Por Pablo Contreras V.*
El 30 de mayo, mediante la Resolución Exenta N° 140, la Agencia Nacional de Ciberseguridad (ANCI) inició la consulta pública de la normativa que fijará los estándares básicos obligatorios de ciberseguridad, conforme a los artículos 7° y 11° letra b) de la Ley Marco N° 21.663. La consulta se extiende por treinta días corridos y se canaliza a través del Portal de Reportes de la Agencia. El contenido de estos estándares, definirá un piso técnico de diligencia que podría regir como obligatorio a todos los servicios esenciales calificados bajo la ley.
El proyecto articula nueve medidas operativas. Las primeras apuntan a aspectos básicos como actualizar de manera periódica sistemas, firmware y aplicaciones, capacitar a los trabajadores, minimizar los privilegios de acceso y respaldar regularmente la información.
Los siguientes estándares elevan la exigencia técnica. Aquí se exige asegurar las redes mediante segmentación, firewall y sistemas de detección y prevención de intrusiones. Se propone proteger los equipos con cifrado de disco, control de aplicaciones e inventario. Dos medidas especialmente complejas son las de monitorear en tiempo real los sistemas y emplear un gestor de contraseñas e implementar la autenticación de múltiples factores.
Todas estas medidas son relevantes y atingentes. Se trata de prácticas reconocidas en los marcos de referencia internacionales y en buena parte de la literatura técnica. Lo que la ANCI busca, con la consulta, es dar un salto y que dejen de ser estándares meramente referenciales para convertirlas en obligaciones jurídicas de cumplimiento permanente, cuya inobservancia puede derivar en responsabilidad administrativa. Por eso, es distinto plantear una directriz como guía o recomendación a exigirlas como un piso obligatorio de diligencia normativa, especialmente dada la heterogeneidad de los servicios esenciales.
Esto es un factor relevante, puesto que la categoría de servicios esenciales abarca desde grandes operadores con áreas de seguridad consolidadas hasta organismos públicos y empresas medianas que recién comienzan a estructurar su gobernanza de ciberseguridad. Por eso, para algunos sujetos obligados por esta ley, la mayoría de los estándares pueden ya formar parte de su operación. Sin embargo, para quienes recién se han estado incorporando al sistema, implementarlos supone rediseñar arquitecturas, adquirir herramientas, contratar o capacitar personal especializado y sostener esos esfuerzos en el tiempo. Esto es aún más complejo cuando la categoría de “servicio esencial” es abstracta y genérica, y no existe un catálogo específico de sujetos concretos sino que una calificación legal que probablemente será ex post, ante un evento o incidente que investigue la ANCI.
La segunda dificultad es de costos, ya que hacerlos obligatorios traslada a los sujetos regulados una inversión que, según la líneas base de cada prestador de servicio esencial, puede ser significativa. Para entidades con presupuestos acotados, como en la Administración del Estado, ese costo compite directamente con otras prioridades operativas. El costo se puede calibrar y mediar con gradualidad de la vigencia de las medidas. Si se adoptan en bloque, probablemente se traduzca en intentos de cumplimientos meramente formales.
La elevación del piso de ciberseguridad de los servicios esenciales es un objetivo legítimo y necesario. La Ley N° 21.663 le entrega al órgano técnico la competencia para determinarlo. El desafío es lograr un equilibrio preciso que evite un estándar demasiado ambicioso pero inaplicable versus uno laxo que no reporte incrementos en seguridad adicional. Para optimizar el equilibrio, debe considerarse distintos factores, como la proporcionalidad de cada medida, los plazos de implementación, la posibilidad de aplicar criterios diferenciados según el tamaño y la criticidad del sujeto y la articulación con las evaluaciones de riesgo que la propia ley contempla.
La consulta pública es una oportunidad para reflexionar sobre estos aspectos. Los sujetos obligados podrán hacer ver las ventajas y dificultades de implementación de este set de estándares y de aportar elementos para colaborar en la definición del piso obligatorio. Cuando el artículo 7° de la ley exige someter estos instrumentos a consulta busca generar un proceso reflexivo por el cual los estándares de seguridad cuenten con la mayor cantidad de información, chequeos y contrastes para gozar de legitimidad técnica y social y para facilitar la viabilidad del cumplimiento normativo.
*Pablo Contreras V.
Director del Doctorado en Derecho, Universidad Central de Chile
Socio de DataCompliance
