Fundación Datos Protegidos explica las medidas frente a incidentes de seguridad en los sistemas del Estado
Es especialmente relevante que el Estado tenga niveles de protección adecuados en sus redes, ya que “los órganos de la administración manejan una gran cantidad de datos personales", aseguran.
El 25 de octubre pasado, el presidente Sebastián Piñera encabezó una ceremonia en la cual presentó y firmó un Instructivo Presidencial sobre Ciberseguridad, anunciando además, el envío de un proyecto de ley para reformar la Ley 19.223 sobre delitos informáticos, que permanece sin alteraciones desde su promulgación en 1993.
Este instructivo establece una serie de medidas dirigidas a todos los órganos de la administración del Estado dependientes del poder ejecutivo, para que estos se adecúen a las exigencias actuales en materia de seguridad en los sistemas informáticos. Como se plantea en el instructivo, esta materia es de gran relevancia, tanto para asegurar la continuidad de los servicios que presta el Estado, como para proteger la integridad y confidencialidad de la información que posee la administración, teniendo un especial deber de cuidado respecto a los datos personales de los ciudadanos.
Para Fundación Datos Protegidos, es especialmente relevante que el Estado tenga niveles de protección adecuados en sus redes, ya que, como señalan en su sitio web www.datosprotegidos.org “los órganos de la administración manejan una gran cantidad de datos personales, incluyendo datos de gran sensibilidad”. Para esto, se establecen una serie de medidas para que los órganos del Estado mejoren el nivel de preparación ante la posibilidad de incidentes que afecten la seguridad de sus sistemas y plataformas, a saber:
El deber de cada Jefe de Servicio de designar un encargado de ciberseguridad de alto nivel.
La elaboración por parte de la Secretaría General de la Presidencia de normas técnicas actualizadas en materias de ciberseguridad, documentos electrónicos, protección de las redes y seguridad de la información.
El deber de evaluar las vulnerabilidades de cada servicio en el plazo de 60 días hábiles, y la propuesta de medidas internas y un plan de corto plazo para enfrentarlas.
En cuanto a los órganos que manejan infraestructura crítica, deberán realizar un informe en el plazo de 30 días corridos, en el que analicen de manera pormenorizada su política interna de ciberseguridad.
La verificación del cumplimiento de las medidas vigentes sobre ciberseguridad por parte del Centro de Coordinación de Entidades de Gobierno (CCEG), y el establecimiento de mecanismos de monitoreo, en conjunto con los jefes de servicio.
El deber de reportar los incidentes de seguridad apenas se tenga conocimiento de ellos, al CCEG.
Además de las medidas que disponga cada jefe de servicio, ante un incidente, el CCGE tendrá el deber de adoptar las medidas para asegurar la continuidad del funcionamiento de las redes y plataformas de los servicios públicos ante un incidente.
Finalmente, se establece una gobernanza transitoria en materias de ciberseguridad, a cargo de un Coordinador del Sistema Nacional de Ciberseguridad, dependiente del Ministerio del Interior y Seguridad Pública.
Estas sugerencias, en la línea de las medidas propuestas en la Política Nacional de Ciberseguridad de 2017, buscan aumentar el nivel de coordinación y mejorar el nivel de respuesta y preparación de los órganos del Estado ante posibles incidentes de seguridad en las redes y plataformas tecnológicas del Estado.
Recordemos que en su discurso, el presidente Sebastián Piñera señaló que los cambios tecnológicos “van a llegar con o sin nuestro consentimiento, con o sin nuestra voluntad. La única pregunta y respuesta que debemos hacernos y entregar, es si vamos a estar preparados o nos va a pasar por encima”. Al respecto, Jessica Matus, abogada y cofundadora de Datos Protegidos señala que estas medidas deben implementarse a la brevedad, puesto que estos no son temas del futuro, como plantea el discurso, sino que son materias del presente, ante las cuales cada día de atraso puede significar no estar preparado ante riesgos cada vez mayores.
Asimismo, estas medidas de gobernanza transitoria, deben ser la base para el establecimiento de una regulación legal integral en la materia, y deben ir en conjunto con otras reformas legales pendientes desde hace varios años, como es el caso de la actualización de la Ley de delitos informáticos, que se anunció en conjunto a este instructivo, y el establecimiento de urgencia legislativa para la tramitación de la reforma a la Ley de Protección de Datos Personales.