Em resposta às crescentes ameaças cibernéticas e à crescente pressão global por modernização regulatória, o Chile promulgou a Lei-Quadro de Segurança Cibernética nº 21.663 para priorizar a segurança cibernética como parte importante da segurança nacional, da estabilidade econômica e da segurança pública. Esta legislação histórica introduz uma estrutura nacional abrangente com o objetivo de fortalecer a segurança cibernética, melhorar resposta a incidentes, e aprimorando a proteção de infraestruturas críticas e sistemas digitais. Veja o que empresas e instituições precisam saber.
A Lei nº 21.663 foi promulgada em 8 de abril de 2024, e entrou em vigor em 1º de janeiro de 2025. No entanto, os seguintes artigos entraram em vigor em 1º de março de 2025:
- Artigo 5: Classificação pela ANCI de Operadores de Importância Vital.
- Artigo 8: Deveres específicos dos operadores de vital importância.
- Artigo 9: A obrigação de reportar ataques e incidentes de segurança cibernética que possam ter efeitos significativos no CSIRT Nacional.
Compreendendo a Lei nº 21.663
A Lei nº 21.663 estabelece obrigações específicas para entidades públicas e privadas, especialmente aquelas designadas como Operadores de Importância Vital (OVIs), para implementar medidas robustas de segurança cibernética.
Alguns dos aspectos mais notáveis da Lei nº 21.663 incluem:
- Criação da Agência Nacional de Segurança Cibernética (Agência Nacional de Cibersegurança, ANCI) para supervisionar políticas e regulamentações de segurança cibernética. A ANCI é responsável por supervisionar relatórios de incidentes, definir padrões de conformidade e coordenar as respostas nacionais a ameaças cibernéticas.
- Definir os papéis e responsabilidades das entidades públicas e privadas na gestão da segurança cibernética.
- Tornar obrigatória a implementação de Sistemas de Gestão de Segurança da Informação (SGSI) alinhados com os padrões internacionais.
- Exigir a comunicação atempada de incidentes de segurança cibernética à Equipa Nacional de Resposta a Incidentes de Segurança Informática (CSIRT).
- Fiscalizar a conformidade por meio de auditorias e impor penalidades em caso de não conformidade.
Etapas práticas para conformidade
1. Implementar um Sistema de Gestão de Segurança da Informação (SGSI)
As organizações devem estabelecer um SGSI que esteja alinhado com os padrões internacionais, como ISO/IEC 27001. Isso envolve:
- Identificar e classificar ativos de informação.
- Avaliar riscos e implementar controles apropriados.
- Estabelecer políticas e procedimentos para segurança da informação.
- Realizar auditorias e revisões regulares.
Impacto do BigID: O avançado do BigID descoberta e classificação de dados de dados em ambientes de nuvem, SaaS, locais e híbridos permite que as organizações avaliem riscos e apliquem controles baseados em políticas para privacidade, segurança e conformidade em todo o cenário de dados.
2. Designar um responsável pela segurança cibernética
As entidades são obrigadas a nomear um responsável pela segurança cibernética, responsável por supervisionar as estratégias de segurança cibernética e a conformidade.
Impacto do BigID: O BigID fornece painéis e relatórios que capacitam os responsáveis pela segurança cibernética e as equipas de segurança com informações úteis sobre postura de segurança de dados, auxiliando na tomada de decisões informadas, operações simplificadas, redução de riscos e monitoramento de conformidade.
3. Realizar avaliações de risco regulares
Avaliações regulares de risco são cruciais para identificar vulnerabilidades e implementar controles de mitigação.
Impacto do BigID: BigIDs avaliações de risco de dados forneça visibilidade completa dos riscos de dados na nuvem e no local, permitindo insights práticos sobre seus riscos e vulnerabilidades mais críticos, ajudando as organizações a priorizar os esforços de correção com base nos níveis de risco.
4. Relate incidentes de segurança cibernética imediatamente
A Lei nº 21.663 determina que incidentes significativos de segurança cibernética sejam reportados ao CSIRT Nacional em até 72 horas após o conhecimento da violação de dados.
Impacto do BigID: BigIDs resposta a incidentes os recursos incluem detecção de violações de dados e análise de impacto, simplificação do processo de geração de relatórios e garantia de comunicação oportuna com as autoridades.
5. Treine os funcionários sobre práticas de segurança cibernética
Programas de conscientização e treinamento de funcionários são essenciais para promover uma cultura de segurança cibernética por meio de educação e boas práticas dentro da organização.
Impacto do BigID: O BigID auxilia no treinamento de segurança cibernética dos funcionários ao identificar onde os dados confidenciais estão em maior risco, fornecendo uma compreensão clara do cenário de segurança de dados e permitindo que as organizações personalizem programas de treinamento que abordem vulnerabilidades específicas e reforcem as melhores práticas.
Como o BigID pode ajudar a cumprir a Lei de Segurança Cibernética do Chile
Navegar pelas demandas da Lei nº 21.663 requer visibilidade profunda dos dados, gerenciamento proativo de riscos e recursos automatizados de conformidade — pontos fortes essenciais da BigID.
A BigID é a fornecedora líder do setor para segurança de dados, conformidade, privacidade e Gerenciamento de dados de IA construído para se alinhar aos requisitos da lei de segurança cibernética do Chile, permitindo que as organizações gerenciem os riscos de dados de forma eficaz e mantenham a conformidade regulatória.
Com a abordagem holística, centrada em dados e consciente de riscos da BigID para a segurança cibernética, as organizações podem se alinhar melhor à Lei de Estrutura de Segurança Cibernética do Chile com uma abordagem estruturada para gerenciamento de segurança da informação, resposta a incidentes e monitoramento de conformidade, capaz de resistir a ameaças modernas.
Solicite uma demonstração para ver como o BigID pode ajudar você a implementar segurança de dados com boa relação custo-benefício para cumprir com a lei de segurança cibernética do Chile.
Autor
