El pasado 27 de Abril en el Palacio de La Moneda, la Presidenta de la República lanzó oficialmente la Política Nacional de Ciberseguridad de Chile (PNCS), un instrumento de política pública desarrollado por el Comité Interministerial de Ciberseguridad, y que busca orientar las acciones tendientes a lograr un estado de seguridad adecuado para el país, agregando en ella las que se denominaron una hoja de ruta y líneas de acción.
En mi opinión, este documento representa una visión desde la perspectiva de las autoridades políticas; por lo que creo que lo natural es que ahora se desarrolle una Estrategia Nacional de Ciberseguridad, que especifique como esa visión se llevará a la práctica.
Usando como insumo la PNCS así como mi propia visión, me he tomado la libertad de esbozar y proponer los lineamientos de una Estrategia Nacional de Ciberseguridad, la cual puede representarse con el siguiente esquema:
Las tres flechas celestes representan líneas de acción conducentes a lograr el efecto deseado de la aplicación de la estrategia y el cumplimiento de sus objetivos, los cuales, obviamente, se desprenden de los objetivos de la PNCS: un ciberespacio libre, abierto, seguro y resiliente. Estas flechas celestes tienen en su interior otras más pequeñas, con ejemplo de las actividades esperables dentro de cada línea de acción.
A grandes rasgos, la línea de acción Ciberdefensa la percibo como un esfuerzo del sector Defensa para enfrentar acciones que comprometan la seguridad nacional. Se desprende que tanto la defensa y supervivencia de sistemas militares, como la legítima defensa en el ciberespacio requieren el desarrollo de capacidades militares específicas.
Sin embargo, en la Ciberdefensa no debe descartarse de lleno el involucramiento de organismos estatales civiles, como para, por ejemplo, asegurar la defensa y supervivencia de los sistemas vitales de organismos del Estado fuera del ámbito de la Defensa. Este es un asunto que seguramente será debatido a futuro, ya que se discutirá en el marco del incipiente derecho internacional de las operaciones cibernéticas. Otro aspecto que se necesita analizar pero que puede ser controversial, es determinar si existen situaciones en el ciberespacio, que obliguen la aplicación de una condición equivalente a los estados de excepción constitucional.
La línea de acción Cibercrimen es más clara de definir, ya que considera las acciones destinadas a la prevención, persecución y sanción del ciberdelito y ciberterrorismo.
La línea de acción Supervivencia de Infraestructura Crítica Nacional supone el mayor desafío en mi opinión, porque corresponde a las acciones para poder asegurar que los sistemas civiles, específicamente aquellos que sean críticos para sostener las actividades fundamentales de la población, puedan recuperarse en un tiempo aceptable ya sea ante catástrofes naturales o acciones deliberadas. La idea general de esta línea de acción es establecer los mecanismos para asegurar una planificación efectiva por parte de las empresas proveedoras de dichos servicios vitales, así como de asegurar medidas preventivas que garanticen la resiliencia de los mismos. Será necesario tomar en cuenta que quizás algunos de dichos servicios sea considerado tan relevante que, eventualmente, se estime necesario incorporarlo al sistema de protección de la ciberdefensa; sin embargo, es algo que hay que estudiar con cuidado, debido a las obligaciones que podría adquirir el Estado en defensa de intereses particulares de empresas proveedoras de servicios.
Estimo que las líneas de acción (flechas celestes) agrupan las actividades requeridas para enfrentar las amenazas más probables en base a la tipología actual de éstas, pero no debe descartarse el surgimiento de nuevas amenazas que justifiquen una nueva línea de acción. Lo interesante de este punto es que las líneas de acción, así como el esfuerzo o énfasis aplicado a cada una de ellas, se originan de un proceso de evaluación de riesgos y análisis de amenazas desde una perspectiva nacional que es previo y transversal. Asimismo, resulta evidente que para lograr la confluencia hacia el objetivo o efecto deseado planteado por la estrategia de ciberseguridad, se requiere de un mecanismo o rol de coordinación de los esfuerzos relacionados con cada línea de acción descrita, de manera de lograr la convergencia entre ellas.
Es clara entonces la necesidad de una institucionalidad ad-hoc para operativizar la estrategia.
