CERTIFICADO DE ESPECIALIDAD III

Modelos de alerta temprana: protección de datos

personales.
 ESCUELA DE NEGOCIOS

Directora: Lorena Baus Piva.

ELABORACIÓN

Experto disciplinar: Karin Osses Fuentealba.

Diseño instruccional: Elizabeth Vásquez Toledo.

Editor(a) instruccional: David Villagrán Ruz.

VALIDACIÓN

Experto disciplinar: Dennisse Díaz Berríos.

Jefa de Diseño Instruccional: Adriana Contreras Bustamante.

EQUIPO DE DESARROLLO

AIEP

AÑO

2021

Certificado de especialidad III • Modelos de Alerta Temprana 2

Tabla de contenidos

Aprendizaje esperado de la semana ................................................................................................ 4

Introducción ............................................................................................................................................. 4

1. Definiciones de ciberseguridad .......................................................................................................5

2. Ley 21.096 (2018) ................................................................................................................................ 7

3. Normas de Ciberseguridad en Chile .............................................................................................8

4. Instituciones y organismos relacionados a la Ciberseguridad ..............................................9

5. Estado actual del país en materias de ciberseguridad ...........................................................11

6. Infraestructuras críticas de la información ................................................................................ 14

Ideas clave ................................................................................................................................................ 17

Conclusiones ........................................................................................................................................... 18

Referencias bibliográficas .................................................................................................................... 19

Certificado de especialidad III • Modelos de Alerta Temprana 3

Aprendizaje esperado de la semana

Relacionan políticas públicas de ciberseguridad con garantía de privacidad según

legislación vigente y contexto nacional.

Introducción

Las políticas públicas son herramientas que tiene el Estado para responder a

problemas públicos (sociales) y que afectan a una gran mayoría de personas.

Cabe señalar que la política pública está asociada con recursos públicos, los que

son necesarios para poner en marcha planes y programas que entreguen

soluciones a la ciudadanía. En este sentido, la “ciberseguridad”, o seguridad

informática, se ha vuelto relevante por el gran avance informático y de

conectividad que ha tenido la población.

Estamos en una era digital, en donde las personas buscan soluciones rápidas y

casi al instante, y en donde la mayoría de los servicios está digitalizada y utilizando

plataformas virtuales, lo que va acercando, necesariamente a la población a una

digitalización más eficiente.

Veamos un ejemplo: servicio de electricidad. Hace un par de años, la boleta en

papel llegaba al domicilio y la persona debía acercarse a una sucursal de pago,

hacer una fila, disponer de tiempo y recursos para pagar y realizar un trámite que
le toma en tiempo efectivo 5 minutos (pagar en caja).

Sin embargo, hoy la boleta puede llegar a un correo electrónico y en la página

web del servicio se puede ingresar el número de cliente, indicar preferencia de

Certificado de especialidad III • Modelos de Alerta Temprana 4

pago (débito o crédito) pagar y el trámite está realizado (sin necesidad de
registrarse previamente).

Por ello, en esta semana, el tema a desarrollar es acerca de la protección de datos

personales y de cómo los datos contenidos en software y hardware que están

conectados a internet puedan ser tempranamente resguardados, evitando el

robo de estos, ataques cibernéticos, entre otros.

1. Definiciones de ciberseguridad

Para una mayor comprensión de la materia que trataremos en este módulo, y de

acuerdo con la Resolución Exenta N° 1.318 del Ministerio de Transportes y

Telecomunicaciones, y Subsecretaría de Telecomunicaciones (2021), que

aprueban la “Norma técnica sobre fundamentos generales de ciberseguridad

para el diseño, instalación y operación de redes y sistemas utilizados para la

prestación de servicios de telecomunicaciones”, se distinguen y resaltan las
siguientes definiciones.

