propuesta de polı́tica nacional de ciberseguridad (pncs ...biblioteca.iplacex.cl/rca/propuesta de...
TRANSCRIPT
1
Propuesta de Polı́tica Nacional deCiberseguridad(PNCS)2016-2022
2
I. Índice
I. Índice.............................................................................................................................2
II. Introducción..................................................................................................................4
III. ¿Porquéserequiereunapolíticanacionaldeciberseguridad?....................................5
A. Pararesguardarlaseguridaddelaspersonasenelciberespacio.............................5
B. Paraprotegerlaseguridaddelpaís...........................................................................5
C. Parapromoverlacolaboraciónycoordinaciónentreinstituciones..........................5
D. Paragestionarlosriesgosdelciberespacio...............................................................5
IV. Estadoactualdelaciberseguridad:normas,instituciones,panoramaderiesgos........6
A. Normaseinstituciones..............................................................................................6
B. Panoramaderiesgos.................................................................................................6
V. Hojaderutadelapolítica.............................................................................................7
A. Objetivosdepolíticaparaelaño2022......................................................................7
B. Agendademedidas2016-2017yevaluación............................................................7
C. Políticasintegradascomplementariasenmateriadigital.........................................7
VI. Objetivosdepolíticaparaelaño2022..........................................................................9
A. El país contará con una infraestructura de la información pública y privada resiliente,preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica degestiónderiesgos..............................................................................................................9
B. El Estado velará por los derechos de las personas en el ciberespacio, mediante laprevención y sanción efectiva de delitos, garantizando el pleno respeto de los derechoshumanos..........................................................................................................................11
C. Chile desarrollará una cultura de la ciberseguridad en torno a la educación, buenasprácticasyresponsabilidadenelmanejodetecnologíasdigitales.................................13
D. El país establecerá relaciones de cooperación en ciberseguridad con otros actores yparticiparáactivamenteenforosydiscusionesinternacionales....................................13
E. El país promoverá el desarrollo de una industria de la ciberseguridad, que sirva a susobjetivosestratégicos.....................................................................................................15
VII. Funciones e institucionalidad necesarias para desarrollar una política nacional deciberseguridad.....................................................................................................................17
A. Institucionalidadparalaciberseguridad.................................................................17
B. Implementacióngradualdelainstitucionalidadparalaciberseguridad................18
VIII. Medidasdepolíticapública2016-2017......................................................................19
3
IX. Anexos.........................................................................................................................23
A. AnexoNº1:normaseinstitucionesqueintervienenenciberseguridadenChile...23
B. AnexoNº2:panoramaderiesgosyamenazas........................................................27
4
II. Introducción
La masificación en el uso de tecnologías de información y comunicaciones (TICS), junto conserviraldesarrollodelpaís,conllevariesgosquepuedenafectarlosderechosdelaspersonas,laseguridadpública, las infraestructurascríticas,elgobiernodigital, los interesesesencialesy laseguridadexteriordeChile.
Estos riesgos pueden provenir de múltiples fuentes y se pueden manifestar medianteactividades de espionaje, sabotaje, fraudes o ciberataques realizados por otros países, porgruposorganizadosoporparticulares,entreotros.
Anivelinternacionalexisteunimportantedesarrolloenlagestiónderiesgosasociadosalusodelas TICs. Al año 2015, más de 40 países contaban con una estrategia o política deciberseguridadi,algunosdeloscualesyaestántrabajandoensusegundaoterceraversión.Alavez,esposibleconstatar laconsiderableevolucióndoctrinaria,técnicaynormativaenlosmásdiversosorganismosyforosinternacionales.
Anivelnacional,eldesafíoescontarconunapolíticaqueorientelaaccióndelpaísenmateriadeciberseguridad,juntoconimplementaryponerenmarchalasmedidasqueseannecesariaspara proteger la seguridad de los usuarios del ciberespacio, cumpliendo además con elprograma de Gobierno de la Presidenta Michelle Bachelet, que propone “desarrollar unaestrategiadeseguridaddigitalqueprotejaalosusuariosprivadosypúblicos”ii.
El presentedocumento contiene los lineamientospolíticosdel EstadodeChile enmateriadeciberseguridad,conunamiradaqueapuntaalaño20221,paraalcanzarelobjetivodecontarconunciberespaciolibre,democrático,abierto,seguroyresiliente.
1Comoseexplicaen lasecciónV“Hojaderuta”,estapolíticacontiene lineamientosestratégicosde largoplazo,queapuntanaésteyelpróximogobierno,yunaseriedemedidasdecortoplazo,quecadaadministracióndeberáplanificaryejecutar.
5
III. ¿Por qué se requiere una política nacional deciberseguridad?
A. Pararesguardarlaseguridaddelaspersonasenelciberespacio
Esnecesariobrindaralaspersonasunniveldeseguridadquelespermitaelnormaldesarrollodesusactividadespersonales,socialesycomunitariasenelciberespacio,juntoconelejerciciode derechos fundamentales como la libertad de expresión, el acceso a la información, laproteccióndelavidaprivadaylapropiedad.
B. Paraprotegerlaseguridaddelpaís
Esnecesariopromoverel resguardode las redes y sistemas informáticosdel sectorpúblico yprivado,especialmenteaquellasquesonesencialesparaeladecuadofuncionamientodelpaís,velandoporlacontinuidadoperacionaldelosserviciosbásicos.
C. Parapromoverlacolaboraciónycoordinaciónentreinstituciones
Es necesario mejorar las instancias de comunicación, coordinación y colaboración entreinstituciones, organizaciones y empresas, tanto del sector público como privado, con elpropósito de fortalecer la confianza y entregar una respuesta común a los riesgos delciberespacio.
D. Paragestionarlosriesgosdelciberespacio
Esnecesarioconsiderareldesarrollodeprocesosdeanálisisygestiónderiesgosquepermitanidentificar las vulnerabilidades, amenazas y riesgos implícitos en el uso, procesamiento,almacenamientoytransmisióndelainformación,juntoalageneracióndelascapacidadesparala prevención y la recuperación ante incidentes de ciberseguridad que se presenten,configurandounciberespacioestable,resiliente.
6
IV. Estadoactualde la ciberseguridad:normas, instituciones,panoramaderiesgos
A. Normaseinstituciones
La institucionalidadvigenteenmateriadeciberseguridadseencuentradistribuidaendiversosorganismos y entidades. Esto hace necesario la coordinación estratégica de los diversosesfuerzos, de sus roles y funciones, y el establecimiento de prácticas y criterios técnicoscomunes,conelobjetivodemejorarlaeficienciayeficaciaenelámbitodelaciberseguridad.2
Enestamateria,nuestropaíscuentaconunconjuntodenormaslegalesyreglamentariasquesehacencargodirectaeindirectamentedelfenómenodelaciberseguridadqueresultanecesariorevisar y actualizar conforme a las directrices que plantea esta política y a los compromisosinternacionales de Chile, por ejemplo, la ley Nº19.223 sobre delitos informáticos o la leyNº19.628sobreproteccióndelavidaprivada,entreotras.
B. Panoramaderiesgos
Atendidalanaturalezaglobaldelciberespacio,losriesgosyamenazasprovienendeChileydelexterior,yseoriginantantoenactividadesdelictualescomoenlaboresdeespionajeyvigilanciallevadasacabocondiversosfines,afectandolaconfidencialidad,integridadydisponibilidaddelosactivosdeinformaciónenelciberespacio,yconello,losderechosdelaspersonas.3
Anivelglobal,existenabundantesantecedentessobreciberataquesyactividadesdeespionajeenlared.Lainterceptaciónmasivaderedesdetelecomunicaciones,lainutilizacióndelserviciode internet, el espionaje contra gobiernos y empresas, además de ataques contrainfraestructuras críticas como servicios básicos, instituciones financieras y entidadesgubernamentales,hanmarcadolapautainformativaanivelglobalenestamateria.
Anivelregional,enelaño2013lospaísesqueregistraronelmayornúmerodeciberataquesenLatinoamérica fueron Brasil, Argentina, Colombia, México y Chile. Los accesos o robo deinformacióndesdecomputadoresodispositivosinfectadospredominaronenlaregióniii.
Asimismo, los ciberdelitos cometidos en Chile confirman el carácter transnacional de éstos,especialmente losrelacionadosconelusofraudulentodetarjetasdecréditoydébito,estafasinformáticas,entreotros.
Lapolíticaconsideraestaclasedeamenazas,especialmenterespectoaaquellasqueafectenlasinfraestructurascríticasdelpaís.
2VeranexoNº1condetalledelanormativaeinstitucionalidadexistenteenmateriadeciberseguridad.3VeranexoNº2coninformaciónsobreriesgosparaelpaísenelciberespacio.
7
V. Hojaderutadelapolítica
Lapresentepolíticadeciberseguridadtienedoscomponentescentrales:unapolíticadeEstado,diseñadaconobjetivosorientadosalaño2022,yunaagendademedidasespecíficas,queseránimplementadasentrelosaños2016y2017.
Elobjetivodeestediseñoesproponerunavisióngeneraldehaciadóndedebemoverseelpaísenelmedianoylargoplazo,juntoconunconjuntodemedidasquepuedanserimplementadayevaluadaenloquerestadegobierno,dejandoalasiguienteadministraciónlatareaderevisarlapolíticayplantearunaagendaquepuedaabarcarelsiguientegobierno.
