Hacia un futuro digital seguro: Norma Técnica de Seguridad de la Información y Ciberseguridad según la Ley 21.180
Análisis de la Norma Técnica de Seguridad de la Información y Ciberseguridad establecida por la Ley 21.180 de transformación digital del Estado de Chile.
La seguridad de la información y la ciberseguridad se han convertido en pilares esenciales para proteger los datos y garantizar la confianza en los sistemas electrónicos. El gobierno de Chile marcó un progreso significativo al promulgar la Ley N.o 21.180, estableciendo las bases para una transformación digital integral del Estado mientras promueve la eficiencia, transparencia y seguridad administrativa.
El 19 de mayo de 2023, el Decreto N.o 7 estableció la Norma Técnica de Seguridad de la Información y Ciberseguridad. Este marco regula y estandariza las medidas de seguridad en las plataformas electrónicas del Estado, asegurando la confidencialidad, integridad y disponibilidad de la información.
Marco legal y referencias
La norma hace referencia a:
- Constitución Política de Chile (Decreto Supremo N.o 100, 2005)
- Ley N.o 19.880: Bases de Procedimiento Administrativo
- Ley N.o 18.993: Creación del Ministerio Secretaría General de la Presidencia
- Ley N.o 21.180: Transformación Digital del Estado
- Decretos y resoluciones relacionados con la implementación digital y ciberseguridad
Artículo 1: Propósito
La norma define estándares técnicos que establecen directivas sobre seguridad de la información y ciberseguridad que los órganos de la administración del Estado deben implementar. Estas protecciones salvaguardan la confidencialidad, integridad y disponibilidad de la información y la infraestructura de TI que soporta las plataformas electrónicas de procedimientos administrativos.
Artículo 2: Definiciones
Las definiciones esenciales incluyen:
Activos: Elementos lógicos o físicos, componentes de hardware o sistemas relacionados con la generación, almacenamiento, transmisión o intercambio de información entre órganos del Estado o entidades externas.
Activos de información: Datos esenciales para el funcionamiento organizacional que requieren protección en confidencialidad, integridad y disponibilidad.
Ciberseguridad y seguridad de la información: Conjunto de acciones, políticas, medidas preventivas y reactivas destinadas a la prevención, mitigación, manejo y respuesta ante amenazas e incidentes de seguridad.
Confidencialidad: Asegurar que los activos permanezcan conocidos y accesibles exclusivamente para personas autorizadas.
Controles de seguridad: Estándares, mejores prácticas y normativas que permiten la administración de riesgos de TI.
Disponibilidad: Accesibilidad de activos y utilización por entidades autorizadas cuando sea requerido.
Gestión de riesgos: Procesos estructurados que identifican, evalúan, controlan y tratan riesgos de amenazas determinadas.
Incidentes de seguridad: Eventos no deseados o inesperados que comprometen la disponibilidad, autenticidad, integridad o confidencialidad del sistema.
Integridad: Precisión, autenticidad y completitud de los activos.
Artículo 3: Marco de seguridad de la información y ciberseguridad
Los órganos de la administración del Estado deben estructurar sus operaciones comenzando con un diagnóstico inicial mientras definen funciones y categorías. Las organizaciones deben generar e implementar una Política de Seguridad de la Información y Ciberseguridad.
Enfoque de implementación
Procesos: Implementar Sistemas de Gestión de Seguridad de la Información (SGSI) cumpliendo con los requisitos de ISO/IEC 27001 mientras se establecen objetivos de seguridad de la información que guíen las iniciativas.
Personal: La alta dirección define la dirección estratégica y aprueba los presupuestos de seguridad. Los equipos de implementación del SGSI desarrollan sistemas basados en los requisitos de ISO/IEC 27001 e implementan los controles de seguridad seleccionados.
Tecnologías: Las plataformas de gestión GRC (Gobernanza, Riesgo y Cumplimiento) facilitan la implementación.
Artículo 4: Diagnóstico inicial
Cada órgano de la administración del Estado debe realizar evaluaciones iniciales del estado de ciberseguridad de las plataformas electrónicas. Los diagnósticos deben incluirse en el Catálogo de Plataformas, manteniendo registros completos de las plataformas electrónicas.
Artículo 5: Política de Seguridad de la Información y Ciberseguridad
Cada órgano debe desarrollar una Política de Seguridad de la Información y Ciberseguridad aprobada mediante acto administrativo por el respectivo jefe de servicio.
Contenidos requeridos de la política
- Objetivos generales específicos de la política
- Identificación y determinación del alcance, abordando los activos que requieren protección
- Legislación y normativas vigentes aplicables
- Especificación de roles y designación de responsabilidad institucional de seguridad de la información
Artículo 7: Función de identificación
La función de identificación abarca actividades y procesos para administrar riesgos de seguridad de la información y ciberseguridad asociados con procesos, personal y plataformas electrónicas. Incluye:
- Contexto/entorno de los órganos del Estado
- Gobernanza
- Gestión de activos de información
- Gestión de riesgos
- Contratación y gestión de relaciones con proveedores de servicios en la nube
Artículo 8: Función de protección
Los órganos del Estado deben desarrollar e implementar procesos y actividades que aseguren medidas de seguridad para una entrega de servicios apropiada, oportuna y segura. Incluye:
- Gestión de servidores, redes, autenticación y control de acceso
- Concientización y capacitación de empleados en seguridad de la información
- Seguridad de datos
- Procesos de protección de información
- Registro de eventos
Artículo 9: Función de detección
Los órganos del Estado deben desarrollar e implementar procesos y líneas de acción para la detección oportuna de incidentes de seguridad. Incluye:
- Análisis de eventos identificando anomalías potenciales, fallas o precursores de incidentes
- Monitoreo continuo de seguridad
- Procesos de detección de eventos
Artículo 10: Función de respuesta
Los órganos del Estado deben desarrollar e implementar procesos y actividades para adoptar medidas técnicas y organizacionales cuando ocurran incidentes. Incluye:
- Planificación de respuesta a incidentes
- Comunicación de acciones de respuesta
- Análisis de incidentes
- Mitigación de incidentes
- Mejoras de planificación y procesos de respuesta
Artículo 11: Función de recuperación
Los órganos del Estado deben desarrollar e implementar procesos y acciones que mantengan planes de recuperación y restauren cualquier capacidad, plataforma, sistema, servidor, red o servicio afectado. Incluye:
- Planificación de recuperación
- Mejoras de planificación y procesos de recuperación
- Comunicación del estado de recuperación
Conclusión
La norma técnica establece un marco robusto para la gestión de seguridad de la información y ciberseguridad dentro de los órganos de la administración del Estado. A través de definiciones claras de términos, delineación específica de roles y responsabilidades, y sistemas de funciones y categorías para la implementación de políticas de seguridad, las organizaciones pueden asegurar una protección integral de activos y plataformas electrónicas.
Puntos clave
- Implementación de transformación digital: La Ley N.o 21.180 digitaliza ciclos completos de procedimientos administrativos.
- Desarrollo de estándares técnicos: Se establecieron seis estándares técnicos que cubren áreas críticas incluyendo seguridad de la información y ciberseguridad.
- Participación interinstitucional y ciudadana: Múltiples instituciones gubernamentales colaboraron con participación pública.
- Énfasis en seguridad y ciberseguridad: La norma prioriza la seguridad de la información y ciberseguridad.
- Revisión y mejora continua: El documento refleja un compromiso de mejora continua.
- Compromiso de cumplimiento legal: Todo el proceso sigue un estricto cumplimiento de leyes y regulaciones existentes.