El 28 de febrero y el 1 de marzo fueron publicadas en el Diario Oficial dos normativas que complementan la ley marco de ciberseguridad. Estas obligan a las instituciones públicas y privadas -consideradas como prestadores de servicios esenciales y operadores de importancia vital- a reportar sus ciber incidentes al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática).
PUBLICIDAD
Se establece que un incidente se considera “significativo” cuando interrumpe un servicio esencial, afecta la integridad física o la salud de las personas, comprometen la confidencialidad o integridad de activos informáticos, permite acceso no autorizado a redes o sistemas informáticos y/o afecta sistemas que contienen datos personales. ¿Cómo se determina la importancia del incidente? Se evalúa según el número de personas afectadas, la duración del incidente y la extensión geográfica.
“Estas medidas buscan mejorar la capacidad de respuesta ante incidentes que puedan comprometer la seguridad digital del país y establecen mecanismos para la notificación de ataques informáticos a instituciones, como las generadoras y distribuidoras eléctricas, transportadores y distribuidores de combustibles, suministradores de agua potable y telecomunicaciones, sectores de los distintos medios de transportes y de la banca y servicios financieros, entre otros”, explica Fernando Lagos, CEO de Nivel4 Ciberseguridad.
El reglamento de reporte de incidente establece que cualquier incidente con impacto significativo deberá ser informado en un plazo máximo de 3 horas desde su detección, seguido de un segundo reporte en 72 horas, en el que se deben incluir detalles sobre el incidente, sus efectos y las medidas de mitigación adoptadas. Finalmente, un informe final deberá ser entregado en un plazo de 15 días, consolidando toda la información y proponiendo acciones correctivas.
“De acuerdo con lo anterior, se considera como impacto en el uso legítimo de sistemas los accesos no autorizados, los ataques de fuerza bruta, el phishing, el uso indebido de credenciales y la ejecución de código malicioso. Como impacto en la confidencialidad de la información se contemplan las filtraciones de datos, la exposición de credenciales, la pérdida de información sensible y la divulgación de código fuente, por citar algunos” agrega Lagos.
Para garantizar la correcta implementación de estas medidas, se ha habilitado una plataforma de notificación disponible 24/7 (https://portal.anci.gob.cl), a través de la cual las instituciones podrán reportar incidentes en tiempo real.
Listado de servicios esenciales, según la Ley Marco de Ciberseguridad:
PUBLICIDAD
1. Organismos de la Administración del Estado
2. Empresas públicas creada por ley
3. Sociedades donde el Estado tiene participación accionaria superior al 50%
4. Sociedades donde el Estado tiene mayoría en el directorio
5. Coordinador Eléctrico Nacional
6. Concesionarios de servicios públicos
7. Prestadores de servicios de generación eléctrica
8. Prestadores de servicios de transmisión eléctrica
9. Prestadores de servicios de distribución eléctrica
10. Prestadores de servicios de transporte de combustibles
11. Prestadores de servicios de almacenamiento de combustibles
12. Prestadores de servicios de distribución de combustibles
13. Prestadores de servicios de suministro de agua potable
14. Prestadores de servicios de saneamiento o tratamiento de aguas servidas
15. Prestadores de servicios de telecomunicaciones
16. Prestadores de servicios de infraestructura digital
17. Prestadores de servicios digitales
18. Prestadores de servicios de tecnología de la información gestionados por terceros
19. Prestadores de servicios de transporte terrestre
20. Prestadores de servicios de operación de infraestructura de transporte terrestre
21. Prestadores de servicios de transporte aéreo
22. Prestadores de servicios de operación de infraestructura de transporte aéreo
23. Prestadores de servicios de transporte ferroviario
24. Prestadores de servicios de operación de infraestructura de transporte ferroviario
25. Prestadores de servicios de transporte marítimo
26. Prestadores de servicios de operación de infraestructura de transporte marítimo
27. Prestadores de servicios bancarios
28. Prestadores de servicios financieros
29. Prestadores de servicios de medios de pago
30. Prestadores de servicios de administración de seguridad social (incluye AFP, AFC,
Isapres, Mutualidad de Empleadores).
31. Prestadores de servicios de postales
32. Prestadores de servicios de mensajería
33. Prestadores institucionales de servicios de salud
34. Prestadores de servicios de producción de productos farmacéuticos
35. Prestadores de servicios de investigación de productos farmacéuticos