A. Objetivosdepolíticaparaelaño2022
Enestapolíticaseplanteanobjetivosdealtonivelconunamiradadelargoplazo,quepermitaorientarlosesfuerzosdelpaíshacialaconsecucióndedichasmetas,sirviendoalavezdeguíaparapriorizaryracionalizarlasmedidascontenidasenelpresentedocumento.
Juntocon loanterior, lapolíticacontieneunaseriedefuncionesmínimas imprescindiblesyelcorrespondientediseñoinstitucionalquedeberáhacersecargodeéstas,tantoenelcortoplazo(2016-2017),comoenelmedianoylargoplazo(2016-2022).
B. Agendademedidas2016-2017yevaluación
Desarrollando los objetivos de la política, se propone una agenda a implementar durante elbienio2016-2017,quepermitiráponerenmarchaunesfuerzoconjuntodepartedelgobiernoyel sector privado en materia de ciberseguridad, orientada a la adopción de las medidaspriorizadasya lapreparacióndediversos insumosquepermitanrevisaryampliar lapolíticaafinesdelaño2017.
C. Políticasintegradascomplementariasenmateriadigital
LapresentepolíticadeciberseguridadseenmarcaenunconjuntodepolíticasqueelGobiernohaimplementadooseencuentradesarrollandoenmateriadigital,conelobjetodecontarcondefinicionesclarasysistémicassobreelciberespacio:
1. AgendaDigital2020
LaAgendaDigital 2020iv es unahojade rutapara avanzarhacia el desarrollodigital del país,medianteladefinicióndeobjetivosdemedianoplazo,líneasdeacciónymedidasconcretas.Fuelanzadaelsegundosemestredelaño2015,yaspiraaqueelusomasivode lastecnologíassetransforme en un medio para reducir las desigualdades, permitiendo abrir más y mejoresoportunidades de desarrollo, y contribuir al respeto de los derechos de todos los chilenos ychilenas.
8
EnlaAgendaexisteunamedidaespecífica(Nº25)queapuntaalaelaboracióndeunaestrategiade ciberseguridad, que la presente política viene a cumplir. Además, varias medidas de laAgendapotencianycomplementanlapresentepolítica,destacandoelimpulsoqueseentregaauna nueva Ley de Protección de datos personales, el resguardo a los derechos de losconsumidores en internet, el desarrollo de un Plan Nacional de Infraestructura deTelecomunicaciones,elperfeccionamientodelanormativasobrefirmaelectrónica,entreotras.
2. Políticanacionaldeciberdefensa
Dado que las redes y sistemas de información de la Defensa Nacional constituyen unainfraestructuracríticapara la seguridadexterioryelejerciciode la soberaníadelpaís, ya lasatribucionesconstitucionalesylegalesdelaDefensaNacional,elMinisteriodeDefensa,duranteel año 2016 preparará y publicará políticas específicas de ciberdefensa, que contemplen lasdefinicionespolíticasentornoacómoseránprotegidasestasredes,ycómolascapacidadesdelaDefensaNacionalpuedencolaborarenlaformacióndeunciberespaciolibre,abierto,seguro,democráticoyresilienteparaelpaís.
3. Políticainternacionalparaelciberespacio
Uno de los objetivos de alto nivel de la presente política dice relación con la cooperación yrelaciones internacionalesentornoa laciberseguridadenelcontextoglobal.Sinembargo,esimprescindible que el país integre estos objetivos con otros tales como el desarrollo, losderechos humanos, la defensa y otros relacionados, para consolidarlos e integrarlos en lapolíticaexteriordeChile.
Paraello,lapresentepolíticacontemplaunamedidaespecíficavinculadaconlaelaboracióndeunaestrategiaenestasmateriasporpartedelMinisteriodeRelacionesExteriores,loqueasuvezesconsistenteyponeenmarchalamedidaNº11delaAgendaDigital2020,queapuntaagenerarunavisiónpaíssobregobernanzadeinternet.
9
VI. Objetivosdepolíticaparaelaño2022
A. El país contará con una infraestructura de la información pública y
privada resiliente, preparada para resistir y recuperarse de incidentes
deciberseguridad,bajounaópticadegestiónderiesgos.
1. Identificaciónygestiónderiesgos
LaPolíticacrearámodelosdeprevenciónygestiónderiesgosdelciberespacio,queservirándebasealasmedidastécnicasquedebenadoptarseparaprevenir,gestionarysuperarlosriesgoscuandoestosseverifican,conénfasisenlaresilienciaycontinuidaddeservicios.
2. Proteccióndelainfraestructuradelainformación
La infraestructura de la información la conforman las personas, procesos, procedimientos,herramientas, instalaciones y tecnologías que soportan la creación, uso, transporte,almacenamientoydestruccióndelainformación.
Dentro de las infraestructuras de la información, existe un conjunto especialmente relevantepara lamarchadelpaís, lasdenominadas infraestructuras críticasde la información (ICI),quecomprendelasinstalaciones,redes,serviciosyequiposfísicosydetecnologíadelainformacióncuya afectación, degradación, denegación, interrupción o destrucción pueden tener unarepercusión importanteen la seguridad, la salud, el bienestarde los ciudadanos yel efectivofuncionamientodelEstadoydelsectorprivado.
LasICIsedeberánrobustecer,resguardarydiseñarparaqueseansegurasyresilientesfrenteaeventos que las puedan inhabilitar, adaptándose a cambios en el medioambiente, aintervenciones humanas o interferencias informáticas tales como incidentes involuntarios ociberataques.
3. Identificación y jerarquización de las infraestructuras críticas de la
información
Los sectores que componen la clasificación de ICI son muy similares y se repiten en variasclasificacionesanivel internacional.Enelcasochileno, la infraestructurade la informacióndelos siguientes sectores será considerada como crítica: energía, telecomunicaciones, agua,
salud,serviciosfinancieros,seguridadpública,transporte,administraciónpública,protección
civilydefensa,entreotras.
10
La política contiene un esquema acabado de áreas, funciones y entidades estatalesresponsablesqueserviránparaidentificarydelimitarelniveldecriticidaddecadasector4.
Los órganos técnicos encargados de poner en práctica las medidas de la política, deberánconsiderarestándaresespecialesdeciberseguridadpara las ICI, especialmente respectoa susprocesosesenciales.
En el mediano plazo se avanzará en la implementación de medidas que garanticen lacontinuidad de servicio mediante redundancia de instalaciones físicas de algunas ICI,especialmenteenlossectoresdetelecomunicaciones,administraciónpública,proteccióncivilydefensa.
4. Contarconequiposderespuestaaincidentesdeciberseguridad
Siguiendolasmejoresprácticasinternacionales,esimprescindiblecontarconunaestructurademonitoreo,gestiónyrespuestaaincidentesdeseguridaddelainformaciónanivelnacional.
LosórganosbasedeestaestructurasonlosComputerSecurityIncidentResponseTeam,(CSIRT),o equipos de respuesta a incidentes de seguridad informática. Hoy en Chile estos centrosrequierenderecursoshumanosyfinancieros,unmarco institucionalclaroymecanismosparaoperardemaneracoordinadaentresí.
Chile contará con un CSIRT nacional que recopile y sistematice información proveniente deotros CSIRTs (nacionales y extranjeros), coordine acciones entre CSIRTs sectoriales y tenga laautoridadnecesariaparacoordinarlarespuestatécnicafrenteaincidentesquecomprometanlaseguridaddelpaís.
EntrelosCSIRTssectoriales,sereforzaráelactualdeGobiernoysecrearáunoespecíficoparalaDefensa Nacional. Por otra parte, deberá evaluarse la pertinencia de crear un CSIRT deinfraestructurascríticas.
5. Implementacióndemecanismosestandarizadosdereporte,gestión
yrecuperacióndeincidentes
Existiránmecanismos que permitan el reporte centralizado y estandarizado de incidentes deciberseguridad, de manera de contar con un panorama amplio y en tiempo real de losincidentesquesevayangenerandoenelpaís.
Estosmecanismos serán obligatorios para el gobierno central y ciertos sectores regulados, yvoluntarios, en principio, para los otros actores que quieran sumarse. La cantidad deinformación requerida se limitará a la estrictamente necesaria para caracterizar y podergestionareltipodeamenaza.
Para tal efecto, el CSIRT Nacional mantendrá una plataforma segura y confidencial decolaboración en materia de incidentes de ciberseguridad, con el objeto de agregar la
4EsteesquemaserádesarrolladoenconjuntoconlaversióndefinitivadelaPolíticaNacionaldeCiberseguridad,eiráenunanexodelamisma.
11
informaciónpertinentey,enconjuntoconotrosórganospúblicosyprivados,estableceráunareddetrabajo.
Al mismo tiempo, los organismos públicos y las ICI contarán con instancias institucionalesencargadasde la seguridadde la información, junto conplanesdegestióny recuperacióndeincidentes, conénfasis enmantener la continuidadde susoperaciones yminimizar losdañosproducidosporlosincidentesverificados.
6. Exigenciadeestándaresdiferenciadosenmateriadeciberseguridad
TodaslasinfraestructurasdelainformaciónquedependanoqueproveanproductososerviciosalGobiernodeChileoserviciosalaciudadanía,deberáncontarconunnivelbásicodeadopcióndemedidas de ciberseguridad de acuerdo a estándares que contemplen la confidencialidad,integridadydisponibilidaddelainformaciónydelossistemasqueoperan,acordealosriesgosyamenazasqueenfrenten,demaneraconsistenteconelniveldecriticidadyconfidencialidaddelainformacióny/oprocesamientosquesoportan.
