Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp Bluesky

CSIRT de Gobierno realizó charla para preparar a los servicios públicos para la pronta implementación de la Ley 21.663

Con el objetivo de establecer directrices claves para la puesta en marcha de la Ley Marco de Ciberseguridad, el CSIRT de Gobierno organizó una charla online titulada: “Implementación de la Ley Marco de Ciberseguridad, ¿cómo empezar?” La actividad se realizó el 8 de noviembre y estuvo dirigida a encargados de ciberseguridad del sector público.
Fotos web (15)

Considerando el hito que representa la Ley 21.663 Marco de Ciberseguridad en la protección de la infraestructura crítica del país, la charla organizada por el CSIRT de Gobierno se presentó como una instancia fundamental para comprender los primeros pasos en el cumplimiento de esta normativa.

La sesión fue dirigida por Cristian Bravo Lillo, Director del CSIRT de Gobierno, quien comenzó con un resumen del estado actual de la ley. “Esta ley fue promulgada hace unos meses y, para su plena vigencia, requiere la publicación de seis reglamentos específicos, los cuales ya han sido enviados a la Contraloría General de la República. Solo algunos de ellos están directamente relacionados con la labor del CSIRT de Gobierno, como el Reglamento de Notificación de Incidentes (Decreto 295) y el de la Red de Conectividad Segura del Estado (Decreto 293)”, señaló.

Durante el encuentro, el ejecutivo aprovechó de hacer un llamado a un cambio de actitud respecto a la ciberseguridad en las instituciones, aludiendo a la importancia del rol de los directivos. En este contexto – aclaró – “según el artículo 47 de la Ley Marco, el director o directora del servicio debe velar por la implementación de las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Esto significa que se debe asignar un responsable dentro de la institución para que asuma esta tarea”.

El espacio ideal para resolver dudas

Dado que la charla fue muy interactiva, los asistentes tuvieron la oportunidad de plantear diversas preguntas, las cuales se fueron abordando y respondiendo paulatinamente.

En cuanto al proceso para reportar incidentes, se explicó que estos deben ser informados a través del sitio web csirt.gob.cl, donde los usuarios pueden completar un formulario, permitiendo incluso reportes anónimos. También se discutieron las “medidas idóneas” que deben implementarse en todos los servicios, como la creación de un sistema de gestión de seguridad de la información, el mantenimiento de registros y la elaboración de planes de continuidad operacional.

Diez pasos clave para una implementación exitosa

El director del CSIRT de Gobierno entregó 10 recomendaciones para que las instituciones públicas comiencen a prepararse para implementar la Ley 21.663:

  1. Nombrar un encargado de ciberseguridad que reporte directamente al jefe de servicio. Este encargado será responsable de conducir el proceso de mejora de la institución en materia de ciberseguridad, y de mantener al jefe o jefa de servicio al tanto del avance.
  2. Trasladar el sitio web de la institución al dominio gob.cl, junto con las aplicaciones web de la institución. Esto permitirá al CSIRT Nacional administrar el sistema de nombres de dominio, recolectar datos y prevenir algunos problemas importantes; esto genera además beneficios importantes de usabilidad a la ciudadanía.
  3. Solicitar al CSIRT el monitoreo 24/7 de la disponibilidad de las aplicaciones web de la institución con PRTG. Con esto, el CSIRT Nacional es capaz de asegurar una respuesta rápida ante caídas de más de ocho minutos.
  4. Probar regularmente los respaldos y el site de contingencia. Esto es fundamental para minimizar la posibilidad de pérdida ante incidentes serios de ciberseguridad generados por atacantes.
  5. Elaborar y probar un plan de continuidad de negocios (BCP), con el encargado de ciberseguridad liderando el proceso.
  6. Implementar un gestor de claves para todas las personas que trabajan en la institución, y actualizar la política de contraseñas por una que no exija cambiar las contraseñas excepto si se sospecha de un ataque.
  7. Registrar todas las acciones de ciberseguridad realizadas en activos de la institución. Si se trata de sistemas Linux, esto se puede realizar mediante sistemas de auditoría como Syslog y AuditD.
  8. Asegurarse de que todos los funcionarios asistan a charlas de ciberseguridad cada seis meses a lo menos.
  9. Realizar ejercicios de simulación y pruebas de resiliencia anuales. Estos ejercicios de simulación deberán ser informados al CSIRT desde el 2025.
  10. Reportar todos los incidentes de ciberseguridad. Esto es fundamental para cuidar la integridad y disponibilidad del conjunto de instituciones que conforman el ecosistema de ciberseguridad en Chile.