Promulgación: 19-MAY-2023
Publicación: 17-AGO-2023
Versión: Única - 17-AGO-2023
Nota: visita nuestra Guía Técnica de Ciberseguridad
Lo dispuesto en los artículos 32 Nº 6 y 35 del decreto supremo Nº 100, de 2005, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la Constitución Política de la República de Chile; en la ley Nº 19.880, que Establece Bases de los Procedimientos Administrativos que rigen los Actos de los órganos de la Administración del Estado; en la ley Nº 18.993, que Crea Ministerio Secretaría General de la Presidencia de la República; en la ley Nº 21.180, sobre Transformación Digital del Estado; en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia, que establece normas de aplicación del artículo 1º de la ley Nº 21.180, de Transformación Digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la Administración del Estado que indica y las materias que les resulten aplicables; en el decreto supremo Nº 4, de 2020, del Ministerio Secretaría General de la Presidencia, que aprueba el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre Transformación Digital del Estado; en el decreto supremo Nº 83, de 2004, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos; en el Instructivo Presidencial Nº 8, de 2018, donde se imparten instrucciones en materia de ciberseguridad para la protección de redes, plataformas y sistemas informáticos de los órganos de la Administración del Estado; y, en la resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón, de las materias de personal que se indican.
La presente norma tiene por objeto definir los estándares y establecer las directrices técnicas sobre seguridad de la información y ciberseguridad, que deberán cumplir los órganos de la Administración del Estado para resguardar la confidencialidad, integridad, disponibilidad de la información y la infraestructura informática, de las plataformas electrónicas que sustentan sus procedimientos administrativos.
Para fines de esta norma técnica, se entenderá por:
Los órganos de la Administración del Estado deberán estructurar su trabajo a partir del diagnóstico inicial a que alude el artículo 4 definiendo funciones y categorías según lo señalado en el Título Tercero, junto con la generación e implementación de la Política de Seguridad de la Información y Ciberseguridad a que alude el artículo 5 de la presente norma técnica.
Cada órgano de la Administración del Estado deberá realizar un diagnóstico inicial del estado de ciberseguridad de sus plataformas electrónicas, en conformidad a lo que dispondrán las guías técnicas mencionadas en el artículo 12 de la presente norma.
Los órganos de la Administración del Estado deberán incluir el diagnóstico realizado en virtud de este artículo en el Catálogo de Plataformas de la Norma Técnica de Calidad y Funcionamiento, señalada en el artículo 57 del Reglamento, con el fin de mantener un registro íntegro de las plataformas electrónicas que administren.
Cada órgano de la Administración del Estado deberá elaborar una Política de Seguridad de la Información y Ciberseguridad, en adelante "Política", aprobada a través de acto administrativo por el respectivo Jefe(a) Superior de Servicio, que tendrá como objetivo establecer las directrices generales en materia de seguridad de la información y ciberseguridad dentro del órgano, además de velar por la seguridad de los componentes de software y hardware, de los sistemas informáticos y de los datos o información que almacenan, procesan e interoperan. Asimismo, deberá contener la visión estratégica del respectivo órgano de la Administración del Estado respecto de la seguridad de la información y ciberseguridad.
La Política tendrá como objetivo, además, velar por la preservación, confidencialidad, integridad y disponibilidad de la información, considerando estándares de seguridad de la información y la privacidad como parte del diseño inicial.
La Política deberá contener, a lo menos, lo siguiente:
Para la generación e implementación de la Política a que se refiere el Título Segundo precedente, cada órgano de la Administración del Estado deberá atender a las funciones y categorías que se determinan en el presente título y que se especificarán en la o las guías técnicas a que se refiere el artículo 12 de la presente norma técnica.
Corresponde a las actividades y procesos desarrollados por un órgano de la Administración del Estado para la identificación y adecuada administración de los riesgos de seguridad de información y ciberseguridad asociados a cada uno de los procesos, personas y plataformas electrónicas que sustentan sus procedimientos administrativos.
Esta función comprende las categorías de contexto o entorno del órgano de la Administración del Estado; gobernanza; gestión de activos de información; gestión de riesgos; y contratación y gestión de la relación con proveedores de servicios en la nube. El análisis y operatividad de estas categorías se describirán en la o las guías técnicas a las que hace referencia el artículo 12 de la presente norma.
