Qué implicará la ley marco de ciberseguridad para las empresas chilenas

La nueva ley marco de Chile sobre ciberseguridad e información crítica de la información, aprobada en diciembre y promulgada en marzo, podría suponer un alto costo para las empresas que operan en el país.

“Esta norma establece multas tan altas que los obligados exigen un mayor detalle respecto a las obligaciones y demás disposiciones destinadas al cumplimiento de la ley, es decir, certeza jurídica”, dijo a BNamericas Macarena Gatica, socia y líder de tecnología, telecomunicaciones, medios y protección de datos de Alessandri Abogados, por correo electrónico. 

La nueva regulación tendrá un “impacto significativo” en las compañías, ya que las obligará a tener una estructura para gestionar el riesgo asociado a la ciberseguridad. “Puede significar un cambio que conlleve una inversión de alto costo”, advirtió Gatica. 

La legislación aún no ha entrado en plena vigencia, en parte porque su promulgación establece que deberán regularse temas relacionados con el funcionamiento de la nueva agencia de ciberseguridad y la fecha en que entrará en vigor la norma, que no podrá ser inferior a seis meses desde su publicación oficial.

Las compañías deberán aplicar en forma permanente medidas destinadas a prevenir incidentes de ciberseguridad y ciberataques, a reportarlos y a resolverlos cuando estos ocurran. 

“La nueva normativa les exige implementar y fortalecer medidas de ciberseguridad existentes para cumplir con un estándar mínimo de protección. Esto supone que las empresas deben tener visibilidad y control total de su superficie de ataque con el fin de gestionar efectivamente los entornos digitales”, dijo Carlos Bonavita, gerente de ingeniería de sistemas para la región sur de la compañía de ciberseguridad Palo Alto, en entrevista con BNamericas.

La ley marco establece tres tipos de infracciones: leves, graves y gravísimas. En el caso de los operadores de importancia vital —que serán determinados por la agencia de ciberseguridad—, las multas podrían alcanzar 40.000 unidades tributarias mensuales (cerca de U$2,80 millones).

Los operadores de importancia vital son aquellos cuya provisión de servicio depende de las redes y sistemas informáticos y cuya afectación, interceptación, interrupción o destrucción tenga un impacto en la seguridad y el orden público, en la prestación de servicios esenciales o en el efectivo cumplimiento de las funciones del Estado.

Además de las multas económicas, la normativa obliga a las compañías a informar a sus usuarios cuando fueron víctimas de un delito informático. 

“Es importante considerar el costo reputacional que un incidente de ciberseguridad y ciberataque pueden tener para la empresa, sobre todo en relación con la obligación de dar aviso a los afectados”, afirmó Gatica. 

LOS PASOS A SEGUIR

Para cumplir con los mandatos de la ley de ciberseguridad en Chile, las compañías deberán adecuar sus sistemas informáticos, establecer procedimientos claros de seguridad, fortalecer la gobernanza de datos, capacitar al personal en ciberseguridad y realizar evaluaciones regulares de riesgos.

“Es imperativo que tengan visibilidad total de sus superficies de riesgo y la capacidad de blindar sus ecosistemas digitales”, dijo Bonavita. 

¿UNA LEY A REPLICAR?

Consultado por BNamericas sobre si cree que otros países de la región también avanzarán en iniciativas similares, Bonavita dijo que “sería muy positivo que este tipo de regulación pueda ser replicada en otros mercados de Latinoamérica”. 

“Un ambiente de colaboración, como el que existe actualmente en la Unión Europea, ayuda a todos los involucrados a prepararse de mejor manera y responder de forma eficiente ante los ciberataques”, comentó.

Para Gatica, debido a que la ciberseguridad es un riesgo que afecta a todos los países por igual, “debe ser considerada una política de Estado. Es más, se podría pensar en acciones conjuntas entre varios países”, indicó.