Agencia Nacional de Ciberseguridad de Chile: primeros pasos, referentes y objetivos

A principios de año inició funciones la Agencia Nacional de Ciberseguridad de Chile (ANCI), responsable de fiscalizar, regular y sancionar a instituciones públicas o privadas que presten servicios en la materia. Además, definirá los servicios esenciales y los operadores de importancia vital y dictará protocolos, estándares e instrucciones generales para implementar la Ley Marco de Ciberseguridad.

Su director, Daniel Álvarez, conversó en exclusiva con DPL News sobre los primeros pasos de la entidad, sus objetivos y desafíos. La Unión Europea como referencia y la importancia de políticas de Estado, independiente de gobiernos, para la puesta en marcha de iniciativas robustas y transversales a múltiples verticales. Qué se hizo en el primer mes y qué sigue.

DPL News: ¿Con qué objetivos nace la Agencia?

Daniel Álvarez: La Agencia nace con el objetivo central de constituirse como órgano rector de la ciberseguridad en Chile, tanto para el sector público como para el privado, y ofrecer una capacidad institucional nacional de respuesta a incidentes de ciberseguridad. Es un órgano que ejerce múltiples funciones, que dicta normas técnicas, especiales, generales y particulares, que gestiona incidentes, que fiscaliza el cumplimiento de las disposiciones de la ley y de la normativa técnica y eventualmente puede aplicar sanciones. Por último, hay una dimensión que nos interesa recalcar: es un órgano que está habilitado legalmente para capacitar, concientizar y educar la ciudadanía en materia de seguridad digital.

DPL News: ¿Qué lineamientos destaca de la ley que le da vida a la ANCI?

Daniel Álvarez: Primero, que es resultado de una planificación que hizo el Estado de Chile hace nueve años. Además, que busca generar un marco regulatorio general para la ciberseguridad del país y uno especial para los servicios esenciales en todos aquellos sectores de la economía críticos para el funcionamiento normal del país. También genera estándares específicos para aquellas empresas o servicios públicos que, siendo parte de un servicio esencial, sean más críticos todavía.

Por otro lado, aunque es una normativa general en muchos aspectos, también establece la institucionalidad de la ciberseguridad en Chile. Uno de los componentes es la Agencia pero hay más, el Comité Interministerial, el Consejo de Asesoría Multisectorial y los centros de respuestas a incidentes.

Otro elemento importante tiene que ver con que es tecnológicamente neutra. Una de las tentaciones cuando uno habla de temas informáticos o temas digitales es tratar de regular la tecnología. Y el riesgo de regular la tecnología es que quede obsoleto. La ley en ese sentido es muy vanguardista porque no regula ninguna tecnología en particular. Lo que regula son procesos y resultados. Por lo tanto, no corre el riesgo de obsolescencia tecnológica y también permite que se vaya adaptando a los cambios tecnológicos.

DPL News: ¿Hay previsto un proceso de revisión de la ley para adecuarla a cambios en el mercado?

Daniel Álvarez: Sí, se establece que varios de los procedimientos estén sujetos a revisión cada un número determinado de años. Además, como una parte importante de la normativa técnica será dictada por la autoridad, los cambios se pueden revisar en sede administrativa sin pasar por el Congreso; eso le da una flexibilidad muy importante.

DPL News: ¿Cómo observa la posición de Chile en materia de ciberseguridad en América Latina?

Daniel Álvarez: Chile, en comparación con la región, es uno de los más avanzados: no sólo cuenta con la ley, sino que ha transitado dos procesos de planificación primaria. Ya vamos en el segundo instrumento de planificación política de ciberseguridad, hay pocos países de la región en esa posición. Si bien 19 países tienen políticas o estrategias de ciberseguridad, no son más de dos o tres los que han logrado avanzar a un segundo nivel.

Además, la creación de la Agencia también marca un punto de inflexión importante en comparación con la región, porque en América Latina y el Caribe hasta este año no había ninguna agencia especializada en ciberseguridad en este rango, usualmente eran unidades dentro de otros ministerios o departamentos dentro de otros servicios públicos. Con la Agencia, Chile lo constituyó como el primer servicio público en América Latina y el Caribe en desempeñar directamente estas funciones sin depender de otro aparato administrativo del Estado.

Por otra parte, el mercado chileno de la ciberseguridad es bastante denso en cantidad de empresas y en diversidad de servicios. En general eso da cuenta de que tienes una sociedad un poco más sofisticada en estos temas. Por supuesto que todavía tenemos muchas brechas que superar. Nuestro objetivo con la instalación de la Agencia es incrementar aún más nuestro nivel de madurez para efectos de poder llegar a equipararnos con los países de la Unión Europea que ya tienen 12, 13 años de experiencia acumulada.

DPL News: ¿Cuál es para Chile el faro, el país o región que toman como referente en materia de ciberseguridad?

Daniel Álvarez: Más que países en particular, hemos estado siguiendo muy de cerca el proceso regulatorio en la Unión Europea. El primer periodo de proyecto, la ley estaba fuertemente inspirado en el NIS 1; luego, cuando nosotros como gobierno asumimos la tramitación del proyecto de ley en el Congreso, salió el NIS 2. Eso fue muy útil porque nos permitió darle una mirada mucho más robusta al asunto.

Observamos mucho la Unión Europea para lo regulatorio y para experiencia o de aplicación ya más concreta de las disposiciones. Tenemos mucho contacto y fluidas relaciones con España, Reino Unido, Alemania, Francia, Italia y República Checa. La gracia de la Unión Europea en esto es que también ha diversificado su expertise. Para discutir sobre amenazas avanzadas, los españoles son referentes. Para cuestiones más técnicas, destaca República Checa.

Estamos viendo lo que va sucediendo en la Unión Europea y también en América Latina. Es interesante lo que ha hecho República Dominicana con la construcción de capacidades, lo que está intentando hacer Brasil, la discusión que está teniendo lugar en Colombia y en Costa Rica. Es algo que se está dinamizando también en la región.

DPL News: ¿Cuál es el rol de los gobiernos en aprendizaje y en cooperación en materia de ciberseguridad?

Daniel Álvarez: El rol de los Estados y de los gobiernos es crítico. Una de las grandes ventajas que tuvo el caso chileno es que esto fue una planificación de Estado. No importó cuántos cambios de gobierno hayan habido en los últimos años: la política nacional de ciberseguridad perduró. Hubo un consenso técnico, político y social sobre lo que se estaba planificando. Por lo tanto, es el rol de los gobiernos, pero también en la posición de un Estado lograr que esto se transforme en políticas transversales. Todos nos benefiaremos de que América Latina sea un continente con mejores y más altos niveles de ciberseguridad.

DPL News: ¿Cuáles fueron los primeros pasos de la Agencia y qué objetivos se propone para este año?

Daniel Álvarez: Todavía estamos en proceso de instalación. Este es un servicio que de verdad nació de cero, tuvimos que iniciar todo tipo de trámite administrativo, montar sistemas y servicios en múltiples plataformas estatales. Priorizamos durante este mes la instalación, con  reuniones con las respectivas autoridades de los distintos poderes del Estado, con los reguladores sectoriales, con la sociedad civil, con los gremios.

Sobre los objetivos, queremos contar con un buen sistema de notificación de incidentes. Por otro lado, esperamos terminar el año con un conjunto de empresas y servicios públicos calificados como operadores de importancia vital porque en ellos radican la mayor cantidad de obligaciones especiales de ciberseguridad. La ciberseguridad opera como un ecosistema y la gracia es que el ecosistema de operadores de importancia vital esté calificado.