Charla ANCI Ley Marco de Ciberseguridad 2025 marzo

Hola eh Bienvenidos a a una nueva charla<br>de la ansi eh Nosotros estamos muy<br>contentos en este ciclo de charlas y<br>también estamos muy contento con la alta<br>convocatoria que hemos tenido eh esta<br>charla tiene 300 personas inscritas y<br>además está transmitiendo por YouTube<br>para poder llegar a más personas en<br>nuestro registro sabemos que hay eh alta<br>participación de personas que trabajan<br>en servicios públicos pero también<br>tenemos eh gente de empresas digitales y<br>eh varios<br>e la presentación de hoy la vamos a<br>hacer eh o sea la voy a hacer yo yo soy<br>monrat Castro soy abogada y trabajo<br>desde el año pasado eh la subsecretaría<br>del interior primero y desde enero en la<br>agencia Nacional de<br>ciberseguridad en este tiempo hemos<br>estado a cargo de la implementación de<br>la ley de la instauración del servicio y<br>de la elaboración de los reglamentos Y<br>probablemente muchos de ustedes habrán<br>recibido alguna si han hecho alguna<br>pregunta les habrá llegado la respuesta<br>de parte nuestra e tenemos un equipo<br>jurídico en la en la ansi esta vez me<br>acompaña el abogado Gonzalo carachi y<br>también nos acompaña Eduardo Rivero e<br>que es el técnico ingeniero técnico del<br>cesir eh Y quién ha estado a car algo de<br>del desarrollo de la plataforma de<br>reportes eh eso lo esa presentación la<br>van a hacer ellos que son Eduardo que es<br>el experto Pero sí me gustaría destacar<br>que la plataforma está operativa desde<br>el primero de marzo y para nosotros es<br>un gran orgullo decir que la plataforma<br>fue desarrollada por dos ingenieras<br>mujeres eh lo voy a destacar Eduardo<br>estuvo a cargo pero eh las autoras eh<br>las desarrolladoras son dos mujeres<br>jóvenes muy talentosas e Así que dado a<br>las las correspondientes presentaciones<br>y agradecimiento eh partimos con la<br>charla e La charla va a ser así parto yo<br>y<br>Gonzalo Eduardo las preguntas se van a<br>agrupar y vamos a dejar 10 minutos eh<br>para para las preguntas poder responder<br>eh nos vamos Sí por favor que las manden<br>por escrito eh nos vamos a enfocar<br>principalmente en servicios esenciales<br>deberes de los servicios esenciales<br>proceso de calificación de los<br>operadores de importancia vital eh y<br>deberes de los operadores de importancia<br>vital Yo sé que hay muchas dudas sobre<br>sancionatorio fiscalización pero les<br>pedimos que esas dudas las dejemos para<br>otra ocasión vamos a hacer más charlas e<br>el que se van a ir publicando en los<br>próximos días para que de verdad podamos<br>sacarle provecho a estos dos tópicos que<br>en este momento son los más importantes<br>y los que están generando mayor duda en<br>en la<br>comunidad nacional<br>e un<br>segundo como ustedes saben esta ley se<br>aprobó el 8 de abril del año pasado eh<br>después de un gran acuerdo transversal<br>en el congreso está está ley<br>Eh no eh se aprobó en un en un eh con<br>una tramitación muy rápida y generó<br>mucho consenso en el congreso sobre su<br>importancia y las la necesidad de<br>acelerar su promulgación<br>[Música]<br>e estoy<br>teniendo aquí el modelo de gobernanza<br>que establece la ley eh Deja como cabeza<br>de eh la seguridad informática a nivel<br>nacional a la agencia Nacional de<br>ciberseguridad y como equipo técnico al<br>cesil Nacional muchos de ustedes eh han<br>tenido contacto y los que no los que<br>están recién incorporándose sobre la<br>materia Eh bueno ya ya sabrán que el<br>ccir es el Core del negocio y ahí están<br>los técnicos en materia de<br>ciberseguridad y además tiene dos<br>organismos eh coady guantes que son el<br>comité interministerial de<br>ciberseguridad y el consejo<br>multisectorial de cibersegura y además<br>el cesir eh Nacional de defensa<br>e con esta ley chile quedó a la<br>vanguardia en América Latina en materia<br>de seguridad informática y también sobre<br>institucionalidad sobre la materia<br>respecto al resto de los países de<br>América<br>Latina como su nombre lo indica eh la<br>ley es una ley marco y este quio decir<br>que es la ley es un mecanismo para<br>enfrentar el riesgo de eh eh<br>vulnerabilidad en seguridad informática<br>y con esto lo que quiero decir es que es<br>un primer paso al igual que la ley de<br>cambio climático de medio ambiente Este<br>es el primer paso para empezar a tener<br>una institucionalidad madura al respecto<br>y poder eh generar eh<br>eh gobernanza tanto en el sector público<br>como en el sector privado eh Por lo<br>tanto Esta es una ley que probablemente<br>va a tener cuerpos normativos<br>complementarios a medida que se vaya<br>implementando Y a medida que nos vayamos<br>dando cuenta de las diferencias que<br>existen en los sectores o las<br>diferencias que existen dentro de su<br>misma aplicación eh cuándo va a pasar<br>esto Bueno cuando sepamos cómo está<br>funcionando la ley<br>e con esto se bus<br>Perdón<br>segundo Entonces qué es lo que buscamos<br>regular y coordinar las acciones de<br>ciberseguridad Y en este sentido la<br>regulaciones a través de la agencia y la<br>coordinación de las acciones de<br>ciberseguridad se realizan a través del<br>cesir y en ese sentido eh la herramienta<br>que tenemos para conectar tanto el<br>sector privado como el sector Público<br>con los técnicos de la agencia es la<br>plataforma de seguridad sin perjuicio de<br>que hay otros medios de comunicación<br>nosotros aspiramos a que la plataforma<br>sea la herramienta en el cual se realice<br>la comunicación y nos podamos coordinar<br>frente para prevenir y también Cómo<br>enfrentar eh un evento de cibers<br>e Asimismo se establecen los requisitos<br>mínimos para la prevención contención y<br>resolución de respuesta y en esto<br>importante y me gustaría transmitir que<br>lo que busca la agencia es la<br>coordinación con los sectores nosotros<br>no somos una agencia enfocada al y es<br>existe cierta prevención respecto de nos<br>van a fiscalizar qué es lo que va a<br>pasar nuestro Nuestro objetivo es la<br>seguridad informática y en ese sentido<br>lo que lo que aspiramos es poder<br>prevenir poder contener y poder mitigar<br>los incidentes porque al final del día<br>qué es lo que aspiramos es mayor<br>seguridad informática a nivel nacional<br>Asimismo se establecen las atribuciones<br>y obligaciones de los deberes y<br>mecanismos de control supervisión y<br>responsabilidad ante las infracciones<br>eh la ley de ciberseguridad tiene dos<br>grandes regulados o dos grandes<br>e dos grandes segmentos donde apunta La<br>regulación y esto se dividen en los<br>servicios esenciales que son los que<br>están establecidos por la ley y los<br>operadores de importancia vital entonces<br>nuestro Universo de regulación son los<br>servicios esenciales que a ellos van los<br>deberes generales que establece la ley y<br>el deber de reporte y también los<br>operadores de importancia vital que son<br>un grupo específico dentro de los<br>servicios esenciales donde La regulación<br>es un poco más<br>fuerte Cuáles son los servicios<br>esenciales la ley Establece que son los<br>ministerios las delegaciones<br>presidenciales regionales y provinciales<br>los gobiernos regionales las<br>municipalidades Bueno ahí tienen el<br>listado el coordinador eléctrico y este<br>es el grupo uno de los grupos más<br>grandes que hay dentro de la ley que son<br>los órganos y servicios públicos creados<br>para el cumplimiento de la función<br>administrativa Aquí está básicamente<br>toda la administración central las<br>empresas del estado y sociedades con<br>participa<br>acá tenemos los puertos que entiendo que<br>hay varios varias personas de puertos<br>conectadas en esta<br>audiencia transporte almacenamiento de<br>combustible y distribución de<br>combustible suministro de agua potable<br>saneamiento la servicio de<br>telecomunicaciónes infraestructura<br>digital servicios digitales servicio de<br>tecnología de la información gestionada<br>por tercero transporte aéreo terrestre<br>ferroviario<br>marítimo esta ición está en la<br>ley que espero