Acid Labs - Blog

Nueva Ley de Ciberseguridad en Chile: ¿Tu empresa está preparada?

Escrito por Acid Labs | Apr 17, 2024 4:30:44 PM

Chile ha avanzado notablemente en el fortalecimiento de su legislación en torno a la seguridad de la información y la ciberseguridad en los últimos años. Un hito en este progreso es la reciente promulgación de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, el 26 de marzo de 2024. Esta normativa pionera establece regulaciones para entidades tanto públicas como privadas que prestan servicios esenciales.

 

Para combatir la creciente sofisticación de los delitos digitales y ciberataques que afectan a servicios como la salud, la seguridad y el suministro de energía, esta nueva legislación introduce medidas robustas con el objetivo de proteger la infraestructura crítica del país.

 

Dicha Ley establece una serie de obligaciones para las empresas e instituciones, como la implementación de medidas de seguridad informática, la notificación de cualquier ataque cibernético a las autoridades y la elaboración de planes de respuesta a incidentes. 

 

Si prestas servicios fundamentales para el funcionamiento y la calidad de vida del país, necesitas saber qué acciones específicas debes tomar para cumplir con esta nueva reglamentación. ¡Continúa leyendo!

 

¿De qué trata la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información?

 

Entre los elementos más destacados de la Ley se encuentra la creación de la Agencia Nacional de Ciberseguridad (ANCI), que será responsable de regular, fiscalizar y sancionar el cumplimiento de la legislación en materia de ciberseguridad. 

 

Además, se crean organismos colaborativos como el Consejo Multisectorial, el Comité Interministerial sobre Ciberseguridad y los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT) Sectoriales y de Defensa Nacional, que desempeñarán un papel crucial en la gestión de emergencias cibernéticas.

 

¿A quién aplica la nueva Ley de Ciberseguridad?

 

La Ley se aplica a los Servicios Esenciales (SE) y Operadores de Importancia Vital (OIV), que son cruciales para el funcionamiento del país. Esto incluye:

 

  • Entidades estatales y el Coordinador Eléctrico Nacional.
  • Servicios con concesión pública.
  • En el sector privado, abarca:
              • Electricidad (generación, transmisión, distribución).
              • Combustibles (transporte, almacenamiento, distribución).
              • Agua (suministro, saneamiento).
              • Telecomunicaciones y tecnología de la información.
              • Transporte (terrestre, aéreo, ferroviario, marítimo).
              • Finanzas (banca, servicios financieros, medios de pago).
              • Seguridad social.
              • Correos y mensajería.
              • Salud.
              • Farmacéutica (producción, investigación).


¿Qué obligaciones debo cumplir como empresa?

 

Las empresas clasificadas como SE y OIV deben:

 

  • Aplicar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad.
  • Implementar los protocolos y estándares establecidos por la ANCI, así como los estándares particulares de ciberseguridad dictados según la regulación sectorial respectiva.
  • Reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos tan pronto les sea posible, dentro de un plazo máximo de tres horas.

 

Además, la legislación establece responsabilidades particulares para los OIV, los cuales tendrán la obligación de cumplir, entre otras responsabilidades, con lo siguiente:

 

  • Implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
  • Elaborar e implementar planes de continuidad operacional y ciberseguridad.
  • Realizar operaciones de revisión, ejercicios, simulacros y análisis de redes y sistemas informáticos para detectar acciones que comprometan la ciberseguridad.
  • Adoptar medidas necesarias para reducir el impacto de un incidente de ciberseguridad.
  • Informar a los potenciales afectados sobre incidentes o ciberataques que comprometan su información o redes y sistemas informáticos, especialmente si involucran datos personales.
  • Contar con programas de capacitación, formación y educación continua para trabajadores y colaboradores, incluyendo campañas de ciberhigiene.
  • Designar un delegado de ciberseguridad y cumplir con las certificaciones requeridas.

 

¿Cuáles son las sanciones por incumplimiento?

 

La Agencia de Ciberseguridad puede imponer multas que varían según la gravedad de la infracción:

 

  • Leve: Hasta 5.000 unidades tributarias mensuales (UTMs) para SE y 10.000 UTMs para OIV.
  • Grave: Hasta 10.000 UTMs para SE y 20.000 UTMs para OIV.
  • Gravísima: Hasta 20.000 UTMs para SE y 40.000 UTMs para OIV.

