Las normativas llevan por nombre “Reglamento de Reporte de Incidentes de Ciberseguridad” y “Taxonomía de Incidentes de Ciberseguridad”.
El 28 de febrero y el 1 de marzo fueron publicadas en el Diario Oficial dos normativas que complementan la ley marco de ciberseguridad. Estas obligan a las instituciones públicas y privadas -consideradas como prestadores de servicios esenciales y operadores de importancia vital- a reportar sus ciber incidentes al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática).
Se establece que un incidente se considera “significativo” cuando interrumpe un servicio esencial, afecta la integridad física o la salud de las personas, comprometen la confidencialidad o integridad de activos informáticos, permite acceso no autorizado a redes o sistemas informáticos y/o afecta sistemas que contienen datos personales. ¿Cómo se determina la importancia del incidente? Se evalúa según el número de personas afectadas, la duración del incidente y la extensión geográfica.
“Estas medidas buscan mejorar la capacidad de respuesta ante incidentes que puedan comprometer la seguridad digital del país y establecen mecanismos para la notificación de ataques informáticos a instituciones, como las generadoras y distribuidoras eléctricas, transportadores y distribuidores de combustibles, suministradores de agua potable y telecomunicaciones, sectores de los distintos medios de transportes y de la banca y servicios financieros, entre otros”, explica Fernando Lagos, CEO de Nivel4 Ciberseguridad.
El reglamento de reporte de incidente establece que cualquier incidente con impacto significativo deberá ser informado en un plazo máximo de 3 horas desde su detección, seguido de un segundo reporte en 72 horas, en el que se deben incluir detalles sobre el incidente, sus efectos y las medidas de mitigación adoptadas. Finalmente, un informe final deberá ser entregado en un plazo de 15 días, consolidando toda la información y proponiendo acciones correctivas.
“De acuerdo con lo anterior, se considera como impacto en el uso legítimo de sistemas los accesos no autorizados, los ataques de fuerza bruta, el phishing, el uso indebido de credenciales y la ejecución de código malicioso. Como impacto en la confidencialidad de la información se contemplan las filtraciones de datos, la exposición de credenciales, la pérdida de información sensible y la divulgación de código fuente, por citar algunos” agrega Lagos.
Para garantizar la correcta implementación de estas medidas, se ha habilitado una plataforma de notificación disponible 24/7 (https://portal.anci.gob.cl), a través de la cual las instituciones podrán reportar incidentes en tiempo real.
Listado de servicios esenciales, según la Ley Marco de Ciberseguridad:
- Organismos de la Administración del Estado
- Empresas públicas creada por ley
- Sociedades donde el Estado tiene participación accionaria superior al 50%
- Sociedades donde el Estado tiene mayoría en el directorio
- Coordinador Eléctrico Nacional
- Concesionarios de servicios públicos
- Prestadores de servicios de generación eléctrica
- Prestadores de servicios de transmisión eléctrica
- Prestadores de servicios de distribución eléctrica
- Prestadores de servicios de transporte de combustibles
- Prestadores de servicios de almacenamiento de combustibles
- Prestadores de servicios de distribución de combustibles
- Prestadores de servicios de suministro de agua potable
- Prestadores de servicios de saneamiento o tratamiento de aguas servidas
- Prestadores de servicios de telecomunicaciones
- Prestadores de servicios de infraestructura digital
- Prestadores de servicios digitales
- Prestadores de servicios de tecnología de la información gestionados por terceros
- Prestadores de servicios de transporte terrestre
- Prestadores de servicios de operación de infraestructura de transporte terrestre
- Prestadores de servicios de transporte aéreo
- Prestadores de servicios de operación de infraestructura de transporte aéreo
- Prestadores de servicios de transporte ferroviario
- Prestadores de servicios de operación de infraestructura de transporte ferroviario
- Prestadores de servicios de transporte marítimo
- Prestadores de servicios de operación de infraestructura de transporte marítimo
- Prestadores de servicios bancarios
- Prestadores de servicios financieros
- Prestadores de servicios de medios de pago
- Prestadores de servicios de administración de seguridad social (incluye AFP, AFC, Isapres, Mutualidad de Empleadores).
- Prestadores de servicios de postales
- Prestadores de servicios de mensajería
- Prestadores institucionales de servicios de salud
- Prestadores de servicios de producción de productos farmacéuticos
- Prestadores de servicios de investigación de productos farmacéuticos