que que todos puedan<br>revisar con mayor detalle después de<br>esta charla y están descrito en el<br>artículo cuarto para para su mayor<br>precisión la banca los servicios<br>financieros los los medios de pago<br>prestaciones de salud producción e<br>investigación de productos farmacéuticos<br>voy a retroceder un segundo<br>porque Eh quiero mostrarles eh los<br>servicios que son proveídos por<br>concesión y aquí entran otro de los<br>grupos más grandes de la ley que tiene<br>que ver con las concesionarias ya está<br>por ahí eh y cuáles son los servici las<br>obligaciones de los servicios esenciales<br>bueno primero adoptar las medidas<br>pertinentes para prevenir reportar y<br>resolver incidente de ciberseguridad Y<br>acá es muy importante el rol que tiene<br>la agencia en la dictación de los<br>protocolos y los estándares de de la<br>ansi O sectoriales<br>e más adelante eh Gonzalo y Eduardo van<br>a tocar el deber de reporte y aquí van a<br>tocar la taxonomía de los incidentes es<br>la taxonomía se dictó en el en las e con<br>las facultades que tiene la ansi para<br>dictar los estándares en matera de<br>ciberseguridad eh Y la el otro deber<br>importante es el deber de reporte al<br>cesir y acá no eh la Gonzalo lo va a<br>exponer los servicios esenciales tienen<br>El Deber de reportar los incidentes pero<br>acá hay una frase que es la que es la<br>que nosotros nos importa que es el<br>efecto significativo no se reporta<br>cualquier incidente sino que se reporta<br>aquel que con efectos significativos o<br>que puede llegar a tener efectos<br>significativos<br>em el segundo grupo de regulados que<br>tiene la ley son los operadores de<br>importancia vital y como les mencioné el<br>universo son los servicios esenciales y<br>luego de un proceso de calificación que<br>se inicia el 30 de mayo se va a<br>clasificar Quiénes son los operadores de<br>importancia vital Cuáles son los<br>operadores de importancia vital bueno<br>que un servicio dependa de Reyes y<br>sistemas<br>informáticos que la afectación<br>interceptación interrupción o<br>destrucción de sus servicios tenga un<br>impacto significativo en la seguridad y<br>en el orden<br>público en la provisión continua y<br>regular de los servicios esenciales<br>en el cumplimiento de las funciones del<br>estado o los servicios que se deben<br>proveer o garantizar<br>e<br>el el procedimiento de calificación de<br>los operadores de importancia vital está<br>regulado en el decreto<br>295 que acaba de ser publicado hace la<br>semana pasada eh yo les pido que puedan<br>bajar este el reglamento desde la página<br>o del o del diario oficial o de ley<br>chile y puedan como también revisar eh<br>las dudas que que ustedes tengan el<br>reglamento de reporte el 285 espero<br>dos<br>dos 295 el de calificación de operadores<br>de importancia vital y el de ver de<br>reportes 285 e que ahí están<br>especificados también la normativa está<br>dentro de la página de la ansi a la cual<br>se puede acceder eh muy fácil eh Los<br>invito a visitar la página lo invito a<br>estar e en las redes de la página eh Y<br>las dudas que ustedes puedan tener eh se<br>pueden canalizar a través de<br>eh transparencia pasiva o también a<br>través de nuestro sic nosotros eh dada<br>la importancia que tenemos en<br>sociabilizar la normativa estamos<br>respondiendo todas las preguntas con la<br>mayor celeridad posible eh Cuáles son<br>los deberes específicos de los<br>operadores de importancia habitar<br>implementar un sistema de gestión de<br>seguridad de la información continuo<br>mantener un registro de las acciones<br>ejecutadas del sistema de gestión de<br>seguridad de la información elaborar e<br>implementar planes de continuidad<br>operacional y<br>ciberseguridad implementar un sistema de<br>gestión de la seguridad de la<br>información<br>mantener un registro de las acciones<br>ejecutadas por el sistema de seguridad<br>de seguridad sistema de gestión de<br>seguridad de la información elaborar e<br>implementar planes de continuidad<br>operacional ciberseguridad adoptar de<br>forma oportuna medidas para reducir el<br>impacto y la propagación de un incidente<br>de ciberseguridad contar con programas<br>de capacitación formación y educación<br>continua de sus de sus trabajadores y<br>Designar un delegado de ciberseguridad<br>quien actuará como contraparte de la<br>agencia para nosotros es super<br>importante contar con un representante<br>de la institución eh en en la plataforma<br>hasta el momento llevamos un gran número<br>de instituciones que se han inscrito en<br>la plataforma y que han designado un<br>delegado de ciberseguridad Y por qué nos<br>importa el delegado de ciberseguridad<br>porque frente a un incidente de<br>seguridad nosotros necesitamos que sea<br>lo más rápido posible la canalización a<br>la agencia si bien la la ley entrega un<br>plazo de 3 horas que parece un Razo un<br>plazo perentorio nosotros aspiramos a<br>que incluso pueda ser menor a dicho<br>plazo eh Y lo que estoy eh tratando de<br>decir es cuando haya un incidente<br>ciberseguridad me refiero una<br>indisponibilidad una alteración de datos<br>eh que el el y que se pueda<br>e que se pueda originar a partir de un<br>un incidente de ciberseguridad el<br>delgado puede entrar a la página y hacer<br>la notificación sin tener que estar<br>completando como Quién es el delegado<br>Cuál es la empresa que eso ya lo tenga<br>como campo que ingrese y que pueda hacer<br>la notificación para que la agencia tome<br>conocimiento y pueda con el mismo<br>delegado tener más información respecto<br>de qué es lo que está pasando<br>eem Lo vamos a revisar un poco más<br>adelante pero la clave de nuestro<br>sistema de reporte es el efecto<br>observable en el sentido de qué es lo<br>que está pasando en la institución<br>Cuéntame Qué problema tienes qué es lo<br>que tú ves por qué tú crees que hay un<br>incidente ceguridad Por qué crees que<br>tienes un incidente de ciberataque<br>cuáles son los antecedentes con que tú<br>cuentas ese tipo de cosas<br>eh<br>continuamos Y acá tenemos el deber de<br>reportar el deber de reportar es<br>una la herramienta más importante que<br>tiene la ley<br>eh El Deber de reporte eh está regulado<br>en el artículo 9 de la ley y el deber de<br>reporte aplica tanto a los servicios<br>esenciales como a los operadores de<br>importancia habital entonces Quiénes<br>deben reportar bueno deben reportar las<br>instituciones públicas que que son las<br>que ya mencionamos<br>anteriormente todos los organismos de la<br>Administración central el coordinador<br>eléctrico e las concesionarias y el<br>listado que revisamos en detalle con<br>anterioridad y qué debo reportar debo<br>reportar ciberataques o incidentes de de<br>ciberseguridad que puedan tener efecto<br>significativo Y esta es la clave del<br>reporte el efecto<br>significativo y cuando un incidente<br>puede tener un efecto significativo<br>cuando tiene la capacidad de interrumpir<br>la continuidad de un servicio esencial<br>afectar la integridad física o la salud<br>de las personas afectar sistemas<br>informáticos que contengan datos<br>personales<br>e Me gustaría llegar hasta acá en en<br>esta primera parte le voy a dar<br>e le voy a dar la palabra a Gonzalo<br>carachi que es uno de los del área<br>jurídica para que pueda tratar este tema<br>con mayor profundidad e estamos bien en<br>la hora eh la La idea es que ustedes<br>pueden hacer la mayor cantidad posible<br>de preguntas después de Gonzalo Eduardo<br>va a presentar la plataforma de una<br>forma práctica y así y podemos responder<br>las preguntas que ustedes<br>tengan Gracias<br>Monserrat efectivamente como adelantaba<br>Monserrat bueno la obligación del deber<br>reportar recae principalmente en<br>aquellas instituciones públicas y<br>privadas que prestan servicios y también<br>aquellas entidades que hayan sido<br>calificadas<br>como como operadores de importancia<br>vital Ya<br>ahora qué es lo que se debe reportar se<br>debe reportar los ciberataques<br>incidentes que puedan tener efecto<br>significativo Ya ahora cuándo se<br>considera