Ley Marco de Ciberseguridad: amerita mayor discusión

pantalla de computador con texto


Ley Marco de Ciberseguridad: después de revisarla creo que requiere de una mayor discusión, y por lo que he podido conversar, no soy el único que piensa así.


Desde hace bastante tiempo que nuestro estado tiene una seria deficiencia en materias de institucionalidad de Ciberseguridad, como ya lo he señalado antes en este y otros espacios.

En la administración anterior, se presentó un proyecto de ley (Boletín 14847-06) que buscaba abordar este desafío, proponiendo una institucionalidad en la materia, el proyecto original desde un punto de vista de sus objetivos planteaba:

La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los órganos del Estado así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.



Cambio introducidos recientemente

Durante esta administración se le introdujeron cambios al proyecto original.  El nuevo proyecto ya pasó por la Comisión de Seguridad Pública del Senado y fue aprobado, y actualmente se encuentra en la Comisión de Seguridad Pública en la Cámara de Diputados, en sus trámites finales, hasta donde se el 10-7-2022 es el último día para presentar indicaciones al proyecto.

Después de revisarlo, y conversarlo con diferentes actores del ecosistema (algunos reguladores y actores de la industria TI), creo que el proyecto requiere de un mayor debate, no vaya a ser cosa que aprobemos algo que a corto plazo va a requerir cambios. Como ha ocurrido con otros marcos legales en este ámbito en el pasado, el problema de eso es que los tiempos de la discusión legislativa son bastante mayores  que los avances y prácticas en el ámbito tecnológico, por lo que si no queda bien desde el comienzo la probabilidad de modificarlo en el corto plazo es relativamente baja.

Del análisis de algunos de esos cambios, me encontré con cosas que llaman la atención y que en base a mis conversaciones no soy el único del ecosistema con aprehensiones similares, desde el regulador financiero y expertos en el área han surgido dudas, aquí les dejo algunas de mis preocupaciones.


Principio de especificidad

La ley le entrega a la nueva agencia de Ciberseguridad una gran cantidad de atribuciones, incluso por sobre los reguladores sectoriales.  Si bien en general a los reguladores no les gusta que otra agencia se “meta en su espacio”, me llama la atención la amplitud de poderes que se le entrega a la nueva agencia en sectores regulados.

El proyecto de ley en su Artículo 8 dice:


“Artículo 8 …

La Agencia deberá regular, fiscalizar y sancionar las acciones de los organismos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares

…..

n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

La Agencia contará con todas las facultades que fueren necesarias para el cumplimiento de su función fiscalizadora; entre otras, las de realizar inspecciones, auditorías, análisis de seguridad o evaluar un sistema de gestión de seguridad de la información; requerir el acceso a sistemas informáticos, datos, documentos e información para el desempeño de sus funciones de supervisión, y citar a declarar a los socios, directores, administradores, representantes, empleados y personas que, a cualquier título, presten o hayan prestado servicios para las personas o entidades fiscalizadas y a toda otra persona que hubiere ejecutado y celebrado con ellas actos y convenciones de cualquier naturaleza, respecto de algún hecho cuyo conocimiento estime necesario para el cumplimiento de sus funciones.

ñ) Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.


En este ámbito, no se evalúa adecuadamente que los principios y prácticas de ciberseguridad, en muchas áreas están asociados a prácticas específicas del negocio (bancos, salud, seguros y servicios básicos entre otros).

Por lo tanto, las medidas son en función de los perfiles de riesgo de cada sector, y deben estar alineados con otras regulaciones sectoriales y en muchos casos con buenas prácticas y exigencias internacionales como ocurre en la industria financiera.


Sobrecarga Regulatoria

Por su parte el proyecto también pone una vara bastante alta en materias de  exigencias respecto de los reportes de incidentes, tanto desde el punto de vista de la cobertura, la cual es de carácter universal, salvo excepciones definidas por la agencia, como los tiempos involucrados, esto es, un máximo de 3 horas para reportar.


“Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar deberá cumplirse en un plazo inferior a tres horas contadas desde que se tuvo conocimiento del evento respectivo. La entidad informante podrá solicitar la prórroga de dicho plazo por una sola vez y mientras se encuentre este vigente, con la sola finalidad de recabar mayores antecedentes.”


Principio de Criptografía

Se establece un principio de Criptografía (que no estaba en el proyecto original) sin excepciones, eso puede afectar casos en los cuales es necesarios acceder a la información que se encuentra encriptada, por ejemplo: pornografía infantil.


“Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:



11. Principio del cifrado: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.



Presupuesto

Como en otros proyectos de ley, en este caso se establece la exigencia de generar una institucionalidad para que lleve adelante el proceso regulatorios y de seguimiento de la Ciberseguridad tanto a nivel del estado como de los privados. 


Dicha agencia, según Informe Financiero de la Dirección de Presupuestos (IF Nº 43/10.03.2022) requiere de menos de 1 millones de dólares adicionales para su operación (ya que se transfiere parte del personal e infraestructura del CSIRT actual).

De los fondos adicionales, aproximadamente US$ 250.000 corresponden a servicios y bienes de consumo. Otro elemento llamativo del IF, es que plantea que solo se requerirá de personal para las áreas: jurídicas, administración y finanzas y normalización, y que el resto del personal (técnico) será personal transferido desde el Ministerio del Interior.

Con el nivel de tareas y responsabilidades que le asigna la ley (regulador público y privado) quedan serias dudas de que el personal sea suficiente, así como los bienes y servicios necesarios para desarrollar su misión.

recuesos financieros para la implementación de la ley
Fuente: Informe Financiero, Dipres, 2022


No son muchos recursos para una agencia que debe velar por los incidentes de ciberseguridad a nivel nacional tanto en el ámbito público como privado, no vaya ser cosa que este sea un nuevo ejemplo de Falta de Vitamina-I (subdimensionados, pocos recursos y plazos para la implementación)



Preguntas en el aire

A partir de este rápido análisis quedan varias dudas dando vueltas

  1. ¿Se evaluó lo que significa la carga regulatoria para muchas organizaciones, en particular pequeñas y medianas empresas?
  2. ¿Existe claridad del rol regulatorio que debe asumir la Agencia por sobre los reguladores sectoriales?
  3. ¿Han evaluado ciertas definiciones y alcances que van más allá de prácticas establecidas en otras latitudes?
  4. ¿Han analizado adecuadamente la cantidad de recursos financieros y si estos está alineados con el desafío y la responsabilidad planteados en el proyecto?




Todo esto me lleva a la reflexión de que independientemente de la premura que el ejecutivo le ha puesto a este proyecto de ley, en mi opinión este amerita una mayor discusión.




Información complementaria



Foto de Lewis Kang’ethe Ngugi en Unsplash

Comparte este artículo en

Deja un comentario:

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Blog eL ABC de Alejandro Barros

Suscríbete a newsletter

En este espacio reflexiono sobre Modernización del Estado, Innovación Pública, Desarrollo Digital, tecnologías de información y otras yerbas.