A partir del 28 de febrero y el 1 de marzo, entraron en vigor dos regulaciones publicadas en el Diario Oficial que refuerzan la Ley Marco de Ciberseguridad. Estas nuevas normativas obligan a entidades públicas y privadas, identificadas como prestadores de servicios esenciales y operadores de importancia vital, a reportar incidentes de ciberseguridad al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT Nacional).
Un incidente se considera “significativo” cuando interrumpe un servicio esencial, compromete la confidencialidad o integridad de activos informáticos, permite accesos no autorizados a redes o sistemas, afecta la salud o seguridad de las personas, o involucra datos personales. Para evaluar la gravedad del incidente, se consideran factores como el número de personas afectadas, la duración del evento y su alcance geográfico.
Fernando Lagos, CEO de Nivel4 Ciberseguridad, explica que estas disposiciones buscan fortalecer la capacidad de respuesta ante ataques informáticos. “El objetivo es establecer mecanismos eficientes de notificación para sectores estratégicos, incluyendo generación y distribución eléctrica, transporte y distribución de combustibles, suministro de agua potable, telecomunicaciones, transportes, y banca, entre otros”, afirmó Lagos.
La normativa estipula que cualquier incidente con impacto significativo deberá ser informado dentro de un plazo máximo de tres horas tras su detección. Posteriormente, en un periodo de 72 horas, se deberá presentar un informe más detallado con información sobre el incidente, sus efectos y las medidas de mitigación adoptadas. Finalmente, un informe final deberá ser entregado en un plazo de 15 días con un análisis completo y propuestas de acciones correctivas.
Los incidentes que afectan el uso legítimo de sistemas incluyen accesos no autorizados, ataques de fuerza bruta, phishing, uso indebido de credenciales y ejecución de código malicioso. En términos de confidencialidad, se consideran la filtración de datos, exposición de credenciales, pérdida de información sensible y divulgación de código fuente.
Para facilitar el cumplimiento de estas nuevas regulaciones, se ha implementado una plataforma en línea de notificación accesible en todo momento a través del sitio web https://portal.anci.gob.cl. Esta herramienta permitirá a las instituciones reportar incidentes en tiempo real y garantizar una respuesta rápida y eficaz.
Según la Ley Marco de Ciberseguridad, los siguientes sectores están sujetos a la normativa:
- Organismos de la Administración del Estado
- Empresas públicas creadas por ley
- Empresas con participación estatal mayoritaria
- Concesionarios de servicios públicos
- Prestadores de servicios esenciales en energía, combustibles, agua potable, telecomunicaciones, transporte, banca, salud, mensajería y servicios digitales
Con estas medidas, el gobierno busca robustecer la protección de la infraestructura crítica y minimizar el impacto de ataques cibernéticos en servicios esenciales para la sociedad.
Fuente: Publímetro
Nuestras Redes