Artículo 2º. Definiciones

Para los efectos de aplicación de esta norma técnica, los términos que a continuación

se señalan tendrán el significado que se indica:

Autenticación: proceso utilizado en los mecanismos de control de acceso con el

objetivo de verificar la identidad de un usuario, dispositivo o sistema mediante la

comprobación de credenciales de acceso.

Certificado de especialidad III • Modelos de Alerta Temprana 5

Ciberespacio: dominio global y dinámico dentro del entorno de la información que
corresponde al ambiente compuesto por las infraestructuras tecnológicas, los

componentes lógicos de la información, los datos (almacenados, procesados o

transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones

sociales que se verifican en su interior. Las infraestructuras tecnológicas corresponden

a los equipos materiales empleados para la transmisión de las comunicaciones, tales

como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos,

conductores, entre otros. Los componentes lógicos de la información, en tanto, son

los diferentes softwares que permiten el funcionamiento, administración y uso de la

red.

Ciberincidencia o ciberincidente: todo evento que comprometa la disponibilidad,

autenticidad, integridad o confidencialidad de los sistemas o datos informáticos

almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos

por los sistemas de telecomunicaciones y su infraestructura, que puedan afectar al

normal funcionamiento de estos.

Ciberseguridad: conjunto de acciones posibles para la prevención, mitigación,

investigación y manejo de las amenazas e incidentes sobre los activos de información,

datos y servicios, así como para la reducción de los efectos de estos y del daño
causado antes, durante y después de su ocurrencia.

Ciberataque: cualquier incidente cibernético, provocado deliberadamente y que

afecte a un sistema informático.

Confidencialidad: principio de seguridad que requiere que los datos deberían

únicamente ser accedidos por el personal autorizado a tal efecto.

Disponibilidad: capacidad de ser accesible y estar listo para su uso a demanda de una
entidad autorizada.

Certificado de especialidad III • Modelos de Alerta Temprana 6

 Equipo de Respuesta ante Incidentes de Seguridad Informática, en adelante (CSIRT):
centros conformados por especialistas multidisciplinarios capacitados para prevenir,

detectar, gestionar y responder a incidentes informáticos, en forma rápida y efectiva,

y que actúan según procedimientos y políticas predefinidas, coadyuvando asimismo

a mitigar los efectos de ataques de ciberseguridad.

Gestión de incidentes: procedimientos para la detección, análisis, manejo, contención

y resolución de una incidencia de ciberseguridad y responder ante ésta.

Incidente: evento inesperado o no deseado con consecuencias en detrimento de la

seguridad de las redes y sistemas de información de telecomunicaciones.

2. Ley 21.096 (2018)

Esta ley, tiene un objetivo fundamental y trascendental para el contenido del

módulo, que es establecer y consagrar, a nivel constitucional, el derecho a la

protección de los datos personales.

Esta ley modifica el decreto 100, la Constitución Política de la República (2005), y

posee un artículo único indicando en el proyecto de reforma constitucional.

Artículo único. - Agrégase, en el numeral 4° del artículo 19 de la Constitución Política

de la República, a continuación de la expresión "y su familia", lo siguiente: ", y

asimismo, la protección de sus datos personales. El tratamiento y protección de estos

datos se efectuará en la forma y condiciones que determine la ley. (art. 1, 2018).

Certificado de especialidad III • Modelos de Alerta Temprana 7

Podríamos pensar que es una modificación menor, un par de palabras agregadas
a nuestra carta magna, sin embargo, este artículo único sostiene la labor del
Estado en materias de protección de datos personales, lo que sin duda es un

derecho y un beneficio de los ciudadanos porque de acuerdo a lo señalado, se

pretende cambiar prácticas, formas de hacer o de no hacer las cosas en materia

de protección de datos personales, protegiéndonos del mal uso, sin autorización,

por parte de empresas, privados o particulares.

