Descubre si tu empresa está obligada por la Ley Marco de Ciberseguridad. Guía visual completa con todos los sectores esenciales: energía, salud, transporte, banca y más. Descarga gratis.
El proyecto establece obligaciones a empresas de infraestructura crítica entendiendo por esta:
“aquella indispensable para la generación, transmisión, transporte, producción, almacenamiento y distribución de los servicios e insumos básicos para la población, tales como energía, gas, agua o telecomunicaciones; la relativa a la conexión vial, aérea, terrestre, marítima, portuaria o ferroviaria, y la correspondiente a servicios de utilidad pública, como los sistemas de asistencia sanitaria o de salud, identificados como infraestructuras críticas conforme a los criterios específicos contenidos en la presente ley”.
Este proyecto ofrece múltiples puntos de análisis, pero en este artículo me enfocaré en un aspecto clave: es necesario tener muy presente que esta ley requiere una evaluación cuidadosa por parte del Legislativo, con el fin de evitar falta de coordinación y conflictos regulatorios con la Ley Marco de Ciberseguridad. Para entender cuál es la problemática de esto, hay que ir al otro lado del Atlántico.
Al respecto, es importante recordar que el proyecto mencionado se basa, en gran medida, en la Directiva CER de la UE (Critical Entities Resilience Directive), que se tramitó de forma paralela y entró en vigencia en conjunto con la Directiva NIS2, la cual, a su vez, dio origen a la Ley Marco de Ciberseguridad.
Ambas directivas buscan regular y proteger, por un lado, la infraestructura crítica (IC) física y, por otro, parte o la totalidad (dependiendo del enfoque) de la IC digital, representada en sistemas y redes de información.
El proceso de transposición de estas directivas a la legislación interna de cada país de la Unión, (cuyo plazo venció el 17 de octubre pasado) ha evidenciado importantes desafíos, como una potencial redundancia de cargas regulatorias y la falta de alineación y coordinación efectiva entre ambas.
Lo anterior se debe, en parte, a que los respectivos entes rectores operan en distintos ámbitos, mientras que los sujetos obligados son prácticamente los mismos. Esto genera una acumulación considerable de elevadas cargas regulatorias y obligaciones de reporte que, en esencia, resultan equivalentes o similares y, en su mayoría, deben cumplirse de forma simultánea.
Una potencial falta de coherencia normativa, una superposición de funciones o una falta de integración técnica entre las autoridades involucradas, aumentan el riesgo de duplicación de esfuerzos públicos y privados, ineficiencia administrativas, conflictos interinstitucionales y, en última instancia, de la paralización de la gestión empresarial, por la falta de estándares claros y de todo una economía.
La complejidad actual de los ataques contra las infraestructuras críticas (IC), agrava aún más esta situación, ya que suelen ser híbridos (físicos y digitales) y sistémicos (de origen incierto, generalmente vinculados a la cadena de suministro fuera del perímetro de protección). Esto dificulta detectar con precisión su naturaleza y origen, además de obstaculizar el cumplimiento coordinado de normativas estrechamente relacionadas.
Por su parte, la existencia de riesgos sistémicos puede llevar a una gestión inconsistente de ciberamenazas, pues los principales cuerpos normativos se centran en las mismas áreas específicas, pudiendo dejar puntos débiles en la seguridad de IC no regulada, por ejemplo, dentro de la cadena de suministro.
La situación actual en Europa debe ser un llamado de atención para Chile, especialmente en el contexto de la tramitación del proyecto de ley sobre Protección de Infraestructura Crítica. Es crucial que esta normativa aborde los riesgos mencionados en los párrafos anteriores, con el fin de evitar choques legislativos y daños a la economía, debiendo por el contrario, garantizar su máxima eficacia. Para ello, resulta imprescindible alinearla (cual reloj suizo) con la Ley Marco de Ciberseguridad, promoviendo una coordinación intersectorial sólida y eliminando todas aquellas cargas innecesarias o desproporcionadas que para las empresas pueden resultar inasumibles.
El artículo analiza si los ciberataques pueden clasificarse como eventos de fuerza mayor, eximiendo a las empresas de sus obligaciones contractuales.
El ciberataque a Equifax en 2017 fue un momento decisivo en la historia de la ciberseguridad. Afectó a aproximadamente 148 millones de personas y dejó claro que las fallas en la gestión de la seguridad pueden tener consecuencias muy graves. Este artículo se refiere a este caso, las fallas e incumplimiento que se constataron y que lamentablemente vemos que se repiten constantemente en ciberataques de gran magnitud hasta hoy.
