El Senador Kenneth Pugh, impulsor de diversos proyectos relacionados a la ciberseguridad, hizo un repaso por las principales recomendaciones para abordar la Ley Marco de Ciberseguridad, haciendo un especial llamado a la capacitación y la especialización en estos ámbitos.
“18 meses trabajamos en el Senado primero, después en la Cámara de Diputados, para sacar adelante un instrumento que estuviera a la altura de los tiempos modernos. Fue necesario recurrir a la mejor política pública del mundo, la política pública europea. Y es por eso que, basado en el estándar NIS, el estándar que tiene la Unión Europea para protección de sus redes, se comenzó a trabajar un proyecto de ley que durante el proceso de trabajo, la Unión Europea actualizó su directiva NIS a la NIS2, que publicó 28 de diciembre del 2022, exactamente en medio de nuestro proceso de desarrollo de la ley, permitiéndonos estar a la vanguardia”, explicó.
El legislador de la Bancada de Renovación Nacional destacó la importancia de partir este cambio basándose en los principios que requiere la implementación de un buen sistema de ciberseguridad, “el desarrollo de todo lo que se haga para ciberseguridad debe ser de forma segura y con privacidad, por diseño y por defecto. Esto significa que cuando se diseñen sistemas, cuando se codifique, se tienen que asegurar que no van a existir fallos, porque las vulnerabilidades son las que exponen a los sistemas. Y también se tiene que proteger la intimidad, la vía personal, los datos personales. Y esto exige incluso, para ciertos datos, criptografía. Por ejemplo, los datos sensibles”.
“Es un gran desafío y esperamos que tal como se dice en el mundo anglosajón, security by design and by default. Eso quiere decir desde el diseño y desde el momento mismo que se instala por defecto. Pero se le agrega el privacy, la privacidad, la protección de los datos personales. Entonces queda -security and privacy by design and by default-. Y eso es lo que la ley recoge en sus principios”.
Según la nueva Ley Marco, estarán sujetos a la ley, aquellos servicios básicos de utilidad pública esenciales, denominados Prestadores de Servicios Esenciales (PSE). Los cuáles serán notificados por la Agencia Nacional de Ciberseguridad, que construirá el listado de todas aquellas industrias y empresas que proveen servicios esenciales cuya interrupción afecta seriamente a las personas o a la seguridad pública o al país.
Dentro de ese conjunto de prestadores de servicios esenciales hay un subconjunto más pequeño que se le ha llamado los Operadores de Importancia Vital porque prestando todos los servicios esenciales lo que hacen ellos no puede ser sustituido y esa es quizás una de las razones por las cuales a algunos se los va a declarar operadores de importancia vital, los OIV
La ley también señala los plazos, teniendo seis meses desde el momento en que se publica la ley en el diario oficial hasta que empiezan a promulgar los reglamentos. La ley se publicó el 8 de abril de 2024, por lo tanto el 5 de octubre, los reglamentos tienen que ser ingresados en la Contraloría General de la República para que tome razón y puedan entrar después en efecto.
Respecto a las multas, el Senador Pugh explicó que “habrá un catálogo de infracciones y multas que están definidas en leves, graves o gravísimas. No se les va a multar por haber tenido un ciberataque, los atacantes están permanentemente atacando. Solamente se va a multar a aquellos que no cumplen las disposiciones administrativas algunas de ellas muy simples o básicas como entregar el reporte inicial cuando se tiene evidencia o conciencia de que algo está ocurriendo, que hay un ataque en progreso aunque no sepan quién, de qué forma, cómo, tiene que ser informado antes de las tres horas”.
La Ley Marco de Ciberseguridad, busca en definitiva tener una coordinación nacional. Para eso el CECIR nacional que se crea por ley. Va a estar la Agencia Nacional de Ciberseguridad, la ANSI y debajo el CECIR nacional, el CECIR que va a estar tripulado 24/7 y que va a tener la capacidad de estar coordinando toda la información.
como recomendación, el Senador Pugh especificó que “si logramos que nuestros programas sean diseñados desde el momento mismo que nacen, sin vulnerabilidades, con buenas pruebas y protegiendo la privacidad de las personas, vale decir, diseño seguro en datos y en ciberseguridad y con protección para todo, obviamente esto va a disminuir. Pero por lo pronto la recomendación es cero trust, confianza cero. Estamos en un ambiente del cual todos dependemos y por eso quienes son los responsables, especialmente los CISO, los nuevos encargados de ciberseguridad, van a tener que tener esto como una norma permanente”.
“Las personas finalmente son la primera y la última línea de defensa y por eso todos tienen que tener conocimientos, habilidades y destreza, porque una persona puede parar desde su pantalla en su escritorio cualquiera de los ataques o al final el último que esté con un teclado puede salvar toda la organización o al país. Esa es la capacidad que tenemos que desarrollar y despertar”fina, finalizó Kenneth Pugh.
Fuente: Equipo de Prensa Senador Kenneth Pugh
