El 26 de diciembre, la Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial tres instrucciones generales dirigidas a las instituciones que presten servicios calificados como esenciales y a aquellas designadas Operadores de Importancia Vital (OIV), en el marco de la Ley Marco de Ciberseguridad  N° 21.663.  

Las instrucciones se enmarcan en la implementación de la Ley Marco de Ciberseguridad y establecen criterios operativos, plazos y mecanismos formales de cumplimiento aplicables a los OIV. “El valor de estas instrucciones está en que aterrizan el marco legal en exigencias operativas claras  para las entidades, reduciendo espacios de ambigüedad y elevando el estándar de cumplimiento efectivo en ciberseguridad”, comenta Catalina Wastavino, asociada del equipo corporativo de Fischer y Cía. 

Entre los principales aspectos abordados se encuentran la designación de responsables  de ciberseguridad con autonomía funcional, el registro ante la  ANCI  y la adopción de medidas mínimas obligatorias frente a incidentes, con el objetivo de reducir riesgos y evitar su propagación.  

Registro excepcional sin Clave Única   

La Instrucción General N° 2  contempla, de manera excepcional, mecanismos alternativos de identificación para que  los  encargados  de ciberseguridad que no cuenten con Clave Única  puedan registrarse en la plataforma de la ANCI. Esta posibilidad se encuentra condicionada a la acreditación previa del vínculo del solicitante con la institución respectiva y a su validación por parte de la  ANCI.  

Designación obligatoria de delegado de ciberseguridad   

La Instrucción General  N° 3 refuerza la obligación de los OIV de designar un delegado de ciberseguridad, precisando los requisitos mínimos del cargo. El delegado deberá contar con experiencia técnica, autonomía suficiente y acceso directo a la máxima autoridad de la institución, de modo de garantizar un reporte oportuno y efectivo de riesgos relevantes.  

La instrucción enfatiza la independencia funcional del rol, señalando que el cargo de delegado de ciberseguridad no podrá ser desempeñado por la misma persona que ejerza funciones de encargado, jefe, director o responsable del área de tecnologías de la información (TI) y solo podrá depender jerárquicamente de esta última cuando existan mecanismos que aseguren la independencia en el ejercicio de sus funciones y que cuente con canal de comunicación y reporte directo a la autoridad o jefatura.  

La designación deberá formalizarse por la autoridad competente según la naturaleza de la  entidad (órganos del Estado, empresas públicas, grupos empresariales, cooperativas u otras instituciones privadas) y constar en un documento que identifique al delegado titular y subrogante, su vínculo jurídico y su habilitación para representar a la institución ante la ANCI.  

El documento deberá remitirse a la Agencia a través de su plataforma oficial. Esta obligación es complementaria, y no sustitutiva, de la designación del encargado de reportar incidentes prevista la Instrucción General N° 1.  

Medidas necesarias ante incidentes de ciberseguridad   

La  Instrucción General  N° 4  detalla un conjunto de medidas mínimas que los OIV deberán adoptar ante la ocurrencia de un incidente de ciberseguridad. Estas medidas, de carácter obligatorio y no meramente orientativo, buscan contener el incidente y evitar su propagación.  

Entre otras acciones, se exige restringir accesos, aislar sistemas comprometidos y, dentro de las primeras tres horas desde que se tome conocimiento del incidente, modificar credenciales administrativas afectadas, eliminar cuentas genéricas o inactivas,  e informar estas medidas a la ANCI mediante su sistema de alerta temprana.  

Asimismo, se establecen estándares específicos sobre accesos remotos, uso de VPN y autenticación reforzada, segmentación de redes, protección de respaldos y, cuando sea necesario, la suspensión temporal de servicios expuestos al público.   

La instrucción refuerza además la obligación de mantener registros de decisiones, resguardar evidencias, coordinar a los equipos internos y mantener comunicación permanente con la Agencia y con los niveles directivos de la organización.  

Plazos de cumplimiento  

Las obligaciones establecidas en estas instrucciones deberán cumplirse dentro del plazo de  60 días corridos, contado desde la publicación en el Diario Oficial de la nómina final que califique a cada entidad como Operador de Importancia Vital, sin perjuicio de aquellas obligaciones que deben adoptarse de inmediato en caso de un incidente de ciberseguridad.  

  Catalina Wastavino