que un incidente de<br>ciberseguridad tiene efect io tal como<br>adelantaba<br>Monserrat hay hay tres efectos ya cuando<br>es capaz de producir Perdón cinco cuando<br>es capaz de producir cinco alguno de los<br>siguientes cinco efectos el primero es<br>interrumpir la continuidad de un<br>servicio<br>esencial afectar la integridad física o<br>la salud de las personas afectar<br>sistemas informáticos que contengan<br>datos<br>personales y afectar la integridad o<br>confidencialidad de activos informáticos<br>o la disp idad de una red o sistema<br>informático Y por último utilizar o<br>hacer eh ingreso no autorizado a redes o<br>sistemas informático ahora en estos<br>últimos dos efectos<br>eh estos efectos se producen de acuerdo<br>al reglamento incluso cuando no se<br>produzca o no se hubiera producido<br>afectación inmediata para la prión del<br>servicio ya porque se entiende que eh es<br>como muy grave solo el hecho de eh la<br>vulneración a la integridad de la<br>confidencialidad de esas redes ya<br>eh dónde se debe reportar<br>Eh Esto es en la plataforma de reporte<br>de incidentes que está disponible en el<br>sitio web de la<br>agencia Ya esta esta plataforma de<br>acuerdo al reglamento tiene que estar<br>disponible las 24 horas del día todos<br>los días del año y eh debe permitir que<br>los reportes de incidentes sean<br>comunicados simultáneamente a otros<br>órganos sectoriales Ya esto es<br>importante porque existen entidades<br>obligadas que pueden tener la obligación<br>de reportar no solo a la an sino que a<br>otra autoridad<br>Ya ahora el esquema de notificación que<br>está establecido en la ley y el<br>reglamento contempla principalmente tres<br>hitos ya el primero es la alerta<br>temprana los sujetos obligados tienen 3<br>horas desde que hubieran tomado<br>conocimiento de la ocurrencia del<br>incidente para emitir la alerta temprana<br>y el contenido de esta alerta temprana<br>está integrado principalmente por los<br>datos para bueno para la debida<br>identificación de la de la institución<br>afectada los datos de contacto del<br>delegado de ciberseguridad o de el<br>encargado en materias de seguridad de<br>mayor responsabilidad en la<br>institución eh la la fecha y hora en que<br>se Tomó conocimiento de la ocurrencia<br>del ciberataque o incidente de<br>ciberseguridad eh Y los indicios de<br>ocurrencia del incidente ya ahí vamos a<br>a ver con Eduardo en la demostración<br>práctica eh pero obce básicamente una<br>descripción del incidente Y por último<br>los activos y recursos que hubieran sido<br>potencialmente afectados ya eh el<br>segundo reporte<br>eh A ver ahí está el segundo reporte eh<br>corresponde básicamente una<br>actualización de la información que ya<br>se entregó en la alerta temprana Pero<br>además tiene que contener una evaluación<br>inicial de la gravedad eh Y del impacto<br>del incidente y los indicadores de<br>compromiso obtenidos En caso que<br>existieren ya ahora ojo porque en el<br>caso de los operadores de importancia<br>vital el plazo para notificar este<br>segundo reporte siempre y cuando se se<br>hubiera visto afectada la prestación de<br>un servicio esencial para los operadores<br>de importancia habital el plazo es de 24<br>horas para el segundo reporte no de 72<br>ya por último el informe final debe ser<br>emitido en un plazo de 15 días corridos<br>ya desde el envío de la alerta temprana<br>siempre que el incidente hubiere sido<br>gestionado ya de acuerdo al reglamento<br>un incidente gestionado es un incidente<br>que ya fue declarado como cerrado por<br>por el cesir<br>e el contenido del informe final<br>eh cierto ya ha pasado varios días<br>probablemente la el cir la an ya ha<br>ejercido eh vuelve un poco ya ha<br>ejercido algunas facultades que que<br>vamos a ver que tiene más adelante para<br>mantener igual una comunicación<br>independiente de estos hitos eh pero el<br>contenido del informe final tiene que<br>tener la descripción detallada del<br>incidente el tipo de amenaza o causa<br>principal eh del incidente las medidas<br>de mitigación que estén aplicadas y en<br>curso y si procede eh las posibles<br>repercusiones transfronterizas del<br>incidente ahora En caso que el incidente<br>no se hubiera gestionado es decir no se<br>hubiera declarado cerrado dentro del<br>plazo de los 15 días Eh debe postergarse<br>el envío del informe final y remitirse<br>un informe parcial sobre el estado de la<br>situación ya eh Ahora sí la próxima sin<br>perjuicio igual de de los deberes<br>establecidos en el esquema que acabamos<br>de ver el cir puede solicitar<br>información a los sujetos obligados a<br>reportar con el objeto de gestionar el<br>incidente ya si el cesir se da cuenta<br>por ejemplo de que hay una información<br>que podría ser de utilidad para cerrar<br>el incidente va y la pide ya<br>eh los otros aspectos que establece la<br>ley respecto del de de reporte eh y tal<br>como adelantaba mon Serrat tienen que<br>ver con la obligación que tienen los<br>operadores de importancia<br>vital de enviar un plan de acción alir<br>esto es dentro de los 7 días corridos<br>desde ocurrido del<br>incidente el contenido del plan de<br>acción está en el artículo 11 del<br>reglamento que yo los invito a a<br>descargar a ver tal como hiz monrat<br>Pero bueno Ahí está el contenido<br>principalmente es el programa de<br>recuperación de la información ya la<br>inclusión de posibles responsabilidades<br>técnicas y administrativas y la<br>estimación del tiempo de recuperación de<br>los servicios si es que hubieran sido<br>interrumpidos ya eh Por último también<br>la la ley contempla la obligación<br>especial para los organismos del estado<br>en orden a que los jefes de servicio<br>deben exigir que los proveedores de<br>servicios de tecnología de la<br>información eh eh tengan como disponible<br>la información que el les pueda pedir ya<br>Y además contempla la facultad que tiene<br>la agencia para dictar instrucciones<br>para la realización y la recepción de<br>los reportes es en uso de esta última<br>facultad<br>que la agencia ya dictó la resolución<br>número 7 que establece la taxonomía de<br>los informes ya que es muy importante<br>porque la<br>taxonomía nos permite clasificar un<br>incidente un ciberataque ya Y esa<br>clasifica va a ser lo que después va a<br>permitir que las medidas de mitigación o<br>las medidas que se adopten para<br>gestionar el caso sean más precisas y<br>más efectivas Ya ahora Eduardo<br>eh va a hacer una pequeña demostración<br>de de Cómo práctica de cómo reportar en<br>la plataforma un incidente o un<br>ciberataque<br>me<br>escuchan bien Sí hola hola perfecto ya<br>eh Voy a proceder entonces a hacer una<br>pequeña demostración de Cómo funciona la<br>plataforma de reporte incidentes que<br>bueno ya explicaron super bien Monserrat<br>y Gonzalo el objetivo de esta<br>demostración es darles a conocer el paso<br>a paso de en caso por ejemplo Ojalá urra<br>obviamente tengan ustedes que hacernos<br>un reporte por un incidente de efecto<br>significativo ciberataque puedan<br>eh puedan hacerlo de forma fácil ya uno<br>de los puntos importantes de esta<br>plataforma es que eh lo cuando fue<br>diseñado cuando fue desarrollada eh se<br>pensó como<br>eh algo de muy fácil uso y de muy fácil<br>acceso ya y ojalá que la mayor cantidad<br>de los datos posibles ustedes puedan<br>ingresar antes de que tengan un<br>incidente de hecho desde ya ustedes<br>mismos ustedes mismas pued pueden<br>Ingresar a el sitio<br>portal.cl y registrar su institución si<br>que no lo han hecho todavía<br>ya para poder hacer esto ustedes van a<br>requerir Iniciar sesión con clave única<br>y esto les va a mostrar el formulario<br>que to conocemos de clave única que<br>ustedes pueden ingresar su Ah no se ve<br>Disculpen<br>comparto compartir pantalla ya<br>ahora estamos en el formulario cierto<br>Perfecto entonces voy a volver para<br>atrás el portal portal. ustedes desde<br>AC y pueden llenar sus datos<br>personales estoy buscando mi clave única<br>gestor de contraseña no memoria as de<br>contraseña lo recomiendo si es que