En el caso de las infraestructuras críticas de la información, deberán evaluar sus riesgos yenfrentarlos de acuerdo a los estándares que contemplen la confidencialidad, integridad ydisponibilidad de la ICI, para contar con un sistema efectivo y armónico de seguridad quepermitalaprevención,manejoyrecuperacióndeciberataquesyotrosincidentesdeseguridadinformática,contandoconplanesdecontingenciaparaasegurarlacontinuidadoperativadesusservicios.
B. El Estado velará por los derechos de las personas en el ciberespacio,mediante la prevención y sanción efectiva de delitos, garantizando el
plenorespetodelosderechoshumanos.
1. Prevencióndeilícitosygeneracióndeconfianzaenelciberespacio
Laprevención,ladisuasión,elcontrolylasanciónsonindispensablesparaminimizarlosriesgosy amenazas en el ciberespacio, demanera de contribuir a la generación de confianza en lasactividadesqueenélsedesarrollan.
Existenmúltiplesactividadesilícitasquesellevanacaboenelciberespacio,comolasustraccióndeinformaciónestratégica,lainterrupcióndesistemasdeserviciosenlíneayelusofraudulentodetarjetasdecrédito,entreotros.
A nivel global, existen antecedentes sobre ciberataques consistentes en actividades deespionajeyataquesdedenegacióndistribuidadeservicio(DDoS)eninternet,lainterceptaciónmasivaderedesdetelecomunicaciones,ataquescontra infraestructurascríticascomobancos,serviciosbásicoseinstitucionalesgubernamentales,pormencionaralgunos.
2. Prioridadesenlaimplementacióndemedidassancionatorias
Adiferenciadelosilícitosquesecometenenelespaciofísico,enelciberespacioexistenalgunasdificultades para la persecución y sanción de estos delitos. Entre otros, destacan laidentificacióndelosautores,eltiempoquepasaentrelaejecucióndelilícitoylareaccióndela
12
víctima, lasbajastasasdedenunciay laescasaposibilidaddeperseguira los infractores,pueslos organismos persecutores operan en los límites territoriales del Estado mientras elciberespacioesesencialmenteunlugarsinfronteras.
Lasmedidassancionatoriasdebenimplementarseteniendoencuentaesecontexto,demaneracomplementariaconestapolítica.
La actualización de nuestra legislación, impulsada por la adhesión de Chile a la ConvenciónsobreCiberdelitosdelConsejodeEuropa,lamejorayfortalecimientodelanormativaactualylacreacióndemedidastransversalesenlugardesectoriales,constituyenobjetivosprincipalesenesteámbito.
3. Prevenciónmultisectorial
Dadoquelosciberataquesyciberdelitospuedenserllevadosacabopororganismosestatales,grupos organizados o personas individuales y que las amenazas provienen tanto del interiorcomo del exterior del país, la respuesta debe sermultisectorial, involucrando tanto al sectorprivado,comoalosorganismosdepersecuciónpenal,dedefensaylasvíctimas.
Para ello, es primordial generar instancias apropiadas de coordinación, encuentro ycolaboraciónyfortalecersignificativamentelascapacidadestécnicasdelosfiscalesyjueces,lascapacidades periciales de las policías y generar pautas de cuidado mínimas para toda lapoblación.
Se deben definir capacidades de levantamiento, estandarización e integración de datos einformaciónrelacionadosconelcibercrimen,aumentar lacapacidadpara investigarygenerarevidenciarespectoalmismo.
4. Respetoaderechosfundamentales
Paraunequilibrioentre losbeneficiosqueofreceelciberespacioy laseguridadquerequiere,todaslasmedidaspropuestasporlapolíticasedebendiseñaryejecutarconplenorespetoalosderechos fundamentales, atendido su carácter universal e indivisible y sobre la base que elciberespacioesunambientedonde laspersonas cuentancon losmismosderechosqueenelmundofísicov.Así,lapolíticaconsideraypromueve:
• Lacaracterísticadebienpúblicodeinternet,porlocualdebetenerunfuncionamientopermanenteycontinuodisponibleparatodaslaspersonaseinstituciones,velandoporelaccesoalainformaciónyalaculturadelapoblación.
• Elrespetoalalibertaddeexpresión,considerandodentrodeestaprotecciónnosóloalos medios de comunicación, sino también a la generalidad de la población, y a losintermediariosquepermitencomunicarestosmensajes,comolasredessociales.vi
• La protección de la vida privada y el debido proceso, procurando que lasmedidas devigilanciaypersecuciónpenalenelciberespaciocumplanconestándaresinternacionalesdeproteccióncomolosprincipiosdeidoneidad,necesidadyproporcionalidad.vii
• Respeto al principio de neutralidad de la red, de modo tal que los proveedores deservicios de internet no puedan discriminar ni limitar el acceso a contenidosarbitrariamente,salvojustificaciónlegal.
13
C. Chile desarrollará una cultura de la ciberseguridad en torno a laeducación, buenas prácticas y responsabilidad en el manejo de
tecnologíasdigitales.
1. Unaculturadelaciberseguridad
Lastecnologíascontribuyenalaformaciónequitativaeinclusivadelacervocultural,tecnológicoyeconómicodelpaísyaldesarrollointegraldelaspersonas.Porello,sefomentaráatodonivel,la creación de una cultura de la ciberseguridad con el objeto que la sociedad cuente con lasherramientas y el conocimiento para entender este ámbito de relaciones humanas, con susventajas,oportunidadesyriesgosypuedamanejarlosadecuadamente.
2. Sensibilizacióneinformaciónalacomunidad
Esnecesariosensibilizaralaspersonassobrelosriesgosyamenazasdelciberespacioparalograrun uso seguro de las plataformas que prestan servicios a la comunidad tanto desde lasinstitucionespúblicascomodeagentesprivados.
Es necesario informar a la comunidad sobre el buen uso, lasmedidas de cuidado personal yseguridadenelciberespacio.
3. Formaciónparalaciberseguridad
Estanecesidaddeparagrandesdesafíosanuestrosistemaeducacional.Laformacióntempranayavanzadade lapoblaciónnoestáajenaaestosdesafíosycorrespondehacersecargode lasbrechas digitales producto de desigualdades en recursos, capacidades, infraestructura,conectividad,entreotras.
Para esto es crucial apoyar la implementación de iniciativas que fomenten y desarrollen unacultura digital consciente, competente, informada y responsable que incluya a todos losactores relevantes entendiendo que estamos frente a un esfuerzo colectivo en pos de unbeneficiocomúnydelargoplazo.
D. El país establecerá relaciones de cooperación en ciberseguridad conotros actores y participará activamente en foros y discusiones
internacionales.
1. Principiosdepolíticaexteriorchilena
LapolíticaexteriordeChiletienecomobaseunaseriedeprincipiosqueorientansudiplomaciaysuacción:elrespetoalderechointernacional,lapromocióndelademocracia,elrespetoalosderechos humanos, la prevención de conflictos, la solución pacífica de las controversias y laresponsabilidad de cooperar en el ámbito internacional, los cuales guían los intereses denuestra política exterior, a saber: la contribución al fortalecimiento del multilateralismo y lapromocióndelapazylaseguridadinternacional,entreotrosviii.
14
Laemergenciadelciberespacio,ymuyespecialmenteinternet,comounbienpúblicoglobal,nosobligaaenfrentareldesafíodegestionarsusriesgosatodonivel,dondeelplanointernacionalrevisteparticularimportancia,considerandoelcarácterglobalytransfronterizodelmismo.
La ciberseguridad es un concepto transversal y multifactorial, que en el plano internacionalsignifica tanto la posibilidad de construir capacidades, enfoques y medidas comunes encooperación y asistencia con otros países, como la convicción de que un trabajo diplomáticosostenido en el ámbito multilateral y de múltiples partes interesadas permite disminuir losriesgosdeconflictoenelciberespacio.
Paralograrloanterior,elMinisteriodeRelacionesExterioresdeberácoordinarconelrestodelosministeriosyagenciasdegobierno,lapolíticainternacionalenmateriadeciberseguridad.
2. Cooperaciónyasistencia
Enmateriadecooperación internacionaldentrodelámbitobilateral,sepotenciará larelaciónconotrospaísesenciberseguridad,bajodiversasmodalidadescomolaasistenciadesdeohaciaChile, el intercambio de información y experiencias, la implementación y profundización demecanismos de diálogo político en la materia, y el empuje de medidas de transparencia yconstruccióndeconfianzaenelciberespacio,priorizandounaaproximaciónmultiagencialalostemas.
3. Reforzarlaparticipacióneninstanciasmultilateralesyeninstancias
demúltiplespartesinteresadas(multistakeholder)Se deben orientar los esfuerzos para promover que el campo digital sea un entorno libre,abierto,democráticoyseguroparatodoslosusuariosdelciberespacio.
Es necesario fortalecer el trabajo del país en la materia, tomando en consideración losespecialesdesafíosqueseplantean,tantoensuscondicionestécnicas,enelcarácterglobalydescentralizadodelared,comoensusdimensionespolíticas,caracterizadasporunsistemadegobernanzade internetdemúltiplespartes interesadas,dondeelsectorprivadoy lasociedadciviltienenunespecialrol.