Es el momento de aprender de las lecciones, de tomar en serio una adecuada gestión de riesgos. Los datos son contundentes de cualquier estudio que ustedes puedan revisar, la gran parte de los ciberataques no se debe a un aumento de su complejidad sino que a falencias preventivas básicas y la falta de logros operativo de los programas y políticas de ciberseguridad que se implementan dentro de las empresas.
Las medidas, prevenciones, planes que quedan en los papeles, políticas, contratos, no significan nada si no son operativas, y deben serlo – tanto – desde el punto de vista técnico y para que su cumplimiento pueda comprobarse – como – desde el punto de vista legal.
¿Qué Pasó con Equifax?
Equifax, una de las principales agencias de informes crediticios en Estados Unidos, sufrió un ciberataque que comprometió datos personales como nombres, números de Seguro Social, fechas de nacimiento, direcciones y, en algunos casos, números de licencia de conducir. Los hackers aprovecharon una vulnerabilidad en un software que usaban, llamado Apache Struts 2, para acceder a los sistemas de Equifax (Kabanov & Madnick, 2021).
El ataque comenzó en mayo de 2017 y no fue detectado hasta finales de julio, lo que permitió a los hackers robar datos durante mucho tiempo. Cuando el ataque se hizo público en septiembre de 2017, el valor de las acciones de Equifax se desplomó y la empresa enfrentó múltiples investigaciones (U.S. House of Representatives, 2018).
Fallos Críticos en Equifax
1. Mala Gestión de Vulnerabilidades y Parches
Uno de los problemas más grandes fue la gestión deficiente de vulnerabilidades y parches. La vulnerabilidad en Apache Struts 2 había sido identificada y parcheada meses antes del ataque. Sin embargo, Equifax no aplicó el parche a tiempo, lo que permitió a los atacantes explotar la debilidad.
Lección Aprendida: Es crucial que las organizaciones implementen un proceso riguroso y proactivo para la gestión de parches. Esto incluye identificar rápidamente las vulnerabilidades, priorizarlas según el riesgo y aplicar los parches lo antes posible. La automatización puede ayudar mucho en estos procesos (Kabanov & Madnick, 2021).
2. Falta de Monitoreo y Detección de Intrusiones
El ataque también destacó la importancia del monitoreo continuo y la detección de intrusiones. Los certificados SSL necesarios para monitorear el tráfico de red habían expirado, lo que permitió que el tráfico malicioso pasara sin ser detectado.
Lección Aprendida: Las organizaciones deben mantener una vigilancia continua y tener sistemas de detección de intrusiones bien configurados. Es vital actualizar y renovar regularmente los certificados de seguridad para que los sistemas de monitoreo funcionen correctamente (U.S. Senate, 2019).
3. Diseño Inseguro del Sistema
El diseño de los sistemas de Equifax permitió a los atacantes moverse lateralmente a través de la red y acceder a múltiples bases de datos. Esto muestra la necesidad de principios de diseño seguro, como la segmentación de la red y el principio de menor privilegio.
Lección Aprendida: Las organizaciones deben diseñar sus sistemas con una arquitectura de seguridad en mente. Esto significa segmentar adecuadamente los sistemas y los datos y limitar los accesos al mínimo necesario para las operaciones (Kabanov & Madnick, 2021).
4. Falta de Cifrado de Datos Sensibles
Equifax no cifró adecuadamente los datos sensibles almacenados en sus sistemas, lo que permitió a los atacantes acceder a la información en texto claro.
Lección Aprendida: Es fundamental que las organizaciones implementen el cifrado de datos tanto en reposo como en tránsito para proteger la información sensible, incluso si los sistemas son comprometidos (U.S. Senate, 2019).
5. Gestión Obsoleta de Certificados
El proceso manual y propenso a errores para gestionar y actualizar los certificados SSL fue un punto crítico de falla. Equifax reconoció el problema, pero no completó la implementación de una herramienta automatizada antes del incidente.
Lección Aprendida: Automatizar la gestión de certificados es esencial para evitar errores humanos y asegurar que los certificados se renueven y actualicen de manera oportuna (Kabanov & Madnick, 2021).
Importancia del Cumplimiento Regulatorio Basado en Riesgos
El incidente de Equifax subraya la importancia del cumplimiento con las normativas de seguridad y protección de datos. No cumplir con estas normativas puede resultar en sanciones significativas y dañar la reputación de la organización. Equifax llegó a un acuerdo con la Comisión Federal de Comercio (FTC), la Oficina de Protección Financiera del Consumidor (CFPB) y 50 estados de EE. UU., que incluyó el pago de al menos $575 millones (FTC, 2019).
