En su oficina rodeada de pantallas que permiten monitorear la red gubernamental, conversamos con Carlos Landeros, director del Programa Red de Conectividad del Estado y quien lidera el equipo responsable de avanzar en la estrategia de ciberseguridad del Gobierno.
Hace unos días el Senado aprobó por unanimidad la idea de legislar sobre la Ley de Delitos Informáticos ¿Cómo se contempla seguir avanzando en las leyes sobre ciberseguridad que se requieren en Chile?
Como gobierno comprometimos tres proyectos para subir los estándares en materia de ciberseguridad, el primero es sobre delitos informáticos el cual es fundamental en el orden de prioridades, porque regula la base y marco de sanciones de la evolución de la criminalidad en esta materia, así con este resguardo legal evitamos se mire a nuestro país como un puente para la comisión de estos ilícitos, también como gobierno nos hacemos cargo de la crítica de la obsolescencia de la actual ley. El no tener regulación es un incentivo para que bandas criminales o crimen organizado, ocupen a Chile como plataforma para atacar otros Estados como Estados Unidos, México y Argentina.
El segundo es el proyecto de la ley marco de ciberseguridad, que define la institucionalidad, roles y funciones entre gobierno y sector privado, o sea se determina cuáles son los compromisos que va a tener el sector privado o las obligaciones de observancia que tiene en materia de ciberseguridad, todo esto de cara a los que son sus clientes finales que vienen siendo todos los ciudadanos, pero también trata de las facultades que el gobierno le da a cada sector, entendiendo que por una lado le exigimos, pero también los protegemos.
Lo tercero es lo relacionado a infraestructura crítica que protege nichos puntuales que generan un alto impacto en la ciudadanía si estos servicios se ven afectados, como por ejemplo: aeropuertos, todo lo que es transporte, energía, sistema bancario, telecomunicaciones, sector minero, salud, servicios de emergencia como ONEMI o SHOA, tratamiento de agua o distribución de aguas; todos esos sectores se clasifican como críticos y una vez que están catalogados se les exige un estándar más alto a ellos y luego se les protege buscando la pena de una acción legal que se ejecute afectando estas infraestructuras definidas como críticas.
Cometer un delito informático es grave, pero cuando el delito se comete a un servicio o a un sistema que es considerado como crítico o de alto impacto para la ciudadanía, es aún más grave por tanto la pena debería agravarse. Por ejemplo, en el sistema de distribución de energía de Santiago, que podría dejar a la capital sin el vital suministro y con la posibilidad de causar muertes en un hospital, en salas de emergencias o que falle el sistema de diálisis. Este ilícito reviste de una gravedad calificada que esta ley especial sancionara.
Uno de los puntos que se reservó para el proyecto de Ley Marco de Ciberseguridad y no se incluyó específicamente en la ley sobre delitos informáticos, es este, ya que al no estar definida la Infraestructura Critica, su alcances, los criterios mínimos exigidos, cuáles son los sectores económicos que se calificaran como Infraestructura Critica y cuál es el estándar mínimo exigido, es que resultaba poco procedente regularlos en el proyecto de ley sobre delitos informáticos.
Todos estos proyectos tienen la ventaja que son proyectos que si bien eran de difícil elaboración, porque en Chile no existe la institucionalidad en esta materia, (las cuales se buscan crear por medio de la ley marco de Ciberseguridad) o no existe la experiencia práctica de cómo llevar a cabo estas nuevas unidades o equipos técnicos que resguarden la ciber seguridad en sectores específicos, si existe la teoría en la parte del derecho, en la ingeniería y en la investigación, y fundamentalmente en la experiencia internacional de otros países más avanzados en estos temas.
En esta línea, tuvimos que ir a buscar derecho comparado, estudiar legislaciones de países que llevaban estos tres puntos más avanzados y ver cómo fueron evolucionando, como sus leyes fueron paulatinamente avanzando y siendo más rigurosos a lo que son hoy, como estudiamos bien esto, nosotros no vamos a experimentar sobre el modelo de falla y error sino que nos enfocamos en la experiencia de éxito internacional, así podemos saltarnos las etapas de leyes intermedias o de estándares intermedios, reconocemos que el trabajo no es fácil pero dado el conceso nacional y preocupación multisectorial en esta materia es que el desafío se nos platea muy alentador.
Aprovecharemos el trabajo que durante años se han desarrollado en el extranjero. Y en esta línea es así como no solamente lo estudiamos, sino que los proyecto de ley en esta materia, se toma y se validan afuera con los referentes en este tema, por ejemplo lo que era delito informático se validó en una mesa de trabajo con el departamento de justicia de Estados Unidos, la corte interamericana de derechos humanos de la OEA (para que no nos saliéramos de los márgenes constitucionales) y del consejo de Europa, que tiene que ver con el convenio de Budapest.
La Ley Marco de ciberseguridad, la vamos a validar con Europa que tiene estándares de leyes muy similares a las nuestras y en lo que es infraestructura crítica, vamos trabajar con Estados Unidos por medio de embajada y ver como en conjunto Chile y Estados Unidos pueden validar el proyecto de ley perfilándolo a estándares mucho más altos, entonces estos proyectos como quedan muy bien estructurados y validados internacionalmente como un buen proyecto, se hace más fácil su tramitación legislativa como lo refleja por ejemplo, lo que pasó en el senado aprobándose por unanimidad la idea de legislar, porque se considera que el proyecto está bien hecho, tenía buena referencia, no era un proyecto que se pasaba límites de las garantías constitucionales, pero tampoco era un proyecto blando que dejaba brechas para que los delitos informáticos se siguieran ejecutando como lo que pasa hoy.
