las que tienen una importancia vital.
Para dar cumplimiento a la normativa, el proyecto distingue entre deberes y obligaciones de carácter general. En relación a los deberes, tanto las empresas de servicios esenciales como de operación vital, tendrán que reportar al CSIRT nacional cualquier incidente de ciberseguridad dentro de un plazo de tres horas, además de estar continuamente aplicando medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
En tanto, las empresas definidas de importancia vital deberán implementar un sistema de gestión de seguridad de información, mantener planes de continuidad operacional y de ciberseguridad, someterse a revisiones periódicas y realizar ejercicios de simulación, entre otros deberes.
Ante este nuevo escenario, la mentalidad de las empresas debe ir más allá que el solo cumplimiento de la regulación. Las organizaciones deben utilizar esta instancia para habilitar la ciberseguridad y la protección de datos como una ventaja competitiva, para lo cual es necesario generar las capacidades dinámicas que ayuden a responder eficazmente a los cambios del entorno. Estas capacidades deben estar orientadas a conocer las vulnerabilidades que día a día se detectan (en promedio 70 diarias), nuevos malware y ransomware, entre otros, y en ser capaces de reaccionar rápidamente, mejorando las defensas de la empresa, lo cual implica una función de ciberseguridad ágil, analítica, innovadora y predictiva.
Equipo Prensa
Portal Innova