Infracciones regulatorias
PCI DSS (Payment Card Industry Data Security Standard): Aunque Equifax procesaba transacciones con tarjetas de crédito, no cumplía con las normas PCI DSS. Cumplir con PCI DSS podría haber mitigado algunos de los riesgos de seguridad presentes en sus sistemas (FTC, 2019).
FCRA (Fair Credit Reporting Act): Esta ley requiere que las agencias de informes crediticios implementen medidas razonables para proteger la información de los consumidores. El incumplimiento de estas medidas contribuyó significativamente a la gravedad del incidente (U.S. House of Representatives, 2018).
GLBA (Gramm-Leach-Bliley Act): Esta ley exige que las instituciones financieras, incluidas las agencias de crédito, protejan la información sensible. La falta de medidas adecuadas de seguridad bajo GLBA también fue un factor en el ataque a Equifax (FTC, 2019).
Recomendación: Las organizaciones deben establecer programas de cumplimiento robustos que no solo se centren en cumplir con las regulaciones, sino que también promuevan una cultura de seguridad. Esto incluye auditorías regulares, evaluación de riesgos y la implementación de controles de seguridad basados en estándares reconocidos (U.S. Senate, 2019).
Estrategias básicas de ciberseguridad
1. Evaluación Continua de Riesgos
Las organizaciones deben llevar a cabo evaluaciones de riesgos continuas para identificar y abordar las vulnerabilidades antes de que puedan ser explotadas. Estas evaluaciones deben considerar tanto las amenazas internas como externas y adaptarse a las cambiantes condiciones del entorno de ciberseguridad.
Recomendación: Utilizar marcos de trabajo como el NIST Cybersecurity Framework para estructurar las evaluaciones de riesgos y guiar las mejoras en la postura de seguridad (NIST, 2018).
2. Gestión de riesgos de error humano
El factor humano sigue siendo la principal vulnerabilidad en materia de ciberseguridad.
Recomendación: Implementar gestion de riesgo de error humano en todos los niveles, con un enfoque particular en las mejores prácticas de seguridad, la identificación de phishing y la respuesta a incidentes (U.S. House of Representatives, 2018).
3. Respuesta a Incidentes y Recuperación
La capacidad de responder rápidamente a un incidente de ciberseguridad puede limitar el daño y acelerar la recuperación. Las organizaciones deben tener un plan de respuesta a incidentes bien definido y probado regularmente.
Recomendación: Desarrollar y mantener un plan de respuesta a incidentes que incluya procedimientos claros para la detección, contención, erradicación y recuperación de incidentes. Realizar simulacros de incidentes para asegurar que todos los involucrados estén preparados para responder eficazmente (FTC, 2019).
4. Implementación de Controles de Seguridad adecuados y eficaces
La implementación de controles de seguridad robustos, como firewalls de aplicaciones web (WAF), sistemas de prevención de pérdida de datos (DLP) y mecanismos de autenticación multifactor (MFA), puede prevenir ataques y minimizar su impacto.
Recomendación: Adoptar una estrategia de defensa en profundidad que combine múltiples capas de seguridad para proteger los activos críticos y detectar actividades maliciosas de manera temprana (U.S. Senate, 2019).
Conclusión
El ciberataque a Equifax es un recordatorio contundente de los riesgos asociados con la ciberseguridad y la importancia del cumplimiento regulatorio técnico-legal basado en riesgos. Las organizaciones deben aprender de este incidente y adoptar un enfoque proactivo para la gestión de la seguridad cibernética. Implementar prácticas robustas de gestión de vulnerabilidades, monitoreo y detección de intrusiones, diseño seguro del sistema y cifrado de datos, junto con un cumplimiento riguroso de las normativas, puede ayudar a proteger la información sensible y mantener la confianza de los clientes.
La seguridad cibernética no es solo una responsabilidad técnica, sino una obligación estratégica que requiere el compromiso y la colaboración de toda la organización. Solo a través de un enfoque integral y coordinado se pueden mitigar los riesgos y fortalecer la resiliencia frente a las crecientes amenazas cibernéticas.