De la misma forma buscamos que también sea así con la ley marco de ciberseguridad y la ley de infraestructura crítica y se conviertan en proyecto igual de exitoso y exista la unanimidad al momento de legislar y que se pueda aprobar ojalá dentro de este año. Es importante destacar que estos no son proyectos que se redactan a puertas cerradas en el gobierno del presidente Piñera, sino que se trabajan y se comparan mucho en Chile y después buscan validación internacionalmente. En general, los expertos y experiencia en estos temas lamentablemente no está en Chile y esto es un plus adicional al proyecto: esto no es un proyecto errado o con muchas indicaciones, lo que nos corrobora que se está haciendo bien el trabajo.
¿Qué ha significado para un área principalmente técnica, encargarse del plan de ciberseguridad nacional?
Lo que primero hicimos fue armar un equipo de trabajo multisectorial muy distinto al perfil que se llevaba o lo que históricamente se hacía para trabajar en temas de ciberseguridad, porque este tema no es de exclusividad legal y tampoco es exclusivo a una área informática o TI, la idea principal es avanzar y por eso que se hizo esta integración que logra complementar distintas formas de trabajo, conocimientos y experiencias, con un equipo que está muy apasionado con el tema, muy dedicado.
Por lo que, si bien el equipo nace en la unidad técnica de informática dentro de la Subsecretaria de Interior del Ministerio, creció en campo legal y también en el área de marketing, para de esta manera posicionar y concientizar a la ciudadanía en general sobre los temas y cuidados que se deben tener en lo relativo a la ciberseguridad, lo cual son matices distintos a lo que habitualmente se hacia dentro de esta unidad y crecimos en la línea internacional; entonces nos trajimos gente de cancillería experta en estos temas.
Dada la alta prioridad que el Presidente le da a la ciberseguridad, es que la ejecución de los proyectos, no solo se enmarca en lo legal, sino que también se trabaja en campañas de difusión, campañas de concientización en televisión en radios y redes sociales, convenios de cooperación con entes públicos, privados e internacionales, decretos, capacitación y seminarios, trabajo en terreno generando contenidos y participando en conjunto con otros ministerios siempre con el objetivo de acercar a la ciudadanía a los temas sensibles de la ciberseguridad, por ende es una variedad de trabajo que cada día sirve de estímulo para este equipo y lo impulsa a seguir en la línea de lo que estamos haciendo, generando todo el apoyo para el éxito desde el punto de vista legal, técnico y social.
¿Qué impacto ha generado el hecho de que aún no se cuente con un asesor presidencial?
Impacta en la visibilidad del trabajo, pero no en el trabajo propiamente tal, nosotros tenemos un guía y un liderazgo en el propio presidente. Porque el plan de acción quedó definido en su campaña, partió a desarrollándose el 11 de marzo del año pasado y se ha ido ejecutando de acuerdo a los tiempos y lineamiento establecido, se ha dado cumplimiento a las etapas, dentro de los plazos y en las formas previstas.
El tener o no tener un delegado no va a frenar en ningún momento el plan de acción, quizás te pueda ayudar a gestionarlo cuando ya no depende solamente del gobierno, por ejemplo, acelerar algunas discusiones cuando nos toque trabajar con el congreso, se ha demostrado, que en todo momento ha existido la continuidad del trabajo a pesar de no tener una figura política visible
Por último, ¿Han tenido algún feedback, alguna retroalimentación?
Si, tenemos varios tipos de feedback: Uno lo obtenemos de los técnicos y profesionales relacionados a los temas de Ciberseguridad, que por nuestra parte consiste en escucharlos y razonar en base a sus argumentos, esa experiencia la canalizamos a través de las mesas de trabajo que realizamos y de los cursos y seminarios a los que asistimos.
El segundo lo obtenemos de los privados, especialmente las empresas, universidades, ONG entre otros, a través de la cooperación que nos brindan por medio de la suscripción de los convenios que constantemente nos transmiten experiencia, quienes están trabajando en la mejora de estándares en Ciberseguridad.
Y por último el feedback por parte de la ciudadanía, que son quienes se sienten más ajenos a temas de Ciberseguridad, y a quienes queremos llegar por medio de las campañas de comunicación, difusión y concientización con el eslogan #Conciencia Digital a fin de que hagan de la Ciberseguridad un tema común y entiendan los conceptos básicos de protección.
Lo importante es que todos los feedback, nos indican que el trabajo se está haciendo bien, que las campañas de difusión están logrando el objetivo de generar cultura en gente que se siente ajena a las tecnologías, lo que les permite entender las amenazas asociadas al mundo digital y tomar sus resguardos, el sector privado nos valida, grandes empresas, nacionales y extranjeras, así como universidades, asociaciones gremiales, ONG están dispuestas a firmar convenios de colaboración para intercambio de información, lo que significa que nos apoyan y confían en el proceso.
