Senado presentó los ejes de la hoja de ruta del Foro Nacional de Ciberseguridad

Este lunes, el Senado inauguró el Foro Nacional de Ciberseguridad, un espacio que reúne a expertos de diferentes sectores para elaborar una hoja de ruta que permita establecer estrategias y planes de acción que aceleren la madurez de la ciberseguridad en el país.

La instancia, que lidera el senador independiente Kenneth Pugh, se dividirá en cinco dominios o ejes de acción: Política y Estrategia Nacional de Ciberseguridad, Cultura y Sociedad Cibernética, Desarrollando Conocimientos y Capacidades en Ciberseguridad, Marcos Legales y Regulatorios, y Estándares y Tecnologías.

El trabajo se estructurará -a partir de este lunes- en 40 grupos y subgrupos, siguiendo el Modelo de Madurez de Capacidades de Ciberseguridad para Naciones (CMM) de la Universidad de Oxford, para levantar un diagnóstico, base para evaluar y diseñar políticas e iniciativas que contribuyan a incrementar su nivel de resiliencia.

“El modelo se mide en escala de uno a cinco. El uno significa la etapa inicial y el cinco representa la etapa avanzada. Actualmente Chile está en promedio entre un dos y un tres, según la última medición del año 2020, realizada por la Organización de los Estados Americanos (OEA), con el apoyo del Banco Interamericano de Desarrollo (BID)”, explicó el administrador del Foro Nacional de Ciberseguridad, Mario Troncoso.

Esta instancia será de carácter permanente, y abre el espacio para que diferentes académicos, profesionales, empresas y organizaciones interesados puedan aportar y debatir ideas que fomenten el avance de la madurez de la ciberseguridad.

Los grupos y subgrupos abordarán diversos temas de discusión para la hoja de ruta. Entre ellos, respuesta a incidentes y gestión de crisis, protección de infraestructura crítica, confianza y seguridad en los servicios en línea, formación profesional en ciberseguridad, disposiciones legales y regulatorias, cumplimiento de estándares y controles de seguridad.

El espacio consta de diversos grupos, algunos de carácter privado y bajo invitación de los administradores del foro, pero también permitirá que usuarios puedan registrarse a través de su sitio web para participar en sus contenidos, principalmente mediante la generación de comentarios en hilos de conversación.

El senador Pugh comentó que entre julio y octubre de 2024 se presentarán los resultados de los grupos de trabajo respecto de las temáticas definidas.

Explicó que la idea es generar conocimiento en base a los aportes de los expertos para entregar propuestas concretas al Ejecutivo o al Legislativo.

“Definimos prioridades, por ejemplo, generar una propuesta de ley concreta al Ejecutivo, para que a partir de la clave única se pueda robustecer la identidad digital, una que no solo permita emplearse para los servicios del Estado, sino también entre privados, lo que requiere de una alianza público-privada”, señaló el senador.

Ley Marco

En tanto, el coordinador nacional de ciberseguridad, Daniel Álvarez, se refirió al cronograma para implementar la Ley Marco de Ciberseguridad e Infraestructura Crítica.

Respecto de la creación de la Agencia Nacional de Ciberseguridad (ANCI) que contempla esta regulación, dijo que el proceso para su establecimiento comprende una serie de hitos.

“Primero hay que esperar la publicación en el Diario Oficial, y desde ese momento comienzan a correr los plazos. Lo más importante es la dictación de los reglamentos, porque van a definir la estructura del servicio de la ANCI, como los recursos humanos y financieros. Esto debiera estar dictado dentro de los seis meses posteriores a la publicación, en septiembre”, adelantó.

En tanto, el senador Pugh explicó que dentro de esos seis meses, el Presidente de la República -por decreto supremo- tiene la facultad para definir la fecha de puesta en servicio a la agencia, la cual no puede ser más allá de un año, tras la publicación.

Álvarez comentó que el proceso también depende del dictamen de una serie de decretos con fuerza de ley (DFL) que deberá emitir el Presidente, como la dotación y el presupuesto. “Como el presupuesto de 2025 se empieza a hacer en mayo, ahí hay un pequeño traslape que hay que regular bien, pero no hay una definición exacta”, afirmó.

Entre otros aspectos, la ley define a los Operadores de Importancia Vital y Servicios Esenciales y los obliga a informar amenazas en un plazo de tres horas. Respecto de la entrada en vigencia de este punto, Álvarez señaló que no entrará en vigencia antes de 12 meses, porque hay que instalar capacidades y dictar resoluciones. “Es difícil que estén regulados antes de un año a contar de la fecha de publicación en el Diario Oficial”, indicó.

Álvarez dijo que estas resoluciones establecerán los plazos que tendrán los servicios para ajustarse a los nuevos requerimientos que exige la ley. “Al menos debieran contar con todo este año que no van a estar obligados para que empiecen a tomar las medidas organizativas necesarias”, señaló.