Dentro de esemarco, se incrementará la participación del país en instanciasmultilaterales yglobales,apoyandodelamismaformaprocesosdeconsultaregional,subregionalymultilateralenelárea,particularmenteenAméricaLatina, involucrandoactivamentea lasdiversaspartesinteresadaseneldebate.
4. Fomentar normas internacionales que promuevan la confianza y
seguridadenelciberespacio
Auncuandoprácticamentenoexisteninstrumentosnormativosespecíficos,elciberespacioestáreguladotantoporlasleyesnacionalescomoporlanormativainternacionalgeneralaplicable,porloqueeldesafíoconsisteprincipalmenteenidentificareinterpretarlasnormasrelevantesdelderechointernacionalaplicables.
15
No obstante, existen desafíos que deben enfrentarse mediante acuerdos y normasinternacionalesespecíficas, como laConvención sobreCiberdelitos a laqueChilehadecididoadherir.
Simultáneamentesepromoveráeldebateylaadopcióndeacuerdosmultilateralesybilateralesque fomenten la cooperación y asistencia mutua en ciberseguridad, tanto a nivel deinstrumentosformalescomodeacuerdosyarreglosinformalesqueapuntenalatransparenciayconstruccióndeconfianzasinternacionalesenlamateria.
E. Elpaíspromoveráel desarrollodeuna industriade la ciberseguridad,
quesirvaasusobjetivosestratégicos.
1. Importancia de la innovación y desarrollo en materia de
ciberseguridad
Las actividades de seguridad interior y defensa exterior en general requieren de un fuertecomponentede innovaciónydesarrollo,queredundanenunmayordesarrollode la industrianacional en el área. En ese marco, el sector de la ciberseguridad requiere de un especialesfuerzo,atendidasurelativanovedadeimportanciaestratégicaparaelpaísensuconjunto.
2. Ciberseguridad comomediopara contribuir aldesarrollodigital de
Chile
Mientras el tamaño del sector TIC representa cerca de un 3~4,12% del total de la economíachilena,enlospaísesOECDestesectorpromediaun6%departicipaciónenlaeconomíadelospaísesix,generandounabrechaentreambasrealidadesqueChilesubsanará,enparte,medianteeldesarrollodelcomponentedeciberseguridaddentrodeesaindustria.
Segenerarátantounamayordemandaalaindustriadetecnologíasdelainformacióncomounmayordesarrollo industrialen lamateriaquepermitaalpaísacercarsea los indicadoresde laOECD,juntoconpotenciarlosobjetivosdelapolítica.
3. DesarrollodelaindustriadeciberseguridadenChile
No existen cifras específicas respecto al nivel de desarrollo de la industria nacional, sóloestudios que exploran esta alternativax. Los esfuerzos por desarrollar una industria deciberseguridad en el país irán acompañados de estudios que caractericen la industria eidentifiquendominiosestratégicosparadesarrollarenelcorto,medianoylargoplazo.
En particular, un dominio que normalmente se desarrolla en la experiencia comparada, es laindustria nacional vinculadas al desarrollo y uso de estándares de cifrado, atendida suimportanciaestratégicaparalaseguridadexteriordelpaís.
4. Contribuiralageneracióndeofertaporpartedelaindustrialocal
Se adoptarán medidas que ayuden a crear y fortalecer una industria nacional de servicios,tecnologías y gestión de la ciberseguridad, a través programas e iniciativas que apunten a laproduccióndenuevosbienesyserviciosenelárea.Paraello,secrearáunpolodedesarrolloen
16
elárea,enlíneaconlaAgendadeProductividad,InnovaciónyCrecimientoylaAgendaDigital2020.
5. Generacióndedemandadepartedel sectorpúblicobasadoen los
interesesestratégicosdelEstado
Apartirde lageneracióndedemandadelsectorpúblicoenbaseasusnecesidades, interesesestratégicos y de seguridad, se promoverá el fortalecimiento de una industria nacional deservicios,tecnologíasygestióndelaciberseguridad.
17
VII. Funciones e institucionalidad necesarias para desarrollarunapolíticanacionaldeciberseguridad
A. Institucionalidadparalaciberseguridad
Paracumplirconestaambiciosapolíticanacionaldeciberseguridadysiguiendoelejemplodediversospaíses quehan iniciadoesteprocesohace algunos años, resulta imprescindible paraChilecontarconunainstitucionalidadpúblicaquesehagacargodedesempeñar lasfuncionesqueseidentificancomoesenciales.
Porello,seproponelacreacióndeunserviciopúblico,queserelacioneconelPresidentedelaRepública a través de algún ministro, que cuente con un jefe de servicio responsable de laejecución de las funciones encomendadas y un consejo superior deministros que defina lasorientaciones políticas y ejerza las facultades normativas necesarias para su correctofuncionamiento. Asimismo, se evaluará la creación de un consejo consultivo asesor, deintegraciónpúblico-privada.
Lasfuncionesqueseidentificancomoesencialessonlassiguientes:
I) Función de gestión de incidentes. La gestión de incidentes constituye la tarea másimportantequedeberáabordarlainstitucionalidadrespectiva,atravésdeladirecciónyoperacióndelCSIRTNacional.Paraello,deberáintegrarinformaciónsobreelestadodelasredes,prepararejerciciosysimulacros,ycoordinardesdeelGobiernolasmedidasaadoptarparaenfrentarincidentesdeciberseguridadsobreciertagravedad.
II) Función de gestión de relaciones interinstitucionales. Deberá además generar unacoordinaciónconstanteentrelosórganosdegobierno,losdemáspoderesdelEstadoyelsector privado, así como la formación de redes de intercambio de información yconocimientoentrelasmismas.
III) Función normativa general. La institucionalidad deberá dictar diversas normativaslegalmentevinculantes,talescomoproyectosdeley,decretoseinstruccionesreferentesa ciberseguridad, tantoparael Estado comoparael sectorprivado, conénfasisen lasinfraestructuras críticas e industrias reguladas. Estas normas contendrán derechos ydeberesdeconductaparacadaentidadregulada,juntoconsancioneseincentivosparasucumplimiento.
IV) Funciónnormativatécnica.Lapreparacióndediversosestándarestécnicosenmateriade gestión de riesgos en ciberseguridad, fijando normas de conducta para losoperadorestécnicosdelsistema.
V) Funcióndeseguimientoyevaluación. La institucionalidaddeberáhacerseguimientoyevaluarlaadecuadaimplementacióndelasmedidaspropuestasenlapresentepolítica.
VI) Función de comunicaciones. La institucionalidad desarrollará una estrategiacomunicacional que permita instalar la ciberseguridad como una prioridad nacional,además proveerá a la ciudadanía de un único punto de contacto con el que puedainteractuarenestostemas.
18
Con todo, seevaluará la correspondenciade la institucionalidadpropuesta con las iniciativascomplementarias que se están desarrollando en materia de gobernanza digital en laadministracióndelEstado.
B. Implementacióngradualdelainstitucionalidadparalaciberseguridad
MientrassediscuteyapruebaenelCongresoNacionalelproyectodeleysobreciberseguridad,que contendrá la propuesta de institucionalidad definitiva, algunas de las funcionesidentificadas como esenciales, deberán ser ejercidas temporalmente por algunas de lasinstitucionesqueformanpartedelaactualestructuradeGobierno.
• A nivel político, se propone prorrogar la existencia y ampliar el mandato del ComitéInterministerial sobre Ciberseguridad, respecto de la función de coordinación yseguimientodemedidas.
• SecrearáunCSIRTNacional,comounaunidaddependientedelMinisteriodelInteriorySeguridadPública,quetendrálascapacidadesoperativasnecesariasparallevaradelantelas tareas de gestión de incidentes, relaciones interinstitucionales y generación denormativa técnica en materia de ciberseguridad en el país. La dotación del CSIRTNacional servirá de base para la creación de la futura institucionalidad de laciberseguridad.
• UnacaracterísticaimportantedelCSIRTNacionalesquecontaráconrepresentantesdediversosorganismosqueaportaránconsuscapacidadestécnicasyservirándeapoyoalacoordinaciónentreinstituciones,especialmenteconmirasalagestióndeincidentes.
19
VIII. Medidasdepolíticapública2016-2017
Laspresentesmedidasformanpartedelaagendadepolíticaspúblicasaimplementar,basadasenlosobjetivosestratégicosexpuestosanteriormente5.
Medida
Responsable-colaboradores
AñoObjetivosPNCS
1EnviaralCongresoNacionalunproyectodeLeysobreciberseguridad,paraconsolidarinstitucionalidadymanejodeincidentesdeseguridadinformáticaenelpaís.
CICS-MISP-MINDEF-MINHACIENDA
2016 A
2ActualizarelDS83sobreseguridaddelainformacióndelEstado.
MINSEGPRES 2016 A
3Añadirunadimensióndeciberseguridadalapreparaciónygestióndecontratosdeconcesióndeobrapública.
MOP(Direccióndeconcesiones)
2016 A
4CreacióndeungrupodetrabajoqueestablezcaunmarconormativoydeobligacionesparalasinfraestructurascríticasenChile,desdeunenfoquedegestiónderiesgos.
MISP 2016 A
5CreacióndeunanormatécnicaparaeldesarrolloocontratacióndesoftwareenelEstado,acordeaestándaresdedesarrolloseguro.
MINSEGPRES 2016 A
6Creacióndeunaplataformaparaagregarinformaciónsobreincidentesdeciberseguridad.
