Thiago Cavalcante

En un mundo cada vez más digitalizado, la Ciberseguridad se ha convertido en una prioridad crítica para las empresas de todos los tamaños. En Chile, la Ley Marco de Ciberseguridad 21663, promulgada en 2023 homologada el día 8 de abril de 2024, marca un hito en la protección de las infraestructuras críticas y de la información sensible frente a las ciberamenazas. Esta ley, implementada por la Agencia de Ciberseguridad de Chile, establece una serie de directrices y medidas que las empresas deben seguir para asegurar sus sistemas y datos. Entre los sectores principales que deben cumplir con la Ley Marco de Ciberseguridad 21663 se encuentran la red pública del estado, eléctrico, energía y suministro, telecomunicaciones, transportes, financieros, salud… Sectores clave como la red estatal, energía, telecomunicaciones, transporte, finanzas y salud deben adherirse a esta normativa. En general, todos los sectores considerados críticos para el funcionamiento del país y la protección de los derechos y bienestar de los ciudadanos deben implementar medidas de Ciberseguridad adecuadas para prevenir, detectar y responder a los incidentes que puedan afectar su continuidad y confiabilidad. Aquí comienza el viaje de una empresa hacia el cumplimiento y la protección bajo esta nueva normativa. 1. Evaluación de riesgos La aventura comienza con una profunda evaluación de riesgos. Imagina a una empresa que se embarca en un viaje de autoconocimiento, evaluando cada rincón de su infraestructura digital. En esta etapa, los responsables de seguridad examinan los activos críticos, aquellos que son vitales para la operación diaria. Identifican las amenazas potenciales, desde el malware hasta los ataques de phishing, y analizan el impacto que cada una podría tener. 2. Políticas y procedimientos de seguridad Con un mapa de riesgos en la mano, el siguiente paso es establecer políticas y procedimientos de seguridad. Es como trazar una guía detallada para navegar por aguas turbulentas. La empresa debe crear una política de Ciberseguridad que establezca las reglas del juego. Estos documentos no son solo para cumplir con la ley, sino para asegurar que todos en la organización sepan cómo actuar ante una amenaza. 3. Protección de infraestructura El corazón de la ley 21663 reside en la protección efectiva de la infraestructura. Aquí, la empresa fortifica sus defensas digitales. Implementa firewalls robustos, sistemas de detección de intrusos, antivirus de última generación e implementar un Sistema de gestión de seguridad de la información. Imagina un castillo medieval que refuerza sus muros y vigila sus puertas con celo. Cada dato en tránsito y en reposo se cifra, creando un escudo impenetrable contra los intrusos. 4. Gestión de incidentes Pero ¿qué sucede cuando, a pesar de todas las precauciones, ocurre un incidente? Aquí es donde entra en juego la gestión de incidentes. La empresa debe estar preparada para responder rápidamente y con eficacia con apenas 3 horas después de algún incidente la compañía debe informar al CSIRT Nacional sobre el evento ocurrido y posteriormente presentar el plan de acción sobre la documentación que fue generado con su SGSI. Esto requiere establecer un equipo de respuesta a incidentes y designar un delegado, listo para actuar en cualquier momento. También desarrollar planes de respuesta y recuperación, y realizar simulacros para asegurar que todos sepan qué hacer cuando se enciendan las alarmas. 5. Capacitación y concientización La ciberseguridad no es solo tecnología; es también conciencia y preparación humana. La empresa invierte en la capacitación de su personal, organizando talleres y seminarios que enseñan las mejores prácticas en ciberseguridad. Es como entrenar a una tripulación para que cada miembro sepa su papel en la protección del barco contra piratas digitales. Evaluaciones regulares aseguran que el conocimiento se mantenga fresco y aplicable se debe tener un plan de capacitación anual para sus empleados. 6. Cooperación y reporte Finalmente, la empresa entiende que la ciberseguridad es un esfuerzo colaborativo. Mantiene una comunicación abierta con la Agencia de Ciberseguridad de Chile, reportando incidentes significativos y compartiendo información sobre amenazas emergentes. Participa en redes de cooperación, entendiendo que la fortaleza en la defensa viene de la unidad y la colaboración. ⚠️ Los sectores sujetos al cumplimiento de la ley pueden enfrentar multas que oscilan entre las UTM 5000 y las UTM 40000, entre 260.000 y 330.000 euros. Además, la agencia tiene la facultad de imponer sanciones especiales, las cuales aún no están especificadas en el documento vigente. 7. Cumplimiento y plazos El cumplimiento de la Ley Marco de Ciberseguridad 21663 es más que una obligación legal; es un viaje hacia la protección y la resiliencia. Para una empresa, adoptar estas medidas es como construir una fortaleza segura en el vasto y peligroso océano digital. Al seguir estas directrices no solo se protegen sus activos y datos, sino que también se gana la confianza de sus clientes y se fortalece la postura de ciberseguridad ante cualquier amenaza. ⚠️ El plazo de transición para la aplicabilidad de ley es de 12 meses con fecha terminal el día 8 de abril de 2025 la ya agencia estará disponible juntamente a su equipo de profesionales para empezar a realización de las auditorias sobre los sectores que están afectados Propuesta de valor de Telefónica Tech para la Ley 21663 Es un deber institucional implementar las medidas necesarias de protección, requiriendo la colaboración conjunta de toda la institucione y sectores para gestionar los riesgos. En este contexto, el área legal se posiciona como nuestro aliado fundamental, dado que la obligatoriedad establecida por la ley refuerza esta labor. En Telefónica Tech contamos con todas las capacidades necesarias para respaldar a las empresas e instituciones durante la implementación y adopción de la ley. Disponemos de un área especializada en consultoría GRC (Gobierno, Riesgos y Cumplimiento) con consultores certificados que pueden operar tanto a nivel nacional como internacional. De esta manera, tu empresa no solo podrá cumplir con esta normativa, sino también integrarse de manera efectiva en el mercado internacional. Conclusión Cada paso en este viaje requiere compromiso, inversión y una visión clara de la importancia de la seguridad cibernética. Al fin y al cabo, una empresa que adopta la Ley 21663 no solo cumple con una normativa, sino que se posiciona como un líder en la defensa contra las crecientes amenazas del mundo digital. Cyber Security ¿Dónde sitúas a tu empresa en el camino hacia la ciberseguridad? 20 de abril de 2022 Imagen de Freepik.