 

¿Cuándo entra en vigencia la nueva Ley de Ciberseguridad?

 

La implementación de la Ley será oficializada por el Presidente de la República, quien, dentro del plazo de un año tras la promulgación, emitirá uno o más decretos legislativos que determinarán un período previo a la activación efectiva de la Ley (el cual no será inferior a seis meses desde su anuncio oficial). Además, se fijarán fechas clave como el comienzo de operaciones de la Agencia Nacional de Ciberseguridad y otros puntos cruciales.

 

Cómo el Pentesting puede ayudarte a cumplir con la Ley de Ciberseguridad

 

¿Sabías que el Pentesting es una herramienta fundamental para cumplir con la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información? El Pentesting, o prueba de penetración, es una metodología de seguridad que se utiliza para evaluar la solidez de sistemas informáticos, aplicaciones, sitios web o redes.

 

Su principal objetivo consiste en simular ataques reales que podrían llevar a cabo cibercriminales o usuarios con intenciones maliciosas. Esto permite identificar y corregir posibles vulnerabilidades antes de que sean descubiertas y explotadas.

 

Al realizar un Pentesting, las empresas pueden obtener una evaluación completa de su postura de seguridad y tomar las medidas necesarias para mejorarla, lo cual ayuda a cumplir con las obligaciones legales en materia de seguridad.

 

Beneficios del Pentesting

 

El Pentesting proporciona una evaluación exhaustiva de la solidez de tu infraestructura frente a las amenazas digitales. Estas son las principales ventajas del pentesting:

 

  • Reduce significativamente el riesgo de sufrir un ciberataque, evitando pérdidas financieras, de datos y de reputación.
  • Minimiza el impacto de un incidente de ciberseguridad, al abordar proactivamente las vulnerabilidades identificadas.
  • Te permite cumplir con las obligaciones legales en materia de seguridad.
  • Mejora la confianza de tus clientes y partners al demostrar un compromiso activo con la seguridad de la información.

 

Prepárate para adherirte a la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información con Acid Labs

 

La recién promulgada Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información marca un punto de inflexión significativo en el ámbito de la seguridad informática en Chile. Aquellas empresas que no se ajusten a los nuevos estándares y exigencias establecidos por esta legislación podrían enfrentar multas y sanciones.

 

Acid Labs es tu aliado estratégico para fortalecer la seguridad de tu empresa y ayudarte a cumplir con la normativa. Nuestras soluciones integrales de pentesting incluyen:

 

  • Análisis detallado: Realizamos un análisis en profundidad de tus sistemas, redes y aplicaciones para identificar vulnerabilidades y amenazas potenciales.
  • Explotación de vulnerabilidades: Nuestro equipo simula escenarios realistas de ciberataque para explotar las vulnerabilidades identificadas, ayudándote a comprender el impacto potencial de un ataque real.
  • Recomendaciones de soluciones: Proporcionamos recomendaciones específicas para abordar cada vulnerabilidad identificada, garantizando que tu empresa tome las medidas necesarias para reforzar su postura de seguridad.
  • Retest: Confirmamos la eficacia de las soluciones implementadas realizando un retest, garantizando que la seguridad de tu empresa haya mejorado significativamente. 

 

Al elegir Acid Labs, tu empresa se beneficia de:

 

  • Experiencia en ciberseguridad: Contamos con un equipo altamente calificado en ciberseguridad y experimentado en la realización de pruebas de penetración.
  • Metodología eficaz: Utilizamos las técnicas y herramientas más avanzadas para obtener una evaluación completa de tu infraestructura digital.
  • Enfoque personalizado: Adaptamos nuestro servicio a las necesidades específicas de tu empresa, considerando el tamaño, el sector y los riesgos específicos a los que se enfrenta.
  • Estándares internacionales: Contamos con la certificación ISO 27001:2013, con el alcance de “Pentesting en tres variantes, Black Box, Gray Box y White Box”. Esto garantiza que nuestros procesos y protocolos estén alineados con las normas reconocidas a nivel mundial para brindar la máxima seguridad de tus activos digitales. 

 

¡Contáctanos hoy mismo para obtener más información sobre cómo podemos ayudarte a proteger tu empresa y cumplir con la nueva Ley!
Ver post completo