están<br>buscando alguna forma de manejar bien su<br>contraseñ<br>[Música]<br>tenemos que<br>Eh Esto los va a mandar a un portal<br>adicional ya miren en este caso no se<br>nota pero cuando ustedes se inicien<br>sesión por primera vez se les va a pedir<br>configurar un segundo factor de<br>identificación esto nosotros lo hacemos<br>porque como agencia nacional c seguridad<br>sabemos y recomendamos eh lo importante<br>que es contar con más de una barrera de<br>entrada En plataformas de uso crítico en<br>este caso nosotros consideramos que la<br>plataforma repor inente es una<br>plataforma super crítica la cual ustedes<br>pueden hacer estos reportes y tambén<br>pueden ver reportes históricos que han<br>enviado sus cuentas personales Entonces<br>agregamos esta funcionalidad de segundo<br>factor de identificación ya en este caso<br>específico yo ya lo tengo configurado<br>Así que no les voy a mostrar cómo se<br>configura pero es eh elegir entre el<br>totp clásico que uno ingresa cuando<br>utiliza Google por ejemplo de otras<br>plataformas como Instagram aluna red<br>social etcétera o eh utilizar una paski<br>con algún gestor de contraseñas u otro<br>sistema interno que tenga en su<br>computador lo más fácil es usar totp o<br>sea usar Google authenticator<br>authenticator eh Microsoft indicator la<br>aplicación nosotros no eh No le<br>recomendamos y recomendamos ninguna<br>ustedes utilicen la que les acomode<br>mejor y escanear el QR Y eso les va a<br>dar un código de<br>eh s seis dígitos el cual yo ahora mismo<br>voy a ingresar eh voy a dejar compartir<br>pantallas brevemente para que no vean<br>Obviamente el código que tengo en este<br>momento y lo voy a<br>ingresar ya después de ingresarlo eh la<br>página simplemente carga y aparece estoy<br>esperando que cargue ahí cargó aparece<br>esta esta página principal que vendría<br>siendo el portal de inicio que tien edes<br>la plataforma de la<br>portal lo primero que se les va<br>solicitar si es que nunca han ingresado<br>esta plataforma es ingresar dos tipos de<br>dat por un lado los datos de la<br>institución los cuales son los<br>datos la institución que está<br>representando en este momento acá por<br>ejemplo yo voy a colocar los datos de la<br>agencia<br>62 son públicos no hay problemas con<br>vean agencia Nacional de ciberseguridad<br>nombre de fantasía<br>Ans cierto si ustedes tienen otro nombre<br>de fantasía en el caso de los servicios<br>públicos por lo menos en general usamos<br>de nombre fantasía alguna especie de<br>sigla Como por ejemplo<br>eh mineduc minsal etcétera ahí tampoco o<br>sea ustedes utilicen lo que lo lo que lo<br>represente<br>mejor y en dirección aprovechamos de<br>estrenar nuestra nueva oficina Así que<br>vamos a colocar la<br>dirección que nos representa este<br>momento teléfono<br>institucional un teléfono cualquiera La<br>idea es que sea igual un teléfono fijo<br>general que es que tienen las<br>instituciones eh en la oficina y<br>servicios esenciales prohidos por la<br>institución acá La idea es que ustedes<br>eh identifiquen dentro de la lista de<br>aproximadamente 30 eh posibles servicios<br>esenciales Cuáles son los que se adecúan<br>a a sus operaciones ya entonces por<br>ejemplo en el caso de nosotros Y de<br>cualquier otro servicio organismo<br>administración del Estado pueden colocar<br>organismo ad del Estado si es que<br>ustedes eh sient o identifican que hay<br>más de un servicio esencial de los que<br>se aparecen en la ley eh que les aplica<br>pueden colocar más de un campo por<br>ejemplo empresa pública no es nuestro<br>caso pero solo para hacer el ejemplo lo<br>voy a agregar ya y una vez que tengan<br>todo esto completo ustedes pueden<br>guardar ya es importante que dejamos acá<br>también un advertencia de que entregar<br>datos erros maliciosos podría generar<br>responsabilidades para quienes los<br>propicien Así que les pedimos por favor<br>que sean ver cautos con la información<br>que están entregando<br>ya una vez que es ingresada esta<br>información aparece ya la institución<br>registrada en este caso Yo estoy<br>agregando ansi y aparecen los datos que<br>acabo de ingresar ya si quisiera cambiar<br>a futuro esta información puedo hacer la<br>solicitud a través de los portales de<br>contacto de la agencia específicamente<br>ayuda @i.com<br>ce ahora vamos a llenar los datos del<br>contacto para llenar los datos del<br>contacto no es necesario y tiene nombre<br>apellido y r Porque esa información<br>nosotros la obtenemos desde clave única<br>ya así que esa información se muestra<br>simplemente de forma referencial ustedes<br>no la deberían de poder editar ni<br>ingresar información que sí necesitamos<br>de ustedes y que no obtenemos de clave<br>única obviamente porque esto tiene que<br>ver un poco más con su cargo dentro de<br>la institución como encargado encargada<br>de seguridad es el correo de este cargo<br>y el cargo En mi caso por ejemplo<br>profesional<br>ya además se les solicita en caso de que<br>cuenten con ello eh que suban a través<br>de la plataforma un documento de<br>validación que nos permite acreditar su<br>personería es decir Ustedes son<br>representantes efectivamente de la<br>institución de la cual van ha ser<br>reporte ya si no cuentan con este<br>documento en ese mismo momento por<br>ejemplo está en un incidente no es<br>necesario que lo llenen no les vamos a<br>limitar la posibilidad de hacer reportes<br>s obviamente les vamos a limitar la<br>posibilidad de poder ver tal vez<br>reportes históricos u otro tipo de<br>acciones relacionadas con la institución<br>ya entonces este documento es super<br>importante si lo tienen Ojalá lo puedan<br>subir pero si no lo tienen igual van a<br>poder hacer los reportes para que por<br>ese lado estén tranquilos tranquilas de<br>que en caso de un incidente que estén en<br>ese momento llenando este formulario<br>eh el mismo proceso de registro no<br>debería de limitar la posibilidad de<br>cumplir con la obligación de la ley ya<br>entonces una vez enviado el contenido de<br>este formulario eh vamos a ver tanto<br>lleno el formulario institución como el<br>formulario de contacto de la institución<br>en ambos casos como dijimos antes<br>ustedes pueden solicitar cambios si es<br>que nos mandan un correo a través de<br>ayuda rcl desde el correo obviamente del<br>contacto de<br>ciberseguridad acá arriba Se observa un<br>nuevo botón que aparecido y que no<br>existía antes que ustedes lenan la<br>información el cual dice nuevo reporte<br>ya en el momento en que ustedes se vean<br>enfrentados a algo que podría llegar a<br>generar efectos eh significativos como<br>como lo mencionan el reglamento y la ley<br>ustedes eh deben de ir a este botón y<br>hacer clic en él por acá o por acá ya<br>eh más rápido desde arriba obviamente<br>van a Nuevo reporte y se les va a<br>mostrar un formulario de esta forma<br>ya el objetivo en el primer reporte es<br>decir la alerta temprana es que ustedes<br>nos den una cantidad de datos super<br>acotada datos que deberían de manejar<br>debido a que ustedes saben que están<br>sufriendo algo que podría llegar a ser<br>eh incidentes significativo pero que se<br>pueden llenar en 5 minutos ya si bien el<br>plazo límite son 3 horas nosotros<br>creemos que cortando el registro que<br>ahora lo he hecho igual un poco más<br>lento uno lo puede eh hacer un poco más<br>rápido y el reporte de incidente no<br>debería de tomarle más de 15 minutos<br>poder hacer la primera alerta ya<br>información que les pedimos obligatoria<br>se marca en este caso con asterisco en<br>este caso es fecha y hora de toma de<br>conocimiento del incidente esto quiere<br>decir cuando ustedes eh tomaron<br>conocimiento de la ocurrencia del<br>ciberataque o incidente de<br>ciberseguridad fecha estimada de inicio<br>incidente Esto no es obligatorio pero si<br>lo cuentan por algún motivo desde el<br>inicio lo pueden llenar y en caso de que<br>no cuente con este dato ustedes pueden<br>marcar no es posible estimar la hora de<br>inicio ya para poder confirmarnos que<br>esto eh No lo tienen en conocimiento