Compartir:

Facebook Twitter Mastodon Telegram Twitter WhatsApp Bluesky

¿Cuál es el rol del delegado de ciberseguridad?

Una de las obligaciones que tienen las instituciones definidas por la Agencia Nacional de Ciberseguridad (ANCI) es contar con un delegado de ciberseguridad, como se define en la Instrucción General No. 3. Te recordamos las claves de esta obligación en una nota explicativa, que encontrarás también presentada de forma resumida con nuestro Ciberpudú en gráficas individuales como imagen, y compiladas en formato PDF.
Fotos para web (34)

Todas las instituciones definidas como servicios esenciales por la ley marco de ciberseguridad, están obligadas a registrar en el Portal ANCI a un encargado de ciberseguridad, quien tiene como tarea principal reportar incidentes de ciberseguridad a la Agencia y es su contraparte técnica (algo que deben leer en más detalle en la Instrucción General No. 1).

Por su parte, un delegado de ciberseguridad, cuyo nombramiento es una obligación de las organizaciones calificadas como operadores de importancia vital (OIV) (explicada en la Instrucción General No. 3), también es contraparte de la ANCI, pero tiene además responsabilidades al interior de su organización: informar a la autoridad o jefatura superior del órgano o servicio de la Administración del Estado del que es delegado, o a los directores, gerentes, administradores o ejecutivos principales, según la organización en el caso de las instituciones privadas.

Así, está permitido que las instituciones nombren como delegado y como encargado a una misma persona, siempre y cuando se cumplan algunas condiciones. Esto, porque el delegado debe:

  • Contar con formación, certificación o experiencia especializada, en el nivel técnico o profesional, en materia de ciberseguridad, gestión de riesgos tecnológicos, continuidad operacional o disciplinas afines.
  • Contar con canal de comunicación y reporte directo a la máxima autoridad institucional.
  • Contar con independencia funcional suficiente para comunicar riesgos, incidentes y brechas de cumplimiento a la autoridad interna, sin interferencias de áreas operativas de la institución que pudiesen comprometer la objetividad de dichas comunicaciones.
  • Contar con la habilitación para representar a la institución ante la Agencia.

En este contexto, el delegado no puede pertenecer al área de tecnologías de la información (TI), a menos que en la institución existan mecanismos que aseguren la independencia en el ejercicio de sus funciones y que cuente con canal de comunicación y reporte directo a la máxima autoridad o jefatura de la institución.

Lo anterior, porque los OIV deben asegurar que el delegado:

  • Pueda informar directamente a la autoridad superior cuando lo estime necesario, especialmente respecto de riesgos, amenazas, vulnerabilidades, incidentes de ciberseguridad o eventuales incumplimientos.
  • Pueda ejercer sus funciones con autonomía suficiente y sin subordinación técnica a las áreas operativas que implementan las medidas de ciberseguridad.
  • Cuente con las facultades, recursos y condiciones para el adecuado cumplimiento de las obligaciones contempladas en la ley, en los reglamentos y en la presente instrucción general.
Rol delegado 1 -
Rol delegado 2 -
Rol delegado 3 -
Rol delegado 4 -