En septiembre, la Agencia Nacional de Ciberseguridad (ANCI) -creada bajo la Ley Marco de Ciberseguridad- publicó el primer listado preliminar de Operadores de Importancia Vital (OIV) -organizaciones que prestan Servicios Esenciales (SE) cuya continuidad operativa es crítica para el funcionamiento del país-. La nómina, que incluyó 1.712 entidades de siete sectores, como energía eléctrica, telecomunicaciones, banca, prestadores de salud, organismos del Estado, e infraestructura y servicios digitales, ha generado alertas.
La directora de Innovación y Tecnologías de Philippi Prietocarrizosa Ferrero DU & Uría, María Jesús Ibáñez, dijo que el proceso “abarcó mucho, pero no apretó lo que es verdaderamente crítico”.
Advirtió que se incluyeron empresas como desarrolladores de software, de apoyo a la transformación digital o ecommerce, “las que bajo la directiva europea difícilmente calificarían de crítica” y se dejó fuera a empresas de suministro de agua y saneamiento, combustibles y transporte, lista que “se espera que salga en el próximo proceso, que debería ser en noviembre”.
“Todo este proceso (de la ANCI) fue absolutamente a ciegas (…) Fue frustrante para muchas empresas que no sabían por qué estaban en la lista”.
- ¿Cómo evalúa el primer listado preliminar de la ANCI?
- Lo que nos sorprendió a todos, y en particular a la industria digital, es que más de la mitad de la lista estaba en la categoría de servicios digitales. La inclusión masiva de desarrolladores de software y empresas de apoyo a la transformación digital evidencia una desconexión con los estándares internacionales de criticidad. Bajo la directiva europea (NIS2), una empresa de este tipo difícilmente calificaría de crítica salvo que preste un servicio específico, como acceso a infraestructura informática, o que provea recursos informáticos de nube o de hosting -alojamiento web- que generalmente no es el caso.
También llama la atención la inclusión de empresas operativas, como firmas de factoring, de transporte de valores o de ecommerce, que se apoyan en recursos digitales, pero cuyo núcleo es otro. Esto podría sentar un precedente confuso que convertiría a toda empresa con recursos digitales en proveedor de servicios digitales, destruyendo décadas de construcción regulatoria sectorial.
En energía hubo también algo de sorpresa, especialmente en el mundo de las renovables, con la inclusión de plantas solares y eólicas y plantas de cogeneración eficiente, que por definición, o son fuentes intermitentes o solo inyectan excedentes al sistema energético. Hasta el mismo Coordinador Eléctrico Nacional había calificado a muchas de estas como de bajo impacto en ciberseguridad en una calificación reciente.
Brechas y desafíos para las empresas
- ¿Cuáles fueron las principales brechas en el proceso? ¿Hay algún riesgo?
- La brecha entre lo que la empresa dice que hace y lo que realmente hace es enorme. Ningún regulador puede cerrar esa brecha por sí solo. Y también hay un problema de recursos, porque se fantasea con que estas agencias reguladoras tienen recursos ilimitados, pero son limitados.
Y el potencial riesgo es la sobrerregulación. Esta no equivale a mayor seguridad, al contrario, diluye recursos y atención de lo verdaderamente crítico. Tenemos que centrarnos en la proporcionalidad y en un enfoque basado en riesgo real, no en calificadores omnicomprensivos.
Deberíamos terminar esperando una lista final razonable -del primer proceso- que debería estar en diciembre y va a servir para calibrar la mira. Pero sí fue un golpe bastante duro para la industria ver la extensión del listado. Todo este proceso fue absolutamente a ciegas; informes técnicos que nadie llegó a revisar, sospechas de que mucho del cruce de información se hizo tomando bases de datos de mercado público y cruzándola quizá con algunos códigos de actividad económica en el Servicio de Impuestos Internos. Entonces fue un proceso frustrante para muchas empresas que no sabían por qué estaban en la lista.
- ¿Cómo interpreta la ausencia de empresas de servicios esenciales como Aguas Andinas?
- En el caso de Aguas Andinas, al ser de sanitización, debiese aparecer en un segundo listado -preliminar- que debería salir en noviembre. Y este primer proceso trató de abarcar tanto que llegó al punto en que se le fueron por las grietas algunas industrias y empresas que son absolutamente críticas; probablemente eso va a ser subsanado en el proceso de la lista final. Pero esto demostró que, por abarcar mucho, apretamos muy poco, y no apretamos a lo que es verdaderamente crítico.
- ¿Las empresas tienen herramientas para apelar? ¿Qué posición están tomando?
- Es muy difícil para ellas atravesar este proceso de calificación sin asesoría jurídica. Por ejemplo, los servicios digitales no están definidos en la Ley Marco de Ciberseguridad ni tampoco en el ordenamiento jurídico chileno. Entonces era un trabajo muy jurídico, de identificar cuerpos normativos internacionales como referencia para precisar qué es un servicio digital. Vi muchos borradores elaborados por las empresas que se presentaron como observaciones -en el proceso de consulta pública- y podrían haber tenido una argumentación jurídica mejor.
Las compañías trataron de anticiparse, pero muy tarde. Muchos quedaron a medio camino, pero creo que la reactividad va a salir ante el listado definitivo de diciembre. Luego correría un plazo de cinco días donde estas tendrán la posibilidad de interponer un recurso de reposición, que es como el verdadero caballo de Troya. Como son pocos días, lo recomendable es planear con tiempo.
VER MÁS
MARKET DATA
<%userdata?.email%>
Editar perfil
Credencial
Salir
(Twitter)
Instagram
Facebook
LinkedIn
YouTube
TikTok
Alto contraste
digital