Los órganos de la Administración del Estado deberán desarrollar e implementar procesos y actividades destinadas a garantizar las medidas de seguridad que favorezcan la entrega de sus servicios en forma adecuada, oportuna y segura a sus destinatarios.
Esta función implica las categorías de gestión de servidores, redes, autenticación y control de acceso a plataformas electrónicas de los órganos de la Administración del Estado; la concienciación y formación de los funcionarios de la Administración; la seguridad de los datos; los procesos para proteger la información que obra en poder de la Administración; y el registro de eventos; todas las cuales serán definidas y determinadas en la o las guías técnicas a la que alude el artículo 12 de la presente norma técnica.
Los órganos de la Administración del Estado deberán desarrollar e implementar los procesos y líneas de acción necesarios para la detección oportuna de la ocurrencia de incidentes de seguridad.
Esta función incluye las categorías de análisis de eventos con el objeto de identificar posibles anomalías, fallas o eventos precursores que pudieran derivar en un incidente de seguridad; un monitoreo continuo de la seguridad, en el cual los servidores y sus plataformas electrónicas deben contar con medidas adecuadas para la protección contra código malicioso; y establecer un proceso de detección de dichos eventos. Los detalles operativos de esta función y sus categorías se describirán en la o las guías técnicas conforme a lo dispuesto en el artículo 12 de la presente norma técnica.
Los órganos de la Administración del Estado deberán desarrollar e implementar aquellos procesos y actividades necesarias para adoptar medidas técnicas y organizativas cuando se detecte un incidente de seguridad de la información y/o ciberseguridad.
Esta función contiene las categorías de planificación de respuesta ante incidentes; comunicación de acciones de respuesta; análisis de incidentes; mitigación de incidentes; y mejoras a la planificación y procesos de respuesta. Los procesos, planes, gestiones y análisis asociados a esta función se describirán y desarrollarán en la o las guías técnicas a que se refiere el artículo 12 de esta norma técnica.
Los órganos de la Administración del Estado deberán desarrollar e implementar los procesos y acciones necesarios para mantener los planes de recuperación y restablecer cualquier capacidad, plataforma electrónica, sistema electrónico, servidor, red o servicio en general, que se haya visto afectado debido a un incidente de seguridad de la información y/o ciberseguridad.
Esta función contiene las categorías de planificación de la recuperación; mejoras a la planificación y procesos de recuperación; y comunicación del estado de recuperación; todas las cuales serán descritas en detalle en la o las guías técnicas a que se refiere el artículo 12 de la presente norma técnica.
Para efectos de facilitar la implementación de la presente norma técnica, la División de Gobierno Digital del Ministerio Secretaría General de la Presidencia, dictará una o más guías técnicas que establezcan sus aspectos operativos y procesos.
La aplicación de esta norma será acorde a la gradualidad establecida en el decreto con fuerza de ley Nº 1, de 2020, del Ministerio Secretaría General de la Presidencia. A fin de facilitar su implementación, la División de Gobierno Digital definirá los lineamientos y formato en que los órganos obligados deberán llevarla a cabo.
La presente norma técnica deberá ser revisada y actualizada, al menos, cada dos años. El plazo antes indicado se contará desde la entrada en vigencia de esta norma técnica.
Las actualizaciones de esta norma técnica deberán tomar en consideración los aprendizajes y las dificultades de aplicación reportados por los órganos de la Administración del Estado, así como impulsar las buenas prácticas y minimizar los efectos de las prácticas incorrectas que pudieron haberse presentado.".
> Anótese, tómese razón, y publíquese.- GABRIEL BORIC FONT, Presidente de la República.- Álvaro Elizalde Soto, Ministro Secretario General de la Presidencia.- Carolina Tohá Morales, Ministra del Interior y Seguridad Pública.- Mario Marcel Cullell, Ministro de Hacienda.
Lo que transcribo a Ud., para su conocimiento Saluda atentamente a Ud., Macarena Lobos Palacios, Subsecretaria General de la Presidencia.