Preguntas y respuestas
Q&A: Security Conference
Lee e infórmate sobre las principales consultas que surgieron durante nuestro evento.
¿Qué medidas deben implementar las organizaciones para evitar sanciones y multas por incumplimiento de la Ley Marco de Ciberseguridad?
Las organizaciones deben adoptar medidas de seguridad tales como cifrado de datos, planes de respuesta ante incidentes, auditorías periódicas y capacitación constante. Estas acciones no solo garantizan el cumplimiento de la ley, sino que también pueden evitar sanciones que podrían ascender a millones de dólares en los casos más graves.
¿Qué criterios utiliza la Ley Marco de Ciberseguridad para determinar la gravedad de las sanciones por incumplimiento?
La ley considera varios factores, como el tipo de infracción, la magnitud del daño causado, la criticidad de los datos o infraestructura comprometidos, y si la empresa había implementado medidas de mitigación o prevención antes del ataque.
¿Qué procesos legales pueden enfrentar las empresas sancionadas bajo la Ley Marco de Ciberseguridad por no implementar medidas de protección adecuadas?
Las empresas pueden enfrentar investigaciones regulatorias, multas significativas, suspensión de servicios, y en casos graves, demandas judiciales si el incumplimiento resulta en un daño considerable a la seguridad pública o a terceros.
¿Las empresas reguladas por la Ley Marco de Ciberseguridad pueden exigir a sus proveedores o clientes que cumplan con ciertos estándares o regular su nivel de ciberseguridad de alguna forma?
Sí, las empresas reguladas por la Ley de Ciberseguridad pueden exigir a sus proveedores o clientes que cumplan con ciertos estándares de ciberseguridad. Esto se debe a que muchas veces las vulnerabilidades en los sistemas de los proveedores pueden impactar directamente en la seguridad de la empresa principal. Por lo tanto, es común que, en los contratos, se incluyan cláusulas que obliguen a los proveedores a cumplir con requisitos específicos de seguridad, como certificaciones o auditorías. Esto garantiza que todos los actores involucrados mantengan un nivel adecuado de protección.
¿Cómo varían las sanciones bajo la Ley Marco de Ciberseguridad dependiendo del tipo y gravedad de la infracción cometida por una empresa?
La multa para sanciones leves va desde una amonestación hasta a 5.000 UTM (aproximadamente, $330 millones). En el caso de las sanciones graves, la multa tiene un tope de 10.000 UTM ($660 millones), mientras que las gravísimas llegan hasta 20.000 UTM ($1.320 millones).
¿Existen reducciones de sanciones en la Ley Marco de Ciberseguridad para empresas que demuestren haber intentado cumplir, aunque sufran un ataque?
Sí, las medidas de mitigación, como la implementación de tecnologías de defensa y la capacitación del personal, pueden influir en la reducción de las sanciones legales. Si la empresa demuestra que tomó acciones razonables y proactivas para prevenir un ataque, como lo exige la normativa de protección de datos, esto podría ser considerado por las autoridades al evaluar las multas, ya que refleja un cumplimiento diligente de las obligaciones de seguridad. Sin embargo, la efectividad de estas medidas dependerá de la legislación aplicable y de la gravedad del incidente.
Las multas que se mencionan, ¿Son por no cumplir lo que indica la Ley Marco de Ciberseguridad?
Sí, las multas mencionadas están relacionadas con el incumplimiento de las disposiciones establecidas por la ley. Si una empresa no adopta las medidas exigidas, como la implementación de políticas de ciberseguridad o certificaciones requeridas, puede ser sancionada económicamente. Estas sanciones buscan incentivar el cumplimiento y proteger los datos sensibles y los sistemas críticos.
¿Qué estándares de ciberseguridad se exigen a las instituciones que proveen bienes o servicios al Estado?
Las instituciones que provean bienes o servicios al Estado deben cumplir con los estándares de ciberseguridad establecidos por la Agencia Nacional de Ciberseguridad.
