Senador Pugh: “Estamos atrasados en una década en ciberseguridad”

Por Equipo ZonaCISO - 15/12/2020

En entrevista exclusiva con ZonaCISO, Kenneth Pugh, Senador por la Región de Valparaíso y uno de los grandes promotores de las políticas de seguridad de la información y ciberseguridad en nuestro país, analiza el estado de estas y los desafíos pendientes en materias de regulación.

 

¿Cuál es su evaluación acerca del estado de las regulaciones en ciberseguridad en Chile?

La legislación chilena se encuentra atrasada en al menos en una década y no fuimos capaces de preparar un nuevo marco regulatorio cuando comenzaron a emerger estas nuevas amenazas. Chile se demoró en incorporarse a convenciones internacionales como la de Budapest, que persigue el crimen trasnacional, la que recién fue incorporada en una nueva ley de delitos informáticos que se encuentra en segundo trámite legislativo en la Cámara de Diputados. Por otra parte, no se cuenta aún con una autoridad nacional de protección de datos y esa ley se encuentra recién en su primer trámite legislativo en el Senado, en la comisión de Hacienda.

Pero más grave aún, no contamos con una Ley Marco de Ciberseguridad que designe una autoridad nacional de ciberseguridad y que se preocupe de la regulación de la protección de la infraestructura crítica de la información. Ese proyecto de ley aún no es ingresado por el Ejecutivo al Congreso, dado que es una materia exclusiva del Presidente es él quien debe enviar el mensaje presidencial con el texto de la ley a trabajar.

La falta de marco regulatorio ha impedido la adecuada coordinación nacional para enfrentar una amenaza que por su naturaleza es amplia, abundante y asimétrica. Chile no alcanza un buen lugar en el Índice Global de Ciberseguridad evaluado anualmente por la Unión Internacional de Telecomunicaciones, organismo dependiente de la ONU, ni en la medición que cada 4 años ha efectuado la OEA, en base al modelo de madurez de ciber capacidades para naciones, desarrollado por la Universidad de Oxford. A Chile se vienen a entrenar los hacktivistas y las bandas de cibercriminales.

¿En qué materias estamos “al debe” y hay algo en lo que estemos a la vanguardia?

Estamos al debe en protección de datos personales, falta institucionalidad y mucha cultura, especialmente de cada uno para comprender que somos dueños de nuestros datos, y también en cuanto a institucionalidad nacional en ciberseguridad. Pero al menos en la región latinoamericana estamos a la vanguardia en cuanto a reportes del CSIRT de Gobierno, siendo los más activos según la OEA, y en el desarrollo por tercer año consecutivo del Mes Nacional de la Ciberseguridad en octubre, una iniciativa realizada en Estados Unidos y Europa, siendo Chile el único de la región que la realiza.

El Senado ha impulsado la Ley 21.113 que designa a octubre Mes Nacional de la Ciberseguridad, con actividades de difusión y ejercicios nacionales, y por tercer año consecutivo tuvimos la inauguración oficial junto con la coordinación de diversas actividades oficiales del mes, además de una sesión especial del Senado para analizar esta materia, que tuvo lugar el día 1 de octubre, con la participación de más de 10.000 personas a lo largo del país en todas las actividades del mes.

¿Qué tan importante es contar con regulaciones en materias de ciberseguridad?

La ciberseguridad está tomando cada día más importancia. No se puede hacer transformación digital si no se hace con ciberseguridad. Más importante aún, no puede haber Inteligencia Artificial sin que exista primero ciberseguridad.

La dependencia total de las redes de datos e información de la sociedad, el Estado y la Industria 4.0 llevan a la imperiosa necesidad de avanzar en nuevas regulaciones en ciberseguridad y plantean, además, el desafío de mantenerlas actualizadas, por lo que es necesario orientarse a definir principios y reglas generales que no sean afectadas por el cambio o evolución de la tecnología.

¿Qué tan relevante es la colaboración público-privada para generar avances en la materia?

Es fundamental, dado no existe en el mundo un Estado que sea capaz de hacerlo solo. La palabra más importante en ciberseguridad es precisamente “colaboración” y eso debe comenzar primero en lo público-público, con convenios de colaboración entre ministerios para luego pasar a las alianzas público-privadas que expandan este potencial de colaboración. La mejor expresión de esta colaboración es la que se realiza en regiones, dado este es un tema que perfectamente se puede descentralizar para evitar la concentración en Santiago. A nivel mundial hay casos como la ciudad de León, en España, a 348 km de Madrid, donde se ha concentrado la ciberseguridad, o Beer Sheva, en Israel, a 110 km de su capital, donde se ha instalado el polo tecnológico en ciberseguridad más importante del mundo como lo es CyberSpark.

¿Qué deberíamos aprender de los últimos incidentes de seguridad que han afectado tanto a entidades públicas como privadas?

Que ya basta de esperar y tenemos que trabajar más rápido y con presupuesto para darle forma a un nuevo “Sistema Nacional de Ciberseguridad”, con una autoridad nacional o Agencia y con múltiples organismos relacionados; tal como existe en otros países donde se considera al menos una Agencia Autónoma de Protección de Datos Personales, un Centro de Protección de Infraestructura Crítica y un Instituto Nacional de Ciberseguridad -INCIBER-, encargado de la detección temprana de talento ciber y su desarrollo, de la coordinación de la red nacional de investigación en ciberseguridad y de las actividades de difusión y entrenamiento de los equipos de alto rendimiento y los ejercicios nacionales, contemplados en la Ley 21.113.

¿Cuáles deberían ser las prioridades en materia de legislaciones, pensando en las normativas que están en trámite en el Congreso?

Primero, terminar de tramitar y despachar la Ley de Delitos Informáticos, resolviendo correctamente las regulaciones para los investigadores en ciberseguridad (Hacking Ético) y promulgarla a principios del próximo año. Luego, pasar a segundo trámite constitucional la nueva Ley de Protección de Datos Personales, dándole máxima autonomía a la nueva Agencia de Protección de Datos Personales, para tenerla despachada fines del próximo año y, finalmente, ingresar durante el año 2021 la Ley Marco de Ciberseguridad, habiendo discutido inicialmente respecto del mejor Sistema Nacional de Ciberseguridad con el mundo académico, ministerios y think tanks relacionados.

Si pudiera pedir algo para Navidad, relacionado con ciberseguridad y seguridad de la información, ¿qué sería?

La formación del Instituto Nacional de Ciberseguridad -INCIBER- en Valparaíso.

Artículos que te pueden interesar

Desafíos y premuras en la modernización del Estado

Ver más

Senador Pugh: “Estamos atrasados en una década en ciberseguridad”

Ver más

Reducción de la exposición a riesgos mediante examen de sanciones

Ver más