En cuanto a la Ciberdefensa, corresponde a una línea de acción asociada al Sector Defensa por lo que la responsabilidad de su desarrollo debería enmarcarse en dicho Ministerio. Hay que evaluar eso sí, qué elementos y qué parte de la infraestructura crítica de los organismos civiles del Estado, quedarían bajo la protección del sistema de ciberdefensa militar.
Naturalmente, la línea de acción de Cibercrimen debería estar bajo la tuición del Ministerio del Interior. Uno de los desafíos en este caso será determinar los mecanismos de vigilancia, de eventuales actividades criminales o terroristas en el ciberespacio. Respecto al desarrollo de políticas, iniciativas legales, programas de cooperación internacional para prevención del ciberdelito, me parece que es evidente la jurisdicción de este Ministerio.
Por su parte, se debe considerar que la línea de acción para asegurar la supervivencia de la infraestructura crítica nacional, representa el esfuerzo público/privado para sostener la ciberseguridad nacional. Se combinan aquí una serie de acciones como; por ejemplo, la generación de obligaciones por empresas proveedoras o el desarrollo de planes de contingencia para asegurar el funcionamiento de los sistemas civiles vitales. Sin duda este será un esfuerzo multisectorial que involucrará a múltiples ministerios; entre ellos el de Transportes y Telecomunicaciones, Salud, OO.PP., Interior, Defensa (en algunos aspectos), Economía, Minería, etc.
Aquí visualizo dos posibles actores. Por un lado, y atendiendo al tipo de tecnologías que dan forma a la infraestructura de información crítica nacional, la Subsecretaría de Telecomunicaciones del Ministerio de Transporte, podría hacerse responsable de asegurar la supervivencia de los sistemas vitales. Pero por otro lado, considerando que esta línea de acción surge para hacer frente a situaciones de emergencia, la mayor de las veces causadas por catástrofes naturales de envergadura, la responsabilidad podría radicar en el Ministerio del Interior, quizás específicamente como función de la Oficina Nacional de Emergencia.
Además de las líneas de acción, se puede observar en la estrategia propuesta un rol de evaluación de riesgos y análisis de amenazas desde una perspectiva global transversal, la cual debería tener el propósito de orientar la toma de decisiones y el desarrollo de las políticas públicas de ciberseguridad. En mi opinión esta es una responsabilidad inherente de la Agencia Nacional de Inteligencia (ANI); sin embargo, deberá solucionarse lo relacionado al levantamiento de vulnerabilidades de las infraestructuras de infromación críticas del Estado y del país para materializar el análisis de riesgo, puesto que esto requeriría que la ANI audite sistemas críticos de distintas reparticiones del estado e, incluso, de empresas privadas.
En el esquema se propone también un rol de coordinación del sistema de ciberseguridad. En lo personal me gusta la idea de una agencia independiente que se relacione con la Presidencia de la República a través de un Ministerio, de manera que con el marco legal adecuado, sea empoderada adecuadamente para cumplir el rol de coordinador y de auditor del cumplimiento de la estrategia. En ese sentido, es auspiciosa la propuesta del Senador Prokurica, respecto de una ley que crea el Sistema Nacional de Ciberseguridad encabezado por una Agencia Nacional de Ciberseguridad.
Y aunque en mi opinión tanto la iniciativa como el proyecto no sólo son interesantes sino que además necesarios, me parece que el alcance de las atribuciones de la Agencia propuesta por el Senador se traslapan con funciones de la ANI, las FF.AA. y las policías; ya que a su rol de coordinación se le agregarían funciones de inteligencia, operativas para búsqueda de información, de ciberdefensa y de análisis de riesgos. Creo que el rol de este organismo debería limitarse al de coordinar el esfuerzo de ciberseguridad nacional, así como fomentar y dirigir las iniciativas para desarrollarla y mantenerla, incluidas las de transformación digital y de educación para la ciberseguridad.
Finalmente, con la intención a nivel político ya explicitada en una Política Nacional que contiene tanto objetivos como efectos deseados, lo que viene luego es diseñar una estrategia. Aprobada la anterior, o de manera simultánea, es necesario definir a los responsables de ejecutarla, creando la institucionalidad adecuada, establecer los plazos y, no menos importante, asignar los recursos. Hecho lo anterior, Chile tendrá a la mano su primer Plan de Ciberseguridad Nacional.
Gracias por visitar el blog.
Héctor Gómez Arriagada 
2 Comentarios