Daniel Álvarez detalla ruta para instalar la nueva institucionalidad de ciberseguridad

El nuevo año comenzó con una cargada agenda para Daniel Álvarez, quien el 2 de enero fue designado por el Presidente Gabriel Boric como el primer director de la nueva Agencia Nacional de Ciberseguridad (ANCI). La entidad, creada por la Ley Marco de Ciberseguridad, es el organismo rector en este ámbito, que fijará la normativa técnica, fiscalizará y sancionara su incumplimiento.

En entrevista con DF, Álvarez abordó la hoja de ruta de instalación de la nueva institucionalidad y sus prioridades para este primer año. Serán tres: poner en marcha la agencia con la contratación de personal y logística; iniciar el trabajo regulatorio con instrucciones generales y particulares en materias de estándares de ciberseguridad; y en la dimensión normativa con la calificación de la lista de operadores de importancia vital (OIV).

Álvarez lleva 25 años ligado a la regulación tecnológica desde que egresó como abogado de la Universidad de Chile, donde también obtuvo un doctorado en Derecho. También fue Coordinador Nacional de Ciberseguridad desde 2022 y asesor del Gobierno en esta materia, de allí que su nombre no fuera una sorpresa.

“Me tocó armar el primer Comité Interministerial de Ciberseguridad, escribir la primera Política de Ciberdefensa, la actualización de la política de ciberseguridad actual, y el proyecto de Ley Marco sobre Ciberseguridad”, dijo Álvarez.

Fuera de Chile también ha hecho carrera como consultor para el desarrollo de estrategias de regulación en ciberseguridad y con asesorías a la Organización de los Estados Americanos (OEA).

El trabajo de Álvarez parte con una cuenta regresiva. La ley establece que el Presidente de la República debe nombrar al director para el primer año, pero para el segundo, será seleccionado a través de un concurso de Alta Dirección Pública (ADP).

Por eso el abogado afirmó que el trabajo en las tres funciones que le fueron asignadas ya está en marcha. Para este primer ejercicio, la ANCI contará con un presupuesto de unos $ 6 mil millones, los que en su mayoría fueron asignados por la Ley de Presupuesto.

Según Álvarez, esos recursos se destinarán para la contratación de personas (con un estimado de alrededor de 60 profesionales), arriendo de oficinas, comprar equipos, tecnología y licencias, así como bienes y servicios.

Operadores de importancia vital

Uno de los temas clave, y que captará la atención del sector privado, será la elaboración del listado de los OIV, es decir, aquellos prestadores de servicios esenciales que define la ley y que reúnan dos requisitos: que su servicio dependa de las redes y servicios informáticos, y que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público. Los OIV serán de “al menos” 13 sectores, como energía, transporte, banca, telecomunicaciones y agua.

Álvarez dijo que la elaboración del listado es un procedimiento que debería terminar “no antes de septiembre” de este año y que se trata de un proceso reglamentado en dos etapas.

Explicó que la ANCI enviará un oficio a los reguladores sectoriales solicitándoles identificar, según los criterios del reglamento, a los operadores que consideran de importancia vital dentro de sus respectivos sectores.

Luego, los reguladores deberán responder con un listado específico, identificando a empresas por su nombre y naturaleza jurídica. Una vez que la ANCI recopile la información de los reguladores sectoriales, se publicará un listado preliminar para someterlo a consulta pública, en la que las organizaciones podrán entregar su opinión o descargos.

Álvarez estimó que el listado final “probablemente” será organizado por sectores, al menos los 13 que establece la ley.

Sanciones

Una de las facultades de la ANCI es sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la ley, con multas que ascienden hasta las UTM 40 mil, unos $ 2.700 millones.

Y aunque el listado de OIV estará listo el segundo semestre, Álvarez dijo que las empresas que cometan infracciones podrían ser multadas desde el 1 de marzo.

“Sería deseable iniciar el proceso de fiscalización después de que exista la calificación de los OIV (...) Eventualmente, la hipótesis que se podría echar a andar antes es la de omisión de notificación de un incidente de impacto significativo, porque esa obligación entra en vigencia el 1 de marzo. Entonces, si alguna organización sufre un incidente y no lo notifica, habría un incumplimiento de la obligación legal”, dijo.

Lo anterior también es una carrera contra el tiempo, pues la labor fiscalizadora está a cargo de una subdirección, la que aún no tiene definida su dotación y cuyo jefe deberá ser nombrado vía concurso de ADP.

Entre otros aspectos para este año, señaló que se creará un Registro Nacional de Incidentes, lo que dará luces del tipo de ataques que recibe el sector privado, del que, aseguró, no hay información.

En temas de formación ciudadana, junto con algunos ministerios planean introducir reformas a los currículos escolares y mallas profesionales para incorporar contenidos de ciberseguridad y definir perfiles profesionales y técnicos para reducir la brecha de trabajadores en esta materia.