¿Cuáles son las obligaciones de ciberseguridad que deben cumplir las instituciones públicas y privadas según la Ley Marco de Ciberseguridad?
Las instituciones deben implementar medidas preventivas, tecnológicas, organizacionales y físicas para gestionar riesgos de ciberseguridad, incluyendo protocolos y estándares emitidos por la Agencia Nacional de Ciberseguridad.
¿La nueva Ley Marco de Ciberseguridad aplica solo para Chile o para otros países?
La nueva Ley Marco de Ciberseguridad aplica específicamente para Chile, ya que es una ley desarrollada dentro del marco normativo nacional. Sin embargo, está alineado con estándares internacionales, por lo que muchas de sus disposiciones y principios pueden ser similares a los de otros países que también buscan fortalecer su ciberseguridad. Para otros países, se debe revisar la legislación local específica en ciberseguridad.
¿Cuál es el plazo en que se debe tener el ISO 27001 aprobado para las OIV?
Desde que se promulgó la en Abril la Ley Marco de Ciberseguridad las OIV (Organizaciones de Infraestructura Crítica de Información Vital) tendrán un plazo de 24 meses para obtener la certificación ISO/IEC 27001. Este plazo permite a las organizaciones implementar los controles de seguridad de la información necesarios para cumplir con la normativa y garantizar la protección adecuada de sus sistemas críticos.
¿Qué sucede con las empresas que no son consideradas esenciales según la ley, pero quieren demostrar que están comprometidas con la ciberseguridad?
Las empresas que no son consideradas esenciales y, por lo tanto, no están directamente obligadas por la Ley Marco de Ciberseguridad, aún pueden optar por implementar buenas prácticas de ciberseguridad y certificar su compromiso en esta área. Una opción es seguir estándares internacionales como la ISO/IEC 27001, que permite demostrar que tienen un sistema de gestión de la seguridad de la información robusto. Esto no solo mejora su postura de ciberseguridad, sino que también les otorga un sello de confianza ante clientes, socios y autoridades, mostrando su responsabilidad proactiva en la protección de la información.
¿Cuáles son los requisitos específicos que deben cumplir las entidades públicas según la Ley Marco de Ciberseguridad?
Como entidad pública, uno de los puntos clave es implementar un Sistema de Gestión de Seguridad de la Información (SGSI) siguiendo estándares como la ISO/IEC 27001. Algunos requisitos comunes incluyen:
- Copias de seguridad (backups): Realizar al menos un doble backup (uno local y otro remoto) para proteger los datos críticos.
- Control de accesos: Implementar medidas de autenticación fuerte, como el uso de doble factor de autenticación (2FA).
- Política de gestión de incidentes: Tener un plan de respuesta a incidentes cibernéticos.
- Capacitación: Proporcionar capacitación continua al personal sobre ciberseguridad.
- Auditorías regulares: Realizar auditorías internas y externas para garantizar el cumplimiento de las normativas de seguridad.
Estas son algunas de las prácticas que las entidades públicas deben considerar para cumplir con los estándares de ciberseguridad y garantizar la protección de la información sensible.
A raíz de la promulgación de la Ley Marco de Ciberseguridad, ¿Las organizaciones serán supervisadas por la ANCI (Agencia Nacional de Ciberseguridad)?
No, no todos los que son supervisados por la Comisión para el Mercado Financiero (CMF) serán supervisados por la Agencia Nacional de Ciberseguridad (ANCI). La ANCI supervisará principalmente a las Organizaciones de Infraestructura Crítica de Información Vital (OIV), que son aquellas cuya operación es esencial para el país. Sin embargo, las entidades financieras reguladas por la CMF también estarán sujetas a las disposiciones de la Ley Marco de Ciberseguridad en lo que respecta a la protección de sus sistemas, pero la CMF seguirá siendo el principal ente regulador para esas entidades en términos financieros.
¿La responsabilidad del cumplimiento de las normativas de ciberseguridad (en el Marco de la nueva Ley) recae sobre el director de la empresa o sobre la máxima autoridad?