en<br>este<br>momento activos y recursos<br>potencialmente afectados esto es una<br>lista bastante eh general pero al mismo<br>tiempo eh definida de eh los posibles<br>recursos que habber sido afectados en el<br>incidente que están reportando y<br>taxonomía de incidente según lo que eh<br>los documentos que que ha ido publicando<br>la agencia y que definen eh Cuáles son<br>eh Por ejemplo los efectos observables<br>como mencionábamos al inicio en el<br>incidente que ustedes eh están<br>Lamentablemente sufriendo eh De tal<br>forma de poder a nosotros como asir<br>nacional eh darnos una idea un poco más<br>eh general de qué es lo que está pasando<br>ya además pueden marcar si lo desean<br>esta casilla que les permite solicitar<br>apoyo nacional para gestionar este cier<br>ya y de esta forma nosotros nos damos<br>por entendidos de que en caso de que<br>tengamos eh la capacidad en ese momento<br>para poder atenderlos y poder hacer un<br>acompañamiento un poco más cercano eh<br>otorgar los obviamente previa<br>comunicación a través de algún Algún<br>canal de contacto como teléfono o correo<br>que ingresar registrarse ya Entonces<br>vamos a hacer una simulación ya voy a<br>ingresar un incidente que no no ha<br>ocurrido obviamente es solo para eh<br>efectos de ejemplo que afectó a mi<br>institución agencia nacial seguridad el<br>día de hoy hoy día estamos a 19 de<br>marzo a las eh son las<br>12:44 12:30 por ejemplo cuando partillo<br>eh explicándoles Cómo funciona la<br>plataforma No tengo idea todavía Cuál es<br>la fecha estima del inicio incidente Así<br>que dejo esto con no es posible estimar<br>la hora de inicio y por ejemplo Eh mi<br>institución Lamentablemente fue afectada<br>por un ransom entonces o pero yo no<br>tengo idea todavía de eso ya o sea yo<br>simplemente me doy cuenta de que al<br>momento de conectarme a mis equipos eh<br>No puedo acceder a mis datos otros<br>equipos que se reiniciaron por ejemplo<br>no están boteando Tal vez porque se<br>encriptar eh datos de eh inicio de<br>sistema y Eh mi o sea mi operación hacia<br>fuera no está funcionando O sea mis<br>clientes por ejemplo no pueden hacer<br>comunicación con nosotros no pueden<br>hacer sus procesos a través de nuestra<br>plataformas Entonces yo eh coloco Por<br>ejemplo en este caso que mis equipos de<br>Us final y mi infraestructura de<br>servidores ha sido afectado tiene algún<br>tipo de de síntomas Ahora cuando yo les<br>pregunto Cuáles son los síntomas que yo<br>estoy viendo en estos equipos es donde<br>yo me pongo a hablar de la taxón vi el<br>incidente nosotros para ayudarles a<br>ustedes a poder reportar de la forma más<br>directa posible eh definimos una<br>taxonomía de efectos observables que por<br>un lado es técnica en el sentido de que<br>las definiciones son técnicas Pero por<br>otro lado es fácil de diagnosticar desde<br>el punto de vista de una persona que tal<br>vez no es tan técnica el encargado<br>encargar de seguridad que va a hac el<br>reporte en algunos casos es posible que<br>no tenga tanto conocimiento eh por<br>detrás de eh de términos específicos<br>como ransomware malware eh No sé<br>denegación de servicio etcétera entonces<br>intentamos ocupar palabras un poquito<br>más generales en los casos en los que se<br>podía nosotros tuvimos que usar términos<br>técnicos ya por ejemplo en vez de hablar<br>de un ataque deción de servicio nosotros<br>hablamos de degradación de servicio en<br>el sentido de que el servicio se otorga<br>de una forma más lenta o no tan eh<br>expedita Como debería ser o ya si es que<br>la la plataforma se cayó la página se<br>cayó mi mis sistemas no están<br>funcionando hablamos de indisponibilidad<br>o negación de servicio ya como para<br>poder hacerlo un poco más más general<br>entonces por ejemplo lo que yo les dije<br>recién eh Como no están funcionando mis<br>servidores tengo una situación de<br>disponibilidad de de servicio pero<br>también tal vez mientras estoy dando el<br>informe me cuenta algún compañero de<br>trabajo que vio en un foro de dark web<br>publicados datos de mi institución<br>Entonces ya de por si tengo indicios de<br>que aquí hubo una exfiltración una<br>exposición de datos u<br>eh Ya Y eso nos va a permitir<br>eh clasificar básicamente este incidente<br>Y por último yo por ejemplo s en este<br>caso quiero apoyo nacional para poder<br>gestionarlo Así que s est casí Al<br>momento de hacer clic en enviar se manda<br>la alerta temprana y al enviarse la<br>alerta temprana eh nos llega a nosotros<br>desde aloc delcir información de que<br>ustedes está sufriendo un incidente y ya<br>desde ya podemos empezar a trabajar en<br>apoyarlos si es que nos pidieron ayuda y<br>hacer seguimiento también si es que no<br>nos pidieron porque Recuerden que este<br>tipo de cosas igual nos interesa mucho<br>ir viendo cómo van evolucionar en caso<br>de que no cuente con toda la información<br>y tenga algún miedo de que eh pueda<br>perder lo que están ahora mismo<br>formulario siempre puedo guardar los<br>cambios ya guardar mis datos acá y eso<br>va a generar que eh el informe que en<br>modo borrador por decir de aluna forma<br>no se le manda todavía a la agencia pero<br>puedo Yo después seguir llenándolo eh<br>Hasta el momento en el que esté listo<br>para poder enviarlo ahora voy a hacer el<br>envío directamente ya está avisado<br>Obviamente el equipo del soc en esta<br>demo de que el reporte que voy a mandar<br>en este momento no es un incidente ya<br>así que por ese lado no se preocupen<br>Pero esto va a gatillar internamente<br>dentro del cir cuando se haga eh de<br>forma real un envío de eh correo a<br>nuestra plataforma el cierre de la<br>alerta temprana y el inicio ya de la<br>gestión del incidente como tal nos<br>demoramos 17 minutos desde que parí<br>hablando y ya tenemos un primer reporte<br>con los mínimos datos necesarios para<br>poder hacerlo entonces lo que nosotros<br>queremos transmitirles en esta primera<br>parte es que creemos que eh<br>independiente el incidente cual sufran<br>siempre y cuando tengan la posibilidad<br>de reportarnos van a poder llenar esto<br>eh sin mucha necesidad investigación<br>adicional ya si ustedes contasen por<br>algún motivo con más información en el<br>primer reporte genial Nosotros le<br>agradecemos y ahí pueden llenar por<br>ejemplo otras tabs como descripciónes y<br>repercusiones que son algunos de los<br>campos que aparecen en en el reglamento<br>que no son obligatorios en el primer en<br>el primer informe pero que nos pueden<br>ayudar a gestionar mucho mejor el<br>incidente mientras contemos con ellos<br>también pueden agregar juntos y<br>indicadores de compromiso los cuales<br>también van a ser enviados directamente<br>a C para que los pueda analizar revisar<br>e incluso eh publicar algún tipo de<br>alerta para poder avisar al resto de los<br>servicios que podrían ser afectados por<br>un incidente similar las medidas que<br>tienen que tomar para poder prevenir Y<br>por último esto tiene más que ver con<br>tio reporte pero de nuevo también se<br>puede empezar a llenar desde allá causas<br>principales de incidente y medidas de<br>mitigación ya entonces eh Para ir<br>cerrando Ya<br>esta est esta muestra la idea es que<br>ustedes puedan seguir llenando<br>básicamente el reporte con los nuevos<br>Campos ahora voy a llenar con cualquier<br>cosa solo para no tiempo poder<br>terminar a tiempo pero ya llenando los<br>campos mínimos que en este caso vendrían<br>siendo todos los que les mostré<br>recién puedo pasar al segundo reporte ya<br>se me pregunta si que quiero continuar<br>con env al reporte presiono aceptar y se<br>hace el envío de este segundo reporte y<br>ya finalmente cuando para mandar Este<br>segundo reporte recuerdo tenemos 72<br>horas en caso de servicio esencial Eh<br>Así que ahí podemos ir guardando cambios<br>comunicándonos con esil comunicándonos<br>con proveedores hay tiempo para poder<br>llenar esa información y ya para el<br>último reporte para el cu ustedes tienen<br>15 días hay dos alternativas eh si el<br>reglamento declara que el incidente es<br>un incidente de