El nuevo marco legal de Chile para seguridad cibernética e infraestructura de información crítica, aprobado en diciembre del año pasado y que entrará en vigencia en marzo, podría resultar en mayores costos para las empresas que operan en el país.
«La normativa establece sanciones tan altas que los accionistas con el objetivo de cumplir con la ley exigen más detalles sobre las obligaciones y otras disposiciones, es decir, seguridad jurídica», dijo Macarena Cadica, socia y responsable de tecnología, telecomunicaciones, medios y protección de datos de la ley. firma Alessandri Abogados, BNamericas.
Añadió que la nueva ley tendrá un «impacto significativo» en las empresas, ya que necesitan contar con un marco para gestionar los riesgos de seguridad cibernética. «Esto puede indicar un cambio que implica inversiones más caras».
El proyecto de ley fue aprobado para su aplicación no menos de seis meses después de su publicación oficial, ya que la ley aún no ha entrado plenamente en vigor ya que primero se deben regular cuestiones relacionadas con las actividades de la nueva agencia de seguridad cibernética.
Las organizaciones deben implementar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad y ciberataques cuando ocurran.
«Las nuevas regulaciones requieren que las organizaciones aprovechen y fortalezcan las medidas de ciberseguridad existentes para lograr un estándar mínimo de protección. Esto significa que las organizaciones deben tener visibilidad y control total sobre sus superficies de ataque para gestionar eficazmente los entornos digitales», dijo Carlos Bonavita, gerente de ingeniería de sistemas de ciberseguridad. Palo Alto Región Sur, dijo en entrevista con BNamericas.
La Ley Marco establece tres tipos de infracciones: leves, graves y muy graves. Para los operadores de importancia crítica según lo determine la Agencia de Seguridad Cibernética, las multas por este tipo de violaciones pueden alcanzar hasta 40.000 UTM (unidades tributarias mensuales, aproximadamente US$ 2,8 millones).
Los operadores que dependan de redes y servicios informáticos que sean considerados críticos, la interceptación, interferencia o destrucción de servicios que afecten la seguridad y el orden público, la prestación de servicios esenciales o el desempeño efectivo de funciones gubernamentales.
Además de las sanciones económicas, las empresas deben notificar a sus usuarios cuando sean víctimas de un ciberdelito.
«Es importante considerar el coste reputacional que un incidente de ciberseguridad y un ciberataque pueden tener para la empresa, especialmente en lo que respecta a la obligación de notificar a las víctimas», subrayó Kadika.
Próximos pasos
Para cumplir con los mandatos de la ley de ciberseguridad de Chile, las empresas deben adaptar sus sistemas informáticos, establecer protocolos de seguridad claros, fortalecer la gobernanza de datos, capacitar a los empleados en ciberseguridad y realizar evaluaciones de riesgos periódicas.
«Es imperativo tener una visibilidad completa de sus superficies de riesgo y la capacidad de proteger sus ecosistemas digitales», dijo Bonavita.
¿Debería aplicarse la ley en otros lugares?
Cuando BNamericas le preguntó si otros países de la región implementarían iniciativas regulatorias similares, Bonavita dijo: «Sería muy positivo si este tipo de regulación se siguiera en otros mercados latinoamericanos».
«Un entorno de colaboración como el que existe actualmente en la UE permite a todas las partes interesadas prepararse mejor y responder de manera más eficiente a los ciberataques».
Mientras tanto, como la ciberseguridad es un riesgo que afecta a todos los países por igual, dijo Kadika, «debe considerarse como una política de Estado. Además, se pueden considerar acciones conjuntas entre varios países».
«Web friki. Wannabe pensador. Lector. Evangelista de viajes independiente. Aficionado a la cultura pop. Erudito musical certificado».