La responsabilidad del cumplimiento en ciberseguridad recae en la máxima autoridad de la empresa, ya sea el director o gerente general, dependiendo de la estructura de la organización, quienes deben asegurar que se implementen las medidas necesarias y se cumplan las normativas.
Para el directorio de la empresa ¿Les recae alguna responsabilidad por el no cumplimiento de las normativas?
Sí, el directorio de la empresa puede tener responsabilidad si no se implementan las medidas necesarias para cumplir con las normativas de ciberseguridad. Incluso si no se identifica un responsable directo dentro de la organización, el directorio tiene el deber de supervisar y garantizar el cumplimiento. La falta de acción o supervisión puede resultar en sanciones y multas, especialmente si no se tomaron las medidas adecuadas para prevenir incidentes.
¿Cómo pueden las organizaciones trabajar con ESET para garantizar el cumplimiento legal en ciberseguridad según la Ley Marco de Ciberseguridad?
Las organizaciones pueden trabajar con ESET para garantizar el cumplimiento de la Ley Marco de Ciberseguridad implementando soluciones avanzadas de protección contra amenazas, como antivirus, encriptación y sistemas de detección y respuesta ante incidentes ESET también ofrece auditorías de seguridad, formación para empleados y herramientas de monitoreo continuo que aseguran que las empresas cumplan con los requisitos legales y prevengan posibles sanciones por incumplimientos
¿Qué recursos ofrece ESET para ayudar a las organizaciones a cumplir con los requisitos de la Ley Marco de Ciberseguridad?
ESET ofrece recursos clave para ayudar a las organizaciones a cumplir con la Ley Marco de Ciberseguridad, incluyendo soluciones de protección avanzada como antivirus y firewalls, herramientas de encriptación de datos, sistemas de detección y respuesta ante incidentes, y programas de concienciación en ciberseguridad. Además, facilita auditorías y evaluaciones para asegurar que las empresas alineen sus prácticas con los requisitos normativos, fortaleciendo su defensa contra amenazas cibernéticas.
¿Qué incluyen las capacitaciones de ciberseguridad de KnowBe4 y cómo se adaptan a las necesidades de una organización?
KnowBe4 ofrece una biblioteca extensa de capacitaciones en video, que cubren temas como phishing, ingeniería social, ransomware y protección de datos. Las capacitaciones están diseñadas para ser interactivas y pueden adaptarse al nivel de conocimiento y las necesidades específicas de cada organización. Además, incluyen cuestionarios y ejercicios prácticos para reforzar el aprendizaje, y se pueden programar periódicamente para mantener a los empleados actualizados sobre las amenazas más recientes.
¿Qué rol juega el asesoramiento legal en el uso de las soluciones de ESET para el cumplimiento de la Ley Marco de Ciberseguridad?
El asesoramiento legal juega un papel clave al garantizar que las soluciones de ESET se implementen de manera que cumplan con los requisitos de la Ley Marco de Ciberseguridad. Ayuda a las organizaciones a interpretar la normativa y ajustar sus medidas de seguridad para evitar sanciones, asegurando que las tecnologías estén alineadas con los estándares legales y regulatorios.
¿Cómo funciona el XDR de la consola? ¿es proactivo en el cumplimiento de la Ley Marco de Ciberseguridad?
El XDR (Extended Detection and Response) de la consola funciona integrando múltiples fuentes de datos de seguridad (endpoints, redes, servidores, correos) en un solo sistema, lo que permite una detección y respuesta automatizada y más eficiente ante amenazas. Sí, es proactivo, ya que identifica y mitiga amenazas en tiempo real antes de que causen daño, ofreciendo visibilidad avanzada y respuestas coordinadas.
¿Cómo incentiva KnowBe4 la participación de los empleados en los programas de ciberseguridad y concienciación para fortalecer el cumplimiento de la Ley Marco de Ciberseguridad?
