Blog WPersona

REQUISITOS DE CAPACITACIÓN SEGÚN LA LEY DE CIBERSGURIDAD

Escrito por Javiera M | 31-01-24

Recientemente en Chile se aprobó la Ley Marco de Ciberseguridad con el objetivo de robustecer la seguridad informática y uno de los aspectos que se incorporarán en la nueva legislación es la importancia asignada a la capacitación en ciberseguridad. 

Ante la creciente amenaza de ciberataques hacia las organizaciones, la implementación de regulaciones en ciberseguridad se presenta como una necesidad crítica para la estabilidad y protección de individuos, empresas y gobiernos.  

La Ley tiene por objeto establecer la institucionalidad pública para robustecer la ciberseguridad, enfrentar de mejor manera las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio. 

A medida que las amenazas cibernéticas evolucionan, la formación del personal se vuelve fundamental para garantizar la protección de la información confidencial y la integridad de las operaciones empresariales. 

En este artículo exploraremos algunos aspectos de la nueva ley que está a la espera de ser promulgada por parte del Presidente y su consiguiente publicación en el Diario Oficial. 

¿Qué establece la Ley Marco de Ciberseguridad? 

  • La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares. 
  • Decreta los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad. 
  • Dispone las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones que serán reguladas, y los mecanismos de control, supervisión y de responsabilidad ante infracciones. 

¿Qué organizaciones deberán cumplir con las disposiciones de la nueva Ley Marco de Ciberseguridad? 

  • Instituciones del sector público tales como Ministerios, las delegaciones presidenciales regionales y provinciales, los GORES, Municipalidades, las FFAA y OOPP y los órganos y servicios públicos creados para el cumplimiento de la función administrativa;  
  • Empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.  
  • En el ámbito privado, las instituciones que presten servicios calificados como esenciales, según lo establecido en la ley, y aquellos que sean calificados como operadores de importancia vital. 

¿Qué se entiende por servicios calificados como esenciales o de importancia vital? 

  • Son servicios esenciales aquellos provistos por los organismos del Estado y por el Coordinador Eléctrico Nacional. 
  • Los prestados bajo concesión de servicio público. 
  • Las instituciones privadas que realicen: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos. 
  • La Agencia Nacional de Ciberseguridad (ACNI) podrá calificar otros servicios como esenciales cuando su afectación puede causar un daño a la población, al abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad o al Estado, a la defensa nacional, o a la seguridad y el orden público. 
  • La ACNI podrá calificar como operadores de importancia vital a quienes la provisión de dicho servicio dependa de las redes y sistemas informáticos, y que la afectación de sus servicios tenga un impacto en la seguridad, en la provisión de servicios esenciales, en el cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar, y a instituciones privadas que tengan un rol crítico en el abastecimiento, la distribución o producción de bienes indispensables; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad. 

Capacitación de colaboradores en ciberseguridad 

Se estima que el 95 % de las filtraciones de ciberseguridad son el resultado de un error humano, por lo mismo la seguridad digital de una organización está en manos de todos los colaboradores, trabajen o no en el sector de TI, y la realidad es que 6 de cada 10 organizaciones no ha capacitado en ciberseguridad a sus colaboradores. 

Dentro de los deberes específicos de los operadores de importancia vital que estipula la ley, estos tendrán que contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene. 

Riesgos de no capacitar a los colaboradores en ciberseguridad 

 Si bien aquellas instituciones estipuladas por la ley que no cuenten con programas de capacitación, formación y educación continua para los trabajadores se exponen a sancionadas, es importante considerar que todas las organizaicones, independiente de su tamaño o rubro están expuestas a riesgos que pueden ir desde la perdida de datos confidenciales hasta la afectación a su continuidad operativa. 

Las organizaciones se han convertido en blancos prioritarios para los ciberdelincuentes. La promesa de datos valiosos, información financiera y la interrupción de operaciones comerciales hace que las organizaciones sean objetivos tentadores en la búsqueda de ganancias ilícitas o motivaciones maliciosas. 

Los ciberataques no solo representan una amenaza a la integridad de los datos, sino que también tienen consecuencias financieras y reputacionales significativas. Desde la pérdida de ingresos debido a la interrupción del negocio hasta la erosión de la confianza del cliente, las repercusiones pueden ser devastadoras y duraderas. 

Beneficios de capacitar a los colaboradores en ciberseguridad 

  • Reduce los riesgos y costos: Los colaboradores son el blanco #1 de los ataques. Con la capacitación aprenderán a reconocer las amenazas y las mejores prácticas para proteger la empresa y minimizar los costos asociados a la recuperación de un ciberataque. 
  • Mantiene una cultura de ciberseguridad: Lograr un cambio de hábitos en los colaboradores para que adopten una cultura de ciberseguridad puede ser complejo, por eso nuestro programa incorpora una metodología comprobada de enseñanza. 
  • Cumple con las normas de ciberseguridad: Las leyes de protección de datos obligan a las empresas a asegurar que sus colaboradores estén capacitados en ciberseguridad. Nuestro programa ayuda a las organizaciones a cumplir con normativas como ISO, PCI, DGRP, HIPPA, NERC CIP y CMF, entre otras. 
  • Fortalece la reputación corporativa: La seguridad de los datos es importante para los clientes y socios comerciales. Al tener un programa de capacitación en ciberseguridad, la empresa puede demostrar su compromiso con la protección de la información y fortalecer la reputación.  
  • Eficienta la inversión en ciberseguridad: Sin importar cuánto invierten las empresas en tecnologías de protección, el 62% de los incidentes ocurren producto del desconocimiento de sus colaboradores. A través de un programa de capacitación, se eleva la efectividad de las iniciativas y la inversión en ciberseguridad. 
  • Verifica la efectividad del programa: A través de las simulaciones se puede cuantificar la adopción de la capacitación con métricas individuales de participación y avance, con un diagnóstico inicial y verificación continua de progreso. A su vez es el único programa con franquicia tributaria SENCE. 

Programa de capacitación en ciberseguridad  

Como empresa comprometida con la seguridad digital, hemos desarrollado WPersona, un programa de capacitación en ciberseguridad que le permitirá a las organizaciones cumplir con los estándares exigidos por la nueva ley.  

Nuestro programa 100% online y asincrónico está diseñado para convertir a los colaboradores en parte activa de la estrategia de ciberseguridad de tu organización.  

Además de enseñar a los colaboradores sobre ciberhigiene, el programa cuenta con la posibilidad de realizar ataques simulados, lo que permite medir el nivel de adopción de la cultura de ciberseguridad dentro de la organización, y con acceso a una plataforma de reportería en línea para verificar en tiempo real el estado de avance de los colaboradores. 

En un mundo donde los ciberataques son inevitables, la capacitación de los colaboradores se convierte en un componente esencial para la ciberseguridad. La inversión en la formación no solo protege los activos digitales de la empresa, sino que también contribuye a la creación de una cultura organizacional resiliente y consciente de la ciberseguridad. Ignorar este aspecto crucial puede exponer a las empresas a riesgos significativos que podrían evitarse con una adecuada preparación y concienciación.