Suaplicación exitosa está condicionada a que las empresas, más allá de ejecutar y cumplir, analicen a fondo sus necesidades, como presupuesto o infraestructura, y comprendan completamente sus implicaciones.

En Chile, los ciberataques dejaron de ser incidentes aislados para convertirse en una amenaza sistémica. Pero, ya las empresas no tendrán que enfrentar estas situaciones solas. En el país se promulgó la Ley Marco de Ciberseguridad, que también impulsó la creación de la Agencia Nacional de Ciberseguridad (ANCI). A través de ellas el Estado busca establecer normativas para proteger la seguridad digital del país, crear un ecosistema seguro, fomentar una cultura de ciberseguridad y regular a organismos públicos y privados en la materia.

Sin embargo, ante este escenario, es fundamental indagar en torno a la preparación de las empresas chilenas y si el sector está realmente a la altura del desafío. Esta preocupación surge a raíz de situaciones recientes, como la categorización de una importante universidad nacional como "Operador de Importancia Vital" (OIV), categoría de riesgo, lo que implica que cualquier vulnerabilidad en dicha entidad tendría un impacto directo en la seguridad nacional, cuya implementación de medidas antihackeo bordería los $3.700 millones de pesos al año.

Ante esto, es relevante preguntarse, ¿Cuántas organizaciones chilenas han dimensionado el costo y requisitos de blindar la seguridad nacional desde sus propios servidores? Actualmente  hay 1.712 organizaciones OIV, que se encuentran principalmente en los sectores de energía eléctrica, telecomunicaciones, infraestructura digital y servicios TI gestionados por terceros, servicios financieros y medios de pago, prestadores de salud (hospitales, clínicas, centros médicos), empresas públicas creadas por ley, y organismos de la administración del Estado.

“Si bien la creación de la ANCI a nivel regional es un avance significativo en ciberseguridad, resulta esencial no solo comprender los requisitos y procesos necesarios para su aplicación en las entidades, sino también evaluar su impacto real. Esto implica analizar a fondo las necesidades internas de cada empresa, como el presupuesto, la infraestructura y otros factores clave, más allá de una simple ejecución de las medidas”, asegura David González, Investigador de Seguridad Informática de ESET Latinoamérica.

ANCI: Nueve directrices que deben cumplirse

En su rol fiscalizador, la entidad compartió una guía básica de ciberseguridad que las organizaciones deben cumplir para asegurar la información. Estos lineamientos se enfocan en la implementación de medidas de carácter tecnológico.

1. Actualización de Sistemas Operativosparamantener los sistemas operativos e inventario al día. 
2. Capacitación periódica para enseñar a los empleados a identificar casos de phishing y manejar de manera segura la información.
3. Minimizar los privilegios de los colaboradores, solo deben contar con los mínimos privilegios necesarios para realizar su trabajo. Asimismo, es necesario realizar una validación de usuarios;ypara perfiles de administrador contar con autenticación multifactor (MFA).
4. Cada trabajador debe disponer de un plan de respaldo periódico de información; cada trabajador debe disponer de un plan y los datos deben estar segmentados, restringiendo el acceso, modificación o eliminación de la información más sensible a aquellos usuarios que realmente lo necesiten. Además, la organización debe tener planes de respuesta a incidentes y planes de recuperación, los que deben ser regularmente actualizados y comunicados.
5. Las redes deben segmentarse para separar dispositivos por división y responsabilidad, limitando el acceso solo a los equipos internos necesarios para las funciones de cada trabajador.
6. Los dispositivos laborales deben tener contraseñas robustas y sistemas de protección de información, como cifrado de disco.
7. Implementar un sistema de monitoreo en tiempo real que asegure la vigilancia y el seguimiento constante y en tiempo real de todos los eventos de ciberseguridad.
8. Implementación de MFA, mecanismo de autenticación para ingresar a dispositivos y cuentas que debe considerar al menos dos categorías: "algo que sabes" (contraseña, PIN), "algo que tienes" (smartphone, tarjeta, token) y "algo que eres" (biometría).
9. Debe usarse un gestor de contraseñas para almacenar todas las credenciales necesarias para el desempeño de las labores.