El pasado 17 de agosto el Diario Oficial publicó el Decreto Nº 27 del Ministerio Secretaría General de la Presidencia, que establece norma técnica de seguridad de la información y ciberseguridad en conformidad con la Ley Nº21.180 de Transformación Digital del Estado. La norma busca definir estándares y directrices técnicas que deben ser cumplidos por los órganos de la Administración del Estado para garantizar la confidencialidad, integridad y disponibilidad de la información, así como la seguridad de la infraestructura informática que sustenta los procedimientos administrativos en plataformas electrónicas.

Entre los aspectos clave de esta norma se encuentran:

Diagnóstico inicial: Cada órgano de la Administración del Estado deberá realizar un diagnóstico inicial del estado de ciberseguridad de sus plataformas electrónicas, siguiendo las guías técnicas mencionadas en la norma.

Política de seguridad de la Información y ciberseguridad: Se requiere que cada órgano elabore una política aprobada por el Jefe Superior de Servicio. Esta política debe establecer directrices generales en seguridad de la información y ciberseguridad, asegurando la protección de componentes de software, hardware, sistemas y datos.

Guía técnica: Para facilitar la implementación de la norma, la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia dictará una o más guías técnicas que establecerán los aspectos operativos y procesos detallados.

Estas guías técnicas se centrarán en los siguientes puntos:

• Función de identificación: Se describirán las actividades y procesos para identificar y administrar adecuadamente los riesgos de seguridad de información y ciberseguridad. Esto incluirá el contexto del órgano de la Administración del Estado, la gobernanza, la gestión de activos de información, la gestión de riesgos y la relación con proveedores de servicios en la nube.
• Función de protección: Se detallarán los procesos y actividades para garantizar medidas de seguridad en la prestación de servicios, incluyendo la gestión de servidores, redes, autenticación, control de acceso y seguridad de los datos.
• Función de detección: Se describirán los procesos y acciones para detectar incidentes de seguridad, incluyendo el análisis de eventos para identificar anomalías, el monitoreo continuo de la seguridad y el establecimiento de procesos de detección.
• Función de respuesta: Se detallarán los procesos y actividades necesarios para adoptar medidas técnicas y organizativas en caso de detectar un incidente de seguridad. Esto incluirá la planificación, comunicación, análisis, mitigación y mejoras en la respuesta.
• Función de recuperación: Se describirán los procesos y acciones para mantener los planes de recuperación y restablecer capacidades afectadas por incidentes de seguridad.

La implementación de la norma seguirá el plan gradual establecido en el Decreto con Fuerza de Ley Nº1, de 2020, que contempla una fase de preparación para los organismos estatales desde el 2022 hasta el 2023, y se extiende hacia una implementación completa durante los años 2026 y 2027.

La norma deberá ser revisada y actualizada al menos cada dos años, incorporando aprendizajes y buenas prácticas.

La importancia de una revisión constante de los sistemas internos de ciberseguridad, las prácticas y políticas de protección de datos no solo radica en la prevención de posibles ciberataques, sino también en la salvaguardia frente a la responsabilidad penal establecida en la Ley N°20.393 sobre Responsabilidad Penal de la Persona Jurídica por delitos informáticos y conexos.

En caso de requerir información adicional sobre esta materia, puede contactar a Macarena Naranjo (mnaranjo@jdf.cl) y a María Gracia Oyarce (mgoyarce@jdf.cl)