CSIRT 2017 A
7Decretarrequisitosactualizadosdeseguridadparasectoreseconómicosregulados.
MTT-Superintendencias-CSIRT
2017 A
5Elprimerorganismoeselresponsableprincipaldelatarea,ylosorganismossucesivoscolaboranensuejecución.LadenominacióndeCSIRTcorrespondealactualequipodeseguridadde laReddeConectividaddelEstado,queasumiráprogresivamentefuncionesoperativasidentificadasenlapresentepolítica.Las instituciones públicas están identificadas con las siguientes siglas: CICS, Comité Interministerial sobreCiberseguridad; MISP, Ministerio del Interior y Seguridad Pública; MTT, Ministerio de Transportes yTelecomunicaciones; MINDEF, Ministerio de Defensa Nacional; MINHACIENDA, Ministerio de Hacienda; ANI,AgenciaNacionaldeInteligencia;MINJUSTICIA,MinisteriodeJusticia;MINSEGPRES,MinisterioSecretaríaGeneralde laPresidencia;MOP,MinisteriodeObrasPúblicas;MINEDUC,MinisteriodeEducación;MINREL,MinisteriodeRelacionesExteriores;MSGG,MinisterioSecretaríaGeneraldeGobierno.Cuando se denomina un ministerio sin identificar un servicio público o subsecretaría específica, se refiere a lasubsecretaría que forma parte del Comité Interministerial sobre Ciberseguridad o, en caso que el Ministeriocorrespondienteno formepartedel Comité, a una tareaquedebeemprender elMinisterio correspondientedemaneraglobal.
20
8Identificarunsetmínimoderiesgosparalasinfraestructurascríticasdelainformación.
CSIRT 2016 A
9Implementarunamatrizestandarizadadereportesdeincidenciasenmateriadeciberseguridad.
CSIRT,MINSEGPRES 2016 A
10Incorporarladimensióndeciberseguridadenelsistemanacionaldeemergencias.
CICS-MISP 2016 A
11
PreparacióndenormativaqueestablezcaunaredseguradeintercambiodeinformaciónenelGobierno,entreautoridadesdealtonivelyotrosfuncionariosquemanejeninformaciónreservadaosecreta.
MISP-MINDEF-ANI-MINREL
2016 A
12PreparacióndeunestudiosobrelaresilienciadelasredesdetelecomunicacionesenChile,proponiendomedidasparamejorarlamismaenelámbitopúblicoyprivado.
MTT 2016 A
13 Actualizarnormativasobredelitosinformáticos. MISP-MINJUSTICIA 2016 B
14Diseñareimplementarunamatrizestandarizadadedenunciasdeciberdelitos.
MISP(conpolicíasyANI)-MINJUSTICIA
2016 B
15Promoverelfortalecimientodelascapacidadesdeinvestigaciónyanálisisforenserelacionadasconelciberdelito.
MISP(conANIypolicías)
2016 B
16GenerarprimerpuntodedifusióndeinformaciónparaelciudadanosobreCiberseguridad,basadoenlosdiferentescanaleselectrónicosyredessocialesqueofreceinternet.
CICS-MISP-MSGG 2016 C
17InstaurarelmesdelaCiberseguridadenoctubredecadaaño,promoviendoactividadesdesensibilizaciónentodoslosniveles.
CICS-MISP-MSGG 2016 C
18
Diseñareimplementarunacampañadeciberseguridaddecaráctermasivoyfomentarlaimplementacióndeprogramasdedifusiónestableciendoalianzasconlosprivadosencampañasdesensibilización,conénfasisensectoresvulnerablesyempleandoperspectivadegénero.
CICS-MSGG 2017 C
19Generarguíasdebuenasprácticasparalaciudadaníayelsectorpúblico
CICS 2016 C
20Conformarunamesaintersectorialparafomentarlaformaciónenciberseguridadentodolosnivelesyestamentosdelsectoreducativo.
CICS-MINEDUC-MINECON(MesaCapitalHumano)
2017 C
21Diseñareimplementarunacampañadeciberseguridadorientadaalosadultosmayores,queconsideremedidasdecapacitaciónydifusión
CICS-MDS(Senama)-MINECON(MesaCapitalHumano)
2017 C
21
22IncorporacióndeSeguridadenInternetenprogramasespecíficosdeMINEDUC,reforzandolainiciativaENLACES.
CICS-MINEDUC(Enlaces)-MINECON(MesaCapitalHumano)
2017 C
23
Apoyardecididamenteelestablecimientoanivelinternacionaldeprocesosdeconsultaspolíticasregionales,subregionalesymultilaterales,conespecialénfasisenlaregión.
MINREL 2016 D
24
Avanzarenelestablecimientodemecanismosbilateralesdetrabajo,diseñandoagendaseimplementandoinstanciasdeconsultaspolíticastransversalesconpaísesafines.
MINREL 2016 D
25ElaborarundocumentodepolíticainternacionaldeChilesobreelciberespacioyciberseguridad.
MINREL-CICS 2016 D
26Establecimientodeungrupodetrabajointeragencialparatemasinternacionalesrelativosalciberespacio.
MINREL-OTROS 2016 D
27Propiciarelintercambiodeexperienciasconotrospaísesenmateriadeciberseguridad,conénfasisenlaimplementaciónyevaluacióndeestrategiasypolíticas.
MINREL 2016 D
28Revisarlasnormasinternacionalesenmateriadeciberespacio,conespecialénfasiseninstrumentosdederechointernacionalysuaplicación.
MINREL-MINDEF 2016 D
29Analizarlaregulaciónyaplicacióndelrégimenvigentedecompraspúblicasrespectoaapoyoproductivoeinteresesnacionalesestratégicos.
MINHACIENDA(DirecciónChilecompra)-MISP-MINDEF
2017 E
30
Realizarestudiostantodecaracterizacióndelaindustriadeciberseguridad(oferta),comodeaccesoyusodeciberseguridadenelpaís(demanda),conelobjetodeorientarprogramasespecialesparaimpulsarlaindustriadeciberseguridadnacional,ensectoresdefinidos.
CORFO-MINDEF-MINECON
2016 E
31Estudiodeincentivostributarios,subsidiosomecanismosdeI+Dparadesarrolloyadopcióndeestándaresdeciberseguridad.
MINHACIENDA-MINECON-CORFO
2016 E
32Tramitarnuevaleydedatospersonales,confacultadesaunórganoespecíficoquepuedaimponerrequisitosdeseguridadydenotificacióndefiltracionesdedatos.
MINECON-MINHACIENDA
2016 A,B
33Establecerinstanciasdecolaboraciónpúblico-privadasconactoresdelasociedad(ONG,empresas,gremios,academiauotras)
CICS 2016 A,B,C
34
ActualizarDTO5996yDS1299encoherenciaconmodificacióndelDS83,estableciendorequisitosparaaccederalared(autoevaluación,cursoonline)ylaobligacióndereportarincidentesporpartedeorganismospúblicos.
MISP 2016 A,C
22
35
RealizarciberejerciciossobreincidentesdeCiberseguridadcondiferentescomunidadesinteresadasparafomentarelconocimiento,investigaciónydifusiónadecuadadebrechas,vulnerabilidadesyvíasdemitigaciónencontradasenlossistemasnacionales.
CSIRT 2017 A,C
36
IncorporarestándaresdeciberseguridadalosproveedoresdelEstado,exigiendorequisitosespecíficosparaproveedoresTIC,yanalizandootrosparaelrestodelosproveedores.
MINHACIENDA(DirecciónChilecompra)
2016 A,E
37IncorporarenlaEncuestaNacionalUrbanadeSeguridadCiudadana(ENUSC)unsetdepreguntasvinculadasalosciberdelitos.
MISP(SubsecretaríadePrevencióndelDelito)
2016 B,C
38Generar,yactualizarregularmente,catastrodeofertaencapacitacióndisponibleenorganismosinternacionaleseinstitucionesnacionales.
MISP-MINREL 2016 B,C,D
39AdherireimplementarlaConvenciónsobreCiberdelitosdelConsejodeEuropaxi.
MISP-MINREL-MINJUSTICIA-MINISTERIOPÚBLICO
2016 B,D
40FomentarelpatrociniodelEstadoaproyectosdeI+Dconfinanciamientopúblicooprivado,nacionalointernacionalenmateriasdeCiberseguridad.
CICS 2016 C,E
41PromovereldesarrollodecapitalhumanoavanzadoenasuntosdeCiberseguridadenlosdistintosámbitostécnico-profesionales.
CICS-CORFO-MINECON(MesaCapitalHumano)Actoresdelmundopúblico,privadoyacadémico
2017 C,E
42Apoyarlaexportacióndeproductosyserviciosnacionaleseneláreadeciberseguridad,identificandoferiasinternacionalesyevaluandoposibilidadesdeapoyo.
MINREL(Prochile)-MINECON
2016 D,E
23
IX. Anexos
A. AnexoNº1: normas e instituciones que intervienen en ciberseguridad
enChile
1. Normasrelevantesanivelnacional
a) ConstituciónPolíticadelaRepública• Artículo8º,relativoalatransparenciapública.• Artículo19,quecontemplauncatálogodederechosfundamentalesdondesonespecialmenterelevantes:
Nº2, igualdad ante la ley;Nº3 y 7, relativos al debido proceso y seguridad individual;Nº4 y 5, sobreprotecciónde la vidaprivada e inviolabilidadde las comunicaciones;Nº12, que garantiza la libertaddeexpresiónydeinformación;yNº24y25,relativosalapropiedadylibertaddecreación.