KnowBe4 permite la creación de competencias internas, donde se incentiva a los empleados a participar activamente en las capacitaciones y simulaciones de seguridad. Se pueden establecer programas de recompensas para quienes mejoren sus resultados en las pruebas o demuestren un alto nivel de conocimiento en ciberseguridad. Estas competencias fomentan una cultura de seguridad colaborativa, motivando a los empleados a mantenerse informados y comprometidos con la seguridad de la organización.
¿Cómo funcionan las pruebas simuladas de phishing en KnowBe4 y qué tipos de ataques se pueden simular?
Las pruebas simuladas de phishing de KnowBe4 permiten a las organizaciones enviar correos electrónicos falsos, diseñados para imitar ataques reales. Estas simulaciones pueden replicar varios tipos de phishing, como ataques de phishing masivo, spear phishing (personalizado) y ataques dirigidos a ejecutivos (whaling). Los empleados que caen en las simulaciones son notificados y redirigidos a contenido educativo para mejorar su conciencia sobre estos riesgos. Además, se pueden realizar pruebas continuas para evaluar el progreso en la cultura de seguridad.
Con respecto a la charla de la abogada Romina, ¿Qué es el 'skimming' en el contexto de ciberseguridad?
El skimming es un tipo de fraude en el que los delincuentes roban información de tarjetas de crédito o débito durante una transacción, generalmente mediante dispositivos que se colocan en cajeros automáticos o terminales de pago para copiar los datos de la tarjeta. Los estafadores luego utilizan esa información para realizar transacciones no autorizadas.
¿Las certificaciones internacionales como la ISO 27001 son válidas en cualquier país? ¿pueden homologarse?
Las normativas certificadas como la ISO 27001 cuentan con estándares internacionales y son válidos independientemente del país en el cual se certifique. Estas normas establecen buenas prácticas que las empresas deben cumplir para gestionar la seguridad de la información de manera eficaz. Dado que la ISO 27001 sigue un marco globalmente reconocido, no debería ser un problema homologar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en este estándar en diferentes países, siempre que se mantengan los requisitos establecidos por la norma.
¿Qué criterios deben seguir los centros de certificación para emitir certificaciones válidas para el cumplimiento de la Ley Marco de Ciberseguridad?
Los operadores de importancia vital deben obtener certificaciones emitidas por centros autorizados por la Agencia Nacional de Ciberseguridad, que también puede homologar certificaciones internacionales.
¿Cómo puede ESET propiciar que se cumpla con la ley marco de ciberseguridad?
ESET puede ayudar a cumplir con la Ley Marco de Ciberseguridad en varias formas:
- Protección avanzada: Ofreciendo soluciones de seguridad como EDR y XDR, que ayudan a prevenir, detectar y responder ante incidentes de ciberseguridad.
- Auditorías y evaluaciones: Proporcionando herramientas para realizar análisis de vulnerabilidades y auditorías que aseguran el cumplimiento de estándares como ISO 27001.
- Capacitación: A través de programas de formación en ciberseguridad para educar a los empleados en prácticas de ciberhigiene y gestión de riesgos.
- Gestión de incidentes: Apoyando la creación de CSIRTs con herramientas especializadas para gestionar y mitigar ciberataques.
¿Cómo puede KnowBe4 contribuir al cumplimiento de la Ley Marco de Ciberseguridad?
KnowBe4 puede contribuir al cumplimiento de la Ley Marco de Ciberseguridad de las siguientes maneras:
Concientización y capacitación: A través de sus plataformas de formación y simulación de ataques de phishing, KnowBe4 ayuda a las organizaciones a educar a su personal en prácticas de ciberhigiene, cumpliendo con los requisitos de capacitación de la ley.
Evaluaciones de riesgos humanos: Identifica y mitiga las debilidades en la seguridad a nivel del factor humano, fortaleciendo la prevención de incidentes.
Simulacros: Permite realizar simulaciones de ciberataques para probar y mejorar la capacidad de respuesta, algo requerido en el marco normativo.