3. Normas de Ciberseguridad en Chile

La normativa vigente en temas de ciberseguridad es relativamente nueva,

considerando decretos que regular, por ejemplo, firmas electrónicas, mensajes

electrónicos, técnicas y sitios web de órganos de la administración del Estado,

entre otros.

A continuación, mencionaremos algunas normas que están vigente y su materia:

Normativa Descripción
Decreto Supremo N°93, de Aprueba norma técnica para la adopción de medidas
2006: destinadas a minimizar los efectos perjudiciales de
los mensajes electrónicos masivos no solicitados,
recibidos en las casillas electrónicas de los órganos
de la administración del Estado y de sus
funcionarios.
Decreto Supremo N°14, de Modifica decreto n°181, de 2002, que aprueba
2014: reglamento de la ley 19.799 sobre documentos
electrónicos, firma electrónica y la certificación de
dicha firma, y deroga los decretos que indica.
Decreto Supremo N°1, de Aprueba norma técnica sobre sistemas y sitios web
2015: de los Órganos de la Administración del Estado.

Certificado de especialidad III • Modelos de Alerta Temprana 8

 Decreto N°1.074 Aprueba contratación de los servicios de renovación
y soporte de la infraestructura de comunicaciones de
la red de conectividad del Estado.
Decreto N° 760 Aprueba modificación de contrato de renovación y
soporte de infraestructura de comunicaciones, de la
red de conectividad del estado, con empresa
nacional de telecomunicaciones S.A, por los motivos
que indica.
Decreto N° 190 Aprueba contrato de prestación de servicio de
soporte de la infraestructura de comunicación de la
red de conectividad del estado a cargo del ministerio
del interior y seguridad pública.
Proyecto de reforma Resguardo de la infraestructura crítica del país; Ley
constitucional Marco de Ciberseguridad.
Proyecto de Ley Ley de protección de datos personales, garantizando
resguardo de información privada.
Ley N°20.285/2008 Ley sobre acceso a la información pública
Ley N°17.336/2004 Ley sobre propiedad intelectual
Ley N°19.927/2004 Ley modifica códigos penales en materia de delitos
sobre pornografía infantil.
Ley N°19.880/2003 Ley que establece bases de los procedimientos
administrativos que rigen los actos de los órganos de
la administración del Estado.
Ley N°19.799/2002 Ley sobre documentos electrónicos, firma
electrónica y servicios de certificación de dicha
firma.
Ley N°19.628/1999 Ley sobre protección de la vida privada
Ley N°19.223/1993 Ley sobre figuras penales relativas a la informática
Ley N°20.478/2010 Ley sobre recuperación y continuidad en
condiciones críticas y de emergencia del sistema
público de telecomunicaciones.

Tabla 1. Normativa vigente en ciberseguridad

Fuente: CSIRT (2021)

4. Instituciones y organismos relacionados a la Ciberseguridad

De acuerdo a la Política Nacional de Ciberseguridad (2021),

La institucionalidad vigente en materia de ciberseguridad se encuentra distribuida en

diversos organismos y entidades. Esto hace necesario la coordinación estratégica de

Certificado de especialidad III • Modelos de Alerta Temprana 9

 los distintos esfuerzos, de sus roles y funciones, y el establecimiento de prácticas y
criterios técnicos comunes, con el objetivo de mejorar la eficiencia y eficacia en el

ámbito de la ciberseguridad.

En esta materia, nuestro país cuenta con un conjunto de normas legales y

reglamentarias que se hacen cargo, directa e indirectamente, del fenómeno de la

ciberseguridad. Por esta razón, resulta necesario revisar y actualizar, conforme a las

directrices que plantea esta política y a los compromisos internacionales de Chile, por
ejemplo, la ley Nº 19.223 sobre delitos informáticos, o la ley Nº 19.628, sobre

protección de la vida privada, entre otras. (p. 13)

A nivel nacional; podemos identificar algunas instituciones y organismos que son

relevantes y de interés para la ciberseguridad. Estos son:

• Comité Interministerial de Ciberseguridad (CICS)

• Senado / Comisión de Defensa y Ciberseguridad

• Consejo para la transparencia

• CSIRT Gob

Este último sistema nacional de ciberseguridad tiene la siguiente estructura, en

base a 4 áreas:

• Área Operacional

• Área Jurídica

• Área de Difusión y Comunicaciones

• Área de Cooperación Internacional (Estrategia Nacional de Ciberseguridad,

pág 6, 2021)

Certificado de especialidad III • Modelos de Alerta Temprana 10

5. Estado actual del país en materias de ciberseguridad

El CSIRT es un organismo que

Busca fortalecer y promover buenas prácticas, políticas, leyes, reglamentos,

protocolos y estándares de ciberseguridad en los órganos de la Administración del

Estado, las Infraestructuras Críticas del país y la República de Chile en su conjunto,

para que el proceso de transformación digital de cara a los ciudadanos se consolide

con la mayor seguridad posible, sustentado tanto en el desarrollo de un ecosistema

digital seguro y resiliente, como en la creación de una capacidad de respuesta –

preventiva, reactiva y proactiva – a los incidentes de ciberseguridad que afecten su

integridad, disponibilidad o confidencialidad. (CSIRT.GOB, 2021).

Dentro de sus objetivos, están:

• Proveer información y asistencia a la Red de Conectividad del Estado y, en general,

al Ciberespacio Gubernamental.
• Administrar un Sistema de Cooperación Nacional e internacional en materias de

ciberseguridad, con el objetivo de reducir el riesgo y articular la respuesta a éstos

cuando su materialización sea efectiva.

• Promover buenas prácticas en materia de ciberseguridad en la Administración

Gubernamental.

• Promover la Protección de las Infraestructuras de Información Críticas País (CIIP

por sus siglas en inglés) y Recursos Claves.

• Promover el fortalecimiento del marco jurídico en lo que se refiere a delitos

Informáticos y Cibercrimen.

• Promover la concienciación en materias de ciberseguridad. (CSIRT.GOB, 2021)

Certificado de especialidad III • Modelos de Alerta Temprana 11

En el contexto anterior, el CSIRT está encargado de las Estadísticas de cualquier
tema relacionado o vinculado de algún modo con la ciberseguridad.

Entonces, por ejemplo, de forma semanal, se presentan informes como el

siguiente:

Figura 1. Boletín de Seguridad Cibernética

Fuente: CSIRT.gob (2021)

Es así como este informe presenta alertas, vulnerabilidades, reportes, indicadores,

recomendaciones, investigaciones y estadísticas recopiladas en un período de

tiempo determinado.

El informe para presentar corresponde a las fechas entre el 13 y 19 de agosto de

2021.

Certificado de especialidad III • Modelos de Alerta Temprana 12

 Figura 2. Boletín de Seguridad Cibernética

Fuente: CSIRT.gob (2021)

En la figura anterior, podemos visualizar que se consideran medidas de mitigación

para vulnerabilidades detectadas; por lo que podemos señalar que las estadísticas
en nuestro país se pueden revisar de manera semanal.

De forma general, para el año 2020 se considera lo siguiente:

Certificado de especialidad III • Modelos de Alerta Temprana 13

 Figura 3. Informe anual CSIRT 2020

Fuente: CSIRT.gob (2021)

6. Infraestructuras críticas de la información

Certificado de especialidad III • Modelos de Alerta Temprana 14

La Resolución 1318 Exenta, en su artículo 2 señala que la infraestructura crítica de
telecomunicaciones:

