El Dr. Julio Fenner, investigador del Departamento de Ciencias de la Computación e Informática de la Universidad de La Frontera (UFRO), explica la importancia y alcances de nueva normativa que regula –en materia de ciberseguridad- a los organismos públicos y privados que presten servicios esenciales para el país.
El pasado lunes 8 de abril se publicó en el Diario Oficial de Chile la Ley Marco de Ciberseguridad, con la cual se establece la institucionalidad, principios y normativa general para la ciberseguridad en nuestro país, siendo uno de sus principales aspectos la creación de la Agencia Nacional de Ciberseguridad (ANCI).
Dr. Julio Fenner López
Dada su expertiz en esta materia, el Dr. Julio Fenner López, investigador del Departamento de Ciencias de la Computación e Informática de la Facultad de Ingeniería y Ciencias de la Universidad de La Frontera e integrante del Grupo de Trabajo en Ciberseguridad (Cybersecurity Workgroup) del Centro de Excelencia de Modelación y Computación Científica de esta casa de estudios, comparte su mirada en torno a esta nueva Ley, esclareciendo también conceptos y dudas para entender la relevancia e impacto de la normativa.
A modo de introducción, señala que ciberseguridad se define como “la preservación de la confidencialidad, integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad”.
En sus palabras, explica que por incidente se entiende cualquier intervención de un tercero -una persona o sistema computacional- que ponga en riesgo la confidencialidad, es decir, que se filtren datos que permitan identificar datos personales y/o sensibles. Por integridad, por ejemplo, a la modificación de datos de manera no autorizada y, por disponibilidad, a que eventualmente queden fuera del acceso, “como cuando los datos se encriptan por un malware y se pida rescate, también conocido como ransomware. Estos conceptos CIA (por sus siglas en inglés) forman parte de uno más amplio, conocido como la Hexada de Parker, que es un modelo amplio de seguridad de la información, que incluye por cierto la ciberseguridad clásica y que consta de seis principios claves”.
- Confidencialidad: Asegurar que la información solo esté disponible para aquellos autorizados a acceder a ella.
- Integridad: Mantener la precisión y completitud de la información a lo largo de su ciclo de vida.
- Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y a los recursos relacionados cuando lo necesiten.
- Autenticidad: Verificar que la identidad de un sujeto, entidad o recurso sea la que se declara.
- No repudio: Evitar que un individuo o entidad niegue sus acciones o participación en un evento.
- Posesión: Asegurar que la información esté bajo el control de quien corresponde.
Teniendo presente el incremento de los delitos asociados a la vulneración de la información disponible en la red (delitos digitales y ciberataques), el Dr. Fenner valora como muy positivo que en Chile contemos con esta nueva Ley.
“La normativa es un hito crucial para lograr estructurar, regular y coordinar las acciones de ciberseguridad entre los diversos organismos del Estado, como por ejemplo nuestra institución. Esto incluye establecer requisitos e indicadores mínimos para la prevención, contención, resolución y respuesta a eventuales incidentes de ciberseguridad, así como establecer las atribuciones y obligaciones de los organismos del Estado, como nuestra universidad y los mecanismos protocolizados de control, supervisión y responsabilidad con respecto a los activos de información y los elementos de su tratamiento”, expresó el académico.
Es así, como esta Ley establece la institucionalidad, principios y normativa general para la ciberseguridad en Chile, contemplando aspectos como la creación de la Agencia Nacional de Ciberseguridad (ANCI) y el establecimiento del Consejo Multisectorial sobre Ciberseguridad.
También, se proporcionan definiciones claves y principios rectores para la implementación de la Ley, deberes generales y específicos para los operadores, además de establecer el deber de reportar incidentes de ciberseguridad.
En el ámbito universitario, comenta que el alcance de esta normativa debería verse reflejado en los siguientes aspectos:
- Mejoras en la seguridad informática: La protección de la información de estudiantes, personal académico y administrativo queda sujeta a esta Ley.
- Capacitación y educación continua: Podría significar un aumento en la oferta de cursos y talleres para la comunidad universitaria y su entorno.
- Reporte de incidentes de ciberseguridad: La comunidad tendrá acceso a una mayor información respecto de incidentes de ciberseguridad, contribuyendo a un mejor estado de alerta y, por lo tanto, susceptible de una mejor respuesta, tanto en oportunidad como en efectividad ante eventuales eventos.
Finalmente, el Dr. Julio Fenner no duda en decir que esta normativa pone en relevancia la importancia de los procesos de educación y participación activa en torno al tema de la Ciberseguridad/Seguridad de la Información como elementos integrales que contribuyen a una mejor protección de los activos de información “y que, como institución pública que somos, tenemos el deber de proteger de la mejor manera posible. Nuestro desafío consiste ahora en adecuar, eficientemente, nuestro ámbito de acción académica responsable a los estándares que nos imponen los desarrollos en materia de seguridad de la información”.