efecto prolongado<br>ustedes pueden seguir guardando<br>información y enviando actualizaciones<br>parciales tanto por el deadline del el<br>reglamento como porque eh la agencia les<br>pide o elir les pide según lo que<br>comentó eh previamente eh monr y Gonzalo<br>pero en el momento que ustedes ya hayan<br>completado toda la información necesaria<br>van a poder<br>eh hacer un envío del informe final ya Y<br>en este caso el envío informe final eh<br>significa Ya que ustedes desde su lado<br>por lo menos han cumplido las<br>obligaciones que tienen con respecto al<br>tema del reporte por lo menos hasta que<br>el c sirir eh decare el sigiente como<br>gestionado ya si por algún motivo algún<br>informe no qu no quedase completo y<br>tuviésemos que pedirle más información<br>como les vamos a pedir actualizaciones<br>parciales adicionales vamos a devolver<br>el estado de informe final a un estado<br>de actualizaciones parciales ustedes las<br>completan y las envían nuevamente Hasta<br>que el incidente ya se declare como<br>gestiona y en ese caso por ejemplo<br>mandamos<br>el informe final lo que de nuevo manda<br>información directo cir también les<br>manda una copia obento a ustedes a su<br>correo electrónico para que ustedes<br>puedan tenerlo como respaldo en caso de<br>cualquier discrepancia y ya con eso<br>tenemos listo el informe se fijan acá<br>quedan todos los campos de solo lectura<br>para su eh revisión En caso que lo<br>deseen en el futuro o en el pasado eh<br>acá aparece por ejemplo el caso ya en el<br>estado esperando cierre donde el trabajo<br>de revisar básicamente si esto está o no<br>gestionado al cir y cualquier cosa nos<br>vamos a comunicar con ustedes a través<br>de las plataformas que siempre hemos<br>comunicado eso con respecto a la<br>plataforma obviamente ahora pasamos a<br>preguntas así que eh<br>claro<br>eh pregunta número uno eh el encargado<br>de ciberseguridad de los servicios<br>públicos debe ser un funcionario público<br>o puede ser una persona a honorarios o<br>incluso un proveedor de de estado<br>pregunta eh Por la responsabilidad<br>administrativa<br>asociada eh Esta es una pregunta que nos<br>han hecho varios eh profesionales de<br>servicios públicos nosotros entendemos<br>las necesidades que tienen eh los<br>servicios públicos entendemos las<br>necesidades que tienen las<br>municipalidades y en principio La<br>respuesta es que debería ser una un<br>profesional a contrata eh sin perjuicio<br>de ello si no existe una una dotación o<br>solo lo puede realizar una persona que<br>esté en calidad de honorario e Debería<br>ser un honorario o sea lo importante es<br>que exista el delegado de<br>ciberseguridad en el caso por ejemplo de<br>las corporaciones municipales que hay un<br>mix entre funcionarios públicos y por<br>código del trabajo<br>aplica sí aplica de hecho eh la<br>distinción<br>entre estatuto administrativo y código<br>del trabajo para los servicios públicos<br>es una distinción estatutaria respecto<br>al al régimen laboral pero nada altera<br>las obligaciones que tienen que tienen<br>los servicios y en ese sentido podría<br>ser una persona contratada código del<br>trabajo solo los oib pueden o sea deben<br>declarar el delegado de seguridad o<br>también los servicios esenciales<br>e esta pregunta se responde con dos<br>artículos de la ley si bien la<br>obligación de Designar un delegado de<br>ciberseguridad está establecida como<br>dentro de las obligaciones específicas<br>del los operadores de importancia<br>digital El Deber de reporte es una de<br>las elaciones generales que tiene la ley<br>y esta aplica tanto para los servicios<br>esenciales como los oib por lo tanto eh<br>si usted es un sujeto regulado si usted<br>es un oib<br>o un operador de importancia vital tiene<br>la obligación de reportar y en ese<br>se y en ese si usted voy a repetir<br>porque parece que que se cayó si usted<br>es un servicio esencial o un operador de<br>importancia vital usted tiene la<br>obligación de reportar y para reportar<br>va a necesitar un delegado de<br>ciberseguridad nosotros aspiramos a que<br>el delegado pueda ser inscrito en la<br>plataforma lo antes<br>sin perjuicio de ello si no está y el<br>incidente se produce usted no es o pero<br>es un servicio esencial va a tener que<br>reportar igual y va a tener que tener un<br>delegado no implementar<br>un planes de continuidad también se toma<br>como infracciones y multas respecto a la<br>ley<br>un sistema de gestión de seguridad de<br>información y planes de continuidad<br>también se toma como infracciones y<br>multas respecto a la ley específicamente<br>esa es parte de las obligaciones que<br>tienen los operadores de importancia<br>vital y en ese sentido efectivamente un<br>incumplimiento de la ley su no<br>implementación Ahora vuelvo a repetir la<br>calificación de los operadores de<br>importancia vital es un procedimiento<br>reglado que va a empezar<br>a a operar el 30 de mayo<br>eh vamos a hacer una charla eh<br>particular sobre esto la calificación es<br>un procedimiento en que interviene tanto<br>la ansi como los reguladores de las<br>instituciones eh Y la institución misma<br>además de un proceso de consulta pública<br>acá<br>intervienen los tres grandes interesados<br>y también la ciudadanía a través del<br>proceso de consulta con las opinión de<br>estos cuatro stakeholder por decirlo<br>e tenemos la calificación final esa<br>resolución de calificación listar a los<br>operadores de importancia vital se va a<br>publicar en el diario oficial una vez<br>que esté publicada comienza a regir la<br>obligación para los operadores de<br>importancia<br>vital El Deber de reportar solo<br>corresponde a incidentes de impacto<br>significativo en la infraestructura de<br>la institución regulada o también de<br>clientes o<br>[Música]<br>proveedores intención en los reportes en<br>general y comento<br>porque nuestra intención con la<br>plataforma de reporte en general y esto<br>también lo comento por otras preguntas<br>queal Viene un poco más adelante es que<br>ante la duda igual int reportando sea<br>nosotros creemos que la mejor forma o<br>sea considerando que poco el tiempo<br>porque requiere hacer un reporte la<br>mejor forma de poder prevenir un<br>potencial incidente efect significativo<br>es eh darle esta información a sesir<br>nacional a la agencia eh además para<br>poder tomar las medidas respectivas para<br>contener eh Y mitigar este problema ya<br>entonces existen casos obviamente y<br>casos en los que un proveedor o un<br>cliente podría estar conectado<br>directamente a esta infraestructura<br>nosotros mismos De hecho en elir hemos<br>visto cuando éramos parte de de gobierno<br>casos en los cuales saltan desde<br>distintos eh eslabones de la cadena de<br>suministro a distintas infraestructura<br>lo que termina generando un problema<br>mucho más grande del original Así que<br>preferiríamos Obviamente que en caso de<br>que ustedes tenen algo de este estilo no<br>lo hagan saber si da la situación de que<br>en realidad es algo que no era tan grave<br>como parecía eh después cuando tenemos<br>más antecedente Cerramos el incidente eh<br>anticipadamente Y ahí queda ya no no va<br>a requerir que ustedes tengan que hacer<br>una investigación completa solo porque<br>hicieron un reporte eh Como eh<br>preventivo ya Eh entonces preferimos que<br>en este tipo de casos cuando cu no hay<br>tanta información nos hagan esta<br>comunicación completa ya y a través de<br>la<br>plataforma sobre este punto Nos gustaría<br>eh recalcar que la información que se<br>entrega a la agencia es información<br>confidencial nosotros tenemos el deber<br>de reserva y toda la información que<br>está en poder de la agencia es<br>información secreta eh Por lo tanto eh<br>aspiramos<br>a a garantizar no no a garantizar<br>tenemos el deber de garantizar pero<br>aspiramos a generar confianza en las<br>instituciones respecto de que nuestra<br>labor acá es mitigar y gestionar el<br>incidente o sea el foco no está puesto<br>en la fiscalización y la sanción sin<br>perjuicio de que eso Puede ocurrir<br>eh