Es el conjunto de redes y sistemas de telecomunicaciones cuya interrupción,

perturbación, degradación, destrucción, corte o fallo generaría un serio impacto en la

seguridad, privacidad o disponibilidad de servicio de la población afectada, siendo así

declarada mediante resolución fundada de la Subsecretaría conforme a lo señalado

en el reglamento sobre la interoperación y difusión de la mensajería de alerta,

declaración y resguardo de la infraestructura crítica de telecomunicaciones e
información sobre fallas significativas en los sistemas de telecomunicaciones.
(Resolución 1318 exenta, art. 2, 2021)

En Chile, para efectos de Ciberseguridad, de acuerdo a Gobierno de Chile (s. f.)

se define como Infraestructura Crítica (IC) a las instalaciones, sistema o parte de éste,

que es esencial para el mantenimiento de las funciones sociales básicas, y cuya

perturbación o destrucción, afectaría gravemente la salud, la integridad física, la

seguridad y el bienestar social y económico de la población. (p. 3)

En el caso chileno, mientras se adopta una medida específica para IC, la

infraestructura de la información de los siguientes sectores será considerada

como crítica:

Certificado de especialidad III • Modelos de Alerta Temprana 15

Figura 4. Infraestructura Crítica (tentativo)

Fuente: Gobierno de Chile (p. 3)

Figura 5. Infraestructura crítica (tentativo)

Fuente: Gobierno de Chile (p. 3)

Certificado de especialidad III • Modelos de Alerta Temprana 16

Ideas clave

Ciberseguridad

Instituciones y organismos
Políticas Públicas Normas de Ciberseguridad relacionados a la
Ciberseguridad

Comité Interministerial de
Ciberseguridad (CICS).
Senado / Comisión de Defensa y
Ciberseguridad.
Consejo para la transparencia
CSIRT Gob.

Elaboración de informes,
reportes y seguimiento
estadístico de incidentes y
vulneraciones.

Certificado de especialidad III • Modelos de Alerta Temprana 17

Conclusiones

A partir del texto presentado, podemos vislumbrar la relevancia de contar con

políticas públicas e instituciones para poder dar respuesta a la realidad nacional

en temas de ciberseguridad.

Es conocido el contexto internacional, marcado por la revolución tecnológica y

digital; por lo mismo como país debemos establecer herramientas y estrategias,

basados en la normativa vigente, que permitan la protección de datos personales
y privados considerando los desafíos que se proponen al país en tiempos de

pandemia y con un adelanto de los procesos producto de la digitalización de

servicios y derechos, tales como la educación.

Por último, es importante señalar que no podemos olvidar que todas las políticas

públicas y los proyectos de ley que están en trámite buscan generar garantías de

privacidad y resguardo sobre todo en una era digital aplicada.

Certificado de especialidad III • Modelos de Alerta Temprana 18

Referencias bibliográficas

CSIRT.GOB. (2021). https://www.csirt.gob.cl/quienes-somos/.

Equipo de respuesta ante incidentes de Seguridad Informática (CSIRT). (2021).

Recuperado de https://www.csirt.gob.cl/decretos/.

Estrategia Nacional de Ciberseguridad. (2021). Recuperado de:

https://www.camara.cl/verDoc.aspx?prmID=176320&prmTIPO=DOCU

MENTOCOMISION

Gobierno de Chile (s. f.). Recuperado de https://www.cigre.cl/wp-

content/uploads/2018/08/CARLOS-LANDEROS.pdf.

Ley 21.096. (2018). Recuperado de

https://www.bcn.cl/leychile/navegar?idNorma=1119730

Ministerio de Transportes y Telecomunicaciones, y Subsecretaría de

Telecomunicaciones. (2021). Resolución 1318 exenta. Recuperado de

https://www.bcn.cl/leychile/navegar?idNorma=1148274.

Política Nacional de Ciberseguridad. (2021). Recuperado de https:

https://biblioteca.digital.gob.cl/bitstream/handle/123456789/738/Pol%

c3%adtica%20Nacional%20de%20Ciberseguridad.pdf?sequence=1&is

Allowed=y

Certificado de especialidad III • Modelos de Alerta Temprana 19