Referencias
Federal Trade Commission. (2019). Equifax to pay $575 million as part of settlement with FTC, CFPB, and states related to 2017 data breach. Recuperado de https://www.ftc.gov/news-events/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related
Kabanov, I., & Madnick, S. (2021). Applying the lessons from the Equifax cybersecurity incident to build a better defense. MIS Quarterly Executive, 20(2), 109-123. Recuperado de https://aisel.aisnet.org/misqe/vol20/iss2/4/
National Institute of Standards and Technology. (2018). Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. Recuperado de https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf
U.S. House of Representatives. (2018). The Equifax data breach. Committee on Oversight and Government Reform. Recuperado de https://oversight.house.gov/report/the-equifax-data-breach/
U.S. Senate. (2019). How Equifax neglected cybersecurity and suffered a devastating data breach. Permanent Subcommittee on Investigations. Recuperado de https://www.hsgac.senate.gov/imo/media/doc/FINAL%20Equifax%20Report.pdf
Escrito por Catherine Muñoz
Dentro de estas hay una subcategoría de sujetos obligados con cargas regulatorias reforzadas (artículo 8) que se denominan «Operadores de Importancia Vital».
La ley identifica como sujetos obligados a aquellas instituciones que prestan servicios considerados esenciales para el funcionamiento de la sociedad y la economía. Estos servicios son los prestados por:
1. Los organismos de la Administración del Estado
2. El Coordinador Eléctrico Nacional.
3. Los prestados bajo concesión de servicio público,
4. Los proveídos por instituciones privadas que realicen las siguientes actividades:
Generación, transmisión o distribución de energía eléctrica.
Transporte, almacenamiento o distribución de combustibles.
Suministro de agua potable y saneamiento.
Telecomunicaciones e infraestructura digital.
Servicios digitales y tecnologías de la información gestionadas por terceros.
Transporte terrestre, aéreo, ferroviario o marítimo y operación de infraestructuras relacionadas.
Banca, servicios financieros y sistemas de pago.
Administración de prestaciones de seguridad social.
Servicios postales y de mensajería.
Prestación de servicios de salud por entidades como hospitales, clínicas, consultorios y centros médicos, incluyendo la producción e investigación farmacéutica.
La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada, sometida a consulta pública.
La Agencia Nacional de Ciberseguridad identificará, mediante resolución exenta, las infraestructuras, procesos o funciones específicas que serán calificadas como esenciales dentro de las instituciones nombradas.
La Agencia puede clasificar dentro de las instituciones anteriores, a aquellos considerados operadores de importancia vital por:
Dependen críticamente de redes y sistemas informáticos para la prestación de sus servicios.
Cuyas interrupciones tendrían un impacto significativo en la seguridad y el orden público, la continuidad de servicios esenciales, el cumplimiento de funciones estatales o la provisión de servicios garantizados por el Estado.
Además, instituciones privadas que no provean servicios esenciales pero que cumplan con los criterios mencionados y sean consideradas críticas para el abastecimiento y producción de bienes estratégicos, o que presenten un alto riesgo de incidentes de ciberseguridad, también podrían ser calificadas como tales.
Identificación Inicial:La Agencia Nacional de Ciberseguridad identifica las infraestructuras, procesos o funciones que podrían calificarse como Instituciones que presten servicios calificados como esenciales según el punto II. Además, se debe tener presente que la ley le da facultad a la Agencia para determinar como operadores de importancia vital a instituciones privadas con roles críticos, que no clasificadas inicialmente como prestadores de servicios esenciales.
Consulta a Organismos Competentes:La Agencia solicita informes a los organismos públicos sectoriales para identificar posibles operadores de importancia vital.
Elaboración de la Nómina Preliminar:La Agencia elabora una nómina preliminar de instituciones que podrían ser calificadas como operadores de importancia vital.Plazo: 30 días corridos para la elaboración de esta nómina.
Consulta Pública:4.1. Instituciones privadas: Sometimiento a consulta pública durante 30 días corridos.4.2. Instituciones públicas: Requerimiento de informe al Ministerio de Hacienda.
Elaboración del Informe Final:Una vez finalizado el proceso de consulta pública y recibido el informe del Ministerio de Hacienda, la Agencia dispone de 30 días corridos para preparar el informe final.
Resolución de la Agencia:La Agencia, mediante resolución fundada por su Director o Directora Nacional, determina la nómina final de los operadores de importancia vital.
Revisión y Actualización:La Agencia revisa y actualiza la lista de operadores de importancia vital al menos cada tres años.
Recursos Legales:Contra la resolución emitida, se pueden interponer los recursos que establece la ley N° 19.880, proporciona la opción de un procedimiento de reclamación judicial, según lo especificado en el artículo 46 de la ley correspondiente.
Si su institución se encuentra dentro de las categorías mencionadas o realiza actividades que son fundamentales para la infraestructura crítica de la nación, es crucial evaluar su cumplimiento con la nueva ley. La ciberseguridad ya no es solo una cuestión de IT, sino un imperativo estratégico y legal que garantiza la continuidad de servicios esenciales para la sociedad.
#ciberseguridad #compliance #ciberseguridadindustrial #cybersecurity