• Artículo24º,queotorgaaquienejerzalaPresidenciadelaRepúblicalaautoridadparaconservarelordenpúblico en el interior y la seguridad externa de la República, además de las normas que regulan lasfacultadesdeotrospoderesyórganosdelEstado.
• Artículos39ºysiguientes,queregulasituacionesespecíficasqueafectanelnormaldesenvolvimientodelEstado.
b) Leyes• Código Procesal Penal: Regula el proceso de investigación y juicio criminal en Chile, y en ese marco,
cualquierinvestigaciónrelativaaciberdelitosqueseallevadaadelanteenelpaís.Juntoconello,regulaunconjuntodemedidasintrusivas,quepuedenafectarlavidaprivadaoinviolabilidaddelascomunicacionesdesusdestinatarios,yporendelaconfidencialidaddesuinformación,paraloquelaLeyexigerequisitoslegalesasurespecto,juntoconunaordenjudicialqueautoricelaprácticadedichasmedidas.
• Ley Nº19.913, crea la unidad de análisis financiero y modifica diversas disposiciones en materia de
lavadoyblanqueodeactivos: regula algunasmedidasde investigación y vigilanciaque, tal comoenelcasoanterior,puedenafectarlavidaprivadaoinviolabilidaddelascomunicacionesdesusdestinatarios,ypor ende la confidencialidad de su información, debido a lo también en este caso la Ley exige unaautorizaciónjudicialaparejadaalcumplimientodelosrequisitoslegalesdelcaso.
• D.L.Nº211,LeydeDefensadelaLibreCompetencia:demaneraidénticaalcasoanterior,laLeyautorizala práctica de diligencias intrusivas en casos específicos, que se regulan en los mismos términos yaexpuestos.
• LeyNº19.974,sobreelsistemadeinteligenciadelestadoycrealaagencianacionaldeinteligencia:enelmarco de la recolección de antecedentes de inteligencia, esta Ley regula la práctica de procedimientosespeciales deobtenciónde información, quedebenefectuarse conorden judicial previa y una serie deotrosresguardoslegalesquelimitanlaobtenciónyusodeestainformación.
• CódigoPenal:eselprincipalcatálogodedelitosdelpaís,contemplandoladescripcióndeunconjuntodeconductasespecíficasjuntoalaspenalidadesqueseasocianaellas.Enelmarcodelaciberseguridad,esteCódigo contieneuna serie de conductas que son susceptibles de cometerse a través del ciberespaciooafectarsuscomponentes,conloquetieneunarelevanciacentralenlaformulacióndepolíticasycombatealcibercrimen.
• CódigodeJusticiaMilitar:esuncuerpolegalquecontienedisposicionesespecíficasrelativasensumayorparteadelitoscometidospormilitaresoentiemposdeguerra.Dentrodesusdisposiciones,secontienenalgunosdelitosrelativosalespionajeyrevelacióndeinformaciónclasificadaaterceros,queapuntanalaproteccióndelaseguridadnacional.
24
• Ley Nº19.223, tipifica figuras penales relativas a la informática:dentro de los ciberdelitos, existe unasubcategoría relativa a la afectación de los componentes lógicos del ciberespacio (programas decomputación, sistemas informáticos, bases de datos), que se denominan delitos informáticos. Esta Leycontempla tipospenalesespecíficosparaelaccesonoautorizado,sustracciónydestruccióndesistemasdeinformación.
• Ley Nº18.168, ley general de telecomunicaciones: esta Ley regula el marco jurídico del sector de lastelecomunicacionesenelpaís,queproveende infraestructuras físicasy lógicasclavesparaeldesarrollodel ciberespacio nacional. Dentro de sus disposiciones, destaca la protección la confidencialidad eintegridad de la información mediante la tipificación de delitos de interceptación no autorizada (art.Nº36Bletrasbyc).Cobrantambiénespecialrelevanciaparalaciberseguridaddelpaísdosmodificacionesrecientes,correspondientesalaLeyNº20.453,queconsagraelprincipiodeneutralidadenlaredparalosconsumidores yusuariosde internet, que regula lasmedidasde gestiónde redquepuedeadoptarunprestadordeserviciosdeInternet,juntoconestablecerundeberdeconfidencialidad;ylaLeyNº20.478,sobre recuperación y continuidad en condiciones críticas y de emergencia del sistema público de
telecomunicaciones,promulgadatrasel terremotoqueafectóaChileaño2010,yquecomosunombreseñala,establecemedidasquepermitenmantenerlacontinuidaddelastelecomunicacionesenelpaísy,conello,ladisponibilidaddelainformacióncontenidaenelciberespacio.
• Ley Nº19.799, sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha
firma: regula el uso de documentos electrónicos en el país y, con ello, mecanismos para asegurar laintegridadyconfidencialidaddelainformación,medianteelusodemecanismosdefirmadigital,juntoconunsistemaquegaranticeelapropiadofuncionamientodequienesprestanestosservicios.
• Ley Nº20.285, sobre acceso a la información pública: crea un régimen de transparencia para lasactividades del Estado, con obligaciones de transparencia activa, que debe efectuarse a través del sitiowebdecadaorganismopúblicoafectado;ypasiva,consistenteenlosdatosquepuederequerircualquierpersonaaestosorganismos,enlamedidaquenoafecteotrosderechoseinteresesestablecidosenlaley,como la seguridad del Estado o la privacidad de terceros, de manera tal que no se afecte laconfidencialidaddelainformaciónenjuego.
• Ley Nº19.628, sobre protección de la vida privada: establece un conjunto de principios y derechosrelativosalmanejodedatospersonalesenelpaísquepuedeexigiruntitulardedatospersonalesaquienposeaoadministreunregistrode losmismos, juntoconreglasdeaplicacióngeneralparaelmanejodedatos personales por el sector público y privado, en torno al resguardo de la confidencialidad de esainformación.
c) Decretos• D.S. Nº83/2005, aprueba norma técnica para los órganos de la administración del estado sobre
seguridadyconfidencialidaddelosdocumentoselectrónicos:estedecreto,desarrollandoloestablecidoen la Ley Nº19.799, establece una norma técnica aplicable a la administración pública, respecto de laseguridadyconfidencialidaddelosdocumentoselectrónicos,yconello,tambiéndesuinfraestructuradelainformación,basadaenelestándarISO27.000y,juntoconello,estableciendomedidasadministrativascomolacreacióndecomitésdelaseguridaddela informaciónencadaserviciopúblico.Complementaaeste decreto elD.S. 93/2006, que aprueba norma técnica para la adopción demedidas destinadas a
minimizarlosefectosperjudicialesdelosmensajeselectrónicosmasivosnosolicitadosrecibidosenlas
casillaselectrónicasdelosórganosdelaadministracióndelestadoydesusfuncionarios,yquecomosunombredescribe,regulamedidasorientadasaprevenir larecepcióndeSPAMenlascasillaselectrónicasdelaadministracióndelestado.
• D.S. Nº1.299/2004, establece nuevas normas que regulan la Red de Conectividad del Estado que
administraelMinisteriodelInterioryfijalosprocedimientos,requisitosyestándarestecnológicospara
laincorporaciónadichareddeinstitucionespúblicas:estedecreto,teniendocomoantecedentelaleydepresupuestos para el año 2005 y el D.S. 5996/1999, consolida una intranet denominada Red deConectividad del Estado, en la que deberán inter conectarse una serie de ministerios y organismospúblicos. Esta red centraliza el acceso a Internet y debe cumplir con estándares técnicos de seguridadacordesconlosestándaresdelIEEEeISO.
25
• D.S.Nº1/2015,apruebanormatécnicasobresistemasysitioswebdelosórganosdelaadministración
delEstado:actualiza lasnormas técnicaspara los sitioswebde laadministracióndelEstado, regulandocondiciones de confidencialidad, disponibilidad y accesibilidad de la información contenida en dichossitios,todascondicionescentralesparalaciberseguridad.
• D.S.Nº533/2015,creacomitéinterministerialsobreciberseguridad:creaunComitéinterministerialconel objetivo de preparar una propuesta de Política Nacional de ciberseguridad, del que forma parte elpresenteanexo.
2. Institucionesintervinientesenmateriadeciberseguridad
a) MinisteriodelInteriorySeguridadpúblicaEntidad Rol Misión
División
Estudios,
Departamento
deCrimen
Organizado
PreventivoFormuladordePolíticaPública
ElMinisteriodelInteriorySeguridadPúblicatienelamisiónderesguardarlaseguridadpública,yentalsentidocoordina,evalúaycontrolalaejecucióndeplanesintersectorialesenmateriadeprevenciónycontroldeladelincuencia(Art.1LeyN°20.502),entreellaslasquecorrespondenalosciberdelitos,estableciendopolíticaspúblicasparaprevenirlos,enfrentarloysancionarlos.ElDepartamentodecrimenorganizadoenparticular,esresponsabledeelaborarestrategiasparaelcombatedelcibercrimen(Res.Exenta10168,3/12/2013)
División
Informática
PreventivoReactivoFormuladordepolíticapública
EnvirtuddelDecretoSupremoN°5996de1999,eselMISPelencargadodeimplementaryoperaranivelnacional,atravésdelaDivisióndeInformática,laReddeConectividaddelEstado(RCE).Encomplementoaldecretoanterior,elDecretoSupremoN°1299delde2004,facultaaestacarteradeEstado,parapublicarodifundirlasnormasoficialesdelaRepúblicaenmateriadeseguridaddelainformaciónyestablecernormas,estándaresypolíticasdeseguridadlógicaqueenformaobligadadeberáncumplirlasinstitucionespúblicasqueseparticipandelaRCE,estandohabilitadaademásparasolicitarconsultasdecaráctertécnicoacualquierinstitucióndelEstado.CabedestacarlalabordelaRCEcomoherramientadeapoyoalaciberseguridadgubernamental
PDI,Brigada
Investigadora
delCiber
Crimen
PreventivoeInvestigativo
EncargadadelainvestigacióndelosdelitosdeconformidadconinstruccionesdelMinisterioPúblico,comoeselcasodelosciberdelitos.