nuestra misión es gestionar el<br>incidente<br>em ustedes entregarán criterios para<br>determinar si un incidente podría ser de<br>impacto significativo<br>eh Ya Eh bueno Los criterios para<br>determinar el impacto significativo son<br>aquellos que ya están establecidos en el<br>reglamento y y y respecto de los cuales<br>la presentación ya eh se se desarrolló<br>ya eh lo único que yo quizás les podría<br>agregar es que el reglamento también eh<br>contempla criterios para determinar la<br>importancia eh de los efectos de de un<br>incidente ya pero que se remite a<br>reiterar algo que ya dice la ley que es<br>eh que se debe tener en consideración el<br>número de personas afectadas la duración<br>del incidente y o la extensión<br>geográfica con respecto a la zona<br>afectada por el mismo<br>incidente A qué se refiere con<br>organismos regulados Una institución<br>privada dedicada a la producción de<br>productos farmacol es un organismo<br>regulado<br>e sobre la pregunta en específico la ley<br>específicamente habla de producción y o<br>investigación de productos farmacéuticos<br>Esto está en el inciso segundo del<br>artículo cuarto por lo tanto son<br>servicios esenciales<br>en relación a los encargados de los<br>delegados podrá haber un turno Perdón<br>podrá haber turno personas que a su vez<br>le reporta al encargado o varios<br>encargados lo pregunto porque el<br>encargado tiene que estar 247 atento<br>quizás esto puede compatibilizar con<br>licitaciones de mesa de ayuda que tienen<br>muchos servicios públicos se repite<br>varias veces esa pregunta<br>Ahora sí con respecto a la cantidad de<br>encargados la recomendación en este<br>mismo momento a quies tengan más de un<br>encargado es registrar cada encargado<br>forma independiente duplicando<br>obviamente la información de la<br>institución ya esto porque todavía<br>estamos en proceso<br>de elaboración interna del proceso de<br>validación de las instituciones para<br>poder hacer grupos de encargados que<br>puedan colaborar por ejemplo en un mismo<br>reporte ya por ahora pueden registrarse<br>la plataforma no limita la cantidad de<br>instituciones creadas por ejemplo con<br>ciertos rot y esto de nuevo es siempre<br>intentando facilitarles a ustedes la<br>posibilidad de poder entregar<br>información lo antes posible y con la<br>menor cantidad de trabas posible ya Así<br>que como recomendación general si es que<br>tienen más de un encargado seguridad que<br>pueda hacer los reportes pídanle a cada<br>persona que llene el formulario tal cual<br>como lo estamos llenando ahora Ojalá con<br>los mismos datos en institución igual<br>obviamente cuando tengamos este proceso<br>más elaborado vamos a hacer nosotros una<br>migración de datos interna para poder<br>juntar esto después de la valid<br>y<br>eh hacer el reporte como siempre nos sin<br>ningún tipo de diferencia de de lo que<br>mencionamos Qué pasa si viene<br>actualización al sistema programado la<br>actualización sale mal y se perdió la<br>continuad operacional del sistema por<br>varios días las atenciones a los<br>pacientes se tuvo que registrar en papel<br>por la no disponibilidad del sistema<br>principal y se tuvo que recurrir a los<br>planes de contingencia de cada área pero<br>no todos contaban con uno y hubo<br>afectación en el registro de información<br>mal registrado o no registrado se debe<br>informar al avan eh Sí eso si se está<br>afectando O sea la práctica se está<br>cumpliendo la causal de disponibilidad<br>un incidente de efecto significativo Así<br>que es algo que deberían reportar eh si<br>bien entiendo que el reglamento habla de<br>actualizaciones sistas programadas<br>mantenciones programadas eh el la<br>palabra clave ahí es programado cuando<br>uno programa por ejemplo que la<br>actualización es 3 4 horas Si dura 4<br>horas no hay problema Pero si ya empezó<br>a durar 6 7 8 9 horas estamos en<br>presencia de un incidente por mucho de<br>que no haya sido provocado por algún<br>agente externo ya en ese tipo de caso no<br>sirve mucho poder tener igual las causas<br>poder tener un poco el eh el contexto<br>también para poder hacer recomendaciones<br>en términos de actualizaciones a futuro<br>si al final de cuentas eh la seguridad<br>informática si seguridad no solamente<br>pasa por un externo que me quiere atacar<br>y me quiere robar los datos o botar los<br>sistemas pasa también por las medidas<br>internas que tenemos de control para<br>evitar que eh se eh pongan en riesgo la<br>confidencialidad la disponibilidad eh Y<br>la integridad de la información entonces<br>sí ese caso bastante detallado vendría<br>siendo seguridad de la plataforma<br>eh el reglamento en el artículo cuar<br>hablando normativamente Establece que<br>las mantenciones regulares e que puedan<br>producir indisponibilidad de los<br>sistemas informáticos no se consideran<br>incidente pero deberán estar incluidas<br>en los planes de continuidad operacional<br>y ciberseguridad que es lo que menon<br>esto es la parte normativa de lo que<br>mencionaba Eduard Entonces es importante<br>que sea una<br>mantención informada en el plan de<br>continuidad<br>operacional Qué pasa si uno no se da<br>cuenta de un incidente y es levantado<br>por un externo eh Cuáles son los plazos<br>desde qué momento se<br>cuenta es posible que en algunos eventos<br>sea sea la agencia a la que les informe<br>a las instituciones que están siendo<br>afectados por un siguente por un<br>ciberataque eh Por eso es importante eh<br>la designación del delegado y y en ese<br>sentido vamos a vamos a informar a la<br>institución y la institución va a tener<br>que levantar el reporte de lo que está<br>ocurriendo en en su con sus<br>sistemas y solo eh al final de cuentas<br>el entiendo que el conteo es desde desde<br>la toma de razón de Entonces eso o sea<br>ahí parte el contador y apenas te<br>informe por mucho de que eh haya<br>ocurrido mucho antes o mucho antes se<br>haya dado cuenta un externo ahí<br>empezamos nosotros a contar los plazos<br>para<br>los el delegado debe tener una posición<br>ejecutiva en la compañía gerente<br>subgerente o puede ser una persona<br>operativa<br>e la ley no regula específicamente eh la<br>calidad del delegado de ciberseguridad<br>sin perjuicio de esto esto tiene mucho<br>que ver con el gobierno corporativo de<br>la<br>institución Por supuesto que nosotros<br>aspiramos a que el delegado de<br>ciberseguridad sea una un un profesional<br>que pueda tomar una decisión en el<br>momento en el que está ocurriendo y no<br>tenga que pasar por la fiscalía la<br>institución la gerencia de la<br>institución va a poder reportar a la<br>ansi En ese sentido es necesario que la<br>institución se anticipe a la ocurrencia<br>de un incidente y establezca un<br>protocolo cómo vamos a actuar frente a<br>un incidente y que el delegado de<br>ciberseguridad tenga autonomía para<br>poder reportar e esta pregunta la voy a<br>linkar con una que vi pasar<br>Eh en el listado que tiene que ver con<br>puede el delegado ciberseguridad ser el<br>ti en principio la respuesta debiese ser<br>no porque nosotros aspiramos a que sea<br>un ente independiente y por supuesto que<br>hay eh conflictos de interéses<br>eh respecto de no porque vayan a<br>disputarse jerarquía sino porque en al<br>final del día el lo que sucede en las<br>organizaciones es que frente a un<br>incidente de seguridad bueno Quién es el<br>culpable El culpable es el te No ese es<br>el foco de La regulación pero también<br>entendemos el el el temor que existe por<br>lo tanto en principio La respuesta es no<br>debiese ser independiente ahora<br>entendemos que hay distintas tamaños de<br>instituciones distintos recursos dentro<br>de las instituciones bueno Y si no es<br>posible contar con un delegado distinto<br>del ti eh podría ser podría ser dentro<br>de esa<br>área en<br>esta preguntan con la entrada en<br>vigencia de la nueva ley de protección<br>de datos personales la cual también<br>exige la designación de un delegado de<br>protección de datos esa función se<br>recomienda que esa función sea asumida<br>por la misma persona