A la luz de los últimos acontecimientos, la seguridad de los sistemas informáticos y la ciberseguridad desde un punto de vista de política pública son de la más alta relevancia. Sin seguridad no hay privacidad ni confianza en los sistemas. Chile ya dispone de un Plan Nacional de Ciberseguridad pero debemos avanzar en su implementación. Hay varias cifras que sustentan esta opinión: sin ir más lejos, en marzo del año pasado, 10.8% de los computadores en Chile contenían malware, comparado con el 7.8% de los computadores a nivel mundial ese mismo mes.
Un plan moderno de Ciberseguridad debe tener pilares concretos que no pueden faltar. Por ejemplo, modelos de divulgación de incidentes obligatorios. Esto implica un programa de notificación voluntaria de incidentes, el cual debe ser coordinado por un equipo nacional competente de emergencias (CERT). Las capacidades técnicas deben establecerse para transmitir, administrar, almacenar y salvaguardar adecuadamente los datos relacionados con los incidentes, mientras que las autoridades relevantes o los procedimientos de reporte deben estar claramente identificados.
Otro pilar es el cifrado de datos, el cual, junto a otras herramientas de seguridad se utilizan en todo el mundo. El Gobierno debe adoptar estas definiciones basadas en el grado de criticidad, más aún cuando los programas de encriptación están disponibles y descargables en Internet.
Un punto importante son las certificaciones como un mecanismo importante para establecer niveles de confianza en la ciberseguridad pudiendo demostrar que un producto o servicio cumple o excede un estándar, y ofrecen beneficios significativos. Al mismo tiempo, esto puede presentar desafíos cuando la certificación está mal diseñada o el proceso de certificación no se ejecuta correctamente. Por ejemplo, algunas pueden ser discriminatorias cuando se basan en consideraciones como el país de origen. Del mismo modo, las certificaciones que favorecen un enfoque técnico específico en lugar de centrarse en un determinado atributo pueden distorsionar o limitar el mercado tecnológico.
Finalmente, la creación de una Agencia de Ciberseguridad, que recoge lo expuesto anteriormente y debiera estar conformada tanto por el sector privado y sociedad civil. Hay algunos enfoques particularmente efectivos para estructurar este tipo de agencias. Entre estos, designar una sola agencia nacional de ciberseguridad, y que tenga un claro mandato. También se debe asegurar que tenga las atribuciones legales apropiadas; además de poder conciliar la notificación obligatoria de incidentes cibernéticos, con el intercambio voluntario y bidireccional de información sobre amenazas cibernéticas y, finalmente, se deben estudiar las mejores prácticas emergentes.