Carabineros,
Departamento
OS9
Preventivoeinvestigativo
Encargadosdelordenpúblicoylaseguridadpúblicainterior,sualteracióndebeserprevenidaeinvestigada,comoeselcasodelosciberdelitos.
Agencia
Nacionalde
Inteligencia
Preventivo
DeacuerdoalaLey19.974queregulasufuncionamiento,entresustareasseencuentra:“proponernormasyprocedimientosdeproteccióndelossistemasdeinformacióncríticadelEstado”Art8,letrac)
b) MinisteriodeDefensaNacionalEntidad Rol Misión
Subsecretaria
deDefensa
Formuladordepolítica
LaSubsecretaríadeDefensaeslaentidadresponsabledegenerarymanteneractualizadalaplanificaciónprimariaypolíticascorrespondientesparaenfrentarlosdesafíosquelaciberseguridad
26
planteaparalaDefensaNacional,ydeasegurarlacorrespondenciadelaplanificaciónsecundariaconésta.
EstadoMayor
Conjuntoy
Fuerzas
Armadas
Preventivoyreactivo
LasinstitucionesdelasFuerzasArmadasestánacargodeprotegersupropiainsfraestructuradelainformación,ademásdecolaborarenlastareasdeciberseguridadquecorrespondanenrelaciónconlaseguridadnacionalyelsistemanacionaldeinteligencia.ElEstadoMayorConjuntoeselorganismodetrabajoyasesoríapermanentedelMinistrodeDefensaNacionalenmateriasquetenganrelaciónconlapreparaciónyempleoconjuntodelasFuerzasArmadas,yestáacargodeelaborarymanteneractualizadalaplanificaciónsecundariadelaDefensa,juntoconotrastareasrelevantesparalaciberseguridaddelpaís.LasFuerzasArmadas,porsuparte,estánacargo,acordealaplanificaciónrealizada,delosplanesinstitucionalesyoperativosquecorrespondan.
c) MinisteriodeTransportesyTelecomunicacionesLaSubsecretaríadeTelecomunicaciones,quegenerapolíticaspúblicasy fiscaliza sucumplimientoenmateriadetelecomunicaciones, está a cargode la implementación de la Ley 20478, “SobreRecuperación y Continuidad enCondiciones Críticas y de Emergencia del Sistema Público de Telecomunicaciones”, lo que realiza a través deldecreto60/2012quefijaelReglamentoparalainteroperaciónydifusióndelamensajeríadealerta,declaraciónyresguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en lossistemas de telecomunicaciones. Asimismo, esta subsecretaría es la encargada de fiscalizar que se respete elprincipiodeneutralidaddelaredconsagradoenlaLey20.453.
d) MinisteriodeEconomía,FomentoyTurismoSeencargadeformularpolíticaspúblicasenmateriaproductiva,LamisióndelMinisteriodeEconomíaespromoverlamodernizaciónycompetitividaddelaestructuraproductivadelpaís,lainiciativaprivadaylaaccióneficientedelosmercados,eldesarrollodelainnovaciónylaconsolidacióndelainsercióninternacionaldelaeconomíadelpaís,deallíquelaconsideracióndelaciberseguridadcomounfocodedesarrollonacionalseaconsideradaenlaAgendadeProductividad,InnovaciónyCrecimiento
e) MinisteriodeRelacionesExterioresCon el rol de articulador en la comunidad internacional y coordinador internacional de la política nacional deciberseguridad, la Dirección de Seguridad Internacional y Humana del Ministerio (DISIN) identifica, coordina ypromueve laposicióne interesesdeChileen lacomunidad internacionalenmateriadeciberseguridad,entodassusdimensiones.Asimismo,coordinaypromueve laparticipacióndeChileenorganismosyforos internacionalesespecializados (Meridian, Octopus, OEA, UNASUR, UIT, IGF, Grupos de expertos ONU, entre otros). Fomentaademáslasrelacionesbilateralesenestamateria.
f) MinisterioSecretaríaGeneraldelaPresidenciaEn relación con la formulación de políticas públicsa en materia de gobierno electrónico y desarrollo digital, laUnidaddeModernizacióndelEstadodetienecomoobjetivoacercarelEstadoa laspersonas,yenestecontextodesarrollalamodernizacióndelEstadoyelGobiernoElectrónico.
g) UniversidaddeChileEntidad Rol Misión
NICChileÓrganotécnico,
NICChileeslaorganizaciónencargadadeadministrarelregistrodenombresdedominio.CL,ydeoperarlatecnologíaquepermite
27
administrador queestosnombresfuncionendemaneraeficienteysegura,paraquepersonas,empresaseinstitucionespuedanidentificarseenInternet
CLCert
Órganoacadémico,puntodecontactoconCERTsinternacionalesyconFIRST
CLCerttienecomoprincipalesobjetivos:Entregarenformaoportunaysistemáticainformaciónsobrevulnerabilidadesdeseguridadyamenazas-Divulgaryponeradisposicióndelacomunidadinformaciónquepermitapreveniryresolverestosincidentesdeseguridad-Educaralacomunidadengeneralsobretemasdeseguridad,promoviendolaspolíticasquepermitensuimplementación.
h) InstitutoNacionaldeNormalizaciónCumpliendo el rol de órgano técnico, normalizador de estándares y acreditador, el Instituto nacional deNormalización (INN),esuna fundacióndederechoprivado sin finesde lucro, creadaporCORFOenel año1973,como un organismo técnico en materias de la Infraestructura de la calidad, las cuales en el ámbito de laciberseguridadserelacionanconlaseriedenormasISO/IEC27000.
i) MinisterioPúblicoCumpliendo el rol de dirigir la persecución penal y ejercer la acción penal pública, el Ministerio Público es unorganismoautónomo,cuyafunciónesdirigirlainvestigacióndelosdelitos,llevaralosimputadosalostribunales,sicorresponde,ydarprotecciónavíctimasytestigos.
j) PoderJudicialConlafacultadexclusivadeconocerresolveryhacercumplirlojuzgadoencausascivilesypenales,elPoderJudicialestá conformado por tribunales de diversa competencia: civil, penal, laboral y familia. En el marco de laciberseguridad,losjuecesautorizanalgunasdiligenciasintrusivas,controlanlalegalidaddelainvestigaciónpenal,ydecidenrespectodelascausascriminales,incluyendolosciberdelitos.
B. AnexoNº2:panoramaderiesgosyamenazas
1. Tiposderiesgosyamenazas
Enatenciónalanaturalezaglobaldelciberespacio,losriesgosprovienendeamenazasprovenientestantodeChilecomodelexterior,yposeendiversosorígenes,entrelosquedestacanparanuestropaís:• Incidentes internos: fugas involuntarias de información, interrupción accidental de sistemas informáticos, u
otros incidentes involuntarios que pueden afectar la confidencialidad, integridad y disponibilidad de lainformación.
• Desastres naturales o fuerza mayor: terremotos, inundaciones u otros desastres que puedan afectar alciberespacio, debido a la destrucción de infraestructuras físicas esenciales para la disponibilidad de lainformación.
• Actividades de espionaje y vigilancia llevadas a cabo por actores estatales: conductas que afectan laconfidencialidadde la información,mediante su sustracción con finespolíticoso estratégicos. Enparticular,destacan acciones utilizando herramientas sofisticadas conocidas como APT (amenazas avanzadaspersistentes),queasuvezpuedenvalersedevulnerabilidadesinformáticasnopublicadasdelastecnologíasenuso.
• Ataques de denegación de servicio y denegación distribuida de servicios (DOS y DDOS): consisten en lasobrecargaintencionaldeserviciosqueseproveenenunsistemainformático,quepuedeserconducidadesdeun punto de la red o distribuirse para coordinar el ataque desde varios puntos, muchas veces mediantedispositivosinfectadosconprogramasmaliciosos,conelfindecumplirdichopropósito.
28
• Cibercrimen: actividades criminales cometidas contra componentes del ciberespacio (acceso no autorizado,sabotaje de información, robo de información, secuestro de información o ransomware) o empleandoherramientas del ciberespacio como medio de comisión (phishing, pharming, fraudes virtuales, y otrosrelacionados).
• Ataques a infraestructuras críticas mediante el ciberespacio: la alteración en el funcionamiento deinfraestructurascríticas(físicasodelainformación)realizadapormedioselectrónicos.Porejemplo:disrupciónmasiva de sistemas financieros, intervención de servicios básicos, daños físicos a infraestructuras físicas, yotrosrelacionados.