encargada de<br>ciberseguridad o son roles distintos a<br>ver Esta es una pregunta que ha surgido<br>harto no respecto de si puede ser la<br>misma persona pero respecto de cómo eh<br>conviven estas dos nuevas regulaciones<br>uno de los principios que<br>que ordenan la ley Marco ciberseguridad<br>es la coherencia regulatoria eh nuestra<br>regulación tiene que convivir con los<br>distintos sectores de la economía eh y<br>en ese sentido<br>eh lo que va a pasar es que van a cuando<br>la<br>agencia de datos comience a funcionar<br>van a ha coordinaciones entre nosotros<br>entre otros servicios públicos y<br>probablemente lo que va a surgir será<br>una norma común o algún protocolo o<br>algún estándar<br>e para afrontar eh la ley no quisiera<br>dar una una respuesta cerrada en este<br>momento porque la verdad es que falta<br>harta conversación<br>todavía en relación a la plataforma<br>dónde llega el segundo factor de<br>autenticación el correo celular etcétera<br>y la otra pregunta<br>eh el ingreso al portal de la an lo debe<br>hacer el delegado de ciberseguridad de<br>cada identidad ya eh con respecto a la<br>primera el dfa es de tipo totp lo que<br>significa que se inicializa como un QR<br>escaneado con una aplicación como mw<br>authenticator Google authenticator<br>Microsoft authenticator o y Eh no llega<br>como un valor a un correo electrónico a<br>un teléfono etcétera yao O sea no llega<br>como un mensaje por decir de alguna<br>forma eh Una vez que se hace la<br>asociación a través del escano QR ese<br>valor queda en la aplicación eh de tipo<br>2fa esa es un tema importante para que<br>ustedes también eh sepan que van a poder<br>ingresar un código independiente tengan<br>señal independiente tengan en el<br>teléfono obviamente independiente tengan<br>plan de datos cambian el número deberían<br>de igual por eh poder calcular ese<br>número a partir de la aplicación ya con<br>respecto al ingreso al portal eh claro<br>La idea es que la persona que haga el<br>registro sea efectivamente el o los<br>delegados de ciberseguridad que van a<br>hacer los reportes enlazando también una<br>preguntas que dijimos antes y que vi<br>pasar un poquito más<br>adelante nosotros nos regulamos si la<br>persona que hace los reportes es una<br>sola y está 247 pendiente a poder<br>hacerlo Yo creo que es una pega bastante<br>ingrata entonces eh muy probablemente<br>las instituciones van a contar con más<br>de una persona que pueda hacer los<br>reportes van a tener que autorizar a esa<br>más de una persona a hacer los reportes<br>y cada una de esas personas personas<br>tiene que registrarse en la plataforma y<br>tiene que agregar sus datos para poder<br>hacer rápidamente estos reportes ya<br>eso por por tiempo vamos a cerrar las<br>preguntas hasta acá vamos a contestar<br>todas las que las que están las que ya<br>están formuladas vamos a contestar lo<br>más rápido posible pero vamos a cerrar<br>las preguntas<br>acá por qué vía se recibe el informe de<br>diagnóstico del ces<br>[Música]<br>Ah con respecto alir Me imagino que se<br>refiere que institución pública que ha<br>trabajado antes con nosotros en nuestra<br>vida de gobierno nosotros en algunos<br>incidentes en los que nos involucramos<br>hacíamos informes de diagnóstico en los<br>cuales encontrábamos causas raí<br>encontrábamos yoc generamos<br>recomendaciones Y eso se sigue y se va a<br>seguir haciendo la medida de que las<br>capacidades del nacional lo permitan y<br>la gravedad del incidente lo requiere ya<br>ese documento o informe se va a recibir<br>a través de los canales de contacto<br>oficiales que va con las que va a contar<br>cada institución en ese caso es el<br>correo electrónico del encargado<br>encargado de c seguridad que lo solicita<br>ya así que por ese lado el proceso no<br>cambia eh con respecto a lo que ya<br>ustedes conocían si es que habían<br>trabajado con nosotros cuando éramos as<br>de<br>gobierno el sistema hace seguimiento<br>automático del reporte es decir emite<br>alguna alerta automática a la<br>institución o persona al el segundo<br>reporte y el informe final<br>Eh sí una vez que ustedes envían el<br>primer reporte el segundo reporte y el<br>reporte final cada uno es inmediatamente<br>después que hace clic en el botón de<br>enviar se manda un correo tanto a la<br>persona que hizo el reporte como a el<br>soc<br>de nacional entonces recibimos una<br>alerta inmediata una vez que ustedes<br>hacen esta esta no<br>ya y al mismo tiempo queda para ustedes<br>una especie de comprobante que les<br>permite respaldar básicamente en caso de<br>que futuro que alguna duda interna si se<br>hizo el reporte ese correo electrónico<br>sirve para hacer ese<br>contaste una vez que se env el reporte<br>final entrega alguna retroalimentación<br>el sistema de reporte incidentes la<br>plata actualmente el procedimiento<br>es de dos preguntas atrás sin embargo<br>estamos trabajando igual en la del<br>desarrollo activo de nuevas<br>funcionalidades en las plataformas entre<br>las cuales está considerado el poder<br>contar con un canal de comunicación<br>bidireccional en entre las mismas tabs<br>de reporte ya una vez que tengamos esto<br>en funcionamiento se lo vamos a hacer<br>saber Y también vamos a poder establecer<br>algún tipo de reunión como esta charla<br>como esta en la que les podamos Mostrar<br>las nuas funcionalidades por el momento<br>esta retroalimentación se ejecuta a<br>través de correo electrónico<br>eh hacia los correos electrónicos<br>definidos de los encargados de ceguridad<br>cómo puedo calificar certificar Perdón<br>que mi institución está categorizada<br>como oib se publicará en algún lado o<br>recibir confirmación oficial eh Nosotros<br>hemos trabajado harto<br>y está pueden Los invito a revisar la<br>página eh También pueden hacer preguntas<br>creo que esto lo hemos trabajado harto<br>eh Y está está dentro de la página dijo<br>o Ah perdón pensé me estaba preguntando<br>por servicio esencial como lo mencioné<br>esto es un proceso reglado y finalmente<br>va a concluir con una resolución de la<br>agencia que se va a publicar en el<br>diario oficial o en el diario de<br>circulación nacional donde irá el<br>listado de operadores de importancia<br>vital solo aquellos que estén en ese<br>listado son considerados operadores de<br>importancia vital solo para a contar eso<br>actualmente no existe el listado<br>entonces actualmente no existen o cierto<br>monce eso no se preocupen en este mismo<br>momento de cumplir responsabilidad de<br>oib porque no hay en este momento<br>listado de oib Asimismo cuando se inicia<br>el proceso de calificación esto se<br>inicia también con Una nómina preliminar<br>que se va a publicar y también se va a<br>notificar a las instituciones que estén<br>previamente calificada para que puedan<br>presentar sus observaciones a la agencia<br>dentro del proceso de calificación<br>El Deber de informar se hace exigible<br>una vez que esté sancionada la lista<br>definitiva de los oid o algunas<br>instituciones actualmente ya tienen<br>deber de informar El Deber de reporte es<br>uno de los deberes generales que está en<br>la ley y esto aplica tanto para los<br>servicios esenciales como para los oib<br>por lo tanto hoy día si usted es<br>servicio esencial tiene que reportar<br>es posible realizar el reporte a través<br>de la integración con sistemas propios<br>vía<br>Api estamos trabajando activamente en<br>esa funcionalidad la tenemos considerada<br>no no han pedido bastante eh vamos a<br>tener novedades pronto pero en este<br>mismo momento requerimos que hag el<br>reporte a través del formulario ya sin<br>embargo Ahí vamos a contarles cuando<br>tengamos la posibilidad<br>de e Esa fue la última pregunta<br>e queremos agradecer La gran audiencia<br>que tuvimos cuánta gente habían 100<br>personas conectadas Así<br>que estamos super contentos e los<br>invitamos a continuar asistiendo a las<br>charlas eh los invitamos a estar atentos<br>a las redes de de la agencia sus<br>preguntas transparencia sic e estamos<br>con hartas actividades y eso Muchas<br>gracias por la participación