Todos estos riesgos y amenazas afectan la confidencialidad, integridad y disponibilidad de los activos deinformación en el ciberespacio, y en el mediano plazo, puede afectar el desarrollo del país en el ciberespacio,privándonos de los beneficios asociados al gobierno electrónico, comercio electrónico, formas de organizaciónsocialfacilitadasporelciberespacio,yamenazandolaseguridaddelaspersonaseinstitucionesenesteambiente.Algunoscasospuedencaerenmásdeunacategoríadelasaquípresentadas.
2. Riesgosyamenazasenelcontextoglobal
A nivel global, existen abundantes antecedentes sobre ciberataques consistentes en actividades de espionaje yataquesdedenegacióndistribuidadeservicio(DDoS)xiienInternet,entreotros.Asimismo,lainterceptaciónmasivaderedesdetelecomunicaciones,lainutilizacióndelserviciodeInternet,elespionajecontragobiernosyempresas,ademásdeataquescontrainfraestructurascríticascomobancosyserviciosgubernamentaleshanmarcadolapautainformativa.Tambiénexistenantecedentesdeabusosderequerimientoslegalesdedatosadiversosproveedoresdeproductosserviciosdigitalesporpartedelospaísesdondeestánradicadoslosmismos.Dentro de estos casos, destacan: Irán (2010), cuyas centrífugas nucleares fueron inutilizadas por un virusinformáticodiseñadoparatalefecto;Estonia (2007),dondepartedesu infraestructuracrítica fue inutilizadaporsemanas; las revelaciones de Edward Snowden (2013) sobre espionaje masivo por parte de las agencias deinteligencia de Estados Unidos, cuya extensión aún permanece incierta por la cantidad y periodicidad de estasrevelaciones;yelespionajecontraempresasdedefensa(Lockheed,2011)yentretención(Sony,2014)delmismopaís,cuyaextensióncomprometegravementeintereseseconómicosyderechosfundamentalesdelaspersonasalolargodelmundo.
3. Riesgosyamenazasenelcontextoregional
A nivel regional, países que han registrado el mayor número de ciberataques en Latinoamérica fueron Brasil,Argentina, Colombia, México y Chile. Los accesos o robo de información desde un ordenador infectado -denominados botnets- predominaron en la región. Incluso, un tipo específico de este códigomalicioso llamadodorkbot generómás de 80mil acciones contra el sistema virtual, concentrándose en Chile (44%), Perú (15%) yArgentina(11%).xiii
4. Actividades maliciosas detectadas en la Red de Conectividad del
Estado
En Chile, la Red de Conectividad del Estado (RCE) sufre numerosas actividadesmaliciosas o sospechosas. Existeregistrode incidentesvinculadosaataquesdedenegacióndistribuidadeservicios (DdoS)oalteracionesdesitioswebsgubernamentales,observándoseunimportantecrecimientodeéstosdesdeelaño2010.Asimismo,enelaño2014,anivelgeneral,losadministradoresdelaredgubernamentaldetectaronlossiguientespatronesmaliciosos:
29
PatronespotencialmentemaliciososdetectadosenlaReddeConectividaddelEstado(RCE)duranteelperiodo2014(Fuente:DivisiónInformáticadelMinisteriodelInterior,año2015)
5. CiberdelitosenChile
DeacuerdoconelMinisterioPúblico,en relación conel cibercrimen,entre losaños2009y2013,elnúmerodecasosingresadosbajoelrótulo“delitoinformático”fuede3.063casos,distribuidoscomoseindicaacontinuación:
Casosingresadosporciberdelitos2009-2013porMinisterioPúblico(Fuente:ULDDECO,MinisterioPúblico,2014xiv).
30
Porsuparte,segúnlosdatosaportadosporlaPolicíadeInvestigaciones(PDI),duranteelperiodo2009-2013,serealizaronuntotalde1.980investigaciones,distribuidoscomoseindicaacontinuación:
Investigacionesefectuadasporciberdelitos2009-2013porPDI(Fuente:BrigadadeCibercrimen,PDI,2014).
Esposibleconstatarquelosdelitosinformáticostuvieronunascensohastaelaño2010,yluegoundecrecimiento.En este sentido, la PDI explica el comportamiento debido a que la orientación del fenómenomutó. En efecto,ocurrierondelitos informáticosenmenorcantidad,peromáscomplejosensuejecución,generando lanecesidaddemásrecursoshumanosydetecnologíaparadaradecuadotratamientoaestosnuevosdelitos.Porsuparte,Carabineros identificadiferentestiposde ilícitosenelciberespacioanivelnacional,siendo losmáscomunes el acceso indebido a sistemas; la adquisición, comercialización y almacenamiento de materialpornográficoinfantil;sabotajeinformático;ytransaccionesbancariasilícitas(phishing).Asimismo, los cibercrímenes cometidos en Chile confirman el carácter transnacional de los ilícitos en elciberespacio,específicamente,enelusofraudulentodetarjetasdecréditoydébito,conladeteccióndepersonasdediferentesnacionalidades,enlaplanificaciónycomisióndedichosdelitos.
a) ConclusiónLos antecedentes expuestos constituyenuna amenaza para la confidencialidad, integridad y disponibilidadde lainformaciónenelciberespacio,yafectaatodossususuarios,impidiéndolesusarlodemanerasegura,vulnerandosecretos estatales y comerciales, y amenazando los derechos fundamentales de las personas, especialmenteaquellosvinculadosconlaproteccióndesuvidaprivadaeinviolabilidaddesuscomunicaciones.Lo anterior hace imprescindible contar con políticas de gestión yminimización de riesgos que consideren estosriesgos y amenazas, especialmente en lo relativo a las infraestructuras críticas de la información, considerandoreglas especiales para la adquisición y operación de soluciones tecnológicas que tomen en cuenta el contextointernacionalexistenteenmateriadeciberseguridad.
iMásinformaciónenlossiguientessitiosweb:https://ccdcoe.org/strategies-policies.htmlhttps://www.enisa.europa.eu/activities/Resilience-and-CIIP/national-cyber-security-strategies-ncsss/national-cyber-security-strategies-in-the-worldhttp://www.itu.int/en/ITU-D/Cybersecurity/Pages/National-Strategies.aspxiiProgramadeGobiernodelaPresidentaMichelleBachelet,página57
31
iii Prandini,P. yMaggiore,M.2013.CiberdelitoenAméricaLatinayElCaribe.Unavisióndesde la sociedadcivil.ProyectoAmparo,SeccióndeEstudios.LACNICRegistrodeDireccionesde InternetparaAméricaLatinayCaribe.pp.3.ivDisponibleen:http://www.agendadigital.gob.cl/vEnesesentido, la resoluciónA/HRC/20/L.13delConsejodeDerechosHumanosde lasNacionesUnidasdeclaróque“losderechosdelaspersonastambiéndebenestarprotegidosenInternet”.viElroldelosintermediariosdeinternethaganadounacrecienteatención,porsurolcríticoenasegurarderechoscomoel de LibertaddeExpresión.Al respecto,pueden consultarsemarcosde referencia como losprincipiosdeManila.[enlínea]Disponiblesenhttps://www.manilaprinciples.org/esviiEnesesentido,unaherramientaútildeanálisiseseldocumento“PrincipiosInternacionalessobrelaAplicaciónde los Derechos Humanos a la Vigilancia de las Comunicaciones”. [en línea] Disponible enhttps://es.necessaryandproportionate.org/textviiiMásinformaciónen:http://www.minrel.gov.cl/minrel/site/artic/20080802/pags/20080802194424.htmlix Existen actualmente estudios que dan una aproximación al valor del PIB que aporta el sector TIC, como porejemplo,el“ÍndicePaísDigital”realizadoporlaFundaciónPaísDigitalenalianzaconlaUDD,entregadoenenerodelaño2015,estimóqueeltamañodelsectorTICrepresentaun3%sobreeltotaldelaeconomíachilena(fuenteaño2012).Porotraparte,lasubsecretaríadeeconomíaencargóaF&KConsultoresel“EstadodeldesarrollodigitalenChile”,enmarzode2015,elcualentregóqueelvaloragregadodelsectorTICllegaaun4,12%respectoalvaloragregadototal(fuenteaño2011).x informe“Tecnologíasdela InformaciónyComunicaciónenChile:Áreasdeinvestigaciónycapacidades, informede estado del arte”, Conicyt, 2010. “Índice PaísDigital”, Fundación PaísDigital en alianza con laUDD, enero de2015.“EstadodeldesarrollodigitalenChile”,F&KConsultores,marzode2015.xihttp://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TCY/ETS_185_spanish.PDFxiiSiglaeningléspara“ataquedistribuidodedenegacióndeservicio”,untipodeataqueefectuadodesdemúltiplescomputadoresparasaturarlascapacidadesdeconexióny/oprocesamientodeunservidorconectadoaInternet.xiiiPrandini,P.yMaggiore,M.2013.Op.Cit.xiv Ministerio Público de Chile. Breve sinopsis acerca de la actual regulación y punibilidad en Chile de losdenominados Ciberdelitos. Unidad Especializada en Lavado de Dinero, Delitos Económicos,Medioambientales yCrimenOrganizado.Talcomoindicaeldocumentoseñalado,losdatospresentadosnoconstituyenelnúmerototaldeingresosporloscasos,debidoaquemuchosdeellosingresanrotuladoscomoestafa(página6).